2021/1/9記事に追記とタイトル変更　2021/8/22

 

 

オバマの出した大統領命令13636

 

 

大統領命令13636

 

重要なインフラストラクチャの

サイバーセキュリティの改善

 

2013年2月12日

 

 

憲法およびアメリカ合衆国の法律によって大統領として私に与えられた権限によって、それはここに次のように命じられます：

 

セクション1。ポリシー。重要なインフラストラクチャへのサイバー侵入が繰り返されることは、サイバーセキュリティを改善する必要があることを示しています。重要なインフラストラクチャに対するサイバー脅威は拡大を続けており、私たちが直面しなければならない最も深刻な国家安全保障上の課題の1つを表しています。米国の国家的および経済的安全は、そのような脅威に直面した国の重要なインフラストラクチャの信頼できる機能に依存しています。米国の方針は、国の重要なインフラストラクチャのセキュリティと回復力を強化し、安全性、セキュリティ、ビジネスの機密性、プライバシー、市民の自由を促進しながら、効率、革新、経済的繁栄を促進するサイバー環境を維持することです。

 

 

  Sec。2。重要なインフラストラクチャ。この順序で使用されるように、重要なインフラストラクチャという用語は、物理的であれ仮想的であれ、システムと資産を意味し、そのようなシステムと資産の無能力化または破壊がセキュリティ、国家経済安全保障、国民に衰弱させる影響を与えるほど米国にとって非常に重要です。健康または安全、あるいはそれらの問題の任意の組み合わせ。

 

 

  Sec。3。ポリシー調整。ここで説明および割り当てられた機能およびプログラムのポリシー調整、ガイダンス、紛争解決、および定期的な進行中のレビューは、2009年2月13日の大統領政策指令-1（国家安全保障評議会システムの組織）で確立された省庁間プロセスを通じて提供されるものとします。 ）、または後継者。

 

 

  Sec。4。サイバーセキュリティ情報の共有。（a）米国政府の方針は、米国の民間部門のエンティティと共有するサイバー脅威情報の量、適時性、および品質を向上させ、これらのエンティティがサイバー脅威から身をよりよく保護および防御できるようにすることです。この命令の日付から120日以内に、司法長官、国土安全保障長官（「長官」）、および国家情報長官はそれぞれ、当局およびセクション12（c）の要件に準拠した指示を発行するものとします。特定の標的エンティティを特定する米国本土へのサイバー脅威の機密扱いでないレポートのタイムリーな作成を確実にするためのこの命令の。指示は、諜報機関および法執行機関の情報源、方法、運用、および調査を保護する必要性に対処するものとします。

 

 

（b）書記長官および司法長官は、国家情報長官と協力して、この命令のセクション4（a）に従って作成された報告書を対象事業体に迅速に配布するプロセスを確立するものとします。そのようなプロセスはまた、国家安全保障情報を保護する必要性と一致して、それらを受け取ることを許可された重要なインフラストラクチャエンティティへの機密レポートの配布を含むものとします。秘書および司法長官は、国家情報長官と協力して、これらの報告書の作成、配布、および処分を追跡するためのシステムを確立するものとします。

 

（c）重要なインフラストラクチャの所有者と運営者が、システムを不正アクセス、悪用、または危害から保護するのを支援するために、6 USC 143に準拠し、次の長官と協力して長官印刷開始ページ11740防衛は、この命令の日付から120日以内に、拡張サイバーセキュリティサービスプログラムをすべての重要なインフラストラクチャセクターに拡張する手順を確立するものとします。この自主的な情報共有プログラムは、機密のサイバー脅威および技術情報を政府から、重要なインフラストラクチャにセキュリティサービスを提供する適格な重要なインフラストラクチャ企業または商用サービスプロバイダーに提供します。

 

（d）長官は、2010年8月18日の大統領令13549（州、地方、部族、および民間部門の事業体のための分類された国家安全保障情報プログラム）に基づいて作成された分類された国家安全保障情報プログラムの執行代理人として、処理を促進するものとする。この命令のセクション9で特定された重要なインフラストラクチャを優先して、重要なインフラストラクチャの所有者およびオペレーターによって雇用された適切な担当者へのセキュリティクリアランスの割り当て。

 

（e）民間部門とのサイバー脅威情報共有の有用性を最大化するために、長官は、民間部門の対象分野の専門家を一時的に連邦政府に提供するプログラムの使用を拡大するものとする。これらの対象分野の専門家は、サイバーリスクの軽減と軽減において、重要なインフラストラクチャの所有者と運用者に最も役立つ情報の内容、構造、および種類に関するアドバイスを提供する必要があります。

 

Sec。5。プライバシーと市民の自由の保護。（a）政府機関は、この命令に基づく活動を、プライバシーと市民の自由について政府機関の高官と調整し、プライバシーと市民の自由の保護がそのような活動に組み込まれるようにするものとします。このような保護は、各機関の活動に適用される公正な情報慣行の原則およびその他のプライバシーと市民の自由の方針、原則、およびフレームワークに基づくものとします。

 

 

（b）国土安全保障省（DHS）の最高プライバシー責任者および公民権および市民の自由の責任者は、この順序で求められるように、DHSが実施する機能およびプログラムのプライバシーおよび市民の自由のリスクを評価し、推奨するものとします。この命令の日付から1年以内に発表される公に入手可能な報告書で、そのようなリスクを最小化または軽減するための長官の方法。この命令に基づいて活動に従事する他の機関の上級機関のプライバシーおよび市民的自由の職員は、その機関の活動の評価を実施し、それらの評価を検討および報告書に含めるためにDHSに提供するものとします。報告書は毎年見直され、必要に応じて改訂されるものとします。レポートには、必要に応じて機密扱いの付録が含まれる場合があります。評価には、公正な情報慣行の原則およびその他の適用可能なプライバシーと市民の自由の方針、原則、およびフレームワークに対する活動の評価が含まれるものとします。政府機関は、政府機関の活動にプライバシーと市民の自由の保護を実施する際に、報告書の評価と推奨事項を検討するものとします。

 

（c）このセクションのサブセクション（b）で要求されるレポートを作成する際、最高プライバシー責任者およびDHSの公民権および市民的自由の責任者は、プライバシーおよび市民的自由監視委員会と協議し、行政管理予算局と調整するものとします。予算（OMB）。

 

（d）この命令に基づいて民間団体によって6 USC 133に従って自発的に提出された情報は、法律で許可される最大限の範囲で開示から保護されるものとします。

 

 

Sec。6。協議プロセス。事務局長は、重要なインフラストラクチャのサイバーセキュリティの改善を調整するための協議プロセスを確立するものとします。協議プロセスの一環として、長官は、この順序で定められた事項について、重要インフラパートナーシップ諮問委員会の助言に関与し、検討するものとします。セクター調整評議会; 重要なインフラストラクチャの所有者と運営者。セクター固有の機関; その他の関連機関; 独立した規制機関; 州、地方、領土、および部族の政府。大学; および外部の専門家。

 

 

 

  Sec。7。重要なインフラストラクチャに対するサイバーリスクを軽減するためのベースラインフレームワーク。（a）商務長官は、国家局長に指示するものとする。印刷開始ページ11741重要なインフラストラクチャに対するサイバーリスクを軽減するためのフレームワーク（「サイバーセキュリティフレームワーク」）の開発を主導する標準技術研究所（「ディレクター」）。サイバーセキュリティフレームワークには、サイバーリスクに対処するためのポリシー、ビジネス、および技術的アプローチを調整する一連の標準、方法論、手順、およびプロセスが含まれます。サイバーセキュリティフレームワークは、自主的なコンセンサス基準と業界のベストプラクティスを可能な限り最大限に組み込むものとします。サイバーセキュリティフレームワークは、そのような国際標準がこの命令の目的を前進させる場合、自主的な国際標準と一致し、修正された米国国立標準技術研究所法の要件を満たすものとします（15 USC271以降。）、1995年の国家技術移転および進歩法（公法104-113）、および改訂されたOMB CircularA-119。

 

 

（b）サイバーセキュリティフレームワークは、重要なインフラストラクチャの所有者と運営者がサイバーリスクを特定、評価、および管理するのを支援するために、情報セキュリティ対策と制御を含む、優先順位が付けられ、柔軟で、再現性があり、パフォーマンスベースで費用効果の高いアプローチを提供するものとします。サイバーセキュリティフレームワークは、重要なインフラストラクチャに適用可能なクロスセクターセキュリティ標準とガイドラインの特定に焦点を当てます。サイバーセキュリティフレームワークは、特定のセクターや標準化団体との将来のコラボレーションを通じて対処する必要のある改善領域も特定します。技術革新を可能にし、組織の違いを説明するために、サイバーセキュリティフレームワークは、テクノロジーに中立であり、重要なインフラストラクチャセクターが、サイバーリスクに対処するために開発された標準、方法論、手順、およびプロセスを満たす製品とサービスの競争市場から利益を得ることができるようにするガイダンスを提供します。サイバーセキュリティフレームワークには、サイバーセキュリティフレームワークの実装におけるエンティティのパフォーマンスを測定するためのガイダンスが含まれるものとします。

 

 

  （c）サイ​​バーセキュリティフレームワークには、サイバーセキュリティフレームワークおよび関連する情報セキュリティ対策または管理がビジネスの機密性に与える影響を特定および軽減し、個人のプライバシーと市民の自由を保護するための方法論が含まれるものとします。

 

 

（d）サイバーセキュリティフレームワークの開発において、ディレクターは公開の公開レビューおよびコメントプロセスに従事するものとします。局長はまた、この命令のセクション6で確立された協議プロセスを通じて、長官、国家安全保障局、セクター固有の機関、OMBを含むその他の利害関係機関、重要インフラの所有者と運営者、およびその他の利害関係者と協議するものとします。事務局長、国家情報長官、およびその他の関連機関の長は、サイバーセキュリティフレームワークの開発に情報を提供するために、脅威と脆弱性の情報および技術的専門知識を提供するものとします。事務局長は、この命令のセクション9に基づく作業によって通知されたサイバーセキュリティフレームワークのパフォーマンス目標を提供するものとします。

 

 

  （e）この注文の日付から240日以内に、ディレクターはサイバーセキュリティフレームワークの予備バージョン（「予備フレームワーク」）を公開するものとします。この命令の日付から1年以内に、この命令のセクション8に基づく適合性を確保するために長官と調整した後、ディレクターはサイバーセキュリティフレームワークの最終バージョン（「最終フレームワーク」）を公開するものとします。

 

 

  （f）法定の責任に従い、ディレクターは、技術の変化、サイバーリスクの変化、重要なインフラストラクチャの所有者および運営者からの運用フィードバック、実装の経験を考慮して、サイバーセキュリティフレームワークおよび関連するガイダンスが必要に応じてレビューおよび更新されることを保証しますこの注文のセクション8、およびその他の関連する要素。

 

Sec。8。自主的な重要インフラサイバーセキュリティプログラム。（a）事務局長は、セクター固有の機関と連携して、重要なインフラストラクチャの所有者と運営者、およびその他の利害関係者によるサイバーセキュリティフレームワークの採用をサポートする自主的なプログラムを確立するものとします（「プログラム」）。

 

（b）セクター固有の機関は、長官およびその他の利害関係機関と協議して、セクター調整評議会と調整し、サイバーセキュリティフレームワークをレビューし、必要に応じて、セクター固有のリスクおよび運用環境に対処するための実装ガイダンスまたは補足資料を作成するものとします。 。

 

 

  （c）セクター固有の機関は、この命令のセクション9に基づいて通知された所有者および運営者がプログラムに参加している範囲について、長官を通じて大統領に毎年報告するものとします。

 

 

  （d）長官は、プログラムへの参加を促進するように設計された一連のインセンティブの確立を調整するものとする。この命令の日付から120日以内に、国土安全保障およびテロ対策担当大統領補佐官および経済問題担当大統領補佐官を通じて、長官および財務長官および商務長官はそれぞれ大統領に個別に勧告を行うものとします。これには、そのようなインセンティブの利点と相対的な有効性の分析、およびインセンティブが法律を必要とするか、または既存の法律と当局の下でプログラムの参加者に提供できるかどうかの分析が含まれます。

 

 

  （e）この命令の日付から120日以内に、国防長官および一般調達局長官は、長官および連邦調達規制評議会と協議して、大統領補佐官を通じて大統領に勧告を行うものとする。国土安全保障とテロ対策、および経済問題担当大統領補佐官が、買収計画と契約管理にセキュリティ基準を組み込むことの実現可能性、セキュリティ上の利点、および相対的なメリットについて説明します。レポートは、サイバーセキュリティに関連する既存の調達要件を調和させ、一貫性を持たせるためにどのような手順を踏むことができるかを取り上げます。

 

Sec。9。最大のリスクにさらされている重要なインフラストラクチャの特定。（a）この命令の日付から150日以内に、長官はリスクベースのアプローチを使用して、サイバーセキュリティインシデントが公衆衛生または安全、経済安全保障、または国家に壊滅的な地域または国の影響を合理的にもたらす可能性がある重要なインフラストラクチャを特定するものとします。セキュリティ。この目的のための重要なインフラストラクチャを特定する際に、長官は、この命令のセクション6で確立された協議プロセスを使用し、セクター固有の機関の専門知識を利用するものとします。事務局長は、そのような重要なインフラストラクチャを特定する際に、一貫した客観的な基準を適用するものとします。事務局長は、このセクションに基づく商業情報技術製品または消費者情報技術サービスを特定してはなりません。

 

 

（b）セクター固有の機関の長およびその他の関連機関は、このセクションに基づく責任を遂行するために必要な情報を長官に提供するものとする。事務局長は、他の関連する利害関係者がこのセクションのサブセクション（a）で要求される身分証明書の作成を支援するための情報を提出するためのプロセスを開発するものとします。

 

 （c）長官は、セクター固有の機関と連携して、このセクションのサブセクション（a）で特定された重要なインフラストラクチャの所有者および運営者に、そのように特定されたことを内密に通知し、特定された所有者および運営者が決定。事務局長は、重要インフラの所有者と運営者が関連情報を提出し、このセクションのサブセクション（a）に基づいて身分証明書の再検討を要求できるプロセスを確立するものとします。

 

 

Sec。10。フレームワークの採用。（a）重要なインフラストラクチャのセキュリティを規制する責任を負う機関は、DHS、OMB、および国家安全保障会議と協議プロセスを実施して、予備的なサイバーセキュリティフレームワークを確認し、現在および予測されるリスクを考慮して、現在のサイバーセキュリティ規制要件が十分かどうかを判断するものとします。そのような決定を行う際に、これらの機関は識別を考慮するものとします印刷開始ページ11743この命令のセクション9の下で必要とされる重要なインフラストラクチャの。暫定枠組みの公表から90日以内に、これらの機関は、国土安全保障会議およびテロ対策担当大統領補佐官、OMB局長、および経済問題担当大統領補佐官を通じて、大統領に報告書を提出するものとする。重要なインフラストラクチャに対する現在および予測されるサイバーリスクに十分に対処するために、サイバーセキュリティフレームワークに基づいて要件を確立する明確な権限を機関が持っているかどうか、特定された既存の権限、および必要な追加の権限

 

（b）現在の規制要件が不十分であると見なされる場合、最終フレームワークの公開から90日以内に、このセクションのサブセクション（a）で特定された機関は、大統領と一致する、優先順位が付けられ、リスクに基づいた、効率的で調整された行動を提案するものとします。サイバーリスクを軽減するための、1993年9月30日の大統領令12866（規制計画とレビュー）、2011年1月18日の大統領令13563（規制と規制レビューの改善）、および2012年5月1日の大統領令13609（国際規制協力の促進） 。

 

 

  （c）2012年5月10日の大統領令13563および大統領令13610（規制負担の特定および削減）と一致する最終フレームワークの公開後2年以内に、このセクションのサブセクション（a）で特定された機関は、重要なインフラストラクチャの所有者と運営者は、効果のない、競合する、または過度に負担のかかるサイバーセキュリティ要件の対象となる重要なインフラストラクチャについてOMBに報告します。この報告書は、そのような要件を最小化または排除するために、政府機関によって行われた努力を説明し、さらなる行動のための推奨を行うものとします。

 

 

  （d）長官は、サイバーセキュリティの労働力およびプログラムの開発に関して、このセクションのサブセクション（a）で特定された機関への技術支援の提供を調整するものとします。

 

 

  （e）重要インフラストラクチャのセキュリティを規制する責任を負う独立した規制機関は、長官、関連するセクター固有の機関、およびその他の影響を受ける関係者と協議プロセスを実施して、重要インフラストラクチャのサイバーリスクを軽減するための優先行動を検討することが推奨されます。彼らの権威。

 

Sec。11。定義。（a）「機関」とは、44 USC 3502（5）で定義されている独立した規制機関と見なされる機関を除き、44 USC 3502（1）に基づく「機関」である米国の機関を意味します。

 

  （b）「重要インフラストラクチャパートナーシップ諮問委員会」とは、連邦政府間の重要インフラストラクチャ保護活動の効果的な相互作用と調整を促進するために、6 USC451に基づいてDHSによって設立された評議会を意味します。民間部門; 州、地方、領土、および部族の政府。

 

  （c）「公正な情報慣行の原則」とは、サイバースペースにおける信頼できるアイデンティティのための国家戦略の付録Aに記載されている8つの原則を意味します。

 

  （d）「独立した規制機関」は、44 USC 3502（5）の用語に与えられた意味を持ちます。

 

  （e）「セクター調整評議会」とは、国家インフラ保護計画または後継者によって設立された重要インフラの特定セクター内の所有者および運営者の代表者で構成される民間セクター調整評議会を意味します。

 

  （f）「セクター固有の機関」とは、2013年2月12日の大統領政策指令-21（重要インフラストラクチャのセキュリティと回復力）またはその後継で与えられた用語を意味します。

 

 

Sec。12。一般規定。（a）この命令は、適用法に準拠し、予算枠の利用可能性を条件として実施されるものとします。この順序のいかなるものも、重要なインフラストラクチャのセキュリティを規制する権限を機関に提供するものと解釈されるべきではありません。印刷開始ページ11744代理店が既存の法律の下で持っている権限よりも範囲。この順序のいかなるものも、既存の法律に基づく機関の権限または責任を変更または制限するものと解釈されないものとします。

 

 

  （b）この順序のいかなるものも、予算、行政、または立法の提案に関連する行政管理予算局の機能を損なう、またはその他の方法で影響を与えると解釈されないものとします。

 

  （c）この命令に従って取られるすべての行動は、諜報機関および法執行機関の情報源および方法を保護するための要件および当局と一致するものとします。この順序のいかなるものも、諜報活動および法執行活動を直接支援している特定の活動および団体の安全性および完全性を保護するために法の権限の下で確立された措置に優先すると解釈されないものとします。

 

  （d）この命令は、米国の国際的義務と一致して実施されるものとします。

 

  （e）この命令は、米国、その部門、機関、または団体、その役員、従業員に対して、法律または衡平法で執行可能な、実質的または手続き的な権利または利益を生み出すことを意図しておらず、また作成するものでもありません。 、またはエージェント、または他の人。

 

 

 

 ホワイトハウス、

2013年2月12日。2-15-13に提出。

午前11時15分]  [FRDoc。2013-03915

  請求コード3295-F3