IT 보안 표준

IT security standards
시리즈의 일부
정보 보안
vectorial version
관련 보안 카테고리
위협
방어.

IT보안표준 또는 사이버보안표준[1] 사용자 또는 [2]조직의 사이버 환경을 보호하기 위해 일반적으로 출판된 자료에 개략적으로 기술되어 있는 기술입니다.이 환경에는 사용자 자신, 네트워크, 디바이스, 모든 소프트웨어, 프로세스, 스토리지 또는 전송 중인 정보, 애플리케이션, 서비스 및 네트워크에 직접 또는 간접적으로 연결할 수 있는 시스템이 포함됩니다.

주요 목표는 사이버 공격의 예방 또는 완화를 포함하여 위험을 줄이는 것입니다.이러한 공개된 자료는 도구, 정책, 보안 개념, 보안 보호 장치, 가이드라인, 리스크 관리 접근법, 액션, 훈련, 베스트 프랙티스, 보증 및 테크놀로지로 구성되어 있습니다.

역사

사이버 보안 표준은 사용자와 프로바이더가 많은 국내외 포럼에서 협업하여 필요한 기능, 정책 및 관행에 영향을 미치기 때문에 수십 년 이상 존재해 왔습니다.일반적으로 1990년대 [3]Stanford Consortium for Information Security and Policy(Stanford Information Security and Policy 연구회)에서 근무하면서 생겨났습니다.

2016년 미국의 보안 프레임워크 채택 연구에서는 조사 대상 조직의 70%가 정보 기술(IT) 컴퓨터 보안을 위한 가장 일반적인 모범 사례로 NIST Cybersecurity Framework를 꼽았지만, 많은 기업이 상당한 [4]투자가 필요하다고 지적했습니다.다크웹상에서의 국제범죄행위에 대응하기 위한 법집행기관의 국경을 초월한 사이버 추방작전은 복잡한 사법권 문제를 제기하고 있으며,[5][6] 이에 대한 해답은 아직 어느 정도 남아 있다.국경을 넘나드는 사이버 추방 작전을 수행하기 위한 국내 법 집행과 국제 사법권 사이의 긴장 관계는 계속해서 사이버 보안 [5][7]규범 개선을 제공할 것이다.

국제 표준

아래 각 항에서는 사이버 보안과 관련된 국제 표준에 대해 자세히 설명합니다.

ISO/IEC 27001 및 27002

주요 기사: ISO/IEC 27001

ISO/IEC 27001은 증가하는 ISO/IEC 27000 표준 패밀리의 일부이며, 정보보안 관리 시스템(ISMS) 표준으로, 그 마지막 개정판은 2013년 10월에 국제표준기구(ISO)와 국제전기표준위원회(IEC)에 의해 발행되었습니다.풀네임은 ISO/IEC 27001:2013 정보 기술 보안 기술 정보 보안 관리 시스템 – 요건입니다.

ISO/IEC 27001은 정보보안을 명시적 관리 하에 두기 위한 관리시스템을 공식적으로 규정한다.

ISO/IEC 27002에는 BS 7799의 양호한 보안 관리 기준 파트 1이 포함되어 있습니다.BS 7799의 최신 버전은 BS 7799-3입니다.따라서 ISO/IEC 27002는 ISO 17799 또는 BS 7799 파트 1로 불리기도 하고 파트 1과 파트 7로 불리기도 합니다.BS 7799 파트 1은 사이버 보안 관리의 개요 또는 모범 사례 가이드를 제공하는 반면, BS 7799 파트 2와 ISO/IEC 27001은 규범적이어서 인증 프레임워크를 제공합니다.ISO/IEC 27002는 사이버 보안에 대한 높은 수준의 가이드입니다.ISO/IEC 27001 표준에 따른 인증을 취득하는 조직의 경영진에 대한 설명 지침으로서 가장 유익합니다.일단 취득한 자격증은 3년간 지속된다.감사기관에 따라서는 3년간 중간감사를 실시하지 않거나 일부 중간감사를 실시하지 않을 수 있다.

ISO/IEC 27001(ISMS)은 BS 7799 part 2를 대체하지만, BS 7799 part 2에 종사하는 조직은 ISO/IEC 27001 인증 프로세스로 쉽게 이행할 수 있습니다.또, BS 7799 part 2 인증을 취득하면, ISO/IEC 27001 인증을 취득하는 것을 용이하게 하기 위해서, 이행 감사도 실시합니다.ISO/IEC 27002정보보안관리시스템(ISMS)의 개시, 구현 또는 유지보수를 담당하는 담당자가 사용할 수 있도록 정보보안 관리에 관한 베스트 프랙티스에 관한 권장사항을 제공합니다.ISO/IEC 27002 제어 목표를 구현하기 위해 필요한 정보 보안 시스템이 명시되어 있습니다.ISO/IEC 27001이 없으면 ISO/IEC 27002 제어 목표는 효과적이지 않습니다.ISO/IEC 27002 제어 목표는 부속서 A의 ISO 27001에 포함되어 있습니다.

ISO/IEC 21827(SSE-CMM – ISO/IEC 21827)은 ISO 제어 목표의 성숙도를 측정할 수 있는 시스템 보안 엔지니어링 능력 성숙도 모델(SSE-CMM)에 기초한 국제 표준입니다.

ISO/IEC 15408

주요 기사:공통 기준

이 표준은 이른바 "공통 기준"을 개발한다.다양한 소프트웨어 및 하드웨어 제품을 안전하게 통합하고 테스트할 수 있습니다.

IEC 62443

주요 기사: IEC 62443

IEC 62443 사이버 보안 표준은 산업 자동화 및 제어 시스템(IACS)에 대한 프로세스, 기법 및 요건을 정의한다.이 문서는 관련된 모든 국가 위원회가 공통 표준에 동의하는 IEC 표준 작성 과정의 결과물이다.

The numbering and organization of IEC 62443 work products into categories.
IEC 62443의 IACS 보안 관련 작업 제품 계획 및 공개.

모든 IEC 62443 표준 및 기술 보고서는 일반, 정책절차, 시스템구성 요소라고 불리는 네 가지 일반 범주로 구성된다.

  1. 첫 번째 카테고리에는 개념, 모델, 용어 등의 기초 정보가 포함됩니다.
  2. 작업 생산물의 두 번째 범주는 자산 소유자를 대상으로 합니다.여기에서는 효과적인 IACS 보안 프로그램의 작성 및 유지보수에 관한 다양한 측면에 대해 설명합니다.
  3. 세 번째 범주는 제어 시스템의 안전한 통합을 위한 시스템 설계 지침 및 요건을 설명하는 작업 산출물을 포함한다.여기서 핵심은 구역과 도관, 디자인 모델입니다.
  4. 네 번째 범주는 제어 시스템 제품의 특정 제품 개발 및 기술 요건을 설명하는 작업 제품을 포함한다.

ISO/SAE 21434

ISO/SAE 21434 "도로 차량 - 사이버 보안 엔지니어링"은 ISO와 SAE 작업 그룹이 공동으로 개발한 사이버 보안 표준입니다.도로 차량의 개발 라이프사이클을 위한 사이버 보안 대책을 제안한다.이 표준은 2021년 [8]8월에 발표되었다.

이 표준은 현재 개발 중인 유럽연합(EU)의 사이버 보안 규제와 관련이 있다.UNECE는 EU와 연계해 차량 형식승인을 의무화하는 CSMS(Cyber Security Management System) 인증을 개발하고 있다.ISO/SAE 21434는 이러한 규정을 준수함을 입증할 수 있는 자동차 개발을 위한 기술 표준입니다.

이것의 파생상품은 차량 사이버 보안 소프트웨어 업데이트를 위한 규정을 제공하는 UNECE WP29의 작업에 있다.[9]

ETSI EN 303 645

ETSI EN 303 645 규격에서는 컨슈머용 사물인터넷(IoT) 디바이스의 보안에 관한 일련의 기본 요건을 제공하고 있습니다.이 문서에는 인터넷에 연결된 소비자 장치의 개발자와 제조업체를 위한 기술 통제 및 조직 정책이 포함되어 있습니다.이 표준은 2020년 6월에[10] 발표되었으며 보다 구체적인 다른 표준으로 보완될 예정이다.많은 소비자 IoT 디바이스가 개인 식별 정보(PII)를 처리하기 때문에 이 표준을 구현하면 EU[11]GDPR(General Data Protection Regulation)에 준거하는 데 도움이 됩니다.

이 유럽 표준의 사이버 보안 조항은 다음과 같습니다.

  1. 범용 기본 비밀번호 없음
  2. 취약성 보고서 관리 수단 구현
  3. 소프트웨어 업데이트 유지
  4. 중요한 보안 파라미터를 안전하게 저장
  5. 안전한 커뮤니케이션
  6. 노출된 공격 표면 최소화
  7. 소프트웨어 무결성 보장
  8. 개인 데이터가 안전한지 확인
  9. 시스템 정지에 대한 복원력 향상
  10. 시스템 원격 측정 데이터 검사
  11. 사용자가 사용자 데이터를 쉽게 삭제할 수 있도록 합니다.
  12. 디바이스 설치 및 유지보수가 용이함
  13. 입력 데이터 확인

이러한 베이스라인 요건의 적합성 평가는 표준 TS 103 701을 통해 이루어집니다.표준 TS 103 701은 자기인증 또는 다른 [12]그룹에 의한 인증을 가능하게 합니다.

국가 표준

아래 하위 절에서는 사이버 보안과 관련된 국가 표준 및 프레임워크를 자세히 설명합니다.

NERC

전력업계의 정보보안 표준을 작성하기 위한 최초의 시도는 2003년에 NERC에 의해 작성되었으며, NERC CSS(Cyber Security Standards)[13]로 알려져 있습니다.CSS 가이드라인에 따라 NERC는 이러한 요건을 발전시키고 강화하였다.가장 널리 알려진 현대 NERC 보안 표준은 NERC 1200의 수정/업데이트인 NERC 1300입니다.NERC 1300의 최신 버전은 CIP-009-3(CIP=Critical Infrastructure Protection)을 통해 CIP-002-3이라고 불립니다.이러한 표준은 NERC가 다른 영역 내에 표준을 만들었지만 벌크 전기 시스템을 보호하기 위해 사용됩니다.벌크 전기 시스템 규격은 업계 베스트 프랙티스 프로세스를 [1]지원하면서 네트워크 보안 관리도 제공합니다.

NIST

주요 기사:미국 국립표준기술원
  1. NIST 사이버보안 프레임워크(NIST CSF)는 "사이버보안 결과의 고급 분류법과 그러한 결과를 평가하고 관리하는 방법론을 제공한다."중요한 인프라스트럭처를 제공하는 민간 섹터 조직에 프라이버시 및 시민[14]자유에 대한 관련 보호와 함께 보호 방법에 대한 지침을 제공하기 위한 것입니다.
  2. 특별 발행물 800-12에서는 컴퓨터 보안 및 제어 영역의 개요를 제공합니다.또, 시큐러티 컨트롤의 중요성과 그 실장 방법에 대해서도 강조하고 있습니다.당초 이 문서는 연방정부를 대상으로 했지만, 이 문서의 대부분의 관행을 민간 부문에도 적용할 수 있다.특히, 이 문서는 민감한 시스템을 다루는 데 책임이 있는 연방 정부의 사람들을 위해 작성되었습니다.[2]
  3. 특별 간행물 800-14에서는 사용되는 일반적인 보안 원칙을 설명합니다.컴퓨터 보안 정책에 통합해야 하는 항목에 대한 개략적인 설명을 제공합니다.기존 보안을 개선하기 위해 무엇을 할 수 있는지와 새로운 보안 프랙티스를 개발하는 방법에 대해 설명합니다.이 문서에서는 8가지 원칙과 14가지 실천요강에 대해 설명합니다.[3]
  4. 특별 발행물 800-26에서는 IT 보안 관리 방법에 대한 조언을 제공합니다.NIST SP 800-53 rev3로 대체되었습니다.이 문서에서는 리스크 평가뿐만 아니라 자기 평가의 중요성을 강조하고 있습니다.[4]
  5. 2010년에 갱신된 특별 간행물 800-37은 새로운 위험 접근법인 "위험 관리 프레임워크를 연방 정보 시스템에 적용하기 위한 지침"을 제공한다.
  6. 특별 간행물 800-53 rev4, "연방 정보 시스템 및 조직을 위한 보안 및 개인 정보 통제", 2013년 4월 발행된 개정판에서는 2014년 1월 15일 현재 업데이트를 포함하도록 업데이트되었으며, 특히 "안전성 향상"을 위해 시스템에 적용되는 194개의 보안 통제를 다루고 있습니다.
  7. 2017년 12월 1일자로 갱신된 특별출판물 800-63-3, "디지털 아이덴티티 가이드라인" 발행 2017년 6월호에서는 아이덴티티 인증, 등록, 사용자 인증 등 디지털 아이덴티티 인증, 등록, 사용자 인증 등 디지털 아이덴티티티 서비스 구현에 관한 가이드라인을 제공하고 있습니다.[5]
  8. 2015년 5월 개정된 특별 간행물 800-82, 개정판 2 "산업 제어 시스템(ICS) 보안 지침"에서는 ICS 고유의 성능, 신뢰성 및 안전 요건을 고려하면서 사이버 공격으로부터 여러 유형의 산업 제어 시스템을 확보하는 방법을 기술하고 있다.[6]

FIPS 140

주요 기사: FIPS 140

140 시리즈의 FIPS(Federal Information Processing Standard)는 암호화 모듈의 요건을 규정하는 미국 정부의 컴퓨터 보안 표준입니다.FIPS 140-2와 FIPS 140-3모두 최신 및 액티브로 인정됩니다.

Cyber Essentials

주요 기사:Cyber Essentials

Cyber Essentials는 NCSC(National Cyber Security Center)가 운영하는 영국 정부의 정보 보증 제도입니다.정보 보안에 대한 모범 사례를 도입하도록 조직이 장려합니다.또한 Cyber Essentials에는 인터넷으로부터의 위협으로부터 정보를 보호하기 위한 보증 프레임워크와 간단한 보안 제어 세트가 포함되어 있습니다.

BSI IT-Grundschutz

연방 정보보안국(독일어:BSI(Bundsamt für Sicherheit in der Informationstechnik) 표준은 IT 기준선 보호(독일어: IT-Grundschutz) 방법론의 기본 컴포넌트입니다.여기에는 정보보안의 다양한 측면에 대한 접근법과 조치뿐만 아니라 방법, 프로세스 및 절차에 대한 권고사항이 포함되어 있습니다.공공기관 및 기업, 제조업체 또는 서비스 공급자의 사용자는 BSI 표준을 사용하여 비즈니스 프로세스와 데이터의 [15]보안을 강화할 수 있습니다.

  • BSI Standard 100-4는 BCM(비즈니스 연속성 관리)을 대상으로 합니다.
  • BSI Standard 200-1은 정보보안관리시스템(ISMS)의 일반적인 요건을 정의합니다.ISO 27001과 호환되며 ISO 27002와 같은 다른 ISO 표준의 권장 사항을 고려합니다.
  • BSI 표준 200-2는 건전한 정보보안관리시스템(ISMS) 구축을 위한 BSI 방법론의 기초를 형성한다.IT 베이스라인 보호를 실장하기 위한 3가지 절차를 확립합니다.
  • BSI Standard 200-3은 IT 기준선 보호 구현 시 리스크와 관련된 모든 단계를 번들합니다.

업계 고유의 표준

아래 하위 섹션에서는 특정 산업과 관련된 사이버 보안 표준 및 프레임워크를 자세히 설명합니다.

PCI DSS

주요 기사:결제 카드 산업 데이터 보안 표준

PCI DSS(Payment Card Industry Data Security Standard)는 주요 카드 방식에서 브랜드 신용 카드를 취급하는 조직을 위한 정보 보안 표준입니다.PCI 표준은 카드 브랜드에 의해 의무화되지만 Payment Card Industry Security Standards Council에 의해 관리됩니다.이 표준은 신용카드 사기를 줄이기 위해 카드 소유자 데이터에 대한 통제를 강화하기 위해 만들어졌습니다.

UL 2900

UL 2900은 UL에 의해 공개된 일련의 표준입니다.표준에는 일반 사이버 보안 요건(UL 2900-1)뿐만 아니라 의약품(UL 2900-2-1), 산업 시스템(UL 2900-2-2), 보안 및 생활 안전 신호 시스템(UL 2900-2-3)에 대한 특정 요건이 포함됩니다.

UL 2900 에서는, 제조원이 제품에 사용되는 테크놀로지의 공격면을 기술해 문서화할 필요가 있습니다.의도된 사용 및 배포 환경에 기반한 위협 모델링이 필요합니다.이 표준에서는 중요한 (개인) 데이터뿐만 아니라 명령 및 제어 데이터 등의 기타 자산을 보호하는 효과적인 보안 조치를 구현해야 합니다.또한 소프트웨어의 보안 취약성을 제거하고 심층 방어 등의 보안 원칙을 준수하며 침투 테스트를 통해 소프트웨어의 보안을 검증해야 합니다.

「 」를 참조해 주세요.

메모들

  1. ^ "Guidelines for Smart Grid Cyber Security". National Institute of Standards and Technology. 2010-08-01. doi:10.6028/NIST.IR.7628r1. Retrieved 2014-03-30. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  2. ^ "ITU-T Recommendation database".
  3. ^ "FSI - Consortium for Research on Information Security and Policy".
  4. ^ "NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds". 30 March 2016. Retrieved 2016-08-02.
  5. ^ a b Ghappour, Ahmed (2017-01-01). "Tallinn, Hacking, and Customary International Law". AJIL Unbound. 111: 224–228. doi:10.1017/aju.2017.59.
  6. ^ Ghappour, Ahmed (2017-04-01). "Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web". Stanford Law Review. 69 (4): 1075.
  7. ^ Ghappour, Ahmed (2017). "Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web". Stanford Law Review. 69 (4).
  8. ^ ISO/SAE 21434:2021 도로용 차량 - 사이버 보안 엔지니어링
  9. ^ "UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll-out of ‎connected vehicles ‎ UNECE". unece.org.
  10. ^ ETSI 발표
  11. ^ ETSI EN 303 645 V2.1.0
  12. ^ "ETSI TS 103 701 Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements" (PDF). ETSI.
  13. ^ Symantec Control Compliance Suite – 2016-10-22 Wayback Machine 서브섹션에서 아카이브된 NERCFERC 규정:NERC 규격의 역사
  14. ^ "NIST Cybersecurity Framework". 12 November 2013. Retrieved 2016-08-02.
  15. ^ "BSI - IT-Grundschutz". BSI (in German). Retrieved 2021-03-26.

레퍼런스

  1. ^ 국토안보부, 석유 및 가스 부문에서 개발한 사이버 보안 표준 비교(2004년 11월 5일)
  2. ^ 국립표준기술연구소, M., Swanson, M., Guttman, M.미국 상무부, 정보기술 시스템 보안을 위한 일반 인정 원칙 및 관행(800-14)(1996년 9월)
  3. ^ 국립표준기술원테크놀로지 어드미니스트레이션, 미국 상무성, 컴퓨터 보안 입문:NIST 핸드북, 특별 간행물 800-12.
  4. ^ Swanson, M., 국립표준기술연구소테크놀로지 어드미니스트레이션, 미국 상무성, 정보 테크놀로지 시스템용 보안 자기 평가 가이드(800~26).
  5. ^ Grassi, P., Garcia, M., Fenton, J.;National Institute of Standards and Technology; 미국 상무부, 디지털 ID 가이드라인(800-63-3).
  6. ^ Stouffer, K.; Piliteri, V.; Lightman, S.; 에이브람스, M., Han, A.; 국립표준기술연구소; 미국 상무부, 산업제어시스템(ICS) 보안 가이드 (800-82)
  7. ^ 북미 전기 신뢰성 위원회(NERC).http://www.nerc.com 를 참조해 주세요.2005년 11월 12일 취득.
  8. ^ 연방금융기관심사위원회(FIEC)https://www.ffiec.gov 를 참조해 주세요.2018년 4월 18일 취득.

외부 링크