정보 보증 취약성 경고
Information assurance vulnerability alert |
IAVA(Information Assurance Vulnerability Alert, IAVA)는 US-CERT가 식별한 경고, 게시판 및 기술 권고사항의 형태로 컴퓨터 애플리케이션 소프트웨어 또는 운영 체제 취약점 알림을 알리는 것으로, https://www.us-cert.gov/ US-CERT는 NCCIC(National Cybersecurity and Communications Integration Center)에서 관리한다.)는 미국 국토안보부(DHS) 내에서 사이버보안 및 인프라 보안국(CISA)에 속한다.국가사이버보안통신통합센터(NCCIC)가 속한 CISA는 2017년 미국 컴퓨터응급준비팀(US-CERT)과 산업통제시스템 사이버응급대응팀(ICS-CERT)이 독자적으로 수행했던 기능과 같은 기능을 통합해 조직구조를 재편성했다.이러한 선택된 취약성은 GIG에 상주하는 모든 호스트의 의무화된 기준선 또는 최소 구성이다. US-CERT는 각 취약성을 분석하여 국방부에 IAVA로 해제하는 것이 필요한지 또는 유익한지 판단한다.IAVA 정책을 구현하면 DoD Components가 취약성에 대한 적절한 완화 조치를 취하여 잠재적으로 미션 수행 능력을 저하시킬 수 있는 DoD 컴퓨터 시스템 자산에 심각한 손상을 입히지 않도록 하는 데 도움이 될 것이다.
IAVM(정보 보증 취약성 관리) 프로그램
전투원 명령, 서비스, 기관 및 현장 활동은 경고, 게시판 및 기술 권고사항의 형태로 취약성 통지를 구현하기 위해 필요하다.USCYBERCOM은 IAVA 프로그램 지침 및 취약성 대응 조치(즉, 통신 업무 지시나 메시지)를 준수하지 않고 궁극적으로 주변지역 또는 영향을 받는 시스템의 분리를 포함할 수 있는 시정 조치를 지시할 권한을 가지고 있다.USCYBERCOM은 단절을 도입하기 전에 모든 영향을 받는 조직과 협력하여 국방부에 대한 운영상의 영향을 결정한다.
배경
트럼프 대통령은 2018년 11월 16일 2018년 사이버보안 및 인프라보안청법에 서명했다.이 획기적인 법률은 국토안보부(DHS) 내의 구 국가보호프로그램국(NPPD)의 임무를 격상하고 국가사이버보안통신통합센터(NCCIC)가 포함된 CISA를 설립했다.NCCIC는 2017년 미국 컴퓨터응급준비팀(US-CERT)과 산업통제시스템 사이버응급대응팀(ICS-CERT)이 독자적으로 수행하던 기능과 같은 기능을 통합해 조직구조를 개편했다.각서에 따르면 경보 시스템은 다음을 수행해야 한다.
- 각 관련 네트워크 시스템의 연락처가 될 시스템 관리자를 식별하십시오.
- 각 연락처에 알림 통지 보내기,
- 각 연락 담당자가 각 알림 통지를 수신했음을 확인하도록 요청한다.
- 시정조치가 이행될 날짜를 정하고, DISA가 시정조치 이행 여부를 확인할 수 있도록 한다.
국방부 차관은 1999년 12월 30일 정보보증 취약성 경보(IAVA) 정책 각서를 발표했다.당시의 현재 이벤트는 널리 알려진 취약성이 DoD 네트워크 전체에 존재하며, 미션 성능을 심각하게 저하시킬 수 있다는 것을 보여주었다.이 정책 각서는 DISA에 시스템 관리자가 시스템 취약성 경고 통지를 수신, 승인 및 준수할 수 있는 긍정적인 제어 메커니즘을 보장하는 IAVA 데이터베이스 시스템을 개발 및 유지하도록 지시한다.IAVA 정책은 컴포넌트 명령, 서비스 및 기관이 IAVA 데이터베이스에 대한 승인 및 준수를 등록하고 보고할 것을 요구한다.정책 각서에 따르면 신고할 컴플라이언스 자료에는 대상 자산 수, 컴플라이언스 자산 수, 포기가 있는 자산 수 등이 포함돼야 한다.
참고 항목
외부 링크
- [1] 2001년 12월, 정보보증 취약성 경고 정책에 대한 DoD 준수 감사관실.
- [2] 합동참모본부 지시대장, 6510.01E, 2007년 8월.
- DoD IA 정책 차트 DoD IA 정책 차트
- [3] IAVA 사이트
