NIST 사이버보안 프레임워크

NIST 사이버보안 프레임워크는 기존 표준, 지침 및 관행에 기초하여 미국 국립표준기술원(NIST)에서 발행하는 조직 사이버보안 위험 완화를 위한 지침 집합이다.^[1] 이 프레임워크는 사이버 보안 환경에서 사생활과 시민의 자유 보호에 대한 지침 외에 "사이버 보안 결과에 대한 높은 수준의 분류 체계와 그 결과를 평가하고 관리하기 위한 방법론을 제공한다".^[2]^[3] 그것은 여러 언어로 번역되었고, 여러 정부와^[4] 광범위한 기업 및 단체에서 사용되고 있다.^[5]^[6]^[7]

2016년 한 연구에 따르면 조사 대상 기관의 70%가 NIST 사이버보안 프레임워크를 컴퓨터 보안을 위한 인기 있는 모범 사례로 보고 있지만, 많은 이들이 상당한 투자가 필요하다고 지적했다.^[8]

개요

NIST 사이버보안 프레임워크는 개별 기업 및 기타 조직이 직면한 위험을 평가하도록 설계되었다.

버전 1.0은 미국 국립표준기술연구소가 2014년에 발간한 것으로, 원래 중요한 기반시설의 운영자를 대상으로 하였다. 2017년에는 프레임워크의 초안 버전 1.1이 공개 코멘트를 위해 배포되었다. 버전 1.1은 2018년 4월 16일에 발표되고 공개되었다. 버전 1.1은 버전 1.0과 여전히 호환된다.

변경사항에는 자체 평가 수행 방법에 대한 지침, 공급망 위험 관리에 대한 추가 세부사항, 공급망 이해당사자와 상호작용하는 방법에 대한 지침 및 취약성 공개 프로세스를 권장하는 지침이 포함된다.

골격은 「코어」「프로필」「티어」의 세 부분으로 나뉜다. "Framework Core"는 사이버 보안에 대한 측면과 접근방식에 대한 일련의 활동, 결과 및 참조를 포함한다. "Framework Implementation Tiers"는 조직 자체와 파트너를 위해 사이버 보안 리스크를 어떻게 보고 있으며 관리 접근법의 고도화 정도를 명확히 하기 위해 사용된다.^[9] "Framework Profile"은 조직이 필요성과 위험 평가에 기초하여 범주 및 하위 범주에서 선택한 결과의 목록이다.

조직은 일반적으로 자신의 사이버 보안 활동과 어떤 결과를 달성하고 있는지를 설명하는 "현재 프로파일"을 개발하기 위해 프레임워크를 사용하는 것으로 시작한다. 그런 다음 "목표 프로파일"을 개발하거나 해당 분야(예: 인프라 산업) 또는 조직 유형에 맞춘 기준선 프로파일을 채택할 수 있다. 그런 다음 현재 프로파일에서 대상 프로파일로 전환하는 단계를 정의할 수 있다.

사이버 보안 활동의 기능 및 범주

NIST 사이버보안 프레임워크는 "핵심" 자료를 총 23개의 "범주"로 세분된 5개의 "기능"으로 구성한다. 각 범주에 대해 108개의 하위 범주를 모두 포함하여 사이버 보안 결과 및 보안 제어의 여러 하위 범주를 정의한다.

또한 각 하위 카테고리에 대해 ISO 27001, COBIT, NIST SP 800-53, ANSI/ISA-62443, CCS CSC(Council on CyberSecurity Critical Security Controls, 현재 인터넷 보안 센터에서 관리하고 있음) 등 다양한 기타 정보 보안 표준의 특정 섹션을 참조하는 "정보 리소스"를 제공한다. 특수 간행물(SP)은 제쳐두고, 대부분의 정보 참고문헌은 각각의 가이드에 접근하기 위해 유료 회원권 또는 구매를 요구한다. 프레임워크의 비용과 복잡성으로 인해 NIST가 중소기업이 더 쉽게 접근할 수 있는 사이버보안 프레임워크 가이드를 만들도록 지시하는 법안이 의회 양원에서 제출되었다.^[10]^[11]

프레임워크 문서에 명시된 기능 및 범주, 고유 식별자 및 정의가 여기에 포함된다.^[12]

식별

"시스템, 자산, 데이터 및 기능에 대한 사이버 보안 위험을 관리하기 위한 조직의 이해도를 개발하십시오."

자산 관리(ID).AM: 조직이 비즈니스 목적을 달성할 수 있도록 하는 데이터, 인력, 장치, 시스템 및 설비는 비즈니스 목표 및 조직의 위험 전략에 대한 상대적 중요성과 일관되게 식별되고 관리된다.
비즈니스 환경(ID).BE: 조직의 임무, 목표, 이해관계자 및 활동을 이해하고 우선순위를 정하며, 이 정보는 사이버 보안 역할, 책임 및 위험 관리 결정을 알리기 위해 사용된다.
거버넌스(ID).GV: 조직의 규제, 법률, 위험, 환경, 운영 요건을 관리하고 모니터링하는 정책, 절차, 프로세스를 이해하고 사이버 보안 리스크를 경영진에게 알려준다.
위험 평가(ID).RA: 조직은 조직 운영(미션, 기능, 이미지 또는 평판 포함), 조직 자산 및 개인에 대한 사이버 보안 위험을 이해한다.
리스크 관리 전략(ID).RM: 조직의 우선순위, 제약조건, 리스크 허용도 및 가정을 수립하여 운영 리스크 결정을 지원하는 데 사용한다.
공급망 위험 관리(ID).SC: 조직의 우선순위, 제약조건, 리스크 허용도 및 가정을 수립하여 공급망 리스크 관리와 관련된 리스크 결정을 지원하는 데 사용한다. 조직은 공급망 위험을 식별, 평가 및 관리하기 위한 프로세스를 마련하였다.

보호하다

"중요한 인프라 서비스의 제공을 보장하기 위해 적절한 안전장치를 개발 및 구현"

액세스 제어(PR)AC: 자산 및 관련 시설에 대한 접근은 허가된 사용자, 프로세스 또는 장치, 그리고 승인된 활동 및 거래로 제한된다.
인식 및 교육(PR).AT: 조직의 인력 및 파트너는 사이버 보안 인식 교육을 받고 관련 정책, 절차, 협약에 부합하는 정보보안 관련 업무 및 책임을 수행할 수 있는 적절한 교육을 받는다.
데이터 보안(PR)DS: 정보 및 기록(데이터)은 정보의 기밀성, 무결성 및 가용성을 보호하기 위한 조직의 위험 전략과 일관되게 관리된다.
정보 보호 프로세스 및 절차(PR)IP : 보안정책(조직체간의 목적, 범위, 역할, 책임, 경영의사, 조정 등을 다루는 것), 프로세스, 절차 등을 정비하여 정보시스템과 자산의 보호를 관리한다.
유지관리(PR).MA: 산업관리 및 정보시스템 구성요소의 유지보수와 수리는 정책과 절차에 따라 수행된다.
보호 기술(PR).PT : 관련 정책, 절차, 협약에 부합하는 시스템 및 자산의 보안과 탄력성을 보장하기 위해 기술 보안 솔루션을 관리한다.

탐지하다

"사이버 보안 사건의 발생을 파악하기 위한 적절한 활동을 개발, 실시한다."

이상 징후 및 이벤트(DE).AE: 변칙적인 활동이 적시에 감지되고 사건의 잠재적 영향을 이해한다.
보안 연속 모니터링(DE).CM: 정보시스템과 자산을 별개의 간격으로 모니터링하여 사이버보안 사건을 파악하고 보호조치의 효과를 검증한다.
탐지 프로세스(DE).DP: 비정상적인 사건에 대한 시기적절하고 적절한 인식을 보장하기 위해 탐지 프로세스와 절차를 유지하고 시험한다.

응답하다

"발견된 사이버보안 사건에 대해 조치를 취할 수 있는 적절한 활동을 개발하고 이행한다."

대응 계획(RS).RP: 탐지된 사이버보안 사건에 적시에 대응할 수 있도록 대응 프로세스와 절차를 실행하고 유지한다.
통신(RS).CO: 적절한 경우 내부 및 외부 이해관계자와 대응 활동을 조정하여 사법기관의 외부 지원을 포함한다.
분석(RS).A: 적절한 대응과 복구활동을 보장하기 위해 분석을 실시한다.
완화(RS).MI: 사건의 확대를 방지하고, 그 영향을 완화하며, 사건을 근절하기 위한 활동을 한다.
개선사항(RS).IM: 현재 및 이전 탐지/응답 활동에서 얻은 교훈을 통합하여 조직 대응 활동을 개선한다.

회복하다

"복원 계획을 유지하고, 사이버보안 사건으로 인해 손상된 기능이나 서비스를 복구하기 위한 적절한 활동을 개발·실행한다."

RC(복구 계획)RP: 사이버보안 사건의 영향을 받는 시스템이나 자산의 적시에 복구하기 위해 복구 프로세스와 절차를 실행하고 유지한다.
개선(RC).IM: 습득한 교훈을 향후 활동에 반영하여 복구 계획 및 프로세스를 개선한다.
통신(RC).CO: 센터 조정, 인터넷 서비스 제공자, 공격 시스템 소유자, 피해자, 기타 CSIRT, 벤더 등 내부 및 외부 당사자와 복구 활동을 조정한다.

온라인 정보 참조

프레임워크의 핵심에 있는 정보 참조 외에도, NIST는 정보 참조의 온라인 데이터베이스도 유지한다.^[13] 정보 참조는 프레임워크 기능, 카테고리 및 하위 카테고리 간의 관계와 프레임워크 이해당사자들 사이에 공통적인 표준, 지침 및 모범 사례의 특정 섹션을 보여준다. 정보 참조는 프레임워크 결과를 달성하는 방법을 예시한다.

업데이트

2021년에 NIST는 기관의 운영 환경에서 배치된 EO 중요 소프트웨어의 사용을 더 잘 보호하기 위한 보안 조치를 개략적으로 설명하기 위해 "EO-Critical Software" Use Under Executive Order (EO) 14028"을 발표했다.^[14]

참고 항목

사이버 보안 표준
NIST 개인 정보 보호 프레임워크
중요한 인프라 보호
ISO/IEC 27001:2013:국제표준화기구의 정보보안 표준
코빗: 정보 및 관련 기술에 대한 제어 목표 - ISACA의 관련 프레임워크
NIST 특별 간행물 800-53: "연방 정보 시스템 및 조직을 위한 보안 및 개인 정보 관리" 그녀
NISTIR 8374(Draft): 랜섬웨어 리스크 관리를 위한 사이버보안 프레임워크 프로파일(예비 초안)

참조

이 문서에는 국립표준기술원(National Institute of Standards and Technology) 문서의 공용 도메인 자료가 통합되어 있다. "NIST Cybersecurity Framework" (PDF).

^ Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (January 1, 2020). "Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model". Journal of Cybersecurity. 6 (tyaa005). doi:10.1093/cybsec/tyaa005. ISSN 2057-2085.
^ "Achieving Successful Outcomes With the NIST Cybersecurity Framework". GovLoop. Retrieved June 12, 2021.
^ HealthITSecurity (February 10, 2016). "HIMSS: NIST Cybersecurity Framework Positive, Can Improve". Retrieved August 2, 2016.
^ "NIST Cybersecurity Framework".
^ "Workshop plots evolution of NIST Cybersecurity Framework". FedScoop. April 7, 2016. Retrieved August 2, 2016.
^ HealthITSecurity (June 10, 2016). "NIST Cybersecurity Framework Updates, Clarification Underway". Retrieved August 2, 2016.
^ PricewaterhouseCoopers. "Why you should adopt the NIST Cybersecurity Framework". Retrieved August 4, 2016.
^ "NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds". Information Week Dark Reading. March 30, 2016. Retrieved August 2, 2016.
^ Justin Seitz (April 14, 2021). Black Hat Python: Python Programming for Hackers. No Starch Press. ISBN 978-1718501126.
^ "MAIN STREET Cybersecurity Act of 2017". congress.gov. Retrieved October 5, 2017.
^ "NIST Small Business Cybersecurity Act of 2017". congress.gov. Retrieved October 5, 2017.
^ National Institute for Standards and Technology (NIST) (April 16, 2018). "Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1". NIST. Gaithersburg, MD. doi:10.6028/nist.cswp.04162018.
^ nicole.keller@nist.gov (November 27, 2017). "Informative References". NIST. Retrieved April 17, 2020.
^ "Security Measures for "EO-Critical Software" Use". May 12, 2021.

외부 링크

[1] Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (January 1, 2020). "Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model". Journal of Cybersecurity. 6 (tyaa005). doi:10.1093/cybsec/tyaa005. ISSN 2057-2085.

[2] "Achieving Successful Outcomes With the NIST Cybersecurity Framework". GovLoop. Retrieved June 12, 2021.

[3] HealthITSecurity (February 10, 2016). "HIMSS: NIST Cybersecurity Framework Positive, Can Improve". Retrieved August 2, 2016.

[4] "NIST Cybersecurity Framework".

[5] "Workshop plots evolution of NIST Cybersecurity Framework". FedScoop. April 7, 2016. Retrieved August 2, 2016.

[6] HealthITSecurity (June 10, 2016). "NIST Cybersecurity Framework Updates, Clarification Underway". Retrieved August 2, 2016.

[7] PricewaterhouseCoopers. "Why you should adopt the NIST Cybersecurity Framework". Retrieved August 4, 2016.

[8] "NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds". Information Week Dark Reading. March 30, 2016. Retrieved August 2, 2016.

[9] Justin Seitz (April 14, 2021). Black Hat Python: Python Programming for Hackers. No Starch Press. ISBN 978-1718501126.

[10] "MAIN STREET Cybersecurity Act of 2017". congress.gov. Retrieved October 5, 2017.

[11] "NIST Small Business Cybersecurity Act of 2017". congress.gov. Retrieved October 5, 2017.

[12] National Institute for Standards and Technology (NIST) (April 16, 2018). "Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1". NIST. Gaithersburg, MD. doi:10.6028/nist.cswp.04162018.

[13] .keller@nist.gov (November 27, 2017). "Informative References". NIST. Retrieved April 17, 2020.

[14] "Security Measures for "EO-Critical Software" Use". May 12, 2021.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

Search