untitled

Size: px

Start display at page:

Download "untitled"

은경 원
5 years ago
Views:

1 호 목차 1. FISMA 준수를위한정보보호구현및평가과정소개 1 2. 정보보호영향도정의과정 (FIPS 199, SP ) 3 3. 정보보호통제선택과정 (FIPS 200, SP ) 7

2 FISMA 준수를위한정보보호구현및평가과정 주요내용 o FISMA(Federal Information Security Management Act) 는 2002년도제정된전자정부법 (e-government Act) 중 3편 (Title III) 에속하는법으로서정부기관으로하여금운영과자산을지원하는정보와정보시스템을위한보호를제공하기위해전사적정보보호프로그램을개발, 문서화, 구현하도록요구하고있음. 정보보호통제의효과성과충분성을보장하기위해, FISMA는기관의 CIO와정보보호책임자로하여금정보보호프로그램을매년검토하여그결과를 OMB에게보고하도록요구하고있음. OMB는감독역할을수행하는데이결과를보조자료로사용하고있으며의회에 FISMA 법안준거성에대한연간보고서작성에사용하고있음. o FISMA에의하면연방정부기관은매년정보보호프로그램에대해독립적인평가를수행하도록요구하고있음. 감사 ( 감사역, 검사역 )(Inspector General) 가있는기관은감사로하여금평가를수행하도록하고있으며, 감사가없는기관은외부의감사인에의해수행하도록요구하고있음. 어느경우에도기관에서는독립적평가결과를포함하는연간보고서를 OMB에게제출해야함. o 매분기별로, 기관은정보보호취약점이발견된모든프로그램과시스템을위한 POA&M(Plan of Action and Milestone) 보고서를 OMB에게제출해야함. 추가적으로정보보호프로그램관리자는기관 CIO가기관전반에걸친정보보호노력을모니터링할수있도록정기적으로보고해야함. o FISMA에의하면미상무성산하표준기술국 (NIST) 으로하여금정보보호구현및평가를위한표준과지침을작성하도록요구하고있음. 현재 FISMA 구현을위한표준과지침중 SP A( 현재 2nd 버전으로 2006년 12월완성예정 ) 만제외하고모두완성단계에있음. < 그림 1> 은 FISMA 준거를위한정보보호구현및평가프로세스와관련표준및지침을보여주고있음

3 따라서본동향지에서는 FISMA 준거를위한절차및관련문서에대한주요내용을다음과같이 3회에걸쳐소개하고자함. 1회 : 정보보호통제분류및선정과정 (FIPS 199, 200, SP , 53 등 4개문서 ) 2회 : 위험분석, 정보보호계획및통제구현과정 (SP , 18, 70, 50 등 4개문서 ) 3회 : 정보보호평가, 인증및승인, 성과평가과정 (SP A, 26, 37, 55, 80 등 5개문서 ) < 그림 1> FISMA 준거를위한정보보호구현및평가프로세스와관련문서 - 2 -

4 정보보호영향도정의과정 (FIPS 199, SP ) 주요내용 o FISMA 준거를위해최초로수행해야하는작업은해당정보시스템의정보보호영향도를정의하는작업임. 이는 FIPS 199(STD for security categorization of federal information & information systems, ) 를기반으로작업하는데시스템의정보보호손실에따른피해규모에따라상, 중, 하등 3단계로구분하고있음. o 이표준은모든연방정부기관들이위험수준에근거하여적절한정보보호수준을제공하기위한목적으로모든정보와정보시스템을분류하는데사용되고있음. o FIPS 199는정보유형 (type) 및정보시스템에대한사건이미칠수있는조직및개인에대한잠재적영향 (potential impact) 에기초하여분류하는방법을제시하고있음. FISMA에서는정보및정보시스템에서보장해야할 3가지정보보호목표를정의하고있음 ; 기밀성 ( 개인정보보호포함 ), 무결성 ( 부인방지및인증포함 ), 가용성. o FIPS 199에서는 3가지잠재적영향도 ( 상, 중, 하 ) 를정의하고있는데, 영향도가 하 인경우는보안사건이조직의운영, 자산또는개인에게미치는부정적인결과가제한적인상황에해당됨. 즉, 조직의주요기능은수행할수있으나, 기능의효과성은약간감소되었거나, 조직자산이나재무상황에경미한손상을미쳤거나, 개인에게사소한피해를초래한경우에해당됨. o 영향도가 중 인경우는보안사건이조직의운영, 자산또는개인에게미치는부정적인결과가심각한상황에해당됨. 즉, 조직의주요기능은수행할수있으나, 기능의효과성은상당히감소되었거나, 조직자산에심각한손상을미쳤거나, 개인의생명에는영향을미치지는않으나상당한피해를초래한경우에해당됨. o 영향도가 상 인경우는정보보호사건이조직의운영, 자산또는개인에게미치는부정적인결과가매우심하고재난상황에해당됨. 즉, 조직의주요 - 3 -

5 기능을수행할수없으며, 기능의효과성은상당히감소되었거나, 조직자산에심각한손상을미쳤거나, 개인의생명에까지영향을미치거나심각한부상을당하는경우에해당됨. o 정보유형에적용되는보안분류는기밀성, 무결성, 가용성각기보안목표측면에서의영향을표현하며예를들면공개정보라는정보유형의보안분류는다음과같이표현할수있음. 공개정보의영향도 ={( 기밀성, 해당사항없음 ), ( 무결성, 중 ), ( 가용성, 중 ) o 정보시스템에적용되는보안분류는정보시스템내에존재하는정보유형의영향력을평가하여결정하는데, 여러정보유형이존재하는경우, 해당정보보호목표측면에서의영향도중에서가장큰값 ( 최대잠재적영향력 ) 을시스템의영향력으로간주하는방식으로결정함. o SP (Guide for Mapping Types of Information and Information Systems to Security Categories, ) 은 FIPS 199 수행을용이하게하기위해보조적인지침으로서작성되었음. 이문서는 2개의볼륨으로구성되어있는데제1권에서는정보유형및정보시스템을정보보호영향도로구분하는기본적인지침이포함되어있으며이에대한구체적인사례 / 예제는부록으로서제2권에포함되어있음. o 은원래 OMB의연방정부의전사적아키텍처의비즈니스참조모델 (Federal Enterprise Architecture s Business Reference Model 2.0) 에기반을두고작성되었음. 정보유형은크게기관의임무수행과직접적으로관련된정보 (mission-based information) 와기관의활동을관리및지원하기위한정보 (management & support information) 로구분하여정보보호영향도를할당하도록하고있음. 임무기반정보유형은정부기관의임무와환경등특수성을고려해야하나, 관리및지원을위한정보유형은정부기관간의공통적인성격을가지고있음. o 제1권에서는 FIPS 199에대한개요및정보유형및정보시스템의정보보호영향도할당과정을소개하고있으며, 임무기반의정보유형의식별및영향도할당을위한지침 ( 보다구체적인영향도수준예제는제2권에포함됨 ) 과관리및 - 4 -

6 지원기능 ( 행정, 관리, 서비스등 ) 을위한세분화된정보유형과영향도할당을위한근거를제시하고있음. o 정보보호영향도할당과정은 < 그림 2> 와같음. < 그림 2> 정보보호영향도할당과정 1. 정보시스템식별 : 정보시스템은일반지원시스템, 주요응용시스템, 또는특수목적용시스템등으로구분될수있으며, 연방정부기관은자체적으로정보보호영향도할당을위해시스템식별을위한정책을개발 2. 정보유형식별 : 해당시스템내에서입력, 처리, 출력, 저장되는모든정보유형을식별 3. 잠정적영향도수준선택 : 제2권부록 C와 D를사용하여식별된정보유형에해당되는잠정적인영향도수준을선택 4. 잠정적영향도수준검토및조정 : 잠정적영향도수준을조직, 환경, 임무, 사용처, 타시스템과의연관성등을고려하여잠정적영향도수준의적절성을검토하고필요하다면영향도수준을조정 - 5 -

7 5. 시스템정보보호영향도할당 : 시스템내에포함되는모든정보유형의기밀성, 무결성, 가용성측면에서의영향도수준을종합하되가장높은값을시스템의영향도수준으로결정 o 이과정의산출물인시스템의기밀성, 무결성, 가용성영향도수준은추후시스템위험평가의입력자료로사용되며또한필요한통제를선택하는데기준이된다. o 제2권에서는 307페이지에달하는비교적방대한참고자료로서, 관리및지원정보유형 ( 부록 C), 임무기반정보유형 ( 부록 D) 에대한잠정적인영향도수준및근거를제시하고있으며, 법과행정명령등에서요구하는비밀보장정보 ( 부록 E) 를포함하고있음. o 관리및지원정보유형은다시정부의서비스전달을지원하기위한 8가지정보유형 ( 예 : 감독및통제, 기획및자원할당, 내부위험관리, 민원처리등 ) 과정부의자원관리를위한 5가지정보유형 ( 인적자원관리, 행정관리, IT 관리등 ) 으로구분하고각각에대한세부적인정보유형과개별잠정적인영향도수준을제시하고있음. o 임무기반정보유형은구체적으로국방, 국토안보, 재난대응, 환경관리, 경제개발, 에너지, 교통, 교육, 위생등연방정부부처의핵심임무를 25가지로구분하고각각에대한세부적인정보유형과이에대한잠정적인영향도수준을제시하고있음. o 또한법적의무사항, 대통령령이나행정명령에서의준수사항, OMB에서의요구사항등에서비밀보장을요구하는정보를기술하고있음

8 정보보호통제선택과정 (FIPS 200, SP ) 주요내용 o FIPS 200 (Minimum Security Requirements for Federal Information and Information Systems, 2006, 3) 은 17개의정보보호통제영역에대한최소한의정보보호요구사항을기술하고있는문서로서발표즉시발효되었으며, 연방기관은이표준을 1년이내에준수해야함. o FIPS 199와 200은반드시지켜야하는강제적성격을가지는표준으로서정보보호에대한최소한의적정주의의무 (minimum level of due diligence) 를수립하게하고최소한의요구사항을만족시키는정보보호통제를선택하고명세하는작업을원활하게함으로써보다안전한정보시스템개발, 구현, 및운영을증진시킬목적으로제정되었음. o 이표준에서제시된최소한의요구사항은 NIST SP 에서제시된정보보호통제권고안중에서적절한통제를선택함으로써만족시킬수있음. 적정정보보호를달성하기위한정보보호통제와보증요구사항을선택하는과정은경영층및운영진등다양한분야가참여하여야하고위험평가에기초하여수행되어야함. o 정보시스템의정보보호영향도가 저 인경우는최소한 에서정의된낮은수준의정보보호통제 (low baseline) 중에서적절한통제를선택해야하며, 영향도가 중 인정보시스템의경우는중간수준의기본통제 (moderate baseline) 중에서적절한통제를선택해야하며, 영향도가 상 인정보시스템의경우는상위수준의기본통제 (high baseline) 중에서적절한통제를선택해야함. o NIST SP (Recommended Security Controls for Federal Information Systems, Rev 페이지 ) 은 FIPS 200과함께모든연방정보및정보시스템의보호를위한기초적인수준을요구하고있음. SP 은정보시스템을위한정보보호통제의선택과명세화에대한지침을제공하고있다

9 o 부록 F에포함되어있는정보보호통제는관리적, 운영적, 기술적통제등 3개계층 (class) 으로구분하고그밑에 17개의통제영역 (family) 을두어각기고유한식별자를부여하였음. 이문서에서제시하는 17개의정보보호통제영역은 < 표 1> 과같으며, NIST의모든문서는이러한통제분류체계를일관성있게사용하고있음. < 표 1> NIST에서의정보보호통제분류체계 계층 정보보호 통제 영역 식별자 위험평가 (Risk Assessment) RA 관리 계획 (Planning) PL 시스템및서비스구매 (System and Services Acquisition) SA 인증 및 승인 (Certification, Accreditation, and Security Assessments) CA 인적자원 보안 (Personnel Security) PS 물리적, 환경적 보호 (Physical and Environmental Protection) PE 비상계획 (Contingency Planning) CP 구성관리 (Configuration Management) CM 운영 유지보수 (Maintenance) MA 시스템 및 정보 무결성 (System and Information Integrity) SI 미디어 보호 (Media Protection) MP 사고 대응 (Incident Response) IR 인식제고 및 훈련 (Awareness and Training) AT 식별 및 인증 (Identification and Authentication) IA 기술 접근제어 (Access Control) AC 감사및책임추적성 (Audit and Accountability) AU 시스템 및 통신 보호 (System and Communications Protection) SC o 개별통제는다음과같은 3가지요소로구성되어있음 : 통제, 지침, 추가통제 (control enhancement). o 통제부문에는개별조직의특수상황을반영할수있도록구체적인값을할당 ( 예 : 백업주기 ) 하거나여러주어진값중선택할수있도록하여유연성을제공하고있음. 지침부문에는특정통제와관련된추가적정보를제공하고있으며, 추가통제부문에서는추가적인기능성제공및기존기능강화를포함시킴으로써위험평가결과, 추가적보호조치가필요할경우사용됨

10 o 전사적인정보보호프로그램에서주로취급하는공통정보보호통제 (common security controls) 는조직내모든정보시스템에적용가능하거나, 특정지역에공통적으로적용되는경우에해당되는통제임. 즉공통정보보호통제의개발, 구현, 평가는시스템소유자가아닌조직관리자의책임이며, 공통통제의평가결과는그통제가적용되는정보시스템의인증및승인과정 (SP , 다음호 (7호) 에서구체적으로설명예정 ) 에참고자료로사용될수있음. 공통통제의예를들면, 비상계획, 사고대응, 인식제고및훈련, 인적보안, 물리적환경적보호통제등임. o 반면, 특정시스템에만적용되는통제는정보시스템소유자의책임임. 개별정보시스템에대한정보보호계획에는공통통제와특정통제를구분하여지정하여야함. 이렇게구분함으로써통제개발및구현에드는노력을상당히감소시킬수있음. o 정보보호기본통제 (baseline) 은 FIPS 199에의한정보보호영향도수준별로권고되는최소한의정보보호통제를의미함. 즉, 기본통제는통제선택을위한출발점의역할을한다고할수있음. 부록 D는 199에서정의된 3가지영향도수준별로식별된 3가지최소정보보호통제 ( 기본통제 ) 군을포함하고있음. 부록 F는정보보호통제의전체적인목록을포함하고있음. o SP 은본문서외에도 3개의부속문서 (annex) 가추가되어 3가지수준 ( 상, 중, 하 ) 에서의기본통제에대한구체적인설명을기술하고있음. 시사점및활용방안 o 미국에서의정보보호통제는기본적으로조직의정보보호프로그램수준이아닌정보시스템수준에서필요한통제를선택, 구현, 평가하는체계로되어있음. 조직의정보보호프로그램에대한수준평가는기본적으로개별시스템에대한평가의합산에기초하되, 조직에관한추가적인평가를포함하여수행하고있음. o 국가기밀정보시스템을제외한모든시스템보호를위해서는 FIPS 199와 200 표준에근거하여, 시스템이처리하는정보유형의정보보호영향도에기초하여필요한정보보호통제의선택및조정이이루어짐

11 o FIPS 199의원활한수행을위해 SP 지침을통해시스템의성격을반영한잠정적인정보보호영향도를제시하여실제업무에참고할수있도록하고있음. 일단특정시스템의정보보호영향도가결정되면 FIPS 200에서제시하는최소한의정보보호요구사항을만족시키기위해 SP 지침에서구체적인정보보호통제를선택할수있도록되어있음. 원제및출처 o NIST SP , Revision 1, Guide for Developing Security Plans for Federal Information Systems, o NIST SP , Risk Management Guide for IT Systems, o NIST SP , Guide for the Security Certification and Accreditation of Federal Information Systems, o NIST SP , Recommended Security Controls in Federal Information Systems, o NIST SP A, Guide for Assessing the Security Controls in Federal Information Systems (second public draft, ) o NIST SP , Guide for Mapping Types of Information and Information Systems to Security Categories, o NIST SP , Security Configuration Checklists Program for IT Products: Guidance for Checklists Users and Developers, o NIST FIPS 199, Standards for Security Categorization of Federal Information and Information Systems, o NIST FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, o o

F1-1(수정).ppt

F1-1(수정).ppt , thcho@kisaorkr IPAK (Information Protection Assessment Kit) IAM (INFOSEC Assessment Methodology) 4 VAF (Vulnerability Assessment Framework) 5 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability