NIST 보안 표준이란 무엇입니까?

게시 됨: 2021-01-07

오늘날 기업들은 "NIST 보안 표준은 무엇이며 어떻게 적용할 수 있습니까?"라고 묻고 있습니다.

이것은 그리 놀라운 일이 아닙니다. 우리는 현재 사이버 범죄의 위협에 대한 태도의 극적인 변화를 경험하고 있으며 네트워크 보안의 보안 표준이 현대 기업의 중요한 측면일 뿐만 아니라 실제로 매우 중요하다는 인식이 조직들 사이에서 커지고 있습니다. 그것의 생존에.

IBM에 따르면 팬데믹 이전에 기업은 자체적으로 사이버 공격에 대한 준비가 되어 있지 않았으며 조직의 23%만이 비즈니스 전반에 사고 대응 계획을 적용했다고 밝혔습니다.

많은 기업이 현대의 사이버 공격의 수와 심각성에 대해 준비가 되어 있지 않습니다. 이는 심각한 문제가 아닙니다. 재해 복구 계획 없이 대규모 데이터 재해로 고통받는 기업의 93%는 1년 이내에 폐업합니다.

팬데믹과 그로 인한 변화로 인해 사이버 공격은 현재 그 어느 때보다 높은 수준이며 기업은 자신과 고객을 보호하기 위해 대응해야 합니다.

여기에서 NIST와 같은 프레임워크가 등장합니다. 기업은 사이버 보안에 대한 지침을 찾고 있으며 NIST와 같은 표준이 이를 제공할 수 있기를 바랍니다.

이 블로그에서는 NIST 보안 표준이 무엇인지 살펴보고 세분화하여 비즈니스 보안을 강화하려는 전국 조직에 NIST 보안 표준이 얼마나 적용 가능한지 결정할 것입니다.

증가하는 사이버 공격으로 인해 기업에 손실이 발생합니다 | NIST 보안 표준이란 무엇입니까?

NIST란 무엇입니까?

1988년까지 알려졌던 National Bureau of Standards는 1901년 비규제 기관으로 설립되어 제조, 환경 과학, 공공 안전, 나노 기술, 정보 기술 등을 포함한 다양한 산업 분야에 표준을 제공합니다.

설립 이후 수년에 걸쳐 NIST의 권한은 점점 더 많은 산업으로 확장되었으며, 그 중 사이버 보안(IT 아래)은 하나에 불과합니다.

사이버 보안 프레임워크를 포함한 NIST 프레임워크는 준수해야 하는 정부 계약에 참여하는 조직을 제외한 모든 조직에 대한 자발적 지침입니다.

NIST 사이버 보안 프레임워크(CSF)란 무엇입니까?

NIST 사이버 보안 프레임워크(줄여서 CSF)는 중요한 정부 및 공공 인프라 시스템에 대한 위험을 줄이기 위한 의도로 사이버 보안에 접근하기 위한 프레임워크 합의를 만들기 위해 2013년 오바마 대통령의 행정 명령에 의해 설립되었습니다.

CSF의 첫 번째 버전은 2014년에 출판되었으며 의회는 그 직후 다음과 같은 목적으로 2014년 사이버 보안 강화법을 통과시켰습니다.

AN ACT 사이버 보안을 개선하고 사이버 보안 연구 및 개발, 인력 개발 및 교육, 대중 인식 및 대비를 강화하기 위해, 그리고 기타 목적을 위해 지속적이고 자발적인 민관 협력을 제공합니다.

2017년 트럼프 대통령은 모든 연방 기관에 이 프레임워크를 사용하도록 지시하는 또 다른 행정 명령을 발표했습니다.

2015년에는 미국 기업의 약 30%가 CSF를 사용했으며 2020년에는 50%로 추가 증가할 예정입니다. 프레임워크의 성공으로 미국뿐 아니라 전 세계적으로 미국에서 CSF가 채택되었습니다. 왕국을 이스라엘에게.

NIST 프레임워크 요약

그렇다면 NIST 보안 표준은 무엇입니까?

NIST 사이버 보안 프레임워크는 "핵심", "구현 계층" 및 "프로필"의 세 가지 구성 요소로 나뉩니다.

핵심

Framework Core는 NIST 표준에서 원하는 최상의 사이버 보안 결과를 달성하도록 설계된 일련의 활동입니다.

이러한 활동은 체크리스트가 아니라 이해 관계자가 사이버 보안 위험을 관리하는 데 중요한 것으로 식별한 주요 결과입니다.

요소 NIST 보안 표준이란 무엇입니까?

Framework Core를 구성하는 4가지 핵심 요소가 있습니다. 이것들은:

  • 기능: 기능은 NIST 사이버 보안 프레임워크에서 가장 잘 알려진 측면 중 일부입니다. 그들은 높은 수준의 관점에서 기본적인 보안 활동을 설명하고 조직이 사이버 보안의 가장 중요한 요소를 다룰 수 있도록 돕습니다. 기능에는 식별, 보호, 감지, 응답 및 복구가 포함됩니다.
  • 범주: 범주는 비즈니스 결과에 중점을 두고 있으며 핵심 기능 내의 목표를 다루며 약간 더 심층적입니다.
  • 하위 범주: 하위 범주는 Core에서 가장 세분화된 추상화 수준입니다. 총 108개의 하위 범주가 있으며 일반적으로 결과 중심적이며 사이버 보안 프로그램을 수립하거나 개선하기 위한 고려 사항을 제공하도록 설계되었습니다.
  • 참고 자료: 참고 자료는 각 하위 범주와 관련된 기존 표준, 지침 및 관행을 나타냅니다.

NIST 프레임워크의 5가지 구성요소 | NIST 보안 표준이란 무엇입니까?

사이버 보안 프레임워크의 5가지 핵심 기능의 NIST 범주

앞서 언급했듯이 각 주요 기능은 NIST 범주와 NIST 하위 범주로 나뉩니다.

NIST 범주는 다음과 같습니다.

식별하다

  • 자산 관리
  • 사업 환경
  • 통치
  • 위험 평가
  • 리스크 관리 전략
  • 공급망 위험 관리

관련 게시물: 사이버 보안 위험 감사 중에는 어떻게 됩니까?

보호하다

  • ID 관리 및 액세스 제어
  • 인식 및 훈련
  • 데이터 보안
  • 정보보호 절차 및 절차
  • 유지
  • 보호 기술

감지하다

  • 이상 현상 및 이벤트
  • 보안 지속적인 모니터링
  • 탐지 프로세스

대답하다

  • 대응 계획
  • 연락
  • 분석
  • 완화
  • 개량

다시 덮다

  • 복구 계획
  • 개량
  • 연락

계층

프레임워크 구현 계층은 조직이 프레임워크 기능 및 범주에 설명된 특성을 효과적으로 충족할 수 있는 정도를 설명하는 데 도움이 됩니다.

이러한 구현 계층은 사이버 보안 성숙도 수준으로 간주되지 않으며 의도하지 않습니다.

그러나 최상위 계층에 대한 표준을 충족하는 조직은 필연적으로 사이버 성숙 기업을 정의하는 많은 특성을 갖게 됩니다.

계층 1(부분)

위험 관리 프로세스: 위험 관리 관행은 공식화되지 않았으며 위험은 임시 방식으로 관리됩니다.

통합 위험 관리 프로그램: 조직 수준에서 사이버 보안 위험에 대한 제한된 인식.

외부 참여: 조직은 다른 엔터티와 협력하거나 더 큰 생태계에서 자신의 역할을 이해하지 않습니다.

계층 2(위험 정보 제공)

위험 관리 프로세스: 위험 관리 관행은 경영진에 의해 승인되고 조직의 위험 목표에 따라 우선 순위가 지정됩니다.

통합 위험 관리 프로그램: 조직 수준에서 사이버 보안 위험에 대한 인식이 있지만 이 위험을 관리하기 위한 전사적 접근 방식이 부족합니다.

외부 참여: 조직은 종속성 또는 종속성과 관련하여 비즈니스 생태계에서 자신의 역할을 인식하지만 둘 모두는 아닙니다. 일부 협력은 있지만 제시된 위험에 대해 일관되게 또는 공식적으로 행동하지 않을 수 있습니다.

계층 3(반복 가능)

위험 관리 프로세스: 위험 관리 관행은 공식적으로 승인되고 정책을 통해 표현됩니다. 사이버 보안 관행은 공식적인 위험 관리 프로세스의 적용을 기반으로 정기적으로 업데이트됩니다.

통합 위험 관리 프로그램: 보안 위험 관리에 대한 조직 차원의 접근 방식이 시행되고 직원이 보안 위험을 관리할 수 있는 지식과 기술을 보유합니다.

외부 참여: 더 큰 생태계에서 조직의 역할은 다른 회사와 관련된 것으로 이해되며 위험에 대한 커뮤니티의 광범위한 이해에 기여할 수 있습니다. 정기적으로 다른 사람들과 협력하고 정보를 받습니다.

계층 4(적응형)

위험 관리 프로세스: 사이버 보안 관행은 이전 및 현재 활동과 예측 지표를 기반으로 조정 및 개발됩니다. 첨단 기술과 관행의 통합을 통한 프로세스의 지속적인 개선이 기대됩니다.

통합 위험 관리 프로그램: 보안 위험과 조직 목표 간의 관계가 명확하게 이해됩니다. 보안 위험 관리는 조직 문화의 일부이며 위험 관리 접근 방식에 대한 변경 사항을 빠르고 효과적으로 전달합니다.

외부 참여: 조직은 더 큰 생태계에서 자신의 역할을 완전히 이해하고 위험에 대한 커뮤니티의 이해에 기여합니다. 위험에 대한 지속적인 분석을 알려주는 정보를 수신, 생성 및 우선 순위를 지정합니다. 실시간 데이터 분석을 활용하고 사용하는 제품 및 서비스와 관련된 위험과 관련하여 사전에 커뮤니케이션합니다.

프로필

프레임워크 프로필은 조직의 비즈니스 요구 사항, 위험 허용 범위 및 리소스에 대한 기능, 범주 및 하위 범주의 전반적인 정렬을 나타냅니다.

비즈니스마다 우선 순위가 다르기 때문에 두 프로필이 같을 수는 없으므로 회사에 가장 적합한 고유한 프레임워크 프로필을 결정하는 것이 NIST 표준의 최종 핵심 측면입니다.

현재 프로필 대 대상 프로필

기업이 사이버 보안 표준에 대한 프로필을 설정할 때 현재 프로필과 대상 프로필이라는 두 가지 프로필을 만드는 것이 일반적이고 효과적인 방법으로 현재 위치와 원하는 위치를 이해하는 것입니다.

현재 프로필은 하위 범주 활동을 수행하는 조직의 능력을 평가하여 생성됩니다.

하위 범주의 예에는 "조직 내의 물리적 장치 및 시스템이 인벤토리화됨"(ID.AM-1) 및 "전송 중인 데이터가 보호됨"(PR.DS-2)이 포함됩니다.

이는 총 108개의 하위 범주 중 두 가지 예에 불과하지만 평가되는 활동의 종류를 나타냅니다.

각 하위 범주를 수행하는 회사의 능력을 순위 지정하여 현재 프로필이 설정되면 대상 프로필을 만들 차례입니다.

목표 프로필은 기업이 원하는 위험 관리 목표 및 우선 순위를 충족하기 위해 사이버 보안과 함께 있어야 하는 효과적인 위치입니다.

대상 프로필이 생성되면 조직은 둘을 비교하고 비즈니스가 위험 관리 목표를 충족하는 부분과 개선이 필요한 부분을 명확하게 이해할 수 있습니다.

이것은 NIST 보안 표준이 무엇인지 완전히 이해하고 프로토콜을 개선하고 NIST의 CSF 권장 사항을 준수한다는 측면에서 이 표준이 조직에 얼마나 직접적으로 적용되는지 이해하는 가장 효과적인 방법 중 하나입니다.

누가 NIST 사이버 보안 프레임워크를 사용합니까?

우리가 언급한 바와 같이 NIST는 주 계약자, 하청 계약자 또는 NIST를 준수해야 하는 다른 기관이든 관계없이 연방 공급망에 있는 회사를 대상으로 하는 프레임워크로 무엇보다도 설계되었습니다.

그러나 NIST의 표준은 거의 모든 비즈니스에 적용할 수 있으며, 새롭고 알려지지 않은 우선 순위를 발견하는 것 외에도 회사의 현재 사이버 보안 활동과 이를 수용 가능한 표준으로 수행할 수 있는 능력을 결정하는 데 매우 중요한 출처입니다.

NIST의 궁극적인 목표는 연방 관련 조직뿐만 아니라 비즈니스 세계 전반에 프레임워크를 제공하는 것입니다.

이를 위해 NIST는 사이버 보안 프레임워크를 지속적으로 업데이트하여 NIST CSF 준수가 특별히 필요한지 여부에 관계없이 누구에게나 최신 상태로 유지하고 적용할 계획입니다.

지금 무엇?

이 블로그 게시물이 NIST 보안 표준이 무엇이며 조직에서 어떻게 사용되는지 이해하는 데 도움이 되었기를 바랍니다.

NIST CSF 준수는 정부와 계약을 맺지 않았거나 정부 계약자와 하도급 계약을 체결하지 않은 조직에는 필요하지 않지만, 많은 활동과 프로토콜은 HIPAA, PCI, PII와 같이 따라야 하는 다른 많은 준수 규정에 적용됩니다.

이러한 규정(및 기타 여러 규정)을 준수하려면 GRC(거버넌스 위험 및 규정 준수) 솔루션을 사용하여 활동을 정확하게 모니터링하고 유지 관리하는 것이 좋습니다.

Impact에서는 위험 평가를 수행하고 귀하의 사이버 보안 정책이 규정 준수를 유지하는 데 필요한 위치에 정확히 있는지 확인하는 전문가의 GRC 하이브리드 또는 전체 관리 옵션과 함께 이러한 솔루션을 제공합니다.

자세한 내용은 규정 준수 서비스 페이지를 살펴보고 전문가와 연결하여 Impact가 오늘날 어떻게 조직의 규정 준수를 달성할 수 있는지 확인하십시오.