기사

NIST 위험 관리 프레임워크(RMF)

위험 완화아이덴티티 거버넌스컴플라이언스
소요 시간: 7 분

NIST 위험 관리 프레임워크(RMF)는 모든 연방 기관이 기존 및 새로운 시스템에서 사이버 보안 역량과 서비스를 식별, 구현, 평가, 관리, 모니터링하여 지속적인 위험을 찾아 제거하고 완화하는 데 사용해야 하는 일련의 프로세스입니다. 미국표준기술연구소(NIST), 미국 정보공동체(IC), 국방부(DOD), 국가안보시스템위원회(CNSS)가 참여한 합동 태스크포스(JTF)에서 개발했으며, 국방부 정보 보증 자격증 및 인가 프로세스(DIACAP)를 대체합니다.

NIST RMF는 시스템 수명 주기의 초기에 보안, 개인정보 보호, 사이버 공급망 위험 관리를 통합함으로써 사이버 보안 구현에 위험 기반 접근 방식을 제공합니다. 이 프레임워크는 위험 기반 고려 사항을 통제 항목 선택 및 사양에 반영하며, 효과성, 효율성과 더불어 법률, 지침, 행정 명령, 정책, 표준, 규정에 따른 제약 조건에 중점을 둡니다.

NIST RMF의 다섯 가지 구성 요소

NIST RMF는 식별, 측정 및 평가, 완화, 보고 및 모니터링, 거버넌스의 다섯 가지 요소로 구성됩니다.

1. 식별
NIST RMF는 법적, 개인정보, 전략적 위험 등 조직 전반의 다양한 위험을 식별하는 것에서 시작합니다. 위험 환경이 지속적으로 변하기 때문에 이 요소는 정기적으로 수행되어야 합니다.

2. 측정 및 평가
이 요소는 식별된 위험에 대한 위험 프로파일을 개발하는 데 필요한 지침을 제공합니다.

3. 완화
NIST RMF에서 위험 완화는 식별된 위험을 검토하여 심각도를 결정하는 것을 포함합니다. 위험이 수용 가능한 수준으로 추가 조치가 필요 없는 경우도 있지만, 완화하거나 제거해야 할 수도 있습니다.

4. 보고 및 모니터링
NIST RMF에는 위험에 대한 정보를 공유하고, 추가 조치가 필요한 모든 변화를 식별하기 위해 위험을 정기적으로 평가하는 프로세스가 포함됩니다.

5. 거버넌스
NIST RMF는 위험 거버넌스 구성 요소를 통해 위험 관리 요소가 구현되었는지, 위험 관련 정책이 준수되고 있는지 확인합니다.

NIST RMF의 목표

NIST RMF의 주요 목표는 다음과 같습니다.

  • 정보 보안 강화
  • 연방 기관 간 상호 인정 증진
  • 위험 관리 프로세스 개선

이러한 목표를 달성하기 위해 NIST RMF는 조직이 다음을 수행하도록 합니다.

  • 비준수 통제 항목으로 인해 발생하는 취약성을 식별하고, 위험 요소(예: 발생 가능성, 위협 및 영향)를 기반으로 우선순위를 지정하는 위험 관리 방법론을 따릅니다.
  • 비즈니스 프로세스 수준, 엔터프라이즈 수준, 정보 시스템 수준 및 미션 수준에 중점을 둔 계층적 위험 관리 접근 방식을 구현합니다.
  • 획득 및 시스템 개발 수명 주기의 초기에 사이버 보안을 강력하게 통합합니다.
  • 정보 보안과 관련된 결함, 취약성 및 사고를 지속적으로 모니터링하고 시기적절한 수정을 요구합니다.
  • 승인 상호 인정을 지원하여 조직이 상호 연결 또는 IT 시스템 재사용을 위해 재검증 없이 다른 조직의 승인을 수용할 수 있도록 합니다.

NIST RMF의 7단계

NIST RMF의 7단계는 준비, 분류, 선택, 구현, 평가, 승인, 보안 통제 모니터링입니다.

1. 준비

조직은 다음을 통해 보안개인정보 보호 위험을 관리할 준비를 합니다.

  • 조직 전체 위험 평가
  • 주요 위험 관리 역할 정의
  • 위험 허용 범위 결정
  • 지속적 모니터링을 위한 조직 전체 전략 개발 및 구현
  • 공식적인 위험 관리 전략 수립
  • 공통 통제 항목 식별

2. 분류

시스템 및 처리, 저장, 전송되는 정보에 대한 위험은 기밀성, 무결성 및 가용성(CIA) 손실의 영향 분석을 기반으로 분류되며, 영향 수준에 따라 낮음, 보통, 높음으로 나뉩니다. NIST RMF의 분류 단계에서는 다음이 수행됩니다.

  • 시스템 특성 문서화
  • 시스템 및 정보의 보안 분류 완료
  • 분류 결정 사항을 승인 책임자가 검토 및 승인

3. 선택

필요한 보안 통제를 식별합니다. NIST RMF의 선택 단계에는 다음이 포함됩니다.

  • 특정 시스템 구성 요소에 통제 할당
  • 통제를 시스템 전용, 하이브리드, 공통으로 지정
  • 시스템 수준의 지속적 모니터링 전략 개발
  • 보안 및 개인정보 보호 계획에 통제 선택, 지정, 할당이 반영되도록 보장
  • 통제 기준선 선택 및 맞춤화

4. 구현

시스템 및 조직을 위한 보안 및 개인정보 보호 계획에 있는 통제를 구현합니다. NIST RMF의 구현 단계에서는 다음이 수행됩니다.

  • 통제 구현
  • 통제가 배포되는 방식에 대한 모든 프로세스 및 절차 문서화
  • 통제가 구현되는 방식을 반영하도록 보안 및 개인정보 보호 계획 업데이트

5. 평가

통제가 올바르게 구현되었는지, 보안 및 개인정보 보호 요구 사항을 충족하는지 확인하기 위한 평가를 수행합니다. NIST RMF의 평가 단계에는 다음이 포함됩니다.

  • 평가자 및 평가 팀 지정
  • 보안 및 개인정보 보호 평가 계획 개발
  • 평가 계획 검토 및 승인
  • 평가 계획에 따라 통제 평가 수행
  • 보안 및 개인정보 보호 평가 보고서 작성
  • 통제의 모든 결함을 해결하기 위한 개선 조치 실행
  • 평가 및 개선 조치를 기반으로 통제 구현 변경 사항을 반영하여 보안 및 개인정보 보호 계획 업데이트
  • 조치 계획 및 이정표 수립

6. 승인

모든 것이 의도한 대로 작동하면, 위험 완화 메커니즘에 대한 경영진의 승인을 받습니다. NIST RMF의 승인 단계에서는 다음이 수행됩니다.

  • 경영진 요약 보고서, 시스템 보안 및 개인정보 보호 계획, 평가 보고서, 조치 계획 및 이정표를 포함한 승인 패키지 작성
  • 위험 결정 제공
  • 위험 대응 제공
  • 시스템 및 통제 승인 또는 거부

7. 보안 통제 모니터링

지속적 모니터링 전략을 통해 보안 통제가 제대로 작동하는지 확인해야 합니다. NIST RMF의 모니터링 단계에는 다음이 포함됩니다.

  • 시스템 및 환경의 지속적 모니터링
  • 통제 효과성에 대한 지속적인 평가
  • 지속적인 모니터링 활동 결과에 대한 분석 및 대응
  • 관리를 위한 보안 및 개인정보 보호 현황 보고
  • 지속적인 승인

RMF 역할 및 책임

NIST RMF는 위험 관리 프로그램의 주요 참여자를 위한 역할 및 책임 목록을 제공합니다. 이는 권장 사항일 뿐이며, 각 직책을 특정 개인에게 지정할 필요는 없습니다. 단지 해당 기능이 수행되기만 하면 됩니다. 다만, 역할이나 기능이 할당된 개인이나 그룹 간에 이해 충돌이 발생하지 않도록 주의해야 합니다. NIST RMF 역할 및 책임에는 다음이 포함됩니다.

NIST와 정보기술연구소(ITL)가 NIST RMF 빠른 시작 가이드에서 제시한 역할은 다음과 같습니다.

  • 승인 책임자 또는 승인 책임자 지정 대표
  • 최고 획득 책임자
  • 최고 정보 책임자
  • 공통 통제 제공자
  • 통제 평가자
  • 엔터프라이즈 아키텍트
  • 기관장
  • 정보 소유자 또는 관리자(또는 시스템 소유자)
  • 미션 또는 비즈니스 소유자
  • 위험 담당 임원 또는 위험 관리를 위한 선임 책임자
  • 보안 또는 개인정보 보호 아키텍트
  • 기관 정보 보안 선임 책임자
  • 기관 개인정보 보호 선임 책임자
  • 시스템 관리자
  • 시스템 소유자
  • 시스템 보안 및 개인정보 보호 엔지니어
  • 시스템 보안 및 개인정보 보호 책임자
  • 사용자

NIST RMF 모범 사례

자동화 및 지속적 모니터링
기술을 활용해 NIST RMF 작업을 자동화하고 간소화하세요. 이는 위협 및 취약성에 대한 지속적 모니터링에 특히 중요합니다.

위험 분류 및 우선순위 지정
발생 가능성, 잠재적 영향, 조직의 위험 허용 범위를 기반으로 위험을 분류하세요. 이를 측정한 값을 바탕으로 수용, 거부, 이전 또는 완화 등 처리 방식에 따라 분류 및 우선순위를 지정할 수 있습니다.

지표 및 보고
명확한 지표를 설정하여 진행 상황을 추적하고, NIST RMF의 가치를 입증하며, 문제 해결 및 시스템 최적화를 위한 개선 및 업데이트 영역을 식별합니다.

소유권 및 참여
조직이 NIST RMF를 반드시 사용해야 하는 경우가 아니라면, 경영진과 주요 이해관계자가 그 중요성과 가치를 이해하는 것이 중요합니다. 또한 구현 팀 구성원과 NIST RMF의 영향을 받는 개인이 관련 배포 및 유지관리 작업의 이점과 자신의 역할을 이해하는 것도 중요합니다.

정기적인 위험 평가
위험 평가는 정기적으로 수행되도록 일정을 예약해야 합니다. 시스템에 중대한 변경 사항이 있는 경우에는 예정에 없던 위험 평가도 수행되어야 합니다.

NIST 위험 관리 프레임워크 리소스

NIST 특별 간행물 800-37, 개정 2판 (NIST RMF)
정보 시스템 및 조직을 위한 위험 관리 프레임워크: 보안 및 개인정보 보호를 위한 시스템 수명 주기 접근 방식
NIST SP 800-37, 즉 NIST RMF는 시스템 개발 수명 주기 전반에 걸쳐 보안 통제를 모니터링하는 방법을 설명합니다.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf

NIST 특별 간행물 800-53, 개정 5판
정보 시스템 및 조직을 위한 보안 및 개인정보 보호 통제
NIST SP 800-53은 위험 완화를 위해 보안 통제를 선택하고 구현하는 데 필요한 지침을 제공합니다.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf

NIST RMF 프레임워크 FAQ
일반 정보 및 NIST 특별 간행물(SP) 800-53
https://csrc.nist.gov/Projects/risk-management/faqs

NIST RMF 빠른 시작 가이드
역할 및 책임 교차 참조표는 NIST RMF에 명시된 주요 단계와 책임을 기반으로 합니다.
https://csrc.nist.gov/csrc/media/Projects/risk-management/documents/Additional%20Resources/NIST%20RMF%20Roles%20and%20Responsibilities%20Crosswalk.pdf

NIST RMF 빠른 시작 가이드 – 준비 단계
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/01-Prepare%20Step/NIST%20RMF%20Prepare%20Step-FAQs.pdf

NIST RMF 빠른 시작 가이드 – 분류 단계
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/02-Categorize%20Step/NIST%20RMF%20Categorize%20Step-FAQs.pdf

NIST RMF 빠른 시작 가이드 – 선택 단계
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/03-Select%20Step/NIST%20RMF%20Select%20Step-FAQs.pdf

NIST RMF 빠른 시작 가이드 – 구현 단계
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/04-Implement%20Step/NIST%20RMF%20Implement%20Step-FAQs.pdf

NIST RMF 빠른 시작 가이드 – 평가 단계
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/05-Assess%20Step/NIST%20RMF%20Assess%20Step-FAQs.pdf

NIST RMF 빠른 시작 가이드 – 승인 단계
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/06-Authorize%20Step/NIST%20RMF%20Authorize%20Step-FAQs.pdf

NIST RMF 빠른 시작 가이드 – 모니터링 단계
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/07-Monitor%20Step/NIST%20RMF%20Monitor%20Step-FAQs.pdf

민간 부문을 위한 NIST RMF

NIST RMF는 연방 기관용으로 만들어졌지만, 민간 부문에서 운영되는 조직에서도 사용할 수 있습니다. NIST RMF는 모든 유형과 규모의 조직에서 사이버 보안 위험을 줄이고 IT 자원을 효율적으로 보호할 수 있도록 지원합니다.

NIST RMF FAQ

NIST RMF 프레임워크란 무엇입니까?
2010년 미국표준기술연구소(NIST)는 국방부(DoD)와 협력하여 위험 관리 프레임워크(RMF)를 발표했습니다. 이는 1,000개 이상의 보안 통제 항목이 포함된 포괄적 지침으로, 정보 보안 및 개인정보 보호를 관리하기 위한 위험 기반 접근 방식을 제공합니다. 모든 연방 기관은 RMF에 명시된 절차를 준수해야 합니다. 또한, 연방 정보보안 관리법(FISMA)의 요건을 충족하는 위험 관리 프로그램을 구현하는 데도 사용됩니다.

NIST RMF는 본래 연방 정부의 시스템과 정보를 보호하기 위해 개발되었지만, 전 세계 비정부 조직에서도 일반적인 표준으로 채택하고 있습니다. NIST RMF의 장점 중 하나는 고정된 규칙이 아니라는 점입니다. 이는 모든 조직의 요구 사항을 충족하도록 맞춤 설정할 수 있는 매우 유연한 지침 세트입니다.

NIST RMF의 접근 방식은 보안, 개인정보 보호 및 위험 관리를 정보 시스템 개발 수명 주기의 시작 단계로 이동시킵니다. 이는 공급망 관리에도 적용되며, 정보 시스템과 관련된 모든 구성 요소 및 프로세스에 보안이 통합되도록 보장합니다. 이러한 변화는 보안 팀이 조직 전체 수준에서 보안 및 개인정보 보호를 최적화하는 데 도움이 됩니다.

NIST 800-37과 800-53의 차이점은 무엇입니까?
이 두 표준은 연방 요구 사항을 충족하기 위해 함께 사용됩니다. NIST 800-53(연방 정보 시스템 및 조직의 보안 통제 평가 가이드)은 연방 기관 및 그 정보 시스템에 대한 의무적 보안 및 개인정보 보호 통제를 상세히 규정합니다. NIST 800-37(연방 정보 시스템에 위험 관리 프레임워크를 적용하기 위한 가이드)은 정보 시스템의 위험을 식별 및 평가하고 우선순위를 정하는 NIST 접근 방식을 제시합니다.

NIST 800-37은 위협 및 취약성의 영향을 감지하고 분류하기 위한 명시적인 단계를 포함하며, 위험 관리 프로세스에 중점을 둡니다. 반면, NIST 800-53은 위협 및 취약성을 완화하고 교정하기 위한 보안 통제 항목을 구체적으로 명시합니다. 여기에는 접근 통제, 구성 관리, 사고 대응, 미디어 보호 등 18가지 범주의 통제 항목이 포함됩니다. 조직은 규모, 미션, 처리하는 정보의 민감도 등을 기반으로 구현할 통제 항목을 선택합니다.

NIST의 6단계는 무엇입니까?

  1. 시스템 분류
    새로운 시스템의 개발 및 설정을 시작하기 전에, 시스템이 처리, 저장 및 공유할 정보와 이를 지원하는 기반 시스템을 위험 영향 분석에 따라 분류해야 합니다. 정부 기관의 경우, 이 절차는 연방 정보 처리 표준(FIPS) 199(FIPS-199) 및 NIST 특별 간행물 800-60 (NIST SP 800-60)에 명시된 지침에 따라 수행됩니다. 이 단계는 내부, 외부 또는 클라우드에 호스팅되는 모든 연방 정보 시스템에 사용되어야 합니다.
  2. 보안 통제 선택
    첫 번째 단계에서 확립된 분류를 기반으로, 현재의 위험 평가 결과에 따라 기준선 통제 세트를 선택하거나 업데이트해야 합니다. 필요한 보안 통제에는 기술적, 운영적, 관리적 통제가 포함됩니다. FIPS-200과 NIST SP 800-53은 보안 통제를 선택하는 방법에 대한 지침을 제공합니다. 고려해야 할 통제에는 세 가지 유형이 있습니다. 먼저, 공통 통제는 조직 전체 서비스(예: 이메일) 또는 네트워크와 같은 상위 수준 시스템 또는 환경으로부터 시스템이 완전히 상속받는 통제입니다. 그리고 하이브리드 통제는 공통 통제 제공자로부터 제공되지만, 시스템 소유자가 일부 구현 및 관리에 대한 책임을 지는 통제입니다. 마지막으로, 시스템 전용 통제는 시스템 또는 시스템 소유자가 전적으로 구현, 운영, 관리 및 모니터링에 대한 책임을 집니다.
  3. 보안 통제 구현
    하이브리드 통제나 시스템 전용 통제를 사용하는 경우, 기존 시스템과 함께 구현하고 통합해야 합니다. 이 단계에서는 통제가 어떻게 구현되고 통합되는지, 운영 환경에 어떤 영향을 미치는지를 문서화하는 것이 중요합니다.
  4. 보안 평가 수행
    위험 관리를 위한 보안 및 개인정보 보호 통제가 필요한 요소를 갖추고 제대로 작동하는지를 평가해야 합니다. 영향 수준이 낮음으로 분류된 시스템(손실로 인한 영향이 제한적인 경우)은 자체 평가 및 보고가 허용됩니다. 반면, 영향 수준이 중간(손실로 인한 영향이 심각한 경우) 또는 높음으로 분류된 시스템(손실로 인한 영향이 재앙적인 경우)은 제3자 평가가 필요합니다. 평가자는 NIST RMF와 NIST SP 800-53 통제 목록의 내용을 숙지하고 있어야 합니다.
  5. 시스템 승인
    평가가 만족스러운 결과로 완료되면 보고서를 승인 책임자에게 제출하여 승인을 받아야 합니다. 승인이 완료되면 시스템은 네트워크에 연결되어 운영을 시작할 수 있습니다.
  6. 지속적 모니터링 및 재승인 수행
    시스템이 배포 승인을 받은 이후에도 지속적 모니터링을 통해 보안 통제를 감독하고 개선해야 합니다. 이 단계에서 수행되는 자동화 및 수동 기능에는 침입 탐지 및 방지(IDS/IPS), 취약점 관리, 패치 관리, 애플리케이션 및 시스템 이벤트 로그 수집 및 분석이 있습니다. 시스템의 영향 수준에 따라 평가 및 재승인 주기는 매년에서 최대 3년마다로 다양합니다. NIST SP 800-53은 정보 시스템 모니터링에 대한 지침을 제공합니다.
Resource Card

컴플라이언스 감사의 업무 가이드 : 정의, 유형, 프로세스

조직이 어떻게 컴플라이언스 감사의 업무를 통해 과태료를 비롯한 각종 불필요한제재를 면하고 보안 침해의 원인이 되는 미흡점을 찾아낼 수 있는지 알아보세요.

더 알아보기
Resource Card

사이버 위험에 앞서 나가기

아이덴티티 보안에 대한 전략적 투자를 통해, 보안상의 문제를 줄이고 사이버 복원력을 개선하여, 위험을 크게 줄이는 방법을 알아보세요. 자세한 내용은 여기 있습니다.

더 알아보기
Resource Card

규제 준수 (컴플라이언스) 란 무엇인가요?

규제 준수 요구 사항은 전 세계적으로 계속해서 확대되고 있고 이 컴플라이언스가 기업과 사회 모두에 더 큰 이익을 가져다주는 데 도움이 되는 이유를 알아보세요.

더 알아보기

시작하기

세일포인트 아이덴티티 보안 클라우드를 어떻게 활용할 수 있는지 알아보세요

세일포인트 솔루션이 어떻게 오늘날의 기업이 생산성과 혁신을 저해하지 않고 리소스에 안전하게 액세스할 수 있도록 지원하는지 알아보세요.

데모 신청문의하기