[USG]주요 위험 관리 표준 및 프레임워크 #3

[3주차] NIST 위험 관리 프레임워크

학습목표

1. NIST 위험 관리 프레임워크의 구조와 사용에 대해 논의한다.
2. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다.
3. 위험 관리를 관리하는 기준을 설명한다.
4. NIST 위험 관리 프레임워크 프로세스 및 위험 처리 대한 운영에 대해 논의한다.
5. NIST 위험 관리 프레임워크를 설명한다.
6. 위험 관리에 대한 NIST 접근 방식을 설명한다.
7. 위험 평가를 위한 NIST 리스크 관리 프레임워크 프로세스 및 운영에 대해 논의한다.

[3-1] NIST 위험 관리 프레임워크 개요

NIST 위험 관리 프레임워크(RMF)는 미국 정부의 컴퓨터 시스템이 정보를 안전하게 저장, 사용 및 전송할 수 있도록 보장하기 위한 노력의 진화다. RMF는 수년 동안 개발되며 지속적으로 개선되고, 또 개선되었다.

 

2010년 이전에는 정부 컴퓨터가 국가안보가 아닌 정보를 포함하도록 승인하는 절차가 NIST 특별 간행물에 정의되었으며, 이는 자체적으로 인증 및 인증 절차를 가지고 있다. 2004년에 발간된 연방정보시스템의 보안 인증 및 인증을 위한 지침서 800-37다. 보안 인증은 정보시스템의 운영을 승인하기 위해 고위 기관 관리가 내린 공식적인 관리 결정이었다. 그리고 합의된 일련의 보안 통제 구현에 기초하여 기관 운영, 기관 자산 또는 개인에게 미치는 위험을 명시적으로 수용하는 것이다. 보안 인증에 필요한 정보와 증거는 일반적으로 보안 인증이라고 불리는 정보 시스템의 상세한 보안 검토 과정에서 개발된다. NIST SP 800-37은 연방정부를 운영하는 데 필요한 정보를 저장하기 위해 컴퓨터를 사용할 수 있는 과정을 설명했다. 이는 결코 일반적인 비즈니스 커뮤니티를 위해 사용되지 않았다. 정보 보안에 대한 필요성에 대한 인식이 증가하고 국제 ISO 정보 보안 표준이 발표되면서, NIST는 이전의 접근 방식이 더 이상 효과적이지 않다는 것을 인식했다. 그리고 비즈니스 커뮤니티는 물론 연방 정부가 진화해야 할 필요성에 대한 참조 역할을 하는 것이 부차적인 책임인 것이다. 2010년 2월, NIST는 SP 800-37에 대한 개정 1을 보안 라이프사이클 접근 방식인 연방정보시스템에 위험 관리 프레임워크 적용을 위한 지침서로 다시 게시했다. 이는 미국 연방정부의 보안에 대한 일반적인 접근 방식에 상당한 변화를 예고했다. 그리고 정보 보안을 관리하는 지배적인 방법으로서 위험 관리 역할에 대한 인식이 확대되었다. 이 시기에는 사이버 보안이라는 용어가 업계나 정부에서 널리 퍼져 있었던 것이 아니었기에, 정보 보안이라는 용어가 대신 사용됐다.

2019년 12월, NIST는 SP 800-37 개정 2를 발표했는데, 이 개정 1과 개정 2 사이의 가장 중요한 개선 사항 중 하나는 이전의 6단계 방법론에 세부 준비 단계를 추가한 것이다. 이전에 연방 정보 시스템에 대한 제목의 또 다른 중요한 변경 사항은 이제 정보 시스템과 조직에 대한 것이다. NIST가 정부 부문 구성원뿐만 아니라 미국 상업에 대한 책임을 강화하는 것이다.

RMF 전반을 지원하는 NIST 특별 간행물은 다수 존재한다. 전략적 차원에서 4개의 SP는 위험 관리 프레임워크 준비를 지원한다.

여기에는 SP 800-18, 연방 정보 시스템 보안 계획 개발 안내서가 포함된다. 이 SP는 좀 오래되었지만 여전히 시스템 보안 계획을 개발하는 데 유용한 정보를 제공하며 보안 계획 템플릿이 포함되어 있다. 또한 위험 평가 프로세스를 설명하고 위협 소스 식별을 포함하는 위험 평가 수행 안내서인 SP 800-30도 중요하다. 이는 악영향을 결정하고 위험 수준을 결정하며, 비적대적 및 적대적 위험을 결정하고 위험 평가 보고서를 개발하는 위협 이벤트의 예시다. 다음은 SP 800-39다. 여기에는 위험 관리를 위한 구성 요소 및 프로세스와 조직 위험 관리 수준이 설명되어 있다. 마지막으로 SP 800-160, 시스템 보안 엔지니어링이 있다. 신뢰할 수 있는 보안 시스템 엔지니어링 분야에서 다학제적 접근 방식에 대한 고려 사항을 다룬 것이다. 시스템 엔지니어링 프로세스에 보안을 포함하는 지침을 제공하고 시스템 엔지니어링 표준 ISO IEC IEE 15288을 기반으로 한다. NIST RMF가 진화함에 따라 일부 이전 특별 간행물을 새로 업데이트해야 하므로 최신 접근 방식과 기존 간행물 간의 일시적인 연결이 끊어졌다.

 

여기에는 연방 정보 처리 표준, FIPS 199, 연방 정보 및 정보 시스템의 보안 범주화 표준이 포함된다. 이는 이러한 시스템을 범주화하는 데 사용된다. FIPS 200, 연방 정보 및 정보 시스템에 대한 최소 보안 요구 사항 및 현재 버전 5의 정보 시스템 및 조직에 대한 특별 간행물 800-53로, 보안 및 개인 정보 제어 기능이 사용된다. 이들은 선택 제어 단계에서 사용된다. 800-34, 개정 1, 연방 정보 시스템에 대한 비상 계획 안내서 등 여러 SP가 구현 제어 단계에서 사용된다. SP 800-61, 컴퓨터 보안 사고 처리 안내서, 800-128, 정보 시스템의 보안 중점 구성 관리 안내서가 이어서 있다. 여기에는 SP 800-53A 개정 4, 연방 정보 시스템 및 조직의 보안 및 개인 정보 제어 평가, 효과적인 평가 계획 구축도 포함된다. 이는 평가 제어 단계에서 사용된다. 다음으로, 앞서 설명한 SP 800-37은 위험 평가가 수행되는 공인 시스템 단계에서 사용된다. 마지막으로, 8개의 100-137, 이는 연방 정보 시스템 및 조직의 정보 보안 지속 모니터링이다. 800-37 및 800-53A는 모니터 제어 단계에서도 사용된다.

 

NIST 위험 관리 프레임워크에서 한 가지 주의할 점은, NIST는 단순히 작업을 수행하는 방식에 대한 표준을 제공하는 것이 아니라는 것이다. 또한, 그 과정에서 각 단계 또는 단계를 수행하는 방법에 대한 자세한 지침을 제공한다. 또한, 위험 평가 프로세스를 설명하는 위험 평가 수행 지침인 SP 800-30이 있다. 여기에는 위협 이벤트의 위협원 식별 사례, 악영향 판단, 위험 수준 결정 등이 포함된다. 그리고 비적대적 및 적대적 위험을 결정하고 위험 평가 보고서를 개발하기 위한 템플릿이 포함된다. NIST에 따르면, 위험 관리 프레임워크는 보안 및 개인 정보 위험을 관리하기 위한 체계적이고 유연한 프로세스를 제공한다. 여기에는 정보 보안, 분류, 제어 선택, 구현 및 평가 시스템, 공통 제어 권한뿐만 아니라, 지속적인 위험 관리 수준도 포함된다. RMF에는 조직이 프레임워크를 실행할 수 있도록 준비하는 활동과 적절한 위험 관리 수준이 포함된다. RMF는 또한 지속적인 모니터링 프로세스 구현을 통해 거의 실시간 위험 관리 및 지속적인 정보 시스템 및 공통 제어 권한을 촉진한다. 고위 리더와 임원에게 임무 및 비즈니스 기능을 지원하는 시스템에 대해 효율적이고 비용 효율적인 위험 관리 결정을 내리는 데 필요한 정보를 제공하는 것이다. 그리고 시스템 개발 수명 주기에 보안 및 개인 정보 보호를 통합한다. RMF 작업을 실행하면 시스템 수준의 필수 위험 관리 프로세스와 조직 수준의 위험 관리 프로세스가 연결된다. 또한 조직의 정보 시스템 내에서 구현되는 통제와 해당 시스템이 상속하는 통제에 대한 책임과 책임을 설정한다. NIST에 따르면, 위험 관리 프레임워크는 시스템 개발 수명 주기 전반에 걸쳐 보안 및 개인 정보 보호 기능을 정보 시스템으로 발전시키는 것을 촉진하여 위험 관리를 강조하는 것이다.

이는 지속적인 모니터링 프로세스를 통해 해당 시스템의 보안 및 개인정보 보호 태세에 대한 상황 인식을 지속적으로 유지함으로써 수행된다. 그리고 이러한 시스템의 사용 및 운영으로 인해 발생하는 조직 운영 및 자산, 개인, 다른 조직 및 국가에 대한 위험 수용에 관한 결정을 용이하게 하기 위해 고위 리더 및 임원에게 정보를 제공함으로써 수행된다. NIST RMF는 운영 위험에 상응하는 정보 및 정보 시스템의 보호를 촉진하도록 설계된 반복 가능한 프로세스를 제공한다. 보안 및 개인정보 보호 위험을 관리하는 데 필요한 조직 전반의 준비를 강조하는 것이다. 그래서 정보 및 시스템의 범주화, 제어의 선택 구현, 평가 및 모니터링 및 정보 시스템 및 공통 제어의 승인을 용이하게 한다. 또한, 지속적인 모니터링 프로세스의 구현을 통해 거의 실시간 위험 관리 및 지속적인 시스템 및 제어 권한에 대한 자동화 사용을 촉진한다. 메트릭의 사용을 장려하여 고위 리더 및 관리자에게 임무 및 비즈니스 기능을 지원하는 정보 시스템에 대한 비용 효율적인 위험 기반 결정을 내리는 데 필요한 정보도 제공한다. 보안 및 개인정보 보호 요구 사항 및 제어를 엔터프라이즈 아키텍처 시스템 개발 수명 주기, 시스템 획득 프로세스 및 시스템 엔지니어링 프로세스로 통합하는 것을 용이하게 하기도 한다. 조직 및 미션 비즈니스 프로세스 수준의 위험 관리 프로세스와 위험 관리 및 위험 관리 기능을 담당하는 고위 책임자를 통해 정보 시스템 수준의 위험 관리 프로세스를 연결하는데, 그런 다음 정보 시스템이 구현되고 해당 시스템이 상속할 때 구현되는 제어에 대한 책임을 설정하게 된다.

NIST는 정보를 보호할 책임이 있는 모든 조직을 포함하도록 목표 대상을 수정했다. 가장 최신 버전의 위험 관리 프레임워크는 위험 관리에 대한 조직 전체의 접근 방식을 강조한다. 이 성명서를 통해 보안 및 개인 정보 보호와 관련된 정보 시스템을 관리하는 것은 조직 전체가 참여해야 하는 복잡한 작업일 수밖에 없다. 조직의 전략적 비전과 최상위 목표 및 목표를 제공하는 고위 리더부터. 중간 수준의 리더를 통해 조직의 임무 및 비즈니스 기능을 지원하는 시스템을 개발, 구현, 운영 및 유지 관리하는 개인까지 프로젝트를 계획, 실행 및 관리하기 때문이다. 위험 관리는 임무 및 비즈니스 계획 활동을 포함하여 조직의 모든 측면에 영향을 미치는 총체적인 활동이다.

 

이러한 시스템 수명 주기 프로세스에 필수적인 엔터프라이즈 아키텍처, 시스템 개발 수명 주기 프로세스 및 시스템 엔지니어링 활동이 여기에 표시된다. 위 그림에 표시된 것은 조직 수준의 보안 및 개인 정보 위험을 다루는 SP 800-39에 설명된 위험 관리에 대한 다단계 접근 방식을 보여준다. 이는 커뮤니케이션 및 보고는 조직 전반에 걸쳐 위험이 해결되도록 보장하기 위한 양방향 정보 흐름이다. 조직이 위험 관리 프레임워크를 실행할 준비에는 이러한 활동이 포함될 수 있다. 여기서 위험 관리 전략을 수립하고 조직의 위험 허용 오차를 결정한다. 임무의 비즈니스 기능을 식별하고 정보 시스템을 처리하는 것은 지원하기 위한 것이다. 정보 시스템에 관심이 있는 내부 및 외부의 주요 이해 관계자 식별, 정보 자산을 포함한 자산 식별 및 우선 순위 지정, 정보 시스템 및 조직에 대한 위협 이에 이르기까지 말이다. 그래서 위험 관리를 수행하는 개인에게 미칠 수 있는 잠재적인 악영향을 파악하고, 조직 및 시스템 수준의 위험 평가를 수행하고, 시스템 요구사항을 파악하고 우선순위를 정한다.

[3-2] NIST RMF 단계 및 구조

 

NIST 위험 관리 프레임워크에는 7단계가 있다. 조직이 프로세스를 실행할 준비가 되었는지 확인하기 위한 준비 단계와 6개의 주요 단계가 있다. 모든 단계는 위험 관리 프레임워크를 성공적으로 실행하기 위해 필수적이다. 단계는 보안 및 개인 정보 보호 위험를 관리하기 위한 컨텍스트와 우선순위를 설정하여 조직 및 시스템 수준 관점에서 RMF를 실행할 준비를 하고, 손실 영향 분석을 기반으로 시스템과 시스템에서 처리, 저장 및 전송하는 정보를 분류하고, 시스템에 대한 초기 제어 세트를 선택하고, 위험 평가를 기반으로 시스템에 대한 허용 가능한 수준으로 위험을 줄이기 위해 필요에 따라 제어 장치를 조정하고, 제어 장치를 구현하고, 시스템 및 운영 환경 내에 제어 장치가 사용되는 방법을 설명하고, 제어 장치가 올바르게 구현되었는지 여부를 결정하고, 의도대로 작동하는지 여부를 평가하고, 보안 및 개인 정보 보호 요구 사항을 충족하는 것과 관련하여 원하는 결과를 산출하도록 제어 장치를 평가하고, 조직 운영 및 자산, 개인, 다른 조직 및 국가에 대한 위험이 허용 가능하다는 결정을 기반으로 시스템 및 관련 제어 장치를 지속적으로 모니터링한 다음, 제어 효율성 평가, 시스템 및 운영 환경의 변경 사항을 문서화하고, 위험 평가 및 영향 분석을 수행하고, 시스템의 보안 및 개인 정보 보호 자세를 보고한다. 위험 평가는 위험 관리 프레임워크 프로세스를 시작하기 전에 수행할 수도 있고, 후자의 단계에서 수행할 수도 있다. 이는 조직에 달려 있다.

 

NIST에 따르면 준비 단계의 목적은 조직 미션과 비즈니스 프로세스 및 시스템 수준에서 필수적인 위험 관리 작업을 수행하여 컨텍스트를 확립하고, 조직이 위험 관리 프레임워크를 사용하여 보안 및 개인 정보 보호 위험를 관리할 수 있도록 준비하는 데 도움을 주는 것이다. 준비 단계는 범주화된 단계 이전에 완료되며, 모든 후속 위험 관리 프레임워크 단계와 작업을 지원한다. 궁극적으로 준비 단계의 목적은 시스템의 운영 및 사용에서 조직과 임무에 정보 보안 및 개인 정보 보호 위험를 성공적으로 관리하는 데 필요한 정보와 리소스를 제공하는 것이다.

 

준비 단계의 조직 수준 작업과 결과는 여기에 표시된다. 여기에는 위험 관리 역할 정의, 조직의 위험 관리 전략 수립, 조직 수준 위험 평가 완료 또는 업데이트, 제어 기준선 및 프레임워크 프로파일 설정, 공통 제어 식별, 문서화 및 게시, 조직 시스템의 우선 순위 지정, 제어 효율성 모니터링 전략 개발 및 구현이 포함된다. P-4 및 P-6 작업은 선택 사항으로 여기에 표시된다. P-4 작업은 조직이 조직 전반에 사용할 수 있는 특수화된 제어 세트의 적용 가능성과 필요성을 결정하기 때문에 선택 사항이다. 태스크 P-6은 조직이 영향 지정에서 리소스 할당을 포함한 위험 기반 의사 결정을 용이하게 한다고 판단할 수 있는 사항이다. 여기에는 시스템 수준의 태스크와 준비 단계의 결과가 나와 있다. 여기에는 시스템이 지원해야 하는 프로세스 식별, 주요 이해 관계자 식별, 자산 식별 및 우선 순위 지정, 승인 경계 결정, 시스템이 저장하고 전송하는 정보 프로세스 식별, 시스템 수준 위험 평가 완료 또는 업데이트, 요구 사항 정의 및 우선 순위 지정, 시스템 배치 결정, 시스템 및 환경에 대한 요구 사항 할당, 관리 및 거버넌스를 위한 시스템 등록 등이 포함된다.

NIST에 따르면 보안 범주화는 시스템에 의해 처리, 저장 및 전송되는 정보의 중요성을 결정하는 구조화된 방법을 제공한다. 범주화된 단계의 목적은 조직 시스템 및 정보의 기밀성, 무결성 및 가용성 상실로 인한 조직 위험 관리 프로세스 및 작업의 부정적인 영향을 결정함으로써, 조직 위험 관리 프로세스 및 작업에 정보를 제공하는 것이다. 범주화 결정은 시스템에 대한 보안 범주로 이어지는데, 이는 최악의 경우 조직에 대한 잠재적인 부정적인 영향을 기반으로 하여 할당된 임무를 수행하고 자산 및 개인을 보호하며 법적 책임을 다하고 일상적인 기능을 유지하는 데 필요한 정보와 시스템을 위태롭게 하는 이벤트가 발생해야 한다. 보안 범주화 결정이 내려지기 전에 시스템에 의해 처리되거나 저장 및 전송될 정보 유형의 식별이 준비 태스크 P12에서 수행되어야 한다.

여기에는 분류된 단계의 작업과 결과가 표시된다. 여기에는 시스템 특성에 대한 설명 및 문서화, 시스템의 보안 범주화 완료, 보안 범주화 문서화, 범주화 결과가 조직 관행과 일치하는지 확인하고 고위 경영진이 결과를 검토하는 것이 포함된다. 최종 결과는 정보 소유자 또는 시스템 소유자가 준비 단계 P12의 일부로 시스템에 의해 처리, 저장 및 전송되는 정보 유형을 식별하고 범주화된 단계 C-2의 일부로 각 정보 유형에 기밀성, 무결성 또는 가용성의 보안 목표에 대해 보안 영향 값을 낮음, 중간 또는 높음으로 할당한다.

 

NIST에 따르면 조직은 임무 및 비즈니스 기능 실행에서 정보 및 시스템 사용으로 인해 발생하는 위험을 적절하게 완화해야 한다. 조직의 중요한 과제는 적절한 보안 및 개인 정보 통제 세트를 결정하는 것인데, 이를 구현하고 효과적이라고 결정되면 적절한 보안 및 개인 정보 보호 법률 및 규정을 준수하면서 가장 비용 효과적으로 위험을 완화할 수 있다. 적절한 보안 및 개인 정보 통제 세트를 선택하는 것은 조직 운영 및 자산, 개인, 다른 조직 및 국가에 대한 위험에 상응하고 조직의 일상적인 운영을 수행하고 명시된 임무 및 비즈니스 기능을 달성하는 목표를 달성하는 데 도움이 된다. 통제는 시스템, 시스템 요소 및 운영 환경에 할당된 보안 및 개인 정보 보호 요구 사항에 따라 선택된다.

 

선택 단계에 대한 작업과 결과가 여기에 표시된다. 여기에는 필요한 제어 기준선의 선택, 제어 및 기준선의 조정, 제어의 지정 및 할당, 제어 및 기준선의 문서화, 시스템에 대한 지속적인 모니터링 전략 개발, 제어를 반영한 보안 및 개인 정보 보호 계획의 검토 및 승인이 포함된다.

 

NIST에 따르면 위험 관리 프레임워크의 선택 단계의 산물로 제어가 선택되고 조정된 후 다음 단계는 시스템 보안 및 개인 정보 보호 계획에 따라 제어를 구현하는 것이다. 시스템을 보호하기 위해 제어가 올바르게 구현되고 예상대로 작동하는 것이 중요하며, 구현 단계는 보안 및 개인 정보 보호 제어의 구현에 초점을 맞춘다. 제어의 구현에는 RMF 선택 단계에서 선택된 제어의 의도를 충족하기 위해 새로운 설정 또는 기존 프로세스, 절차, 제품 및 서비스의 활용이 포함된다. 시스템 보안 및 개인 정보 보호 계획은 제어 구현을 위한 지침 역할을 하며 제어가 구현됨에 따라 필요한 경우 업데이트된다.

 

구현 단계의 작업 및 결과가 여기에 표시된다. 여기에는 제어 구현을 위해 선택된 보안 방법론을 따르는 이 잘못 지정된 제어 구현, 구현 변경 사항 문서화, 보안 및 개인 정보 보호 계획 업데이트가 포함된다.

 

NIST에 따르면 평가 단계의 목적은 선택된 보안 및 개인 정보 보호 제어가 올바르게 구현되었는지 결정하고 의도대로 작동하고 원하는 결과를 생성하며, 조직 또는 시스템 보안 및 개인 정보 보호 요구 사항을 충족하는 것이다. 평가 단계에서 조직은 제어 결함과 개선 조치를 식별한다. 평가 단계 작업은 또한 평가 팀 선택, 평가 계획 개발, 제어 평가, 평가 보고서 개발, 조치 및 마일스톤 개발 및 승인 계획을 설명한다. 위험 관리 프레임워크를 시작하기 전에 위험 평가를 수행하지 않고 RMF의 일부로 수행하기를 선택한 조직의 경우, 이 단계가 시작될 것이다. 이 단계는 통제가 구현된 후 조직의 현재 위험 수준을 파악하고 평가하는 데 초점을 맞춘 위험 평가의 첫 번째 단계에 불과하다는 점에 유의해야 한다.

평가 단계의 과제와 결과는 여기에 나와 있다. 여기에는 평가 팀의 선택 및 독립성 지정, 필요한 평가 문서 제공, 평가 계획의 개발, 문서화, 검토 및 승인, 평가 수행, 이전 평가 고려, 자동화 및 평가의 사용 극대화, 평가 보고서 작성, 결함 해결을 위한 SSL 개선 조치 및 보안 및 개인 정보 보호 계획 업데이트, 평가에서 허용할 수 없는 위험 식별에 대한 개선 계획의 조치 계획 및 마일스톤 개발 등이 포함된다.

 

NIST에 따르면, 승인된 단계는 고위 경영진이 시스템 운영 또는 공통 제어 장치의 사용을 기반으로 조직 운영, 자산, 개인, 다른 조직 또는 국가에 대한 보안, 개인 정보 보호 및 공급망 위험이 허용 가능한지 여부를 결정하도록 요구함으로써 조직에 책임을 제공한다. 개인 정보 보호를 위한 고위 기관 관계자는 개인 식별 가능한 정보를 처리하는 시스템에 대한 승인 자료를 검토해야 한다. 시스템이 운영되거나 계속 운영되기 전에 운영하기 위한 유효한 승인이 필요하다. 이 단계는 위험 처리 결정이 내려지고 고위 경영진이 위험 평가 결과를 검토하는 단계다. 조직이 평가 단계까지 위험 평가를 달리하는 경우, 여기에서 위험 평가를 검토하고 현재 수준의 위험이 허용 가능한지 또는 위험 결정의 일부로 추가 치료가 필요한지 여부를 결정한다. 그런 다음, 위험 대응의 일부로 수정 또는 기타 치료에 대한 권장 사항을 만들고 예상 개선 사항을 통해 위험의 변화를 추정하는 것이다.

 

승인된 단계의 과제와 결과는 여기에 나와 있다. 여기에는 승인 패키지의 개발 및 제출, 위험 분석 및 결정, 위험 대응 평가, 승인 결정 및 보고서가 포함된다. RMF의 목적은 미국 연방정부가 비국가 안보 정보를 보유하기 위한 시스템 사용을 공식적으로 승인하는 것이라는 점을 기억해야 한다. 이 권한이 발행되기 전까지 시스템은 정부 비즈니스 정보를 저장, 처리 또는 전송할 수 없다. 비정부 조직에 대해 이 프로세스를 따를 때 이러한 단계의 대부분은 권한 검토 및 결정이 아닌 상위 관리자에 의한 공식 검토로 대체된다.

 

NIST에 따르면 지속적인 모니터링 프로그램을 통해 조직은 시스템이 변화하는 위협, 취약성, 기술, 임무 및 비즈니스 프로세스에 적응하는 매우 역동적인 운영 환경에서 시간이 지남에 따라 시스템의 권한을 유지할 수 있다. 자동화된 지원 도구의 사용이 필요하지는 않지만 자동화된 도구의 사용을 통해 거의 실시간 위험 관리를 달성할 수 있다. 지속적인 모니터링의 궁극적인 목적은 시스템과 시스템이 작동하는 환경에서 발생하는 불가피한 변화를 고려하여 시스템의 보안 및 개인 정보 관리가 시간이 지남에 따라 계속 효과적인지 여부를 결정하는 것이다. 지속적인 모니터링은 또한 보안 및 개인 정보 보호 계획, 평가 보고서, 조치 및 마일스톤 계획을 보고하는 효과적인 메커니즘을 제공한다.

 

모니터링 단계의 작업과 결과가 여기에 표시된다. 여기에는 환경에서 시스템 모니터링, 제어 효과에 대한 지속적인 평가 수행, 모니터링 활동 및 결과 분석, 위험 관리 문서 업데이트, 진행 중인 보안 절차 보고, 운영에 대한 지속적인 권한 수행, 시스템 폐기 전략 개발이 포함된다. 시스템이 계속 작동하도록 허용되면 전체 RMF 프로세스를 주기적으로 새로 시작해야 한다. 조직의 규모에 따라 1-3년마다 공식 RMF 프로세스가 수행될 것이다.

[3-3] NIST 위험평가 접근법

NIST에 따르면 위험은 잠재적인 상황이나 사건에 의해 기업이 위협을 받는 정도를 측정하는 것으로 일반적으로 상황이나 사건이 발생할 경우 발생할 악영향과 해당 사건이 발생할 가능성의 함수다. 사이버 보안 위험은 정보나 정보 시스템의 기밀성, 무결성 또는 가용성 상실로 인해 발생하는 위험으로, 임무 기능, 평판, 자산 및 이해 관계자에 영향을 미치는 조직 운영에 대한 잠재적인 악영향을 반영한다.

 

위험 평가는 사이버 보안 위험을 식별, 추정 및 우선순위를 매기는 프로세스다. 위험을 평가하려면 불리한 사건의 잠재적인 영향과 그러한 사건이 발생할 가능성을 결정하기 위해 정보 자산에 존재하는 위협 및 취약성을 신중하게 분석해야 한다. 위 그림에서 볼 수 있듯이 위험 평가 방법론에는 일반적으로 형식적인 위험 평가 프로세스, 주요 용어 및 위험 요소를 정의하는 형식적인 위험 모델, 위험 요소의 값과 이러한 위험 요소가 어떻게 식별되고 분석되며 위험을 평가하기 위해 어떻게 결합되는지를 명시하는 평가 접근 방식이 포함된다. 위험 요소가 어떻게 식별되고 분석되는지를 설명하는 분석 접근 방식은 포괄적이고 효과적인 위험 평가 프로세스다. 발생 가능성은 주어진 위협이 특정 취약성 또는 일련의 취약성을 이용할 수 있는 가능성에 대한 분석을 기반으로 한다. 가능성 위험 요소는 위협 이벤트가 시작될 가능성에 대한 추정치와 영향 가능성에 대한 추정치를 결합한다. 일반적으로 시간적으로 빈도의 맥락에서 설명된다. 예를 들어, 미국에서는 일반적으로 10년에 한 번 토네이도의 피해를 경험한다고 한다. 이때 영향 가능성은 예상할 수 있는 피해의 크기와 상관없이 위협 이벤트가 부정적인 영향을 초래할 가능성 또는 가능성을 다룬다. 조직은 일반적으로 3단계 프로세스를 통해 위협 이벤트의 전체 가능성을 파악한다. 

① 첫째, 조직은 위협 이벤트가 발생할 가능성을 평가한다. 
② 둘째, 조직은 위협 이벤트가 시작되거나 발생할 경우 사람, 프로세스 또는 기술에 부정적인 영향 또는 피해를 초래할 가능성을 평가한다. 
③ 마지막으로, 조직은 전체 가능성을 발생 가능성과 부정적인 영향 가능성의 조합으로 평가한다. 

예를 들어, 연간 50%의 가능성이 조직에 영향을 미칠 수 있고, 허리케인이 영향을 미칠 경우 손실이 발생할 가능성이 10%이며, 전체적인 피해 가능성은 5%다. 위협 이벤트로 인한 영향 또는 결과 수준은 정보의 무단 공개, 정보의 무단 수정, 정보의 무단 파괴 또는 정보 시스템 가용성 상실의 결과로 인해 발생할 수 있는 피해의 크기다. 영향은 일반적으로 성공적으로 발생할 경우 손실될 수 있는 자산의 양을 기준으로 평가된다. 일부 조직에서는 심각도 수준을 이 값의 대리 또는 대체물로 사용하는 것을 선호한다. 조직은 영향 결정을 수행하는 데 사용하는 프로세스를 정의해야 한다. 영향 결정과 관련된 가정, 영향 정보를 얻기 위해 사용되는 출처와 방법, 영향 결정의 근거나 추론 등이 포함된다. 위험 허용 결정은 특정 값 미만의 영향을 미치는 위협 이벤트를 기각할 수 있다.

 

위 그림은 앞서 설명한 주요 위험 요소를 포함한 위험 모델의 예를 보여준다. 각 위험 요소는 위험 평가 프로세스에서 사용된다. 여기에는 위협 소스가 표시된다. 즉, 해커가 위협 이벤트, 공격을 시작하여 정보 자산의 취약성을 악용하려고 시도하는 것이다. 이러한 악용은 부정적인 영향, 즉 손실을 초래한다. 해당 손실은 이러한 이벤트 체인이 얼마나 많은 위험을 초래했는지 계산하는 것이다. 취약성은 자체 문제나 조건과 이를 보호하는 보안 컨트롤의 효과로 인해 더욱 악화된다. 앞서 언급했듯, 위험은 위협 이벤트가 발생할 가능성과 해당 이벤트가 발생할 경우 발생할 잠재적인 부정적 영향의 함수다. 조직은 위험 집계를 사용하여 관련 위험을 위험 범주로 롤업할 수 있다. 이를 통해 여러 시스템 및 비즈니스 프로세스를 포함하는 위험 평가의 범위와 규모를 효율적으로 관리하는 데 도움이 될 수 있을 것이다. 예를 들어, 조직이 여러 정보 자산을 동일한 물리적 서버에 저장하는 경우, 동일한 그룹의 사용자 또는 유사한 환경에 있는 사용자가 사용하는 경우 위험 평가 중에 이를 결합할 수 있다. 미래가 과거와 유사한 경우가 거의 없기 때문에 위험 평가에 불확실성이 내재되어 있다. 우리는 위협에 대해 불완전한 지식을 가지고 있을 수 있으며 보안 컨트롤 및 정보 자산에는 발견되지 않은 취약성이 있을 수 있다. 이러한 다양한 이유로 인한 위험 평가의 불확실성 정도는 개별 가치가 아닌 다양한 결과의 형태로 전달될 수 있다. 그렇기에 특정 위협의 취약성은 정확히 N개가 아니라 N-1 ~ N+1개 정도로 표시되는 것이다.

평가 접근법에는 위험과 그에 기여하는 요인을 추정하는 다양한 방법이 포함된다. 이는 정량적, 정성적 또는 반 정량적을 포함한 매우 다양한 방법으로 평가될 수 있다. 정량적 평가는 일반적으로 평가 외부에서 이해되는 표준화된 값을 가진 숫자를 기반으로 위험을 평가한다. 이러한 유형의 평가는 대체 위험 반응 또는 행동 과정에 대한 비용-편익 분석을 가장 효과적으로 지원한다. 예를 들어, A의 자산 가치는 어떤 추정 또는 계산 방법을 통해 145,000달러가 나왔다. 정성적 평가는 일반적으로 수치가 아닌 범주 또는 수준을 기반으로 위험을 평가한다. 예를 들어, 정보 자산의 값이나 공격 위험을 매우 낮음, 낮음, 보통, 높음 또는 매우 높음으로 설정한다. 반 정량적 평가는 일반적으로 정량적 및 정성적 값의 장점을 사용하여 범위, 척도 또는 대표 값을 사용하는 위험을 평가한다. 이 예시에서는 $0-15,000, $15,000-50,000, $50,000-100,000, 또는 의사 결정자가 위험 결정에 대해 공감할 수 있는 정성적 용어로 쉽게 변환되는 1-10과 같은 척도를 사용한다.

 

분석 접근 방식은 위험 평가의 방향이나 시작점에 따라 다르다. 평가의 세부 수준 및 유사한 위협 시나리오로 인한 위험이 어떻게 처리되는지에 따라 다르다. 분석 접근 방식은 위협 지향적, 자산 영향 지향적 또는 취약성 지향적일 수 있다. 위협 지향적 접근 방식은 위협 소스 및 위협 이벤트의 식별에서 시작하여 위협 시나리오 개발에 중점을 둔다. 그리고 취약성은 위협의 맥락에서 식별된다. 적대적 위협의 경우, 공격자 의도를 기반으로 영향이 식별된다. 자산/영향 지향적 접근 방식은 누락 또는 비즈니스 영향 분석의 결과를 사용하여 우려 및 중요 자산의 영향 또는 결과를 식별하고, 해당 영향 또는 결과를 모색할 수 있는 위협 이벤트 및 위협 소스를 식별하는 것에서 시작한다. 취약성 지향적 접근 방식은 일련의 선행 조건 또는 조직 정보 시스템 또는 시스템이 작동하는 환경의 악용 가능한 약점 또는 결함에서 시작한다. 그런 다음 이러한 취약성을 행사할 수 있는 위협 이벤트와 행사 중인 취약점의 가능한 결과를 식별한다. 이러한 분석 접근 방식은 동일한 위험 요소를 고려하므로, 동일한 일련의 위험 평가 활동을 수반한다. 비록 다른 순서이지만. 위험 평가 활동은 위험 관리 프레임워크의 단계 내에서 통합될 수 있다.

 

RMF 1단계, Prepare. 조직은 RMF의 다른 단계의 서문으로 위험 평가를 수행하도록 선택할 수 있다. 이는 다양한 단계에서 사용될 수 있는 주요 정보를 제공한다. 일부 조직은 위험 평가를 평가 단계까지 연기하기로 결정할 수 있다. 또한 승인된 단계를 보다 최근의 결과로 지원한다. RMF 2단계, Categorize. 분류 초기 위험 평가를 사용하여 위협 원인, 위협 이벤트, 취약성 및 소인 조건에 대한 사용 가능한 정보를 통합하여 정보와 시스템을 보다 효과적으로 분류할 수 있다. RMF 3단계, Select. 선택은 조직이 위험 평가를 사용하여 시스템 및 환경에 대한 보안 제어 선택을 알리고 안내할 수 있는 것이다. 보안 범주화 프로세스에서 초기 보안 제어 기준선을 선택한 후, 위험 평가 결과는 조직이 특정 요구 사항과 조건에 따라 제어를 선택하고 조정하는 데 도움이 된다. 평가는 조직의 제어 결정에 영향을 미칠 수 있는 위협 능력, 의도 및 목표에 대한 데이터도 제공한다. RMF 4단계, Implement. 조직은 위험 평가 결과를 사용하여 선택한 보안 통제의 대체 구현을 식별할 수 있다. RMF 5단계, Assess. 조직은 보안 통제 평가의 결과를 사용하여 위험 평가를 알릴 수 있다. 보안 통제 평가는 조직 정보 시스템과 해당 시스템이 작동하는 환경의 취약성을 식별한다. RMF 6단계, Authorize. 조직이 위험 평가 결과를 사용하여 인가 담당자에게 위험 관련 정보를 제공할 수 있는 단계다. 위험 평가 결과에 기초하여 조직이 수행하는 위험 대응은 조직 정보 시스템과 작동 환경의 알려진 보안 자세다. 마지막으로 RMF 7단계, Monitor. 조직은 조직의 지속적인 모니터링 프로세스로부터 보안 관련 정보를 사용하여 지속적으로 위험 평가를 업데이트할 수 있다.

 

NIST 위험 평가 프로세스, 1단계는 평가를 준비하기 위한 것이다. 위험 평가 프로세스의 이 첫 번째 단계는 위험 평가를 위한 컨텍스트를 구축하기 위한 목적을 가지고 있다. 위험 평가를 준비하기 위한 작업에는 다음과 같은 작업이 포함된다. 평가의 목적 식별, 평가 범위 식별, 평가와 관련된 가정 및 제약 조건 식별, 평가의 입력으로 사용될 정보의 출처 식별, 평가가 사용될 위험 모델 및 분석적 접근 방식 식별 등이 포함된다. 이것이 평가에 사용된다.

 

2단계에서는 평가를 수행한다. 프로세스는 위험 수준별로 우선순위를 지정할 수 있는 정보 보안 위험 목록을 작성하고 위험 대응 결정을 알리는 데 사용된다. 위험 평가 수행에는 다음과 같은 특정 작업이 포함된다. 조직과 관련된 위협 소스를 식별하고, 해당 소스에 의해 생성될 수 있는 위협 이벤트를 식별하며, 특정 위협 이벤트를 통해 위협 소스에 의해 악용될 수 있는 조직 내의 취약성과 성공적인 악용에 영향을 미칠 수 있는 소인 조건을 식별하고, 식별된 위협 소스가 특정 위협 이벤트를 시작할 가능성과 위협 이벤트가 성공할 가능성을 식별하며, 특정 위협 이벤트를 통해 위협 소스에 의한 취약성 악용으로 인한 조직 운영 및 자산, 개인, 다른 조직 및 국가에 미치는 악영향을 식별하고, 정보 보안 위험을 위협 악용 가능성의 조합으로 결정하는 것이다. NIST는 대부분의 조직과 마찬가지로 위험을 가능성 시간 영향으로 계산한 다음 불확실성 정도를 추가한다. 위 다이어그램에서 볼 수 있듯이, Clearwater 컴플라이언스 정보 위험 관리 애플리케이션은 NIST 방법론을 사용하여 이 위협 취약성 자산 트리플에 대한 위험을 계산한다. 이 위협 취약성 자산 트리플에 대한 위험을 계산하기 위해 둘 다 5점 척도로 가능성과 영향이 계산되어 0-25 범위의 위험 값이 생성된다.

 

위험 평가 프로세스의 세 번째 단계는 위험 평가 결과 및 관련 정보를 전달하고 공유하는 것이다. 목표는 조직 전체의 의사 결정자가 위험 결정을 알리고 안내하는 데 필요한 적절한 위험 관련 정보를 가지고 있는지 확인하는 것이다. NIST에 따르면, 정보를 전달하고 공유하는 것은 다음과 같은 구체적인 작업으로 구성된다. 위험 평가 결과를 전달하고 위험 평가 실행에서 개발된 정보를 공유하여 다른 위험 관리 활동을 지원한다.

 

NIST 위험 평가 프로세스의 네 번째 단계는 평가를 유지하는 것이다. 이 단계의 목표는 조직이 정보 자산이 직면한 위험에 대해 잘 알고 있는지 확인하고 이를 현재 상태로 유지하는 것이다. 위험 평가 결과는 위험 관리 결정을 지속적으로 알리고 현재 제어를 개선 또는 대체하기 위한 결정을 포함한 위험 대응을 안내하는 데 사용된다. NIST에 따르면, 위험 평가를 유지하는 것에는 다음과 같은 구체적인 작업이 포함된다. 즉, 위험 평가를 유지하는 것에는 위험 평가에서 확인된 위험 요인을 지속적으로 모니터링하고 해당 요인에 대한 후속 변경 사항을 이해하는 것과 조직이 수행한 모니터링 활동을 반영하여 위험 평가의 구성 요소를 업데이트하는 것이 포함된다. 그런데 이 학습의 내용은 2010년대에 머물고 있기 때문에 보다 많은 내용이 최근 문서에 업데이트되었을 것이다. 이것은 추후에 개인적인 학습이 필요할 것으로 보인다. 이 강의를 통해 확인하고자 하는 것은 원칙과 기반이다.

[3-4] NIST 위험 처리 접근법

 

SP 800-30에 따른 위험 평가의 NIST 단계가 이 그림에 나와 있다. 조직이 사용 중인 위험 접근 방식에 관계없이 각 위협 취약성 자산에 대한 위험을 세 배로 계산한 후 현재 수준의 위험이 허용 가능한지 여부를 결정해야 한다. 이 결정의 결과는 위험 대응 또는 위험 처리이며, 선택한 대응 옵션에 따라 조직은 추가 보안 제어를 구현해야 할 수도 있다. NIST SP 800-39는 위험 평가 결정을 위험 대응으로 알려진 위험 평가 프로세스의 3단계로 설명한다. NIST 모델로서의 위험 대응에는 네 가지 작업이 포함된다. 첫 번째 작업은 위험 평가 중에 결정된 위험에 대응하기 위한 대안적인 행동 과정을 식별하는 것이다.

 

NIST에 따르면, 조직은 다양한 방식으로 위험에 대응할 수 있다. 이러한 응답에는 위험 수용, 위험 회피, 위험 완화, 위험 공유, 위험 전이 또는 이러한 방법의 일부 조합이 포함된다. 위험 처리 전략으로 알려진 행동 과정은 조직이 현재 상황에 맞게 선택하는 기간에 사용할 수 있다. 예를 들어, 비상 상황에서 조직은 외부 통신 공급자에 대한 비보호 인터넷 연결과 관련된 위험을 제한된 시간 동안 수용한 다음, 연결을 종료함으로써 위험을 피할 수 있다. 그들은 보안 컨트롤을 적용하여 멀웨어를 검색하거나 비보호 기간 동안 무단 액세스의 증거를 찾음으로써 단기적으로 위험을 완화할 수 있다. 마지막으로, 방화벽과 같은 추가 컨트롤을 적용하여 연결을 보다 안전하게 처리함으로써 장기적으로 위험을 완화할 수 있다. 위험 수용은 식별된 위험이 조직의 위험 선호도 내에 있을 때 적절한 전략이다. 즉, 조직에 대한 위험 허용 오차보다 작다는 것을 의미한다. 조직은 특정 상황이나 조건에 따라 낮음, 보통 또는 높음으로 분류된 위험을 수용할 수 있다. 또는, 조직은 비즈니스 요구 사항으로 인해 중간에서 높은 범위의 중간 위험을 수용할 수 있다. 조직은 일반적으로 단기 비즈니스 요구 사항과 장기적인 비즈니스 영향에 대한 잠재력 사이의 우선 순위 및 상충 관계, 조직의 이익 및 조직 이해 관계자에 대한 잠재적 영향을 기반으로 허용 가능한 위험의 일반적인 수준과 유형을 결정한다. 수용은 조직이 자산에 대한 현재 위험을 공식적으로 검토하고 정당한 이유로 수용하기로 결정한 경우에만 실행 가능한 옵션임을 기억해야 한다. 조직이 프로세스를 처리하고 싶어하지 않을 때에만 기본 옵션이 되어서는 안 된다. 확인된 위험이 조직의 위험 허용오차를 초과할 때 위험 회피가 적절한 위험 대응이 될 수 있다. 위험 회피는 위험의 기초가 되는 활동이나 기술을 제거하거나 수용할 수 없는 위험을 피하기 위해 이러한 활동이나 기술을 수정하거나 재배치하기 위해 특정 행동을 취하는 것을 포함한다. 위험 완화 또는 위험 감소는 수용할 수 없고, 회피할 수 없으며, 공유하거나 이전할 수 없는 위험의 해당 부분에 대한 적절한 위험 대응이다. 선택된 완화 옵션은 조직의 위험 관리 전략 및 관련 위험 관리 전략뿐만 아니라 조직의 예산과 조직의 직원들이 새로운 통제를 선택, 구현 및 관리할 수 있는 지식, 기술 및 능력에 따라 달라진다. 일부 통제는 NIST SP 800-53 및 그 보완 사항에 명시되어 있다. 위험 공유 또는 위험 이전은 조직이 원하고 위험 책임과 책임을 다른 조직으로 전환할 수 있는 수단을 가지고 있을 때 적절한 위험 대응이다. 위험 이전은 전체 위험 책임 또는 책임을 한 조직에서 보험 회사로 이전하기 위해 보험을 사용하는 것과 같은 다른 조직으로 전환한다. 위험 공유는 위험 책임 또는 책임의 일부를 다른 조직, 일반적으로 위험을 해결할 자격이 더 있는 조직으로 이동시킨다. 위험 이전이 조직 운영 및 자산 또는 이해 관계자에 대한 해악 측면에서 유해 이벤트가 발생하거나 결과가 발생할 가능성을 줄이지 않는다는 점에 유의해야 한다. 위험 공유는 조직이 위험을 해결하려면 다른 조직이 더 잘 제공하는 전문 지식이나 자원이 필요하다고 결정할 때 자주 발생한다. 위험 대응의 다음 작업은 위험에 대응하기 위한 대안 행동 과정을 평가하는 것이다. 이 평가에는 원하는 위험 대응의 예상 효과와 대응 구현 가능성이 포함될 수 있으며, 궁극적으로 사이버 보안 요구 사항 및 조직 및 성공에 미치는 영향을 포함한 여러 요구 사항을 기반으로 평가가 이루어진다. 예산 제약, 상위 관리 우선 순위와의 일치 및 개인 정보 보호 필요성도 이러한 결정에 영향을 미칠 수 있을 것이다. 위험 대응의 다음 작업은 위험에 대응하기 위한 적절한 행동 과정을 결정하는 것이며, 이는 어떤 형태로든 우선 순위가 필요할 것이다. 일부 위험은 다른 위험보다 더 큰 것으로 간주될 수 있으며, 이는 조직이 다른 낮은 우선 순위 위험보다 높은 우선 순위 수준에서 더 많은 자원을 지시해야 한다. 이것은 반드시 낮은 우선 순위의 위험이 처리되지 않는다는 것을 의미하는 것은 아니며, 오히려 초기에 더 적은 자원이 낮은 우선 순위 위험으로 처리될 수 있거나 나중에 낮은 우선 순위의 위험이 처리될 수 있음을 의미할 수 있다.

 

위험 대응의 마지막 작업은 위험에 대응하기 위해 선택한 행동 과정을 구현하는 것이다. 행동 과정이 선택되면 조직은 관련 위험 처리를 구현한다. 조직의 규모와 복잡성에 따라 위험 대응 조치의 실제 구현은 상당히 어려울 수 있다. 조직 정보 시스템의 취약성을 식별하기 위해 패치를 적용하는 것과 같은 일부 위험 처리 전략 조치는 본질적으로 전술적이며 신속하게 구현될 수 있다. 다른 위험 대응 조치는 본질적으로 더 전략적일 수 있으며, 구현하는 데 훨씬 더 오랜 시간이 걸리는 솔루션을 반영한다. 앞서 언급했듯이 조직이 완화적 위험 대응 전략을 선택하면 추가 제어를 구현하기로 선택할 수 있다. 여기에는 정책, 교육 및 인식 프로그램, 물론 보안 기술의 사용에 대한 추가, 대체 또는 수정이 포함될 수 있다. 제어 옵션에 대한 NIST 논의는 SP 800-53A 개정 5, 정보 시스템 및 조직의 보안 및 개인 정보 제어에 게시된다. 이는 NIST 위험 관리 프레임워크의 평가 단계에서도 사용되는 800-53A 개정 4, 연방 정보 시스템 및 조직의 보안 및 개인 정보 제어 평가, 효과적인 평가 계획 수립 및 SP 800-53B 정보 시스템 또는 조직의 제어 기준선에 의해 지원되고 보완된다.

 

보안 및 개인 정보 보호 통제의 선택, 설계 및 구현은 조직의 이해 관계자의 복지뿐만 아니라, 조직의 운영 및 자산에도 중요한 영향을 미치는 중요한 작업이다. 조직은 정보 보안 및 개인 정보 보호 통제를 다룰 때 몇 가지 주요 질문에 답해야 한다. 예를 들어, 보안 및 개인 정보 보호 요구 사항을 충족하고 개인의 비즈니스 위험 또는 위험을 적절하게 관리하기 위해 어떤 보안 및 개인 정보 보호 통제가 필요한가? 또한, 선택된 통제가 구현되었거나 구현될 계획이 있는가? 마지막으로, 설계되고 구현된 대로 선택된 통제가 효과적일 것이라는 필수 보장 수준은 어느 정도인가? 보안 및 개인 정보 보호 통제 카탈로그는 다양한 운영, 환경 및 기술 시나리오에서 개인 식별 가능한 정보 처리로 인해 발생하는 개인 정보 보호 위험과 전통적이고 발전된 지속적인 위협으로부터 조직, 개인 및 정보 시스템을 효과적으로 보호하는 데 사용될 수 있다. 통제는 다양한 정부, 조직 또는 기관의 보안 및 개인 정보 보호 요구 사항에 대한 준수를 입증하는 데 사용될 수 있다. 보안 및 개인 정보 보호 통제는 또한 고유하거나 전문화된 비즈니스 응용 프로그램, 정보 시스템, 위협 우려 사항, 운영 환경, 기술 또는 관심 커뮤니티에 대한 전문 기준선 또는 오버레이를 개발하는 데 사용될 수 있다. NIST 특별 간행물 800-53은 각 통제의 목적에 대한 논의와 구현 및 평가에 대한 정보를 포함하는 보안 및 개인 정보 통제 카탈로그를 제공한다.

 

SP 800-53에서 보안 및 개인 정보 보호 제어는 그림의 왼쪽에 표시된 기본 제어 섹션, 아래쪽에 표시된 토론 섹션, 빨간색으로 강조된 관련 제어 섹션, 지금은 빨간색으로 강조된 제어 강화 섹션, 그리고 지금은 빨간색으로 강조된 참조 섹션의 구조를 가진다. 보안 및 개인 정보 보호 제어의 선택 및 구현은 정보 보안 및 개인 정보 보호 프로그램의 목표와 이러한 프로그램이 각각의 기술을 관리하는 방법을 반영한다. 상황에 따라 이러한 목표와 위험은 독립적일 수도 있고 중복될 수도 있다. 사이버 보안 프로그램은 기밀성, 무결성 및 가용성을 제공하기 위해 무단 액세스, 사용 공개, 중단, 수정 또는 파괴로부터 정보 시스템을 보호하는 역할을 한다. 또한, 이러한 프로그램은 보안 위험을 관리하고 해당 보안 요구 사항을 준수하는 것을 보장하는 역할도 한다.