일반적인 정부 사이버 보안 표준과 이를 준수하기 위해 해야 할 일
주 및 연방 기관을 포함한 공공 부문도 민간 부문과 마찬가지로 사이버 공격의 위험에 노출되어 있습니다. 그러나 기술 채택 측면에서 공공 부문은 민간 부문에 비해 뒤처져 있는 것으로 알려져 있으며, 이로 인해 일부 정부 기관은 위협 공격자에 대한 적절한 방어 체계를 구축하지 못하는 환경을 조성하고 있습니다..
최근 몇 년 동안 연방 정부와 일부 제3자 기관은 공공 부문의 사이버 보안 노력을 안내하는 데 도움이 되는 다양한 표준을 도입했습니다. 여기에서는 이러한 표준 중 몇 가지를 살펴보고 정부 및 공공 부문 조직(및 해당 계약업체)이 이러한 표준을 준수하기 위해 할 수 있는 일을 간략하게 설명합니다.
공공 부문 사이버 보안 표준
공공 부문에 어느 정도 적용되는 사이버 보안 표준 목록이 많이 있습니다. 아래 표준은 정부 주도의 규정이거나 공공 부문 기관에 영향을 미치는 표준입니다:
- 미국 미국 국립표준기술연구소(NIST) 사이버보안 프레임워크(CSF) 은 사이버 보안 위험 관리를 위한 지침을 제공합니다. 특정 조치를 의무화하지는 않지만 연방 기관과 주 및 지방 정부에서 일반적으로 사용하는 지침입니다.
- 연방 정보 보안 관리법( 연방 정보 보안 관리법(FISMA) 에는 연방 기관이 정보 및 시스템을 보호하기 위해 적절한 보안 제어를 구현하고 유지해야 한다는 의무가 명시되어 있습니다. 기관은 다른 NIST 지침 및 표준과 함께 NIST CSF를 따라야 합니다.
- 그리고 결제 카드 산업 데이터 보안 표준(PCI DSS) 는 결제 카드 정보를 처리, 저장 또는 전송하는 조직에 적용됩니다. 여기에는 민감한 결제 카드 데이터를 처리하는 공공 부문 조직이 포함됩니다. PCI를 준수하려면 표준 내 사양을 충족해야 하며, 이를 준수하지 않을 경우 벌금이 부과될 수 있습니다.
- 그리고 건강 보험 이동성 및 책임에 관한 법률(HIPAA) 는 보호 대상 건강 정보(PHI)를 취급하는 모든 조직에 적용됩니다. 이 법은 적용 대상 조직이 PHI를 보호하기 위해 적절한 보안 제어를 구현하도록 의무화합니다.
- 사이버 보안 및 인프라 보안 기관 사이버 보안 및 인프라 보안 기관(CISA) 에는 사이버 보안 성숙도 모델 인증(CMMC)는 국방부가 계약업체 및 하청업체의 사이버 보안 태세를 평가하는 데 사용하는 사이버 보안 프레임워크입니다.
- 미국 미국 국립표준기술연구소(NIST) SP 800-53 에는 정보 시스템 및 조직을 위한 보안 제어의 선택 및 구현에 대한 지침이 포함되어 있습니다. 이 지침은 연방 기관에서 사용하지만 연방 IT 네트워크에서 작업하는 정부 계약업체에도 일반적으로 적용됩니다.
- 국제 표준화 기구 국제 표준화 기구 (ISO) 27001 및 (ISO) 27002 표준은 공공 부문에 관련 교훈을 주는 비정부 표준의 예로서, 정보 보안 관리에 대한 지침을 제공하므로 공공 부문 조직에 적용됩니다.
규정 준수를 위해 무엇을 할 수 있나요?
어떤 규정이 조직에 적용되는지에 따라 규정 미준수에 따른 영향은 다양합니다. 하지만 최소한 위에 나열된 표준은 조직의 데이터를 안전하게 보호하고 랜섬웨어 공격을 방지하며 다운타임을 방지하려는 경우 따를 만한 가치가 있는 좋은 조언을 제공할 뿐입니다.
그러나 일관되게 규정을 준수하는 것은 쉽지 않으며, 적절한 리소스와 적절한 도구로 뒷받침되는 전략적 접근 방식이 필요합니다. 조직이 해야 할 몇 가지 주요 작업은 다음과 같습니다:
- 귀하의 의무가 어디에 있는지 이해. 대부분의 표준은 광범위하며, 단순한 권고 사항부터 벌금 또는 그 이상의 처벌을 수반하는 절대적인 의무에 이르기까지 그 시행 방식이 다양합니다. 성공적으로 대응하려면 가장 중요하고 구체적인 의무가 무엇인지 파악하고 이에 먼저 대응한 다음 단계적으로 대응하세요.
- 디렉터 수준에서 사이버 보안 목표 설정. 규정 준수 의무를 충족하려면 최고 경영진의 동의가 중요합니다. 실질적인 사이버 보안 규정 준수는 문화의 문제이기도 하며, 위에서부터 아래로 흘러내려가야 하는 문화이기 때문에 하위 수준에서 처리하는 상자 채우기 연습으로 방치해서는 안 됩니다.
- 사이버 보안 규정 준수 노력에 대한 적절한 리소스 확보. 오늘날 IT 환경의 복잡성과 사이버 보안 위협의 규모가 합쳐지면 문제가 더욱 복잡해집니다. 이는 큰 작업입니다. 최소한의 인력만으로는 이를 완수할 수 없습니다. 적절한 리소스 확보.
- 좋은 연습으로 시작. MFA, 제로 트러스트, 지속적인 모니터링 및 감사 등 좋은 관행이 좋은 관행인 데에는 이유가 있습니다. 모범 사례가 이미 마련되어 있다고 가정하지 말고, 상식처럼 보이는 것의 중요성을 최소화하지 마세요. 사이버 보안 표준에서 요구하는 사항의 대부분은 모범 사례의 반복일 뿐이며, 그 반복에는 이유가 있습니다. 어쨌든 가장 합리적인 원칙을 적용하세요.
- 컨설턴트 참여 고려. 앞서 말했듯이 컴플라이언스는 복잡하므로 내부 팀의 능력을 과대평가하지 마세요. 컨설턴트는 달성해야 할 목표에 어느 정도의 관점과 맥락을 더하는 데 도움을 줄 수 있으므로 규정 준수에 이제 막 집중하기 시작한 경우 특히 유용합니다. 그러나 이미 경험이 풍부한 팀이 있더라도 외부 컨설턴트는 유용한 현실 점검을 제공할 수 있습니다.
- 최첨단의 최신 정보. 사이버 보안은 빠르게 변화하는 분야이며 위협 행위자들이 빠르게 진화하고 있으므로 사이버 보안 기술도 이에 발맞춰야 합니다. 여기에 유용한 트렌드 목록을 게시했습니다.
- 가능한 경우 라이브 패치 적용. 패치는 많은 사이버 보안 프레임워크의 핵심이지만, 사이버 보안 규정 준수에서 가장 올바르게 수행하기 어려운 측면 중 하나이기도 합니다. 라이브 패치는 다음과 같은 차이를 만들 수 있습니다.유지 보수 기간과 리소스 요구 사항을 줄이고 패치 릴리스와 패치 적용 사이의 기간을 최소화할 수 있습니다.
사이버 보안 규정 준수를 위해서는 의심할 여지 없이 조직 문화에 완전히 뿌리내린 공동의 노력이 필요합니다.
포괄적인 대응이 필요합니다.
공공 부문의 경우 여러 계층의 사이버 보안 표준이 적용됩니다. 이러한 표준 중 일부는 선택 사항이지만 어쨌든 준수하는 것이 좋습니다. 다른 표준은 특정 목표를 의무화하고 있으며, 이러한 표준을 준수해야 함에도 불구하고 이러한 목표를 달성하지 못하는 조직은 벌칙을 받게 됩니다.
포괄적이고 모든 것을 아우르는 대응만이 유일한 선택입니다. 규정을 준수하기 위해 조직이 해야 할 일을 파악하고 내부 리소스, 컨설턴트, 최신 사이버 보안 방어 도구 등 가능한 모든 도움을 받으세요: 실시간 패치 포함.