보안 제어

이 글은 독자들에게 혼란스럽거나 불명확할 수 있다. 기사에 대해 명확하게 설명할 수 있도록 도와주십시오. 토크 페이지에서 이에 대한 논의가 있을 수 있다. (2012년 1월) (이 템플릿 메시지를 제거하는 방법과 시기 알아보기)

보안관제는 물리적 재산, 정보, 컴퓨터 시스템 또는 기타 자산에 대한 보안 위험을 방지, 탐지, 대응 또는 최소화하기 위한 안전장치 또는 대응책이다.^[1] 정보 보안 분야에서, 그러한 통제는 정보의 기밀성, 무결성 및 가용성을 보호한다.

제어 시스템은 프레임워크 또는 표준이라고 할 수 있다. 프레임워크는 조직이 서로 다른 유형의 자산에 대한 보안 제어를 일관성 있게 관리할 수 있도록 한다.

보안 제어 유형

보안관제는 다양한 기준으로 분류할 수 있다. 예를 들어, 통제장치는 때때로 보안침해와 관련하여 행동할 때에 따라 분류된다.

• 예방적 통제는 예를 들어 무단 침입자를 차단함으로써 사건 발생을 방지하기 위한 것이다.
• 사건 중 탐정 통제장치는 침입자 경보를 울리고 보안요원이나 경찰에게 경고함으로써 진행 중인 사건을 식별하고 특성화하기 위한 것이다.
• 사건 발생 후 시정 통제는 예를 들어 조직을 최대한 효율적으로 정상 근무 상태로 회복시킴으로써 사건에 의해 야기되는 모든 피해의 범위를 제한하기 위한 것이다.

보안 통제도 그 특성에 따라 다음과 같이 분류할 수 있다.

• 울타리, 문, 자물쇠 및 소화기와 같은 물리적 통제
• 절차적 또는 행정적 통제(예: 사고 대응 프로세스, 관리 감독, 보안 인식 및 교육)
• 기술 또는 논리적 제어(예: 사용자 인증(로그인) 및 논리적 액세스 제어, 바이러스 백신 소프트웨어, 방화벽,
• 개인 정보 보호법, 정책 및 조항과 같은 법적, 규제 또는 컴플라이언스 통제.

컴퓨팅의 보안 제어에 대한 자세한 내용은 심층 방어(컴퓨팅) 및 정보 보안을 참조하십시오.

정보 보안 표준 및 제어 프레임워크

수많은 정보보안 표준은 우수한 보안관행을 촉진하고, 정보보안 통제를 관리하기 위한 분석과 설계를 구조화하기 위한 프레임워크나 시스템을 정의한다. 가장 잘 알려진 몇 가지 표준은 아래에 요약되어 있다.

국제표준기구

ISO/IEC 27001은 14개 그룹의 114개 컨트롤을 지정한다.

• A.5: 정보 보안 정책
• A.6: 정보보안을 조직하는 방법
• A.7: 인적 자원 보안 - 고용 전, 고용 중 또는 고용 후에 적용되는 통제.
• A.8: 자산 관리
• A.9: 액세스 제어 및 사용자 액세스 관리
• A.10: 암호기술
• A.11: 조직의 현장 및 장비에 대한 물리적 보안
• A.12: 운영 보안
• A.13: 안전한 통신 및 데이터 전송
• A.14: 정보 시스템의 안전한 취득, 개발 및 지원
• A.15: 공급업체 및 제3자를 위한 보안
• A.16: 사고 관리
• A.17: 비즈니스 연속성/재해 복구(정보 보안에 영향을 미치는 정도)
• A.18: 규정 준수 - 정책과 같은 내부 요구사항과 법률과 같은 외부 요구사항.

미국 연방 정부 정보 보안 표준

연방 정보처리 표준(FIPS)은 모든 미국 정부 기관에 적용된다. 그러나 국가보안시스템위원회의 권한에 따라 특정 국가보안시스템은 이 기준 밖에서 관리된다.

연방 정보 처리 표준 200(FIPS 200), "연방 정보 및 정보 시스템에 대한 최소 보안 요건"은 연방 정보 시스템에 대한 최소 보안 통제와 보안 통제의 위험 기반 선택이 발생하는 프로세스를 명시한다. 최소 보안 제어 카탈로그는 NIST 특수 간행물 SP 800-53에 수록되어 있다.

FIPS 200은 17개의 광범위한 제어 제품군을 식별한다.

1. AC 액세스 제어.
2. AT Awareness and Training.
3. AU 감사 및 책임.
4. CA 보안 평가 및 승인. (계속 약어)
5. CM 구성 관리.
6. CP 비상 계획.
7. IA 식별 및 인증.
8. IR 인시던트 응답.
9. MA 유지관리.
10. MP 미디어 보호.
11. PE 물리적 환경 보호.
12. PL 계획.
13. PS 인사 보안.
14. RA 위험 평가.
15. SA 시스템 및 서비스 취득.
16. SC 시스템 및 통신 보호.
17. SI 시스템 및 정보 무결성.

국립표준기술연구원

NIST 사이버보안 프레임워크

"핵심"에서 기능 영역 5개와 약 100개의 개별 제어 영역으로 나뉜 성숙도 기반 프레임워크.

NIST SP-800-53

패밀리와 상호 참조로 그룹화된 거의 1,000개의 기술 제어 데이터베이스.

• 800-53의 개정 3부터 시작하여, 프로그램 관리 통제가 식별되었다. 이러한 제어장치는 시스템 제어와는 독립적이지만 효과적인 보안 프로그램에 필요하다.
• 800-53의 개정 4를 시작으로, 8개 제품군의 프라이버시 통제가 연방법의 프라이버시 기대와 일치하도록 식별되었다.
• 800-53의 개정 5부터 시작하여, 이 조정기는 NIST 데이터 개인 정보 보호 프레임워크에 의해 정의된 데이터 개인 정보 보호도 다룬다.

커머셜 컨트롤 세트

코빗5

ISACA에서 발행한 독점 통제 세트.^[2]

• 엔터프라이즈 IT 거버넌스
  • 평가, 직접 및 모니터링(EDM) – 5개 프로세스
• 엔터프라이즈 IT 관리
  • 조정, 계획 및 조직화(APO) – 13개 프로세스
  • BAI(Build, Acquire and Implement) – 10개 프로세스
  • DSS(Delivery, Service and Support) – 6개 프로세스
  • 모니터링, 평가 및 평가(MEA) - 3가지 프로세스

CIS Top-20

인터넷 시큐리티 센터에서 발행한 상업적으로 허가 가능한 통제 장치.^[3]

• 자원봉사자 네트워크에 의해 개발되고 사용권 계약을 통해 상업적으로 사용할 수 있게 된 20개의 제어장치.

ts 완화

Threat Sketch에서 설정한 개방형(Creative Commons)^[4] 및 상업적으로 허가 가능한 통제.

• 개방: 100개의 NIST 사이버보안 프레임워크 컨트롤에 매핑된 50개의 비즈니스 언어 완화.
• 개방: 거의 1,000개의 NIST SP-800-53 제어장치에 매핑된 50개의 비즈니스 언어 완화.

통신

통신에서, 보안 제어는 OSI 참조 모델의 일부로 보안 서비스로 정의된다.

• ITU-T X.800 권장사항.
• ISO 7498-2

이것들은 기술적으로 정렬되어 있다.^[5][6] 이 모델은 널리 인정받고 있다.^{[7] [8]}

데이터 책임(법적, 규제, 컴플라이언스)

보안 위험과 관리 표준을 설정하는 법률의 교차점은 데이터 책임이 정의되는 부분이다. 위험 관리자가 국가, 지방/주 및 지방 수준에서 책임을 정의하는 법률을 연구할 수 있도록 도와주는 소수의 데이터베이스가 생겨나고 있다. 이 통제 세트에서 관련 법률의 준수는 실제 위험 완화 장치다.

• Perkins Coie Security Break Notification Chart: 미국 주 간에 데이터 위반 알림 요구 사항을 정의하는 일련의 기사(^[9]주당 1개)
• NCSL 보안 위반 통지 법률: 데이터 위반 통지 요건을 정의하는 미국 주 법령의 목록.^[10]
• ts 관할권: 위반 전과 후에 사이버 보안에 영향을 미치는 380개 이상의 미국 주 및 연방 법률이 적용되는 상업용 사이버 보안 연구 플랫폼. ts 관할구역도 NIST 사이버 보안 프레임워크에 매핑된다.^[11]

비즈니스 제어 프레임워크

내부 사업 및 기업간 통제를 검토하는 프레임워크와 표준은 다음과 같은 광범위한 범위가 있다.

• SSAE16길
• ISAE 3402
• 결제 카드 산업 데이터 보안 표준
• 의료보험의 휴대성 및 책임에 관한 법률
• 코비트 4/5
• CIS Top-20
• NIST 사이버보안 프레임워크

참고 항목

• 접근 제어
• 대응책
• 환경설계
• 정보 보안
• OSI 참조 모델
• 물리적 보안
• 위험
• 보안
• 보안공학
• 보안관리
• 보안 서비스

참조

• NIST SP 800-53 개정판 4
• DoD 지침 8500.2
• FISMAPEDIA 용어