사이버 보안 프레임워크의 개발

Report
Public-Private Engagement:
Government-Industry Collaboration for
Effective Cybersecurity Policymaking
Presented to AMCHAM Korea
Seoul
May 16, 2014
공공-민간 협약:
효과적인 사이버 보안 정책 수립을 위한
정부와 기업간 협약
발표 대상: 주한미국상공회의소
서울
2014년 5월 16일
Today’s Speakers
Danielle Kriz Director, Global Cybersecurity Policy,
Information Technology Industry Council (ITI)
Angela McKay, Director, Cybersecurity Policy and
Strategy, Global Security Strategy and Diplomacy,
Trustworthy Computing Microsoft
Cheri McGuire Vice President, Global Government Affairs
and Cybersecurity Policy, Symantec Corporation
Adam Sedgewick Senior Information Technology Policy
Advisor, U.S. National Institute of Standards and
Technology (NIST)
Jamie Brown Director, Global Government Relations, CA
Technologies
초청 연사
Danielle Kriz Director, 글로벌 사이버 보안 정책,
Information Technology Industry Council (ITI)
Angela McKay, Director, 사이버 보안 정책 및 전략, 글로벌
보안 전략 및 외교, Trustworthy Computing Microsoft
Cheri McGuire Vice President, 글로벌 정부 업무 및 사이버
보안 정책, Symantec Corporation
Adam Sedgewick Senior Information Technology Policy
Advisor, U.S. National Institute of Standards and
Technology (NIST)
Jamie Brown Director, 글로벌 정부 관계, CA
Technologies
Characteristics of public-private engagement
in cybersecurity policymaking
Participants
o ITI and member companies work with governments around
the world on cybersecurity policy
o We advocate approaches based on global standards, global
principles
Benefits
o Global approaches allow for better security and
interoperability with enhanced trade
o Partnerships leverage expertise of all participants
Global Examples…
사이버 보안 정책 수립에서의
공공-민간 협약의 특징
참가자
o ITI 및 회원사는 사이버 보안 정책에서 전 세계의 정부와 공조
o 글로벌 기준과 원칙에 기반한 접근 방식 지지
혜택
o 글로벌 접근 방식으로 개선된 보안 및 상호 운용성과 무역 강화
o 제휴 관계를 통한 모든 참여자의 전문 기술 활용
해외 사례…
Industry engagement in U.S. cybersecurity
policymaking
o Industry works with U.S. Congress (legislature) and U.S.
executive branch (White House, Departments, Agencies)
o Both branches are active on cybersecurity
o U.S. Congress
o Many cybersecurity bills over last 10+ years
o Industry provides perspective, experience, suggestions
o Although few bills have passed, Congress conducts oversight
over executive branch agencies
o U.S. Executive Branch
o Focus shifted here as Congressional activity slowed
o Obama Administration developed new initiatives to advance
cybersecurity goals
o Administration mandated roles for industry in its initiatives
미국내 기업의 사이버 보안 정책 수립 참여
o 기업은 미국 의회(입법부)와 미국 행정부(백악관, 부서, 기관)과
공조
o 두 기관 모두 사이버 보안에 적극적
o 미국 의회
o 지난 10년 이상 동안 많은 사이버 보안 법안 발의
o 기업은 업계의 관점, 경험, 제안을 제공
o 많지 않은 법안이 통과되었지만 의회는 행정부 기관을 감독
o 미국 행정부
o 의회 활동의 둔화로 관심 집중
o 오바마 정부는 사이버 보안 목표 달성을 위해 새로운 계획 개발
o 이 계획에서 행정부는 기업에 역할 위임
U.S. National Infrastructure Protection Plan
o Outlines a structure for U.S. critical infrastructure protection
o Provides the framework for all levels of U.S. government to
collaborate with appropriate security partners, including private
sector entities
o Consists of a base plan and 16 sector-specific plans to cover all
areas of critical infrastructure and key resources (CI/KR)
o Describes responsibility to address physical, human, and cyber risk
in all infrastructure sectors
미국 국가 기반시설 보호 계획
o 미국 주요 국가 기반시설 보호의 체계 설명
o 민간 단체 등 적절한 보안 파트너와의 협력을 위한 프레임워크를
모든 층위의 미국 정부에 제공
o 기본 계획 및 주요 인프라와 주요 자원(CI/KR)의 모든 분야를
아우르는 16개 부문별 계획으로 구성
o 모든 기반시설 분야에서, 물적, 인적 위험 및 사이버 위험을 해결하기
위한 책임 설명
U.S. National Infrastructure Protection Plan
미국 국가 기반시설 보호 계획
February 2013 Executive Order (EO), “Improving
Cybersecurity Critical Infrastructure”
o Issued by President Obama
o Mandates only U.S. federal department/agency actions
o Mandates outreach to industry
o Industry has chosen to engage
o Many industry stakeholders provided ideas during
development of EO
o EO recognizes effective cybersecurity policy should
leverage public-private partnerships, be adaptable to
emerging threats, technologies, and business models,
and be based on risk management
2013년 2월, 행정 명령(EO), “주요 인프라 사이버
보안 개선”
o 오바마 대통령 발표
o 미국 연방 부서/기관 조치에 한해서 위임
o 기업에 대한 확장을 위임
o 기업도 참여하기로 선택
o 많은 업계 관계자가 EO의 개발 과정에서 아이디어를
제공
o EO에 의하면, 효과적인 사이버 보안 정책은 공공-민간
파트너십을 활용해야 하며 새로운 위협, 기술, 비즈니스
모델에 대해 적용 가능해야 하고, 위험 관리 에 기반해야
한다.
Key components of Executive Order
o Cyber threat information sharing
o
Directs government to share more “actionable” cyber threat information with private sector
o Cybersecurity Framework.
o
Directs NIST to create a Framework based on existing voluntary standards and best
practices that helps critical infrastructure owners and operators manage cyber risks
o Voluntary Program
o
Directs Department of Homeland Security to develop a Program to help organizations utilize
Cybersecurity Framework
o Incentives
o
Directs White House to explore incentives for organizations to participate in Program
o Critical infrastructure at greatest risk
o
Directs DHS to identify “critical infrastructure at greatest risk” - where a cybersecurity incident
could have catastrophic effects on public health or safety, economic security, or national
security
행정 명령의 주요 구성 요소
o 사이버 위협 정보 공유
o
정부에게 민간 부문에 더 많은 "실행 가능한" 사이버 위협 정보를 공유하도록 지시
o 사이버 보안 프레임워크
o
NIST에게 기존의 자발적 표준과 주요 인프라의 소유자와 운영자가 사이버 위험을 관리하는
것을 돕는 최선의 방법에 기반해서 프레임워크를 만들 것을 지시
o 자발적 프로그램
o
국토 안보부에게 조직이 사이버 보안 프레임워크를 활용할 수 있도록 돕는 프로그램을
개발하는 것을 지시
o 혜택
o
백악관에게 프로그램에 참여하는 조직에 혜택을 주는 방안을 강구하는 것을 지시
o 가장 위험한 주요 인프라
o
국토 안보부에게 사이버 보안 사고 시 공중 보건과 안전, 경제 안보 또는 국가 안보에
치명적인 영향을 줄 수 있는 “가장 위험한 주요 인프라”를 식별할 것을 지시
NIST Framework for Improving Critical Infrastructure
Cybersecurity
•
•
•
Under the EO, NIST was directed to work with stakeholders to develop
a voluntary framework for reducing cyber risks to critical infrastructure
Version 1.0 of the framework was released on Feb. 12, 2014, along with
a roadmap for future work
Based on the EO, the Framework must:
• Include a set of standards, methodologies, procedures, and
processes that align policy, business, and technological approaches
to address cyber risks
• Incorporate international voluntary consensus standards and
industry best practices to the fullest extent possible
• Provide a prioritized, flexible, repeatable, performance-based, and
cost-effective approach, including information security measures
and controls, to help owners and operators of critical infrastructure
identify, assess, and manage cyber risk
• Identify areas for improvement to be addressed through future
collaboration with particular sectors and standards-developing
organizations
17
주요 인프라 사이버 보안 개선을 위한 NIST 프레임워크
•
•
•
EO에 의해서, NIST는 이해 관계자들과의 작업을 통해서 자발적인
프레임워크를 개발해서 중요 프레임워크에 대한 사이버 위험을
감소시키도록 지시 받음
2014년 2월 12일에 배포된 프레임워크 버전 1.0 에는 향후 작업에 대한
로드맵이 포함됨
EO에 기반한 프레임워크의 필수 사항:
• 정책과 사업을 조정하는 표준, 방법론, 절차, 프로세스 및 사이버
위험에 대응할 수 있는 기술적 접근 방식을 포함해야 한다.
• 가능한 최대 범위까지 국제 자발적 합의 표준 및 업계의 모범 사례를
통합해야 한다.
• 우선 순위별, 유연하고 반복 가능하며 성능 기반의 비용 효과적인
접근 방법을 제공해야 한다. 이러한 접근 방법에는 주요 인프라의
소유자와 운영자가 사이버 위험을 식별하고 평가하며 관리할 수
있도록 하는 정보 보안 대책 및 제어가 포함된다.
• 특정 부문과 표준 개발 조직의 향후의 협력을 통해
해결해야 할 개선 영역을 식별해야 한다.
18
Development of the Cybersecurity Framework
Engage the
Framework
Stakeholders
Analyze RFI
Responses
EO 13636 Issued – February 12, 2013
NIST Issues Request For Information (RFI) – February 26,
2013
1st Framework Workshop (DC)– April 03, 2013
2nd Framework Workshop (Pennsylvania) – May 29-31, 2013
Draft Outline of Preliminary Framework – June 2013
Identify
Framework
Elements
3rd Framework Workshop (California) – July 10-12, 2013
Discussion Draft of the Preliminary Framework - August 28, 2013
Prepare and
Publish
Preliminary
Framework
Ongoing
Engagement:
Open public comment
and review
encouraged and
promoted throughout
the process
4th Framework Workshop (Texas) – September 1113, 2013
Publish Preliminary Framework – October 29, 2013
Final
Framework
5th Framework Workshop (North
Carolina) – Nov 14-15, 2013
Publish Final Framework – February 13,
2014
19
사이버 보안 프레임워크의 개발
프레임워크의
EO 13636 발행 – 2013년 2월 12일
NIST에서 정보 요청(Request For Information) 발행 –
2013년 2월 26일
1차 프레임워크 워크숍(DC) – 2013년 4월 3일
이해 관계자의
참여
RFI 응답 분석
2차 프레임워크 워크숍(Pennsylvania) – 2013년 5월 29-31일
예비 프레임워크 초안 개요 – 2013년 6월
프레임워크
요소 식별
3차 프레임워크 워크숍(California) – 2013년 7월 10-12일
예비 프레임워크 초안 토론 - 2013년 8월 28일
예비
프레임워크
구비 및 발표
지속적인 참여:
전 과정에 있어 공개
의견 수렴 및 검토
장려 및 추진
4차 프레임워크 워크숍(Texas) – 2013년
9월 11-13일
예비 프레임워크 발표 – 2013년 10월 29일
최종
프레임워크
5차 프레임워크 워크숍(North Carolina) –
2013년 11월 14-15일
최종 프레임워크 발표 – 2014년 2월 13일
20
Framework Structure
Built around five functions of any good
cybersecurity program:
Identify – Protect – Detect – Respond – Recover
21
프레임워크 체계
사이버 보안 프로그램의 5개의 기능을
중심으로 설계:
확인 - 보호 - 감지 - 대응 - 복구
22
Using the Cybersecurity Framework
It is designed to complement existing business and cybersecurity
operations, and can be used for many different purposes, such as
• Understand your cybersecurity status
• Establish, improve, or adjust a cybersecurity program
• Communicate a company’s cybersecurity requirements with
partners, suppliers
• Identify opportunities for industry to develop new or revised
voluntary standards
• Identify tools and technologies to help organizations use the
Framework
• Incorporate privacy protections into cybersecurity programs
• Alignment with international policies and/or standards for
cybersecurity and risk management
23
사이버 보안 프레임워크 사용
기존의 비즈니스와 사이버 보안 운영을 보완하도록 설계되었으며,
다음과 같은 다양한 기타 목적으로 사용될 수 있다.
• 사이버 보안 상태 이해
• 사이버 보안 프로그램의 수립, 개선 또는 조정
• 기업의 사이버 보안 요구사항에 대해 계약 업체 및 공급 업체와
커뮤니케이션
• 업계를 위한 기회를 식별하여 신규 또는 개정된 자발적 표준 개발
• 조직이 프레임워크를 사용할 수 있도록 도구 및 기술 식별
• 개인 정보 보호를 사이버 보안 프로그램에 통합
24
Key Points About the Framework
• It’s a framework, not a prescription
• It provides a common language and systematic methodology for
managing cyber risk
• A common language will enable best practices of elite
companies to become standard practices for everyone
• It does not tell a company how much cyber risk is tolerable, or
claim to provide “the one and only” formula
• It is technologically neutral, so that industry can innovate
• It will not prevent all cyber incidents
•
Goal: detect, respond, and recover more quickly
• it is a living document
• Intended to be updated over time as stakeholders learn from
implementation, and as technology/risks change
• Use is voluntary
25
프레임워크 주요 사항
• 처방책이 아닌 프레임워크다.
• 사이버 위험을 관리하기 위한 공통 언어 및 체계적인 방법을
제공한다.
• 공통 언어를 통해 일류 기업의 모범 사례를 구축해 놓으면 모두를
위한 표준 방법으로 자리잡을 수 있다.
• 프레임워크는 기업에게 사이버 위험의 허용 한도를 알려주거나,
"유일한" 해결 공식을 제공하지 않는다.
• 기술적으로 중립이므로, 업계에서 혁신할 수 있다.
• 모든 사이버 사고를 방지할 수는 없다.
• 목표: 더 빠르게 감지하고 대응하며 복구한다.
• 살아있는 문서이다.
• 구현으로 인한 이해 관계자들의 학습과 기술 및 위험의 변화에
따라 시간이 지남에 따라 업데이트되어야 한다.
• 사용은 자발적이다.
26
The Framework is Based on a Risk Management
Approach
• It is based on how all organizations already need to manage risks
• It provides a structured way for organizations to think about
cybersecurity
• Focuses on underlying business drivers to guide cybersecurity
activities- cyber risks are part of the organization’s overall risk
management process
• Focuses on managing risks, not stopping attacks
• Will help organizations detect better, respond earlier, and recover
sooner- all things that impact a company’s revenues
• The voluntary approach allows the greatest number of stakeholders
to participate
27
위험 관리 접근법에 기반한 프레임워크
• 모든 조직의 필요한 위험 관리 방법에 기초한다.
• 조직이 사이버 보안에 대해 생각할 수 있는 구조화된 방법을
제공한다.
• 기본적인 비즈니스 요소에 중점을 두고 사이버 보안 활동을 끌어
나간다. 사이버 위험은 조직의 전반적인 위험 관리 프로세스의
일부이다.
• 공격을 중지하는 것이 아닌, 위험 관리에 초점을 맞춘다.
• 회사의 수익과 관련된 모든 사항을 더 잘 감지하고, 일찍 반응하고,
빨리 복구하는데 도움을 준다.
• 자발적 접근 방식을 통해 최대 다수의 이해 관계자 참여를 유도한다.
• 사이버 보안 및 위험 관리를 위한 국제 정책 및/또는 표준에 맞춘다.
28
Company perspectives on U.S activities
o Promote benefits of industry-driven innovation in cybersecurity
rather than static controls
o Promote policies that enable us to focus on new security product
development, rather than building products to unique standards
o Recognize that government policy plays an important role in
cybersecurity
o Government acts as convener of multiple stakeholders
o Need greater information sharing to combat and mitigate cyber
threats
o Need for research & development and STEM education funding to
enhance next-generation cybersecurity capabilities and workforce
미국 활동에 대한 기업의 시각
o 사이버 보안에 있어서 정체적인 제어보다는 산업 중심의 혁신의 혜택
독려
o 독자적인 표준을 지닌 제품 구축보다 새로운 보안 제품 개발에 집중할 수
있도록 정책 추진
o 사이버 보안에 있어 정부 정책이 중요한 역할을 한다는 것을 인식
o 정부는 여러 이해 관계자의 의장 역할
o 더 많은 정보를 공유하여 사이버 위협에 대응 및 위협 완화
o 차세대 사이버 보안 기능과 인력을 강화하는 연구 개발 및 STEM 교육
자금 필요
Company perspectives on NIST Framework
o Tremendous stakeholder input in Framework development
process
• Industry responded to RFI, participated in all 5 workshops,
commented on draft
• Many organizations—led by their senior executives—are
currently assessing their internal processes and/or products
• Determining how products and services help customers use Framework
• Weighing development of new products and services
• Using Framework to talk with suppliers, partners
• Industry associations are educating members, encouraging
use
NIST 프레임워크에 대한 기업의 시각
o 엄청난 수의 이해 관계자가 프레임워크의 개발 과정에 참여
• RFI에 응답, 5개 워크숍에 참가, 초안에 대한 논평
• 많은 조직에서 고위 임원의 주도로 현재 내부 프로세스 및/또는
제품 평가 중
• 고객이 프레임워크를 사용하는 데 제품과 서비스가 도움이 되는 방법을
결정
• 새로운 제품과 서비스의 개발 검토
• 프레임워크를 사용하여 공급 업체 및 계약 업체와 의사 교환
• 업계 협회에서 사용 장려 및 구성원 교육
Company perspectives on NIST Framework
o ICT companies working with NIST to develop Framework use
cases, identify gaps to address in future versions
o DHS/NIST committed to promoting understanding and use of
Framework
o Industry helping promote understanding and use
o Industry has vested interest in seeing flexible, voluntary approach
succeed
o Allows for greater innovation, robust competition, and stronger security
NIST 프레임워크에 대한 기업의 시각
o NIST와 협업 중인 ICT 기업은 프레임워크 사용 사례집을
개발하고, 향후 버전에서의 해결을 위해 간극을 식별
o DHS/NIST는 프레임워크의 이해와 사용을 촉진하기 위해
최선을 다함
o 이해와 사용 촉진을 위한 업계의 지원
o 업계는 유연하고 자발적인 접근 방식의 성공을 확신
o 더 큰 혁신과 강력한 경쟁 및 보안 가능
Thank You
감사합니다.
U.S. Administration- roles and responsibilities
o White House – National Security Council
o Michael Daniel, Special Advisor to the President & Cyber Coordinator
o Leads policy
o Department of Homeland Security
o Department of Defense
o Department of Commerce
o National Institute of Standards and Technology (NIST)
o Department of Justice (includes FBI)
o Others….
o Division of responsibilities, yet interagency coordination
o Different missions ensure proper balance in policy development and
implementation
o National Security Council runs Interagency Policy Committee meetings for
structured feedback and oversight
o Often Departments develop Memorandum of Agreement to ensure proper
collaboration
미국 행정부 - 역할과 책임
o 백악관 - 국가 안전 보장 회의
o Michael Daniel, 대통령 특별 고문 및 사이버 코디네이터
o 정책 주도
o 국토 안보국
o 국방부
o 상무부
o 국립 표준 기술 연구소(NIST)
o 법무부(FBI 포함)
o 기타….
o 책임 분담 및 부처간 협력 조정
o 업무 분담을 통해 정책 개발 및 구현에 있어 적절한 균형 보장
o 국가 안전 보장 회의는 체계적인 피드백과 감독을 위해 부처간 정책
위원회 회의를 실행
o 적절한 협력을 보장하기 위해 부서간 합의 각서 작성

similar documents