Danielle Kriz Director, Global Cybersecurity Policy,
Information Technology Industry Council (ITI)
Angela McKay, Director, Cybersecurity Policy and
Strategy, Global Security Strategy and Diplomacy,
Trustworthy Computing Microsoft
Cheri McGuire Vice President, Global Government Affairs and Cybersecurity Policy, Symantec Corporation
Adam Sedgewick Senior Information Technology Policy
Advisor, U.S. National Institute of Standards and
Technology (NIST)
Jamie Brown Director, Global Government Relations, CA
Technologies
Danielle Kriz Director, 글로벌 사이버 보안 정책 ,
Information Technology Industry Council (ITI)
Angela McKay, Director, 사이버 보안 정책 및 전략 , 글로벌
보안 전략 및 외교 , Trustworthy Computing Microsoft
Cheri McGuire Vice President, 글로벌 정부 업무 및 사이버
보안 정책 , Symantec Corporation
Adam Sedgewick Senior Information Technology Policy
Advisor, U.S. National Institute of Standards and
Technology (NIST)
Jamie Brown Director, 글로벌 정부 관계 , CA
Technologies
Participants o ITI and member companies work with governments around the world on cybersecurity policy o We advocate approaches based on global standards, global principles
Benefits o Global approaches allow for better security and interoperability with enhanced trade o Partnerships leverage expertise of all participants
Global Examples…
참가자 o ITI 및 회원사는 사이버 보안 정책에서 전 세계의 정부와 공조 o 글로벌 기준과 원칙에 기반한 접근 방식 지지
혜택 o 글로벌 접근 방식으로 개선된 보안 및 상호 운용성과 무역 강화 o 제휴 관계를 통한 모든 참여자의 전문 기술 활용
해외 사례 …
o Industry works with U.S. Congress (legislature) and U.S. executive branch (White House, Departments, Agencies) o Both branches are active on cybersecurity o U.S. Congress o Many cybersecurity bills over last 10+ years o Industry provides perspective, experience, suggestions o Although few bills have passed, Congress conducts oversight over executive branch agencies o U.S. Executive Branch o Focus shifted here as Congressional activity slowed o Obama Administration developed new initiatives to advance cybersecurity goals o Administration mandated roles for industry in its initiatives
o 기업은 미국 의회 ( 입법부 ) 와 미국 행정부 ( 백악관 , 부서 , 기관 ) 과
공조 o 두 기관 모두 사이버 보안에 적극적 o 미국 의회 o 지난 10 년 이상 동안 많은 사이버 보안 법안 발의 o 기업은 업계의 관점 , 경험 , 제안을 제공 o 많지 않은 법안이 통과되었지만 의회는 행정부 기관을 감독 o 미국 행정부 o 의회 활동의 둔화로 관심 집중 o 오바마 정부는 사이버 보안 목표 달성을 위해 새로운 계획 개발 o 이 계획에서 행정부는 기업에 역할 위임
o Outlines a structure for U.S. critical infrastructure protection o Provides the framework for all levels of U.S. government to collaborate with appropriate security partners, including private sector entities o Consists of a base plan and 16 sector-specific plans to cover all areas of critical infrastructure and key resources (CI/KR) o Describes responsibility to address physical, human, and cyber risk in all infrastructure sectors
o 미국 주요 국가 기반시설 보호의 체계 설명 o 민간 단체 등 적절한 보안 파트너와의 협력을 위한 프레임워크를
모든 층위의 미국 정부에 제공 o 기본 계획 및 주요 인프라와 주요 자원 (CI/KR) 의 모든 분야를
아우르는 16 개 부문별 계획으로 구성 o 모든 기반시설 분야에서 , 물적 , 인적 위험 및 사이버 위험을 해결하기
위한 책임 설명
o Issued by President Obama o Mandates only U.S. federal department/agency actions o Mandates outreach to industry o Industry has chosen to engage o Many industry stakeholders provided ideas during development of EO o EO recognizes effective cybersecurity policy should leverage public-private partnerships , be adaptable to emerging threats, technologies, and business models, and be based on risk management
o 오바마 대통령 발표 o 미국 연방 부서 / 기관 조치에 한해서 위임 o 기업에 대한 확장을 위임 o 기업도 참여하기로 선택 o 많은 업계 관계자가 EO 의 개발 과정에서 아이디어를
제공 o EO 에 의하면 , 효과적인 사이버 보안 정책은 공공 민간
파트너십을 활용 해야 하며 새로운 위협 , 기술 , 비즈니스
모델에 대해 적용 가능 해야 하고 , 위험 관리 에 기반해야
한다 .
o Cyber threat information sharing o Directs government to share more “actionable” cyber threat information with private sector o Cybersecurity Framework. o Directs NIST to create a Framework based on existing voluntary standards and best practices that helps critical infrastructure owners and operators manage cyber risks o Voluntary Program o Directs Department of Homeland Security to develop a Program to help organizations utilize
Cybersecurity Framework o Incentives o Directs White House to explore incentives for organizations to participate in Program o Critical infrastructure at greatest risk o Directs DHS to identify “critical infrastructure at greatest risk” - where a cybersecurity incident could have catastrophic effects on public health or safety, economic security, or national security
o 사이버 위협 정보 공유 o 정부에게 민간 부문에 더 많은 " 실행 가능한 " 사이버 위협 정보를 공유하도록 지시 o 사이버 보안 프레임워크 o NIST 에게 기존의 자발적 표준과 주요 인프라의 소유자와 운영자가 사이버 위험을 관리하는
것을 돕는 최선의 방법에 기반해서 프레임워크를 만들 것을 지시 o 자발적 프로그램 o 국토 안보부에게 조직이 사이버 보안 프레임워크를 활용할 수 있도록 돕는 프로그램을
개발하는 것을 지시 o 혜택 o 백악관에게 프로그램에 참여하는 조직에 혜택을 주는 방안을 강구하는 것을 지시 o 가장 위험한 주요 인프라 o 국토 안보부에게 사이버 보안 사고 시 공중 보건과 안전 , 경제 안보 또는 국가 안보에
치명적인 영향을 줄 수 있는 “가장 위험한 주요 인프라”를 식별할 것을 지시
NIST Framework for Improving Critical Infrastructure
Cybersecurity
• Under the EO, NIST was directed to work with stakeholders to develop a voluntary framework for reducing cyber risks to critical infrastructure
• Version 1.0 of the framework was released on Feb. 12, 2014, along with a roadmap for future work
• Based on the EO, the Framework must:
• Include a set of standards, methodologies, procedures, and processes that align policy, business, and technological approaches to address cyber risks
• Incorporate international voluntary consensus standards and industry best practices to the fullest extent possible
• Provide a prioritized, flexible, repeatable, performance-based, and cost-effective approach, including information security measures and controls, to help owners and operators of critical infrastructure identify, assess, and manage cyber risk
• Identify areas for improvement to be addressed through future collaboration with particular sectors and standards-developing organizations
17
주요 인프라 사이버 보안 개선을 위한
NIST
프레임워크
• EO 에 의해서 , NIST 는 이해 관계자들과의 작업을 통해서 자발적인
프레임워크를 개발해서 중요 프레임워크에 대한 사이버 위험을
감소시키도록 지시 받음
• 2014 년 2 월 12 일에 배포된 프레임워크 버전 1.0 에는 향후 작업에 대한
로드맵이 포함됨
•
EO 에 기반한 프레임워크의 필수 사항 :
• 정책과 사업을 조정하는 표준 , 방법론 , 절차 , 프로세스 및 사이버
위험에 대응 할 수 있는 기술적 접근 방식을 포함해야 한다 .
• 가능한 최대 범위까지 국제 자발적 합의 표준 및 업계의 모범 사례를
통합해야 한다 .
• 우선 순위별 , 유연하고 반복 가능하며 성능 기반의 비용 효과적인
접근 방법을 제공 해야 한다 .
이러한 접근 방법에는 주요 인프라의
소유자와 운영자가 사이버 위험을 식별하고 평가하며 관리할 수
있도록 하는 정보 보안 대책 및 제어가 포함된다 .
• 특정 부문과 표준 개발 조직의 향후의 협력을 통해
해결해야 할 개선 영역을 식별 해야 한다 .
18
Development of the Cybersecurity Framework
Engage the
Framework
Stakeholders
Analyze RFI
Responses
EO 13636 Issued – February 12, 2013
NIST Issues Request For Information (RFI) – February 26,
2013
1 st Framework Workshop (DC) – April 03, 2013
2 nd Framework Workshop (Pennsylvania) – May 29-31, 2013
Draft Outline of Preliminary Framework – June 2013
Ongoing
Engagement :
Open public comment and review encouraged and promoted throughout the process
Identify
Framework
Elements
3 rd Framework Workshop (California) – July 10-12, 2013
Discussion Draft of the Preliminary Framework - August 28, 2013
Prepare and
Publish
Preliminary
Framework
4 th Framework Workshop (Texas) – September 11-
13, 2013
Publish Preliminary Framework – October 29, 2013
Final
Framework
5 th Framework Workshop (North
Carolina) – Nov 14-15, 2013
Publish Final Framework – February 13,
2014
19
사이버 보안 프레임워크의 개발
프레임워크의
이해 관계자의
참여
RFI
응답 분석
EO 13636 발행 – 2013 년 2 월 12 일
NIST 에서 정보 요청 (Request For Information) 발행 –
2013 년 2 월 26 일
1 차 프레임워크 워크숍 (DC) – 2013 년 4 월 3 일
2 차 프레임워크 워크숍 (Pennsylvania) – 2013 년 5 월 29-31 일
예비 프레임워크 초안 개요 – 2013 년 6 월
지속적인 참여 :
전 과정에 있어 공개
의견 수렴 및 검토
장려 및 추진
프레임워크
요소 식별
3 차 프레임워크 워크숍 (California) – 2013 년 7 월 10-12 일
예비 프레임워크 초안 토론 - 2013 년 8 월 28 일
예비
프레임워크
구비 및 발표
4 차 프레임워크 워크숍 (Texas) – 2013 년
9 월 11-13 일
예비 프레임워크 발표 – 2013 년 10 월 29 일
최종
프레임워크
5 차 프레임워크 워크숍 (North Carolina) –
2013 년 11 월 14-15 일
최종 프레임워크 발표 – 2014 년 2 월 13 일
20
Framework Structure
Identify – Protect – Detect – Respond – Recover
21
프레임워크 체계
확인 보호 감지 대응 복구
22
Using the Cybersecurity Framework
It is designed to complement existing business and cybersecurity operations, and can be used for many different purposes, such as
• Understand your cybersecurity status
• Establish, improve, or adjust a cybersecurity program
• Communicate a company’s cybersecurity requirements with partners, suppliers
• Identify opportunities for industry to develop new or revised voluntary standards
• Identify tools and technologies to help organizations use the
Framework
• Incorporate privacy protections into cybersecurity programs
• Alignment with international policies and/or standards for cybersecurity and risk management
23
사이버 보안 프레임워크 사용
기존의 비즈니스와 사이버 보안 운영을 보완하도록 설계되었으며 ,
다음과 같은 다양한 기타 목적으로 사용될 수 있다 .
• 사이버 보안 상태 이해
• 사이버 보안 프로그램의 수립 , 개선 또는 조정
• 기업의 사이버 보안 요구사항에 대해 계약 업체 및 공급 업체와
커뮤니케이션
• 업계를 위한 기회를 식별하여 신규 또는 개정된 자발적 표준 개발
• 조직이 프레임워크를 사용할 수 있도록 도구 및 기술 식별
• 개인 정보 보호를 사이버 보안 프로그램에 통합
24
Key Points About the Framework
• It’s a framework, not a prescription
• It provides a common language and systematic methodology for managing cyber risk
• A common language will enable best practices of elite companies to become standard practices for everyone
• It does not tell a company how much cyber risk is tolerable, or claim to provide “the one and only” formula
• It is technologically neutral, so that industry can innovate
• It will not prevent all cyber incidents
• Goal: detect, respond, and recover more quickly
• it is a living document
• Intended to be updated over time as stakeholders learn from implementation, and as technology/risks change
• Use is voluntary
25
프레임워크 주요 사항
• 처방책이 아닌 프레임워크다 .
• 사이버 위험을 관리하기 위한 공통 언어 및 체계적인 방법을
제공한다 .
• 공통 언어를 통해 일류 기업의 모범 사례를 구축해 놓으면 모두를
위한 표준 방법으로 자리잡을 수 있다 .
• 프레임워크는 기업에게 사이버 위험의 허용
" 유일한 " 해결 공식을 제공하지 않는다 .
한도를 알려주거나 ,
• 기술적으로 중립이므로 , 업계에서 혁신할 수 있다 .
• 모든 사이버 사고를 방지할 수는 없다 .
• 목표 : 더 빠르게 감지하고 대응하며 복구한다 .
• 살아있는 문서이다 .
• 구현으로 인한 이해 관계자들의 학습과 기술 및 위험의 변화에
따라 시간이 지남에 따라 업데이트되어야 한다 .
• 사용은 자발적이다 .
26
The Framework is Based on a Risk Management
Approach
• It is based on how all organizations already need to manage risks
• It provides a structured way for organizations to think about cybersecurity
• Focuses on underlying business drivers to guide cybersecurity activitiescyber risks are part of the organization’s overall risk management process
• Focuses on managing risks, not stopping attacks
• Will help organizations detect better, respond earlier, and recover soonerall things that impact a company’s revenues
• The voluntary approach allows the greatest number of stakeholders to participate
27
위험 관리 접근법에 기반한 프레임워크
• 모든 조직의 필요한 위험 관리 방법에 기초한다 .
• 조직이 사이버 보안에 대해 생각할 수 있는 구조화된 방법을
제공한다 .
• 기본적인 비즈니스 요소에 중점을 두고 사이버 보안 활동을 끌어
나간다 . 사이버 위험은 조직의 전반적인 위험 관리 프로세스의
일부이다 .
• 공격을 중지하는 것이 아닌 , 위험 관리에 초점을 맞춘다 .
• 회사의 수익과 관련된 모든 사항을 더 잘 감지하고 , 일찍 반응하고 ,
빨리 복구하는데 도움을 준다 .
• 자발적 접근 방식을 통해 최대 다수의 이해 관계자 참여를 유도한다 .
• 사이버 보안 및 위험 관리를 위한 국제 정책 및 / 또는 표준에 맞춘다 .
28
o Promote benefits of industry-driven innovation in cybersecurity rather than static controls o Promote policies that enable us to focus on new security product development, rather than building products to unique standards o Recognize that government policy plays an important role in cybersecurity o Government acts as convener of multiple stakeholders o Need greater information sharing to combat and mitigate cyber threats o Need for research & development and STEM education funding to enhance next-generation cybersecurity capabilities and workforce
o 사이버 보안에 있어서 정체적인 제어보다는 산업 중심의 혁신의 혜택
독려 o 독자적인 표준을 지닌 제품 구축보다 새로운 보안 제품 개발에 집중할 수
있도록 정책 추진 o 사이버 보안에 있어 정부 정책이 중요한 역할을 한다는 것을 인식 o 정부는 여러 이해 관계자의 의장 역할 o 더 많은 정보를 공유하여 사이버 위협에 대응 및 위협 완화 o 차세대 사이버 보안 기능과 인력을 강화하는 연구 개발 및 STEM 교육
자금 필요
o Tremendous stakeholder input in Framework development process
• Industry responded to RFI, participated in all 5 workshops, commented on draft
• Many organizations —led by their senior executives—are currently assessing their internal processes and/or products
• Determining how products and services help customers use Framework
• Weighing development of new products and services
• Using Framework to talk with suppliers, partners
•
Industry associations are educating members, encouraging use
o 엄청난 수의 이해 관계자가 프레임워크의 개발 과정에 참여
• RFI 에 응답 , 5 개 워크숍에 참가 , 초안에 대한 논평
• 많은 조직에서 고위 임원의 주도로 현재 내부 프로세스 및 / 또는
제품 평가 중
• 고객이 프레임워크를 사용하는 데 제품과 서비스가 도움이 되는 방법을
결정
• 새로운 제품과 서비스의 개발 검토
• 프레임워크를 사용하여 공급 업체 및 계약 업체와 의사 교환
• 업계 협회에서 사용 장려 및 구성원 교육
o ICT companies working with NIST to develop Framework use cases, identify gaps to address in future versions o DHS/NIST committed to promoting understanding and use of
Framework o Industry helping promote understanding and use o Industry has vested interest in seeing flexible, voluntary approach succeed o Allows for greater innovation, robust competition, and stronger security
o NIST 와 협업 중인 ICT 기업은 프레임워크 사용 사례집을
개발하고 , 향후 버전에서의 해결을 위해 간극을 식별 o DHS/NIST 는 프레임워크의 이해와 사용을 촉진하기 위해
최선을 다함 o 이해와 사용 촉진을 위한 업계의 지원 o 업계는 유연하고 자발적인 접근 방식의 성공을 확신 o 더 큰 혁신과 강력한 경쟁 및 보안 가능
o White House – National Security Council o Michael Daniel, Special Advisor to the President & Cyber Coordinator o Leads policy o Department of Homeland Security o Department of Defense o Department of Commerce o National Institute of Standards and Technology (NIST) o Department of Justice (includes FBI) o Others….
o Division of responsibilities, yet interagency coordination o Different missions ensure proper balance in policy development and implementation o National Security Council runs Interagency Policy Committee meetings for structured feedback and oversight o Often Departments develop Memorandum of Agreement to ensure proper collaboration
o 백악관 국가 안전 보장 회의 o Michael Daniel, 대통령 특별 고문 및 사이버 코디네이터 o 정책 주도 o 국토 안보국 o 국방부 o 상무부 o 국립 표준 기술 연구소 (NIST) o 법무부 (FBI 포함 ) o 기타 ….
o 책임 분담 및 부처간 협력 조정 o 업무 분담을 통해 정책 개발 및 구현에 있어 적절한 균형 보장 o 국가 안전 보장 회의는 체계적인 피드백과 감독을 위해 부처간 정책
위원회 회의를 실행 o 적절한 협력을 보장하기 위해 부서간 합의 각서 작성