블로그

다가올 NIST CSF 2.0 초안의 새로운 요소 분석

채드 데이비스 썸네일
채드 데이비스
2023년 8월 10일 게시

점점 더 상호 연결성이 높아지는 디지털 환경에서 강력한 사이버 보안 대책의 중요성은 결코 과장될 수 없습니다. 이러한 사실을 인식하고 NIST 사이버보안 프레임워크(CSF)가 2014년에 등장하여 다양한 분야에서 사이버보안 위험을 줄이는 데 중요한 도구 역할을 했습니다. 수많은 기관들이 NIST에 CSF 1.1이 사이버보안 위험에 대처하는 데 강력한 도구가 될 것이라고 전했습니다. 그럼에도 불구하고, 임박한 사이버보안 과제를 해결하고 원활한 조직적 도입을 촉진하기 위해서는 프레임워크의 발전이 필수적이라는 점에 대해서는 만장일치로 의견이 일치했습니다. NIST는 커뮤니티와 긴밀히 협력하여 프레임워크의 원래 목표와 목적의 핵심적 본질과 미래적 효과를 통합한 비전인 CSF 2.0을 부지런히 만들고 있습니다.

NIST 사이버 보안 프레임워크 2.0이 정확히 무엇이고 무엇이 아닌지

NIST 사이버보안 프레임워크 2.0은 본질적으로 사이버보안 환경을 이해하는 것뿐만 아니라 사이버보안 노력을 효과적으로 평가하고, 우선순위를 정하고, 구체화하려는 조직에 귀중한 도구 역할을 합니다. 엄격한 지침서와 달리 프레임워크는 이러한 성과를 달성하기 위한 구체적인 방법론을 지시하지 않습니다. 그 대신, 이는 권장되는 관행 및 통제에 대한 보충 지침을 제공하는 다양한 리소스와 조직을 연결하는 전략적 연결점 역할을 합니다.

이 블로그에서는 사이버보안 프레임워크 2.0 초안의 구성 요소를 자세히 살펴보고, 1.1 버전에 제안된 일부 변경 사항을 살펴보고 디지털 방어를 강화하기 위한 다각적인 접근 방식을 조명합니다.

(구체적으로) 무엇이 바뀌고 있는가

NIST CSF 1.1에서 2.0으로의 가장 주목할만한 변경 사항은 다음과 같습니다.

  1. 사이버보안 프레임워크 제목 및 범위의 발전 – 유명한 사이버보안 프레임워크는 광범위한 유용성을 반영하여 상당한 개선을 거쳤습니다. '중요 인프라 사이버 보안 향상을 위한 프레임워크'에서 '사이버 보안 프레임워크'로 제목이 바뀌어 인식이 간소화되었습니다. 이제 이 범위는 초기의 중요 인프라에 초점을 맞추었던 것에서 벗어나 모든 조직으로 확장되었습니다. 이러한 진화는 프레임워크의 세계적 관련성을 인정하고, 미국의 중요 인프라에 중점을 두는 것에서 전 세계 조직을 포함하는 것으로 전환합니다. 이러한 변화는 프레임워크의 적응성과 다양한 사이버보안 요구에 부응할 수 있는 역량을 강조하며, 다양한 규모와 맥락의 조직을 위한 역동적인 도구로서의 위상을 재확인합니다.

  2. 새로운 리소스와 CSF의 상호 연결 – CSF의 진화는 경계를 넘어 다른 필수 프레임워크 및 리소스와의 연결을 연결합니다. NIST의 철저한 검토로 인해 NIST CSF가 개정되었고, NIST 개인정보 보호 프레임워크, 사이버보안을 위한 NICE 인력 프레임워크, 보안 소프트웨어 개발 프레임워크 등과 같은 최신 도구에 대한 참조가 도입되었습니다.

  3. CSF 구현 지원 강화 – CSF의 진화는 효과적인 구현을 위한 강화된 지원을 수용합니다. 여기에는 구현 사례 소개, CSF 하위 범주를 달성하기 위한 설명적인 행동 지향적 프로세스 제공 등이 포함됩니다. 이러한 전략적 증강은 CSF를 이론적 구성을 넘어서 실제 세계에 미치는 영향을 증폭시키는 실용적인 도구를 제공합니다. 향상된 구현 지침을 통해 CSF는 사이버 보안의 복잡한 영역을 탐색하는 데 없어서는 안 될 자산으로서의 역할을 더욱 공고히 합니다.

  4. 사이버 보안 거버넌스 강화: 강화된 프레임워크 초점 – CSF의 발전은 사이버보안 거버넌스의 중요한 역할을 강조합니다. 새로운 '거버넌스' 기능을 도입하면서 CSF는 전체적인 접근 방식을 채택합니다. 여기에는 조직적 맥락, 위험 관리 전략, 사이버 보안 공급망 위험, 역할과 책임, 정책, 프로세스, 감독을 포함한 다양한 측면이 포함됩니다.

    조직이 포괄적인 사이버 보안을 통합하도록 안내하는 이 프레임워크는 이제 NIST 개인 정보 보호 프레임워크에 맞추고 NIST IR 8286에 자세히 설명된 대로 기업 위험 관리와 얽히는 방법에 대한 통찰력을 제공합니다. 특히 프레임워크 구현 전반에서 사람, 프로세스, 기술에 대한 강조가 확대되었습니다.

    거버넌스에 대한 집중도가 높아짐에 따라 사이버 보안 분야에서 CSF의 중요성이 더욱 커지고, 디지털 방어를 강화하려는 조직을 위한 다재다능하고 포괄적인 도구로서의 지위가 더욱 확고해졌습니다.

  5. 사이버보안 공급망 회복력 강화 – CSF의 발전은 사이버보안 공급망 위험 관리의 가장 중요한 중요성을 부각시킵니다. '통치' 부문에 전담 카테고리를 도입함으로써 프레임워크는 확고한 입장을 취합니다.

    이 업데이트는 최신 NIST 지침과 현재 모범 사례를 준수하려는 노력에서 비롯되었습니다. 특히 CSF는 사이버보안 공급망 위험 관리 및 안전한 소프트웨어 개발 영역을 포용하여 디지털 생태계를 보호하기 위한 사전 예방적 접근 방식을 반영합니다.

    이러한 미래지향적인 강조점은 프레임워크가 변화하는 위협 환경에 적응하는 능력을 강화하여 복잡한 공급망 역학 내에서 사이버 보안 태세와 회복력을 강화하고자 하는 조직에 귀중한 도구가 되도록 합니다.

NIST가 해설을 위해 또 다른 버전을 발행하지 않을 것이기 때문에 이 최신 CSF 초안은 중요한 이정표를 세웁니다. 귀하의 의견은 2024년 초에 출시될 예정인 최종 CSF 2.0을 형성하는 데 직접적으로 반영될 것입니다. 2023년 11월 4일 금요일까지 cyberframework@nist.gov 로 피드백을 공유해 주세요.