Developing Cyber-Resilient Systems - EXECUTIVE SUMMARY

Developing Cyber-Resilient Systems:
A Systems Security Engineering Approach

(by NIST)

 

EXECUTIVE SUMMARY

 

NIST 시스템 보안 엔지니어링 이니셔티브의 목표는 구축된 엔지니어링 프로세스를 사용하여 이해관계자 요구사항 및 보호 요구의 관점에서 보안, 안전 및 복원력 문제를 해결하여 보다 신뢰할 수 있는 시스템을 개발하기 위해 전체 시스템 수명주기에 걸쳐 해당 요구사항과 요구사항이 해결되도록 하는 것이다. 이를 위해 NIST SP(Special Publication) 800-160, 제2권은 사이버 복원력 엔지니어링에 초점을 맞추고 있으며, 이는 보다 생존 가능하고 신뢰할 수 있는 시스템을 개발하기 위해 복원력 엔지니어링 및 시스템 보안 엔지니어링과 함께 적용되는 새로운 특수 시스템 엔지니어링 분야이다. 사이버 복원력 엔지니어링은 사이버 자원을 사용하거나 활성화된 불리한 조건, 스트레스, 공격 또는 손상을 예측하고, 견디고, 복구하고, 이에 적응할 수 있는 기능을 통해 시스템의 신뢰성을 설계, 설계, 개발, 유지 및 유지하는 것을 목표로 한다. 위험 관리 관점에서 사이버 복원력은 사이버 자원에 의존하는 임무, 비즈니스, 조직 또는 부문의 위험을 줄이기 위한 것이다.

 

이 간행물은 ISO/IEC/IEEE 15288:2015, 시스템 및 소프트웨어 엔지니어링 시스템 라이프사이클 프로세스, 신뢰할 수 있는 보안 시스템 엔지니어링 분야에서 다학제적 접근을 위한 시스템 보안 엔지니어링 고려사항, NIST SP 800-160, 1권, 신뢰할 수 있는 보안 시스템 엔지니어링 분야에서 다학제적 접근을 위한 시스템 보안 엔지니어링 고려사항, NIST SP 800-37, 정보 시스템 및 조직을 위한 위험 관리 프레임워크 보안 및 개인정보 보호를 위한 시스템 라이프사이클 접근법, NIST SP 800-53, 정보 시스템 및 조직을 위한 보안 및 개인정보 보호 제어사항과 함께 사용할 수 있다. 이 간행물의 개념을 적용하는 것은 SP 800-160, 1권의 시스템 라이프사이클 프로세스 및 SP 800-37의 위험 관리 방법론과 결합하여 사이버 복원력 성과를 달성하기 위한 핸드북으로 볼 수 있다. 사이버 복원력 구성 및 분석 접근법은 이해관계자 보호 요구사항, 임무 및 비즈니스 보증 요구사항, 비용, 일정 및 성능과 관련된 이해관계자의 우려사항에 따라 안내되고 알려지며, 조직의 고유한 사이버 복원력 요구사항을 충족하기 위한 솔루션을 식별하고 우선순위를 정하고 구현하기 위해 중요한 시스템에 적용될 수 있다.

 

NIST SP 800-160, Volume 2에서는 사이버 복원력 공학 프레임워크를 제시하여 시스템 수명주기에서 사이버 복원력을 구현하기 위한 공학적 고려사항, 프레임워크에 대한 사용 개념, 사이버 복원력을 이해하고 적용하는 데 도움을 준다. 프레임워크 구성 요소에는 목표, 목표, 기법, 구현 접근 방식 및 설계 원리가 포함된다. 조직은 이 간행물에 수록된 사이버 복원력 구성 요소의 일부 또는 전부를 선택, 조정 및 사용할 수 있으며 구성 요소를 시스템의 엔지니어링이 필요한 기술적, 운영적, 위협적 환경에 적용할 수 있다.

사이버 복원력 공학 프레임워크를 기반으로 구축된 이 간행물은 또한 사이버 복원력 개념, 구성 및 관행을 시스템에 적용하기 위해 관심 시스템과 맞춤형 사이버 복원력 분석 접근법과 가장 관련이 있는 사이버 복원력 구성 요소를 결정하기 위한 고려 사항을 식별한다. 사이버 복원력 분석은 수명 주기에 관계없이 관심 시스템의 사이버 복원력 속성과 행동이 해당 시스템을 사용하는 조직이 고급 지속 위협(APT)을 포함하는 위협 환경에서 임무 보증, 비즈니스 연속성 또는 기타 보안 요구 사항을 충족하기에 충분한지 여부를 결정하기 위한 것이다. 사이버 복원력 분석은 이러한 분석이 관심 시스템에 대한 엔지니어링 및 위험 관리 결정을 지원할 것이라는 기대 하에 수행된다.

사이버 복원력 공학 프레임워크는 다음과 같은 응용 프로그램을 지원하기 위한 추가 정보를 제공하는 여러 기술 부록에 의해 보완된다:
• 사이버 복원력에 대한 배경 및 상황 정보
• 사이버 복원력 엔지니어링 프레임워크의 일부인 개별 사이버 복원력 구성요소(예: 목표, 목표, 기법, 구현 접근법, 설계 원리)에 대한 상세한 설명
• 사이버 복원력을 직접 지원하는 [SP 800-53]의 제어장치(제어장치가 사이버 복원력, 관련 제어장치, 사이버 복원력 기술 및 구현 접근방식을 지원하는지 판단하는 데 사용되는 질문 포함)
• 사이버 복원력의 시스템 및 응용에 대한 적대자 지향 분석을 위한 접근법, 일련의 완화들의 현재 또는 잠재적인 효과들을 기술하기 위한 어휘, 그리고 사이버 복원력이 어떻게 접근하고 통제하는지에 대한 대표적인 분석은 적대자 전술, 기법 및 절차들을 완화시킬 수 있다
• 사이버 복원력이 작전 기술(예: 산업 제어 시스템)을 공격하는 데 사용되는 적대적 전술, 기법 및 절차에 미치는 잠재적 영향 분석