CMMC 요구사항을 충족하려면 테스트, 보안, IT 팀의 시간, 노력과 협력이 필요합니다. 성공은 CMMC 요구사항을 이해하고 이를 테스트 시스템과 같은 운영 기술에 어떻게 적용하느냐에 달려 있습니다.
CMMC는 NIST 800-171 rev. 2를 기반으로 하며, 여기에는 14개 범주로 구성된 110가지 보안 조치가 포함되어 있습니다. 이러한 보안 조치의 목록을 얻을 수 있는 온라인 리소스가 많은데, 요구사항을 설명하는 문서나 요구사항을 나열하는 스프레드시트를 다운로드할 수 있는 NIST 사이트나 각 보안 조치를 평가하는 방법에 대한 평가자용 지침이 포함된 NIST 800-171A 등이 있습니다. NIST 800-171 보안 조치에 대한 분석은 다른 보안 사이트를 참조하십시오.
여기서는 보안 조치를 테스트 시스템에 적용하는 방법을 주로 살펴봅니다. 테스트 시스템은 다음과 같은 여러가지 이유로 IT 시스템과 다릅니다.
이러한 차이점을 고려하여, NIST 800-171의 몇 가지 토픽을 검토해 보겠습니다.
NIST 800-171에서 언급하는 처음 22가지 보안 조치는 테스트 시스템에 대한 접근 권한 제한과 관련이 있습니다. 시스템은 승인된 사용자에 대한 접근을 제한하고 시스템에 접근할 수 있는 자동화된 프로세스 (디바이스)를 제한해야 합니다. 테스트 엔지니어는 시스템의 모든 잠재적 사용자와 그 역할을 파악해야 합니다. 여기서 일부 사용자는 사람이 아니라 테스트 시스템에서 중앙 데이터베이스로 데이터를 이동하는 데이터베이스와 같은 원격 프로세스를 의미할 수 있습니다.
식별된 각 사용자에 대해 시스템 설계자는 인증을 위한 전략을 생성해야 합니다. 누가 시스템에 접근할 수 있는지 제어하기 위해 표준 Windows 로그인 방법을 사용할까요? 작업자에게는 어떤 접근 권한을 부여할 것이며 접근 권한이 관리자와는 어떻게 달라야 할까요? 원격 프로세스가 어떤 방법으로 시스템의 인증을 받아야 할까요?
테스트 팀은 물리적 접근과 그로 인해 시스템이 어떻게 변경되는지도 고려해야 합니다. 이더넷은 오늘날 테스트 시스템에서 중요한 버스인데도 누군가가 케이블을 이동하여 디바이스에 연결해 버릴 수 있습니다. 케이블을 직접 연결하여 디바이스에서 데이터를 가져올 수 없도록 하려면 어떻게 해야 할까요? 누군가가 케이블을 직접 연결하는 것을 통제할 수 없다면 케이블을 물리적으로 보호할 수 있습니까?
NIST 800-171에서는 각 작업에 적절한 접근 레벨을 제공하는 내용을 주로 다루기 때문에 테스트 설계자는 최소 권한 접근 원칙을 적용하는 방법을 고려해야 합니다. 작업자가 개별적으로 로그인하지 않은 시스템 (예: 여러 사람이 테스트 장치에서 함께 작업하는 랩)에서는 접근 권한을 매우 치밀하게 제한해야 합니다. 소프트웨어 업데이트 설치와 같이 더 높은 권한이 필요한 경우 시스템은 해당 작업을 수행하기 위해 관리자가 로그인하도록 요구해야 합니다.
접근 제어 요구사항 중 일부는 표준 IT ID 관리 도구를 사용하여 충족할 수 있습니다. 테스트 시스템이 Windows 기반인 경우 테스트 팀은 IT 그룹과 협력하여 기업 ID 도구를 활용할 수 있습니다. 시스템의 연결이 끊겼거나 IT 시스템이 지원하지 않는 디바이스를 사용하는 경우 테스트 설계자는 복잡한 암호 생성, 로그온 시도 횟수 제한 등과 같은 기본 요구사항을 적용하는 방법을 고려해야 합니다.
이 범주의 요구사항은 작업자와 관리자가 자신의 역할과 관련된 사이버 보안 원칙에 대해 적절하게 교육받았는지 확인하는 데 중점을 둡니다. 테스트 팀은 IT 팀이 제공하는 교육 소식을 전달할 수 있습니다. 테스트 시스템에 특정 작업 또는 프로토콜이 필요한 경우 이러한 요구사항을 충족하기 위해 교육을 마련해야 할 수도 있습니다.
NIST 800-171의 핵심 원리는 누가 특정 작업을 수행했는지 파악하는 것입니다. 이는 악의적인 작업을 감지하는 데 유용하며 사고가 발생한 경우 피해를 파악하고 근본 원인 분석을 수행하는 데 도움이 됩니다. 특정 작업을 수행한 사람을 파악하려면 특정 작업을 로깅하도록 테스트 시스템을 설계해야 합니다.
효과를 얻으려면 권한이 필요한 작업 즉, 접근 또는 설정을 변경하는 작업을 감사 로그가 캡처해야 합니다. 감사 로그는 로그인한 사람, 이동된 데이터, 변경된 시스템의 객체 등 시스템에서 수행되는 모든 작업에 대한 레코드를 생성합니다. 정확히 말하자면, 감사 시스템에는 타임스탬프를 위한 신뢰할 수 있는 시스템 시계가 있어야 합니다. 또한 신뢰할 수 있도록 감사 로그는 변경이나 삭제할 수 없어야 합니다.
따라서 테스트 설계자는 테스트 시스템을 설계할 때 이러한 감사 로그의 생성, 업데이트 및 보호 계획을 설계해야 합니다.
보안 테스트 시스템을 배포하려면 테스트 팀이 시스템과 구성요소를 보다 안전한 상태로 만드는 설정 셋팅을 적용해야 하는 경우가 많습니다. NIST 800-171에서는 이러한 설정으로 시스템을 빠르게 리셋하기 위한 기준선으로 설정의 스냅샷을 캡처하도록 요구합니다.
STIG (Secure Technology Implementation Guides)는 시스템 관리자가 시스템을 가장 안전한 설정으로 유지할 수 있도록 하는 방법을 제공합니다. 공급업체는 국방정보시스템국 (Defense Information Systems Agency, DISA)과 협력하여 제품의 설정을 확인하고 조정하는 지침이 포함된 STIG를 작성합니다. 승인된 STIG는 DoD STIG 데이터베이스에서 확인할 수 있습니다. 가능한 경우 테스트 시스템의 소프트웨어 구성요소에 대한 STIG를 보관해 두십시오.
ID 및 계정 관리는 NIST 800-171의 또 다른 중요한 부분입니다. 접근 권한을 부여하기 전에 시스템은 사용자와 다른 시스템을 인증해야 합니다. 접근 관리와 마찬가지로, 테스트 팀에서는 시스템의 표준 PC 기술에 대한 인증에 IT 도구를 사용할 수 있습니다.
테스트 설계자는 시스템의 구성요소를 인증하는 방법을 찾아야 합니다. 이더넷 구성요소, 데이터베이스, 네트워크로 연결된 컴퓨터는 모두 테스트 데이터 시스템에 연결하기 전에 인증을 받아야 합니다.
방어에 실패하고 시스템이 공격을 받으면 조직은 신속하게 대응해야 합니다. 이 보안 조치 범주를 적용하려면 팀에서는 사고 추적, 시스템 테스트, 적절한 기관에 사고를 보고하는 절차 확립 등 실패에 대비한 계획을 마련해야 합니다.
테스트 시스템에는 교정을 포함하여 정기적인 유지 보수가 필요합니다. NIST 800-171에서는 유지 보수 세션 중 보안이 취약해지지 않도록 팀에서 대비하도록 요구합니다.
수리 또는 교정을 위해 하드웨어를 보내기 전에 하드웨어에서 중요한 데이터를 지워야 합니다. 공급업체는 이러한 디바이스의 메모리 위치를 올바르게 지우기 위한 지침이 담긴 휘발성 설명서를 제공하고, 테스트 팀은 유지 보수 프로세스의 일부로 데이터를 보호하는 프로세스를 마련해야 합니다.
민감한 데이터가 미디어 디바이스에 저장되면 해당 디바이스를 논리적, 물리적으로 보호해야 합니다. 디바이스의 데이터는 암호화해야 합니다. 도난 당하지 않도록 디바이스를 보호해야 하며 USB 드라이브와 같은 알 수 없는 디바이스가 접근할 수 없도록 시스템을 보호해야 합니다.
테스트 설계자는 데이터를 저장할 위치와 해당 위치에서 데이터를 보호하는 방법을 생각해야 합니다. 이러한 위치에서는 IT 도구가 유용할 수 있습니다. 예를 들어, Windows Bitlocker는 대부분의 서버 PC에서 데이터를 암호화할 수 있습니다. 다른 디바이스의 경우 데이터 로깅 전에 테스트 프로그램에서 데이터를 암호화하거나 연결이 허용된 디바이스를 제어해야 할 수도 있습니다.
특정 사용자만이 테스트 시스템과 데이터에 접근할 수 있도록 하려면 역할이 바뀔 때 사용자의 신원을 확인하여 접근을 제어하는 프로세스를 마련해야 합니다. 테스트 팀은 기존 회사 정책 내에서 시스템에 대한 접근 권한을 관리하는 프로세스를 구현하는 방법을 고려해야 합니다.
시스템 보안은 때때로 연결 변경, 드라이브 제거, 시스템의 물리적 파라미터 조정 등과 같은 물리적 조치를 통해 건너뛸 수 있습니다. 테스트 시스템을 계획할 때 테스트 팀은 시스템을 물리적으로 보호할 수 있는 방법을 고려해야 합니다. 이 경우 공간에 대한 접근을 제어하거나 시스템의 특정 구성요소를 잠글 수 있습니다.
보안 계획은 완벽할 수 없으며 공격자는 계속해서 전략을 조정합니다. 시스템 보안을 유지하기 위해 테스트 팀은 주기적으로 위험 프로파일을 평가하고 필요한 경우 이를 조정해야 합니다. 보안 팀은 취약점 테스트를 사용하여 취약점을 노출시킵니다. 테스트 팀은 시스템의 취약점을 드러내는 보안 테스트 전략을 계획해야 합니다. 대기업에는 테스트를 설계할 수 있는 보안 팀이 있을 수 있으며, 그러지 않으면 테스트 팀에서 외부 컨설턴트를 고용하여 보안 테스트를 설계할 수 있습니다.
보안 평가는 팀이 적용된 보안 조치의 효과를 검토하고 개선 방법을 찾을 수 있는 방법을 제공합니다. 보안 팀은 보안 시스템을 검토하고 업데이트하기 위해 정기적으로 회의를 가져야 합니다.
NIST 800-171은 시스템이 명확하게 정의되고 보안 조치가 해당 시스템 정의 내에서 적용될 때 가장 효과적입니다. 시스템 정의에는 시스템 구성요소와 함께 외부 시스템에 대한 연결이 포함되어야 합니다. 이와 같은 요구사항을 충족하려면 외부 시스템에 대한 연결을 보호해야 합니다. 보호 조치가 적절하면 데이터가 보안 시스템 외부로 전송되지 않아야 합니다. 의도적으로 데이터를 전송하는 경우에는 감청되지 않도록 데이터를 암호화해야 합니다.
NIST 800-171의 이 보안 조치 범주에는 시스템 결함을 식별하여 업데이트하는 추가 요구사항이 포함됩니다. 여기에는 악성 코드 보호를 최신 상태로 유지하는 것이 포함됩니다. 테스트 팀은 테스트 시스템에 대한 중단을 최소화하면서 시스템을 검토하고 업데이트할 계획을 작성해야 합니다.
이 문서에서는 NIST 800-171의 보안 조치 범주를 테스트 시스템에 적용하는 방법을 간략하게 살펴보았습니다. 테스트 팀에서는 테스트 시스템 배포 계획의 일부로 이러한 요구사항을 검토해야 합니다.
고객의 팀에서 이러한 요구 사항을 충족하도록 돕기 위해 NI가 제공하는 자료를 살펴보십시오.