정보보안을 하고 CAP라는 RMF자격을 취득하고 여러가지 RMF에 관한 일들을 해왔는데, 정작 그 RMF가 무엇인지 어딘가 에 제대로 정리한 적이 없는거 같다. 공부하면서 알게된 지식을 여럭분들에게도 나누어 드릴까 하여 RMF에 관한 정보를 작성해보려고한다. 바로 시작하자
RMF란?
RMF의 풀네임은 Risk Managment Framework이다. 우리말로하면 위험관리프레임워크이다. 우선 단어 해석을 해야되겠다.
나름대로 정리를 해서 단어를 풀어써보았다. '위험'은 위협원이 발생시키는 위협으로 취약점이 공격당했을때 나오는 영향의 종합적인 말이다. 흔히 위험을 계산한다고 할때 (가능성) X (영향)이라는 공식을 많이 사용한다. 요지는 이 '위험'을 '관리'하는 '프레임워크'라는 것이 RMF라는 것이다. RMF의 그 자체를 의미하는 NIST800-37문서를보면 RMF를 다음과 같이 정의내리고 있다.
The RMF provides a disciplined, structured, and flexible process for managing security and privacy risk that includes information security categorization; control selection, implementation, and assessment; system and common control authorizations; and continuous monitoring
번) RMF는 보안과 개인정보의 위험을 정보보안분류, 선택, 수행, 평가, 일반 통제항목 인증, 지속감시의 과정에서 실천이고 구조이며 유연하게 관리할 수 있도록 하는 프로세스 입니다.
* 출처 : NIST 800-37r2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. Abstract
정의에 따르면 RMF는 정보체계의 수명을 정보보안분류/선택/수행/평가/인증/지속감시의 과정으로 분류했다는 점이고 그 과정에서 정보보안과 개인정보보호를 지원하는 프로세스라는 것이다.
RMF의 단계
상기 서술되었듯 RMF과정에는 정보체계의 수명이 다음의 6단계로 구분된다.
한가지가 빠져있는데, 현재 RMF는 version 2이다. version 1까지는 위의 6가지 단계가 전부였지만, 현재는 모든 단계를 지원해주는 준비(Prepare)단계가 있다. 단계에 따라 RMF가 적용되는 체계는 체계의 개발이 시작되기도 이전, 즉 사업을 착수하는 단계에서부터 개발이 진행되는 와중에도, 개발이 마무리되어 사용하는 와중에도, 정보체계가 폐기되는 순간까지도 안전한 환경을 유지하게 된다. 그러면 지속적으로 나오고 있는 통제(Control)이란 무엇일까?
RMF Control
우선 RMF세계에서 통제(Control)은 보호조치와 유사한 단어이다. RMF에서 적용해야하는 통제는 RMF를 개발한 NIST에서 NIST 800-53문서에 모두 기재를 해두었다. 아래는 RMF에서 사용되는 통제의 예시이다.
앞에 PM-17 통제번호이다. RMF는 비슷한 성격의 통제를 Control Family라는 이름으로 분류해두었다 아래는 RMFv2기준 Family의 종류이다.
위에서 볼 수 있듯이 PM은 프로그램 관리 관련된 통제들의 집합이다. PM-17이라는 번호는 프로그램 관리 통제의 17번째 통제라는 의미이다. 각 통제는 1.통제에 대한 구현방법 2. 참고사항 3. 연관통제항목 4. 강화통제항목 5. 참고근거 가 기재되어있다. 몇 백개나 되는 통제가 이 800-53에 포함되어있다. 위 RMF 단계의 선정/수행/평가에서 나오는 통제는 바로 이 통제에 대해서 이야기하는 것이다.
RMF Document
다른말로는 인증패키지(Authorization Package)라고도 한다. 시스템에 대한 기본사항과 어떤 통제가 수행되었는지를 기재한 시스템 보안의 핵심문서 1. 시스템보호계획서(SSP, System Security Plan)와 평가단계가 지나가고 생성된 2. 평가보고서(SAR, Security Assessment Report) 마지막으로 미조치된 통제를 어떻게 관리할 것인지를 기술한 3. 추후조치계획(POA&M, Plan Of Action and Milestone)까지 3가지가 RMF Document이다. 이 3가지의 문서를 보고 인증기관은 인증결정을 수행한다.
우선 이정도만 알면 RMF세계에 발을 담근것이다. 아직 이 프레임워크가 기존과 다른것이 뭐고 왜 필요한지, 장점이 뭔지 궁금한게 한가득 이실거라고 생각한다. 천천히 포스팅을 따라오면서 같이 공부해나가도록 하자
'정보보안-이론 > XX에 대하여' 카테고리의 다른 글
네트워크정보 보기(부제 : netstat.exe 사용법) (0) | 2022.09.01 |
---|---|
[2022-08-31 작성] 지속가용성(CA) VS 고가용성(HA) (0) | 2022.08.31 |
정보보안 통제에 대하여 (0) | 2022.08.22 |
SOC에 대하여 (0) | 2022.06.20 |
정보보안 문서의 분류에 대하여 (0) | 2021.12.27 |