RMF의 두번째 시간이다. 이번에는 RMF에서 가장 기초가 되는 문서인 체계보호계획(System Security Plan)에 대해서 알아보고자 한다.
SSP(System Security Plan) 이란?
Formal document that provides an overview of the security requirements for an information system and describes the security controls in place or planned for meeting those requirements.
번. 정보 시스템에 대한 보안 요구 사항의 개요를 제공하고 이러한 요구 사항을 충족시키기 위해 실행 중이거나 계획된 보안 제어를 설명하는 공식 문서입니다.
* 출처 : NIST Glossary(https://csrc.nist.gov/glossary/term/system_security_plan)
SSP는 공식적인 문서로 시스템의 개요, 보안등급, 보안요구사항과 수행되거나 수행될 보안요구사항을 기술하는 문서이다. 사업의 맨 초기부터 Draft가 생성되어 RMF의 마지막 단계인 Monitor과 Dispose까지 지속적으로 업데이트되는 하나의 큰 문서이다. SSP는 감사보고서(Security Assessment Report)와 미구현통제항목 구현계획(POA&M)과 같이 3개의 ATO Package(인증 문서)의 종류로 RMF에서 가장 중요한 문서를 고르라면 하나로 손에 꼽을 수 있다.
NIST의 공식문서인 NIST 800-18r1 Guide for Developing Security Plans for Federal Information Systems에 SSP를 개발하고 작성하는 공식적인 가이드라인이 제시되어있다. 해당 가이드라인은 다음으로 이루어져있다.
- 개요
- 시스템 경계분석과 보안통제
- 계획 개발
사실상 3. 계획개발에서 모든 개발의 역할과 책임 기술된다.
NIST의 공식홈페이지에서 SSP를 작성하기 쉽게끔 관리평문(Controlled Unclassified Information)의 시스템 보호계획 예시를 제공하고 있으니 이를 활용해주기를 바란다.
활용이 용이하게끔 필자가 한문으로도 번역해서 올려둔다.(번역기를 사용한 부분도 있는데, 용어가 어색하지 않게끔 많이 바꾸어 두었다.) 한문은 다음과 같다.
SSP는 RMF라는 큰 강줄기를 이끌어주는 나침반같은 문서이다. RMF를 공부해보고 싶은 사람이라면 꼭 SSP를 작성하는 목차정도는 봐두시기를 추천드리면 필자는 다음 RMF 투고물에서 여러분들을 기다리겠다.
'정보보안-이론 > XX에 대하여' 카테고리의 다른 글
| [클라우드보안에 대하여] 한 페이지로 알아보는 클라우드 보안 #Cheat-Sheat (0) | 2023.11.04 |
|---|---|
| 네트워크정보 보기(부제 : netstat.exe 사용법) (0) | 2022.09.01 |
| [2022-08-31 작성] 지속가용성(CA) VS 고가용성(HA) (0) | 2022.08.31 |
| 1. RMF에 대하여 -일반사항- (0) | 2022.08.23 |
| 정보보안 통제에 대하여 (0) | 2022.08.22 |