TUTOR 리덕토의 배움세상

RMF의 두번째 시간이다. 이번에는 RMF에서 가장 기초가 되는 문서인 체계보호계획(System Security Plan)에 대해서 알아보고자 한다.

SSP(System Security Plan) 이란?

Formal document that provides an overview of the security requirements for an information system and describes the security controls in place or planned for meeting those requirements.

번. 정보 시스템에 대한 보안 요구 사항의 개요를 제공하고 이러한 요구 사항을 충족시키기 위해 실행 중이거나 계획된 보안 제어를 설명하는 공식 문서입니다.

* 출처 : NIST Glossary(https://csrc.nist.gov/glossary/term/system_security_plan)

SSP는 공식적인 문서로 시스템의 개요, 보안등급, 보안요구사항과 수행되거나 수행될 보안요구사항을 기술하는 문서이다. 사업의 맨 초기부터 Draft가 생성되어 RMF의 마지막 단계인 Monitor과 Dispose까지 지속적으로 업데이트되는 하나의 큰 문서이다. SSP는 감사보고서(Security Assessment Report)와 미구현통제항목 구현계획(POA&M)과 같이 3개의 ATO Package(인증 문서)의 종류로 RMF에서 가장 중요한 문서를 고르라면 하나로 손에 꼽을 수 있다.

NIST의 공식문서인 NIST 800-18r1 Guide for Developing Security Plans for Federal Information Systems에 SSP를 개발하고 작성하는 공식적인 가이드라인이 제시되어있다. 해당 가이드라인은 다음으로 이루어져있다.

1. 개요
2. 시스템 경계분석과 보안통제
3. 계획 개발

사실상 3. 계획개발에서 모든 개발의 역할과 책임 기술된다. 

 NIST의 공식홈페이지에서 SSP를 작성하기 쉽게끔 관리평문(Controlled Unclassified Information)의 시스템 보호계획 예시를 제공하고 있으니 이를 활용해주기를 바란다.

활용이 용이하게끔 필자가 한문으로도 번역해서 올려둔다.(번역기를 사용한 부분도 있는데, 용어가 어색하지 않게끔 많이 바꾸어 두었다.) 한문은 다음과 같다.

SSP는 RMF라는 큰 강줄기를 이끌어주는 나침반같은 문서이다. RMF를 공부해보고 싶은 사람이라면 꼭 SSP를 작성하는 목차정도는 봐두시기를 추천드리면 필자는 다음 RMF 투고물에서 여러분들을 기다리겠다.

정보보안을 하고 CAP라는 RMF자격을 취득하고 여러가지 RMF에 관한 일들을 해왔는데, 정작 그 RMF가 무엇인지 어딘가 에 제대로 정리한 적이 없는거 같다. 공부하면서 알게된 지식을 여럭분들에게도 나누어 드릴까 하여 RMF에 관한 정보를 작성해보려고한다. 바로 시작하자

RMF란?

RMF의 풀네임은 Risk Managment Framework이다. 우리말로하면 위험관리프레임워크이다. 우선 단어 해석을 해야되겠다.

나름대로 정리를 해서 단어를 풀어써보았다. '위험'은 위협원이 발생시키는 위협으로 취약점이 공격당했을때 나오는 영향의 종합적인 말이다. 흔히 위험을 계산한다고 할때 (가능성) X (영향)이라는 공식을 많이 사용한다. 요지는 이 '위험'을 '관리'하는 '프레임워크'라는 것이 RMF라는 것이다. RMF의 그 자체를 의미하는 NIST800-37문서를보면 RMF를 다음과 같이 정의내리고 있다.

The RMF provides a disciplined, structured, and flexible process for managing security and privacy risk that includes information security categorization; control selection, implementation, and assessment; system and common control authorizations; and continuous monitoring

번) RMF는 보안과 개인정보의 위험을 정보보안분류, 선택, 수행, 평가, 일반 통제항목 인증, 지속감시의 과정에서 실천이고 구조이며 유연하게 관리할 수 있도록 하는 프로세스 입니다.
 
* 출처 : NIST 800-37r2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. Abstract

정의에 따르면 RMF는 정보체계의 수명을 정보보안분류/선택/수행/평가/인증/지속감시의 과정으로 분류했다는 점이고 그 과정에서 정보보안과 개인정보보호를 지원하는 프로세스라는 것이다.

RMF의 단계

상기 서술되었듯 RMF과정에는 정보체계의 수명이 다음의 6단계로 구분된다. 

한가지가 빠져있는데, 현재 RMF는 version 2이다. version 1까지는 위의 6가지 단계가 전부였지만, 현재는 모든 단계를 지원해주는 준비(Prepare)단계가 있다. 단계에 따라 RMF가 적용되는 체계는 체계의 개발이 시작되기도 이전, 즉 사업을 착수하는 단계에서부터 개발이 진행되는 와중에도, 개발이 마무리되어 사용하는 와중에도, 정보체계가 폐기되는 순간까지도 안전한 환경을 유지하게 된다. 그러면 지속적으로 나오고 있는 통제(Control)이란 무엇일까?

RMF Control

우선 RMF세계에서 통제(Control)은 보호조치와 유사한 단어이다. RMF에서 적용해야하는 통제는 RMF를 개발한 NIST에서 NIST 800-53문서에 모두 기재를 해두었다. 아래는 RMF에서 사용되는 통제의 예시이다.

앞에 PM-17 통제번호이다. RMF는 비슷한 성격의 통제를 Control Family라는 이름으로 분류해두었다 아래는 RMFv2기준 Family의 종류이다.

위에서 볼 수 있듯이 PM은 프로그램 관리 관련된 통제들의 집합이다. PM-17이라는 번호는 프로그램 관리 통제의 17번째 통제라는 의미이다. 각 통제는 1.통제에 대한 구현방법 2. 참고사항 3. 연관통제항목 4. 강화통제항목 5. 참고근거 가 기재되어있다. 몇 백개나 되는 통제가 이 800-53에 포함되어있다. 위 RMF 단계의 선정/수행/평가에서 나오는 통제는 바로 이 통제에 대해서 이야기하는 것이다.

RMF Document

다른말로는 인증패키지(Authorization Package)라고도 한다. 시스템에 대한 기본사항과 어떤 통제가 수행되었는지를 기재한 시스템 보안의 핵심문서 1. 시스템보호계획서(SSP, System Security Plan)와 평가단계가 지나가고 생성된 2. 평가보고서(SAR, Security Assessment Report) 마지막으로 미조치된 통제를 어떻게 관리할 것인지를 기술한 3. 추후조치계획(POA&M, Plan Of Action and Milestone)까지 3가지가 RMF Document이다. 이 3가지의 문서를 보고 인증기관은 인증결정을 수행한다.

우선 이정도만 알면 RMF세계에 발을 담근것이다. 아직 이 프레임워크가 기존과 다른것이 뭐고 왜 필요한지, 장점이 뭔지 궁금한게 한가득 이실거라고 생각한다. 천천히 포스팅을 따라오면서 같이 공부해나가도록 하자