클라우드 보안인증체계(FedRAMP) 프로세스 분석 및 정부 정책연구
57
최 종 연 구 보 고 서 클라우드 보안인증체계(FedRAMP) 프로세스 분석 및 정부 정책연구 수탁기관 : 대전대학교 한 국 표 준 협 회 제 출 문 한국표준협회장 귀하 본 보고서를 클라우드 보안인증체계 (FedRAMP) 프로세스 분석 및 정부 정책 연구 의 최종연구보고서로제출합니다. 2013 년 01 월 28 일 수 탁 기 관 : 대전대학교 산학협력단 수 탁 기 관 장 : 이 봉 환 연 구 책 임 자 : 박 기 웅 참 여 연 구 원 : 박준형, 배미르, 이정우, 송명옥
Transcript of 클라우드 보안인증체계(FedRAMP) 프로세스 분석 및 정부 정책연구
최 종 연 구 보 고 서
클라우드 보안인증체계(FedRAMP) 프로세스 분석 및
정부 정책연구
수탁기관 : 대전대학교
한 국 표 준 협 회
제 출 문
한국표준협회장 귀하
본 보고서를 클라우드 보안인증체계(FedRAMP) 프로세스 분석 및
정부 정책 연구의 최종연구보고서로제출합니다.
2013 년 01 월 28 일
수 탁 기 관 : 대전대학교 산학협력단
수 탁 기 관 장 : 이 봉 환
연 구 책 임 자 : 박 기 웅
참 여 연 구 원 : 박준형, 배미르, 이정우, 송명옥
요 약 문
1. 제목
❍ 클라우드 보안인증체계(FedRAMP) 프로세스 분석 및 정부 정책 연구’에 관한 최종
연구 보고
2. 연구의 필요성 및 기대효과
❍ 네트워크를 통해 컴퓨팅 자원을 필요한 만큼 빌려 쓰는 개념인 클라우드 컴퓨팅은
최신 IT 인프라 구축의 새로운 패러다임으로 인식이 되고 있으나, 새로운 보안의 위
협이 되고 있음.
❍ 본 사업은 FedRAMP 기반의 보안 평가, 인증 및 사후 관리에 관한 전반적인 프로세
스를 분석하고, 국내 도입을 위한 정책연구를 수행하여 클라우드 컴퓨팅 공통표준
분야의 경쟁력 확보를 목표로 함.
3. 연구의 내용 및 범위
❍ 클라우드 보안인증을 위한 FedRAMP 프로세스 분석
- 클라우드 시스템 보안 평가 부문
- 클라우드 서비스 보안 인증의 분류 및 활용 부문
- 지속적 보안 평가 및 인증을 위한 프로세스 부문
❍ FedRAMP 프로세스의 국내 도입을 위한 정책 연구
- 보안 평가 요소별 타당성 및 국내 도입 가능성 분석
- 한국형 FedRAMP 프로세스의 구성 방향 제시
4. 연 구 결 과
목 차
I. 정부기관 내 클라우드 도입을 위한 FedRAMP 인증 프로세스 분석 ····························· 00
1. 사업의 개요 ·························································································································· 00
1-가. 사업의 필요성 ············································································································· 00
1-나. 국내외 현황 ················································································································· 00
1-다. 기대효과 ······················································································································· 00
2. 사업목표 ································································································································ 00
2-가. 최종 사업목표 ············································································································· 00
2-나. 최종 사업내용 ············································································································· 00
3. 사업추진전략 ························································································································ 00
3-가. 중점사항 ······················································································································· 00
3-나. 추진방안 및 조직 ······································································································· 00
II. 정부기관 내 클라우드 도입을 위한 FedRAMP 인증 프로세스 분석 ···························· 00
1. 사업의 개요 ·························································································································· 00
1-가. 사업의 필요성 ············································································································· 00
1-나. 국내외 현황 ················································································································· 00
1-다. 기대효과 ······················································································································· 00
2. 사업목표 ································································································································ 00
2-가. 최종 사업목표 ············································································································· 00
2-나. 최종 사업내용 ············································································································· 00
3. 사업추진전략 ························································································································ 00
3-가. 중점사항 ······················································································································· 00
3-나. 추진방안 및 조직 ······································································································· 00
- 1 -
I. 클라우드 보안인증제를 위한 FedRAMP 프로세스 분석
1. FedRAMP 프로세스 개요
□ FedRAMP 개념 및 인증 진행 절차
o FedAMP란 美 정부기관이 이용하려는 클라우드 제품 및 서비스에 대한 보
안평가, 허가, 지속적인 모니터링을 위해 도입한 표준화된 보안평가 및 인
증 프로그램으로서, 보안평가 및 인증에 관련된 모든 사항을 체계화 하여,
정부기관에 안전한 클라우드 컴퓨팅을 도입하기 위한 프로그램
<FedRAMP 기반의 보안인증제 개념도>
o FedRAMP에 의해 도출된 보안 요구 사항 및 평가 기준을 기반으로, “보안
평가 수행”, “운용권한 부여”, “인증 후 지속적 평가 및 인증 유지”로 구성된
클라우드 보안인증제 수행
- FedRAMP의 역할: 클라우드 시스템에 대한 보안 요구사항을 도출하여 평가 기준
을 제시하며, FedRAMP에 의해 인증된 클라우드 제공 업체에 대한 목록을 관리
- 인증절차: 정부가 인가한 평가대행기관(3PAO)을 통해 보안평가를 수행 ➡ 보안
평가의 결과를 토대로 FedRAMP 인증위원회(JAB)는 운영권한을 부여 ➡ 운영권
- 2 -
한을 부여 받은 후에는 지속적으로 평가/인증을 수행하여 위험 관리를 수행
<FedRAMP 기반의 인증 프로세스 진행 절차>
□ FedRAMP의 도입목적
o 클라우드 보안 평가 및 인증에 관련된 모든 사항을 FedRAMP 프로그램으로
통합하여 美 정부 기관에 안전한 클라우드 컴퓨팅의 도입을 가속화
o 정형화된 클라우드 검증, 허가 정책을 통해 비용, 시간 및 인력을 절감
o 도입된 클라우드 시스템의 끊임없는 보안 위험에 대응하기 위한 지속적인
모니터링 환경 구축
- 3 -
2. FedRAMP 운용을 위한 주체 및 주체별 역할
□ FedRAMP 운용을 위한 조직도
o FedRAMP와 관련된 정부기관: 국립표준기술연구소(NIST), 조달청(GSA), 국방
부(DOD), 국토안보부(DHS), 연방CIO 협의회
o FedRAMP 운영을 위한 내부 핵심 조직
- FedRAMP 인증위원회(JAB): FedRAMP 기반의 모든 인증을 관리하는 조직이며,
국방부, 국토안보부, 조달청 등의 정부기관이 연합하여 운영됨. 또한, 국립표준기
술연구소(NIST)의 기술을 지원을 받음
- FedRAMP 관리국(PMO): FedRAMP의 전반적인 운용을 담당
- 연방CIO 협의회: FedRAMP와 관련된 정부기관 간의 커뮤니케이션 담당
<FedRAMP 운용을 위한 조직체계>
- 4 -
주체 수행 업무
FedRAMP JAB(FedRAMP 인증 위원회)
• FedRAMP의 최상위 의사 결정 수행
• 보안 수준의 정의 및 업데이트
• 평가대행기관선정을 위한 승인/인가 기준 결정
• 잠정적인 운용허가권 부여를 위한 보안 평가 패키지 검토
• 클라우드 서비스의 잠정적 운영권한 부여
NIST(JAB 기술 자문위원회)
• FedRAMP 인증위원회(JAB) 에 전문지식 제공 및 기술자문
• FedRAMP 인증프로세스 설계에 있어 PMO를 지원
• JAB에 정식 인증 된 클라우드 서비스 승인 결정 추천
• JAB에 정식 인증 된 클라우드 서비스에 대한 문제 제기
DHS(국토 안보부)
• 정부 차원의 기관 별 지원, 비용 효율적인 사이버 보안을 지원
• 사이버 보안 운영 및 사고 대응 관리
• 연방 정보 시스템의 사이버 보안을 위한 지속적인 모니터링 표준 정립
• 클라우드 서비스와 신뢰할 수 있는 인터넷 연결(TIC) 프로그램의
구현에 대한 지침 개발
FedRAMP PMO(FedRAMP 프로그램
관리국)
• FedRAMP에 보안 승인을 요청하는 정부기관 및 클라우드 제공
업체에 대한 프로세스 관리
• FedRAMP에 의해 처리되는 보안, 인증에 대한 패키지를 각
기관에 맞추어 프레임 워크 구축
• 국토안보부와의 협력 및 사고 대응 프레임 워크를 확립
• NIST와 협력하여 평가대행기관의 평가를 위한 적합성 평가 구현
• 표준 계약 언어 및 서비스 수준 계약에 대한 템플릿 (SLA),
양해각서(MOU) 작성
• FedRAMP를 운용하는 각 주체간 효과적인 의사소통을 위한
정책 수립
□ FedRAMP 주체별 수행 업무
- 5 -
Agencies (정부기관)
• 클라우드 서비스에 대한 위험평가, 보안 인증, 잠정적인
운용권한 부여 시, FedRAMP 프로세스를 활용
• 평가, 승인, 보안 통제, 지속적인 모니터링은 각 정부기관의 책임
CSP (클라우드 제공업체)
• FedRAMP의 보안 기준에 따른 보안통제 구현
• FedRAMP의 요구 사항에 따른 보안평가 패키지 구성
• 지속적인 모니터링 프로그램을 유지
• 보안 통제 및 사고보고에 대한 연방 정부 요구사항을 준수
3PAO(평가대행기관)
• 기술 능력에 대한 FedRAMP 요구사항을 준수
• 독립적으로 클라우드 제공 업체 시스템의 보안평가를 수행하고
FedRAMP 요구사항에 따라 보안 평가 패키지 결과 보고서를 구성
- 6 -
3. FedRAMP 운용을 위한 절차
□ FedRAMP 보안 인증 절차
o FedRAMP의 보안 인증 프로세스는 3단계로 이루어짐
o 인증 프로세스를 수행하기 위해서는 평가대행기관(3PAO)의 선정이 필요
<FedRAMP 인증프로세스 설명>1)
1) ISO/IEC17020 : 검사기관이 제공하는 서비스가 기술적 능력, 공정성, 신뢰성, 책임성 등을 입증하기 위한 국제 기준 <첨부 4 참고>
- 7 -
□ FedRAMP 운용을 위한 분기별 활동현황 및 계획
o FedRAMP의 유지 운영은 단계별 접근 방식으로 추진하고 있으며, FedRAMP
PMO는 단계적 구현을 관리하기 위한 책임이 있음
<FedRAMP 분기별 운영 실적 및 계획>
년
도
2012년 상반기
(사전 실행 활동 단계)
2012년 후반기
(초기 검증 단계)
2013년 상반기
(시범 운용 단계)
2014년
(운영 유지 단계)
핵
심
활
동
· FedRAMP 운영을 위한
요구사항 문서화
· 제한적인 범위 안에
서 IOC와 클라우드
제공 업체 활동
· 매뉴얼 프로세스와
운영 능력을 검토
· 전체 운영 능력 유지
· FedRAMP 요구사항 게시
(보안통제,템플릿,운영방안)
· 기관에 대한 FedRAMP
운영방안 게시
· 평가대행기관 파견
· 인증위원회(JAB) 설립 및
보안 패키지를 검토
· 클라우드 제공 업체
권한을 부여
· FedRAMP 운영 메뉴
얼 업데이트 및 지속
적인 모니터링
· 인증과 평가를 실시
· 클라우드 제공 업체
에 더 많은 권한을
부여 하고 운영능력
을 평가
· 전자 인증 저장소 구축
· 정상 상태 운영 확장
산
출
물
· 승인된 평가대행기관
목록 작성
· 초기 FedRAMP 운영
· 성능 벤치마크 구축
· 클라우드 제공 업체
첫 인증
· 여러 클라우드 제공
업체의 인증
· 기업 모델을 정의
· 벤치마크를 측정
· 민영화 모델 구현
· 민영화 인증 위원회
o 美 연방정부는 FedRAMP 운영을 위해 2012년 상반기 평가대행기관 선정
및 초기 FedRAMP운영을 시작으로, 2012년 후반기 초기 검증 단계를 완료
하였으며, 앞으로 FedRAMP의 정상 운영 및 민영화 모델을 최종 목표로 운
영하고 있음.
- 8 -
4. 기관별 FedRAMP 활용 방안 및 공통기준
□ 기관별 FedRAMP 활용 방안
<기관별 FedRAMP 활용 방안 예시도>
□ FedRAMP 활용에 따른 공통 기준
o FedRAMP는 FIPS 1992)에 의해 정의 된 낮은 (LLL) 및 중간 (MMM)영향 수
준 시스템에 대한 보안 관리 기준을 정의
o 보안 통제는 NIST 카테고리에 있는 SP 800-533)을 기준으로 통제
o FedRAMP는 정부 기관, 클라우드 제공 업체, 그리고 평가대행기관이 준수해
야 하는 추가 요구 사항을 정의
2) FIFPS 199 : 정보시스템을 분류하는 표준을 개발하는 프로세스를 서술한 문서 <첨부 1 참고>3) NIST 800-53 : 정보시스템을 위한 정보보호통제에 대한 지침을 제공 <첨부 2 참고>
- 9 -
5. 평가대행기관(3PAO)의 역할 및 인가 절차
□ 평가대행기관의 역할 및 조건
o 클라우드 서비스에 대한 일관성 및 독립성이 보장된 보안 평가를 수행
o GSA(조달청) 및 NIST(국립기술연구소) 관련 전문가로 구성된 심사위원회 검
토 결과를 토대로 평가대행기관 후보 검증 후, FedRAMP PMO에 의해 평가
대행기관 활동에 대한 최종 인가
o 평가대행기관 후보 조건: 클라우드 기반 솔루션을 평가, 시연을 할 수 있는
전문 지식이 있어야 하며 FISMA(연방정보보호법)4)을 만족하는 민간 기업,
행정부 내 그룹, 정부 기관
□ 평가대행기관 인가절차
4) FISMA : 연방정부 기관의 정보보안 강화를 위해서 제정된 법 <첨부 3 참고>
- 10 -
< 평가대행기관 인가절차 세부설명 >
구 분 주 요 내 용
1단계① 신청서 제출5)
ㆍFedRAMP 보안 통제의 일부를 기반으로 하는 가상 클라우드 시스템 보안 평가를 작성하여 기술적인 능력을 증명하는 자료를 제출
2단계② 평가대행기관 후보자가 제출한 서류들을 전문가 검토위원회를 통하여 검토
③ 결과 통보 ㆍ인가와 비인가가 있으며, 인가가되면 평가대행기관 목록에 게재
3단계④ 평가 대행기관 등에 대한 지속적인 모니터링
⑤ FedRAMP 기준 미달 시, 평가대행기관 인가 일시 정지 또는 철회
□ 1단계: 평가대행기관 지원서 제출
< 평가대행기관 인가절차 1단계 세부설명 >
구 분 주 요 내 용
지원서
제 출
① FedRAMP의 평가대행기관이 되기 위해, 조직은 먼저 신청서6)를 제출
ㆍ ISO/IEC 17020:1998 for Type Aor Type C7) 요구 내에 포함된 표준을
준수한다는 것을 표시한 신청서 제출
ㆍ 신청자는 독립된 기관이어야 하며, 내부 관리 시스템은 표준화 되어야함
ㆍ 기술적인 능력을 증명하기 위해 시스템보안계획서(SSP)8),
시스템 평가 계획(SAP)9), 보안 평가 보고서(SAR)10) 제출
ㆍ 시범 평가를 수행하는 데 사용되는 운영메뉴얼 및
요약된 시스템 평가 계획서의 시뮬레이션 실행 결과 제출
5) 신청서 : 양식 1 참고6) 신청서 : 양식 1 참고7) ISO/IEC 17020:1998 : 검사기관이 제공하는 서비스가 능력을 갖추고 수행하는 것을 입증하기 위한 국제기준<첨부4 참고>8) 시스템보안계획(SSP) : 서비스 제공자의 정보보안통제에 대한 자세한 정보가 포함된 문서 <첨부5 참고>9) 시스템평가계획(SAP) : 보안통제를 테스트 할 수 있는 테스트 계획을 구성하기 위해 만들어진 기획안 <첨부 6 참고>10) 보안평가보고서(SAR) : 시스템의 포괄적인 보안 테스트와 평가의 결과를 포함하는 문서<첨부 7 참고>
- 11 -
□ 2단계: 평가대행기관 인증
< 평가대행기관 인가절차 2단계 세부설명 >
구 분 주 요 내 용
인 증
평 가
① 전문가 검토위원회에서 평가대행기관후보자들이 제출한 서류 검토
※ 전문가 검토위원회는 FedRAMP PMO가 독립적인 경영진과 NIST,
GSA의 사이버 보안 전문가로 구성하여 설립한 위원회
ⅰ. ISO/IEC 17020:1998 적합성 확인
ⅱ. 관리시스템, 평가 결과물, 기술 능력을 평가
ⅲ. 전문가 검토위원회는 평가대행기관후보자들에게 추가적인 설명과 자료를 요청
ⅳ. 전문가 검토위원회는 연구결과를 요약, FedRAMP PMO에게 결과 통보
인 가
비인가
② 평가대행기관의 선정 결과를 통보
ㆍ평가대행기관이 인가되면 FedRAMP.gov 에 인가된 평가대행기관들을 목록으로 게시
③ 평가대행기관이 비인가 되면, 자세한 부적합 판정 결과 문서를 평가대행
기관 신청자에게 통보
재검토④ 평가대행기관 신청자는 FedRAMP가 검토 과정 중에서 심각한 오류가 있
다고 판단하면, 재검토 신청을 할 수 있음.
- 12 -
□ 3단계: 인증 후 지속적인 평가 및 인증 유지
< 평가대행기관 인가절차 3단계 세부설명 >
구 분 주 요 내 용
표준 유지 ① ISO 17020:1998에 따라 독립 및 관리 시스템 표준을 유지
자료 변경
② 공인된 평가대행기관은 기존에 제출한 서류들의 자료가 변경이 되면,
FedRAMP에 자료 변경 사실을 알림
ㆍFedRAMP는 변경사항이 FedRAMP의 요구 사항을 준수 하고 있는지 검토
보고서
제출
③ 보안 평가 결과보고서, 클라우드 제공 업체/정부기관 피드백 등의
보고서를 제출
지속적인
모니터링
④ 평가대행기관에 대한, 지속적인 모니터링을 통해 지위 결정
ㆍ평가대행기관의 활동 실적 등을 모니터링
지위 결정
⑤ FedRAMP는 평가대행기관의 지속적인 활동 여부를 통하여 지위를 결정
ㆍ활발한 활동을 펼치는 평가대행기관 : 인가 상태 유지
ㆍ활동이 저조한 평가대행기관 : 인가 자격 일지 중지
ㆍ지속적으로 활동이 없는 평가대행기관 : 인가 자격박탈과 평가대행기
관 리스트에서 삭제
- 13 -
6. FedRAMP 프로세스에 따른 보안평가 수행
□ FedRAMP 보안평가 수행 개요
o FedRAMP의 보안 평가 프로세스는 FISMA와 NIST의 SP 800-3711)을 준수
o FedRAMP는 보안통제를 위해, 클라우드 컴퓨팅의 특화된 보안 요구사항 및
NIST의 SP800-5312)의 저급(Low), 중급(Moderate) 레벨의 보안 수준 정의
□ 클라우드 서비스 보안 평가․인증 절차
11) NIST 800-37 : 위험 리스크 관리를 적용하기 위한 지침을 제공하기 위해 만들어진 문서 <첨부 8 참고>12) NIST 800-53 : 정보시스템을 위한 정보보호통제에 대한 지침을 제공 <첨부 2 참고>
- 14 -
< 클라우드 서비스 보안 평가 절차 세부설명 >
구 분 주 요 내 용
1단계 지 원
(Applying)
① 클라우드 제공 업체는 FedRAMP PMO에 지원서 제출
ㆍ지원서를 제출할 때, 추가적인 서류 등을 제출해야함
② FedRAMP PMO가 지원서를 검토하고 평가 절차 개시 통지
ㆍFedRAMP PMO에서 정보 시스템 보안 책임자(ISSO)를 배정하여 검토
2단계평 가
(Assessing)
③ 클라우드 제공 업체는 시스템 보안 계획(SSP)의 보안 제어 구현을
문서화 하여 제출
④ FedRAMP는 클라우드 제공 업체가 제출한 모든 증빙 서류를 검토,
만족 할 경우 클라우드 제공 업체에게 통보
⑤ 클라우드 제공 업체는 평가대행기관에 평가 의뢰
⑥ 클라우드 제공 업체는 평가대행기관 지정 사실을 FedRAMP PMO에 통보
⑦ 평가대행기관은 클라우드 제공 업체의 클라우드 서비스에 대한 보안 평가 실시
ㆍFedRAMP 보안 평가 계획(SAP) 템플릿을 사용하여 테스트
⑧ 3AO는 보안 평가 결과보고서를 FedRAMP PMO에 제출
⑨ FedRAMP PMO는 보안 요건 충족 시 JAB에 클라우드 시스템의 잠정인증 요구
3단계인 증
(Authorizing)
⑩ JAB가 잠정인증 부여 여부 결정
ㆍJAB가 임시 권한을 부여하지 않을 경우, 클라우드 제공 업체에 비인증 통지
※ 단, FedRAMP의 보안 평가를 다시 받을 수 있음.
⑪ FedRAMP PMO는 클라우드 제공 업체에 결과를 통보하고 인증 관련 정보 관리
4단계활 용
(Leveraging)
⑫ 정부기관은 잠정인증을 받은 클라우드 제공 업체의 서비스 중에서 기관
고유의 보안 특성에 맞는 서비스를 선정하여 최종인증 부여
- 15 -
구분 주요내용
지원서제 출
①클라우드 제공 업체는 신청서와 관련 서류 제출※ 제출 서류 목록
ㆍFIPS 199 워크 시트13)
- 클라우드 제공 업체는 시스템에 포함 된 데이터의 형식을 카테고리로 분류- 클라우드 제공 업체는 FIPS 199 워크시트에 있는 정보를 바탕으로
FedRAMP 요구 사항을 충족하는 보안 통제를 구현ㆍControl Tailoring Workbook (CTW)14)
ㆍControl Implementation Summary (CIS)15)
- CIS는 컨트롤의 요약을 제공, 클라우드 제공 업체는 각 컨트롤의 구현에 대해 상세하게 기술해야 되는 책임이 있음
- 클라우드 제공 업체는 시스템 보안 계획을 바꾸게 되면 CIS를 수정ㆍ클라우드 제공 업체는 CTW와 CIS의 제어 경계를 정의하고 보안통제
구현을 문서화해야 하며, 각 보안통제에 대한 구현책임이 있음
평 가 준 비
②클라우스 제공 업체의 보안 평가 프로세스가 시작되면, FedRAMP PMO에서 정보 시스템 보안 책임자를 배정
ㆍ정보 시스템 보안 책임자는 평가를 시작하고, 보안 통제를 구현하는데 서류를 작성 및 보안 테스트를 수행에 대한 지침을 제공
ㆍ정보 시스템 보안 책임자는 클라우드 제공 업체의 보안 평가 과정 전반에 걸쳐 끝까지 보안 평가 문서의 초기 검토를 수행하고 피드백을 제공 할 책임
□ 1단계: 보안평가를 위한 신청서 및 증빙자료 제출
< 클라우드 서비스 보안평가 1단계 세부설명 >
- 16 -
평 가 개 시 통 보
③ FedRAMP PMO는 클라우드 제공 업체의 평가 시작을 통보ㆍ이때 클라우드 제공 업체는 FedRAMP PMO에 완성된 CTW, CIS
템플릿을 제출
초 기검 토수 행
④ FedRAMP ISSO는 CTW, CIS 템플릿의 완전성 및 규정 준수 여부 검사를 위한 문서의 초기 검토를 수행
ㆍ문서가 잘못된 경우, 정보 시스템 보안 책임자는 클라우드 제공 업체에게 문서 개정에 필요한 부분과 구체적진 연구 결과를 포함하여 통지
JAB검토
⑤ FedRAMP JAB는 CTW와 CIS를 자세히 검토하고, 해당 서비스 환경에 배치하여 연방 데이터에 될 위험이 있는지를 검토
통 보
⑥ FedRAMP JAB가 CTW와 CIS를 허용하는 경우, FedRAMP PMO에 통보⑦ CTW와 CIS가 통과된 것을 클라우드 제공 업체에 통보
ㆍFedRAMP JAB가 CTW와CIS에 대한 문제가 있다고 판단할 경우,클라우드 제공업체는 문제를 해결하고 다시 제출 할 수 있는 기회가 주어짐
템플릿 설명
FedRAMP Request FormFedRAMP 요청 양식은 FedRAMP 보안 평가 프로세스의 개시를
요청하는 연방 정부 기관 및 클라우드 제공 업체에 의해 사용
FIPS 199 Categorization
FIPS 199 보안 분류는 클라우드 정보 시스템 / 서비스에서
지원 될 영향 수준을 결정하는 데 사용
공급자는 현재 저장되어있는 데이터 유형에 따라 시스템을
분류하고 기관의 데이터를 활용 (첨부 1 참고)
Control Tailoring
Workbook (CTW)
이 문서는 클라우드 제공 업체의 컨트롤 구현을 문서화하고
FedRAMP 정의 매개 변수 및 보상 컨트롤의 구현 설정을 정
의하며, 클라우드 제공 업체에 의해 사용 (첨부 9 참고)
Control Implementation
Summary (CIS)
이 문서는 제어 소유권 및 클라우드 제공 업체 컨트롤, 그리고
어떤 컨트롤이 활용 기관이 소유하고 관리하는지를 나타내는
문서 (첨부 10 참고)
< 클라우드 서비스 보안 평가 절차 1단계에서 활용되는 템플릿 >
13) FIPS 199 : 정보시스템을 분류하는 표준을 개발하는 프로세스를 서술한 문서 <첨부 1 참고>14) Control Tailoring Workbook : 서비스 제공자의 정보보안통제에 대한 자세한 정보를 포함한 문서 <첨부 9 참고>15) Control Implementation Summary : 서비스 제공자의 정보보안통제에 대한 간략한 정보를 포함한 문서<첨부 10 참고>
- 17 -
구분 주요내용
제 출
① 클라우드 제공 업체는 시스템 보안계획을 문서화 하여 제출
ㆍ클라우드 제공 업체는 시스템 보안 계획을 문서화 하기위해 추가적인 서류 제출
※ 제출 서류 목록
ⅰ. 전자 인증 워크시트(e-Authentication) 16)
ⅱ. 클라우드 제공 업체의 정보 보안 정책
ⅲ. 클라우드 서비스에 대한 사용자 가이드
ⅳ. 행동 규칙17)
ⅴ. IT 비상 계획
ⅵ. 구성 관리 계획 및 사고 대응 계획
검 토제 출
② FedRAMP 정보 시스템 보안 책임자는 클라우드 제공 업체가 시스템 보안 계획에
제출한 모든 증빙 서류 검토
ㆍ시스템 보안 계획서 최종 상태가 되면, 정보 시스템 보안 책임자는
FedRAMP JAB에 시스템보안 계획서 제출
통 보
③ FedRAMP JAB은 시스템보안계획서를 검토 후 승인할 경우, 클라우드
제공 업체는 다음 보안 테스트 단계의 일을 시작
ㆍFedRAMP JAB가 시스템보안계획서에 대해 문제가 있다고 제기하면,
클라우드 제공업체는 FedRAMP JAB가 제기한 문제를 해결하고 문서를
다시 제출
□ 2단계: 시스템 보안 계획 문서화
< 클라우드 서비스 보안 평가 절차 2단계 세부설명 >
16) E-Authentication : 연방정부 기관의 전자 인증 분류를 나타낸 문서 <첨부 26 참고>17) Rulesof Behavior : 사용자의 책임와 행동의 관련된 보안 통제를 설명한 문서 <첨부 27 참고>
- 18 -
구분 주요내용
계 약체 결
① 클라우드 제공 업체는 보안 통제 평가를 위해 평가대행기관과 계약
② 클라우드 제공 업체는 FedRAMP PMO에 평가대행기관과의 계약 체결
내용을 통보
ㆍFedRAMP JAB는 평가대행기관에서 개발한 보안평가패키지를 활용
보안테스트
③ 평가대행기관은 FedRAMP의 보안 평가 계획(SAP) 템플릿을 사용하여
테스트 수행
ㆍ평가가 완료 된 후에, 평가대행기관은 보안 평가 보고서(SAR) 작성
보안테스트
결과 통보
④ 평가대행기관은 클라우드 제공 업체에게 보안평가보고서를 송부
ㆍ보안평가보고서에는 보안 취약점과 개발 권장 사항이 포함
보 완
⑤ 보안평가보고서를 받은 클라우드 제공 업체는 특정 작업을 해결,
자원 개발, 취약한 부분을 확인하고 수정하기 위한 조치 일정(POA&M)18)
을 세우고 FedRAMP PMO에 제출
ㆍ사후조치계획서(POA&M)는 시스템 내에서 취약성에 대한 수정 계획과
수정이 구현 될 날짜를 나열한 문서
□ 3단계: 보안 테스트 수행
< 클라우드 서비스 보안 평가 절차 3단계 세부설명 >
- 19 -
전반적인검 토
⑥ FedRAMP 정보시스템보안책임자는 전반적인 위험 상태를 확인 하기위해
보안평가보고서와 사후조치계획서를 검토
제 출 ⑦ FedRAMP 정보시스템보안책임자는 자세한 검토를 위해 FedRAMP JAB에 송부
전체적인검 토
⑧ FedRAMP JAB는 클라우드 제공 업체의 시스템이 연방 데이터를 저장할
수 있고, 보안 수준을 지키고 있는지 확인하기 위해 보안평가보고서 및
사후조치계획서 검토
결과 통보
⑨ FedRAMP JAB에서 위험 수준이 높다고 결정하면 FedRAMP 정보시스템
보안책임자는 클라우드 제공 업체에게 잘못된 제어 시스템을 정확한
제어 구현과 개정 설명서를 다시 제출할 것을 권장
ㆍFedRAMP JAB가 위험 수준을 허용하는 경우, FedRAMP 정보시스템
보안책임자는 클라우드 제공 업체에게 보안 평가 완료 단계를 준비 통보
18) POA&M : 보안 인증 패키지의 세 가지 핵심 문서 중 하나이며, 계획된 특정 작업에 대해 설명하는 문서 <첨부11 참고>
- 20 -
□ 4단계: 보안 평가 완료
< 클라우드 서비스 보안 평가 절차 4단계 세부설명 >
구분 주요내용
서 류제 출
① 클라우드 제공 업체는 보안 문서들을 하나의 보안 평가 패키지로
편집하고 업데이트
ㆍ클라우드 제공 업체는 보안 평가 패키지에 설명된 보안 통제 구현의
진실을 증명하기 위해 공급자적합성 선언 제도(SDOC)19)를 제출
검 토
② 클라우드 제공 업체가 제출한 서류를 검토하기위해 FedRAMP JAB에
제출 하여 최종 검토
ㆍ클라우드 제공 업체가 제출한 보안평가패키지와 공급자적합성 선언
제도에 대한 설명&질문들을 요청 할 수 있음
ㆍ연구결과를 최종검토&요약을 하며 추가 검토 실시
운영권한발급
③ FedRAMP JAB는 보안 평가 패키지를 검토하고 모든 문서는 운영권한을 부여
ㆍ만약 FedRAMP JAB가 운영권한을 발급하지 않을 경우,
FedRAMP PMO는 클라우드 제공 업체에게 보안평가 불합격
통지를 하며 보안평가를 다시 신청 할 수 있는 방법에 대한 지침 제공
ㆍ운영권한을 발급받은 클라우드 제공 업체는 FedRAMP.gov에 승인된
클라우드 제공 업체 리스트에 추가
19) Supplier’s Declarationof Conformity
- 21 -
7. FedRAMP 운영권한의 활용
□ FedRAMP로부터 부여받은 운영권 활용 예
o FedRAMP는 정부기관이 FedRAMP의 임시승인을 사용할 수 있도록 인증프로
세스항목을 활용
o FedRAMP는 정부기관이 연방정보보호법에 따른 운영권한을 부여할 안전한
보관소를 사용할 수 있도록 인증 프로세스 항목을 활용
o 정부기관은 연방정보보호법 통해 위험성을 파악하고, FedRAMP 각 기관들의
데이터를 시스템에 적용하기 전에 운영권한의 부여를 요구
o 정부기관은 클라우드 서비스에 대한 운영권한을 부여할 때 FedRAMP 활용
□ FedRAMP를 활용 시 장점
o 정부기관은 JAB로부터 부여받은 임시승인을 재사용하고 완료된 작업을 활용 가능
o 정부기관은 클라우드 제공업체의 어플리케이션을 검토할 수 있음
※ 보안통제와 통제를 시행한 자료도 포함하여 검토
o 정부기관은 대표적인 클라우드 서비스의 기존의 취약점과 위험성을 완화하는 계
획을 일괄적으로 검토할 수 있음
□ FedRAMP로부터 부여받은 운영권 활용 과정
- 22 -
< 운영권 활용의 주요내용 >
구분 주요내용
1단계
검 토
- FedRAMP는 자신의 데이터 보관소에 보관되어있는 임시승인과 보안
평가패키지를 검토
① 정부기관은 클라우드 제공업체를 검토할 때 FedRAMP의 데이터 보
관소에 보관되어있는 임시승인과 보안평가패키지를 활용
② 정부기관은 클라우드 제공업체에게 보안평가패키지를 적용하였을
때의 효과를 검토하고 클라우드 제공업체와 계약을 협상
2단계
부 여 ③ 정부기관은 자신의 권한으로 클라우드 제공업체에게 운영권한을 부여
※ 데이터 보관소 : FedRAMP의 임시승인, 보안평가패키지, 템플릿, 운영 매뉴얼 등의
데이터와 자료를 안전하게 보관하는 곳
□ 클라우드 모델별 보안통제 활용
o 평가패키지의 검토부분에서는 정부기관이 클라우드 모델별 통제의 책임을
파악하기를 요구
o 통제정보요약문서에 클라우드 제공업체와 정부기관 사이의 명확한 통제의
책임을 기술
< 클라우드 모델별 보안통제의 책임 >
- 23 -
범주 요구사항운용권한
부여 기관비고
클라우드
제공업체의
자체적인
평가패키지
- 클라우드 제공업체는 FedRAMP프로세스를 활
용하여 자체적으로 보안평가패키지를 부여
- 클라우드 제공업체는 FedRAMP의 보안평가
프로세스를 활용한 내부의 ISSO와 인증된 평
가대행기관을 따름
- FedRAMPoffice는 패키지의 완성도와
FedRAMP의 모든 문서와 템플릿이 요구사항
대로 사용되었는지를 검토
- FedRAMP는 매년 클라우드 제공업체가 자체
증명한 SDOC문서를 제출하도록 요구
- 매년 보안평가
갱신일을 기준으
로 승인된 평가
대행기관을 활용
하에 자체 검증
없음
< 클라우드 모델별 보안통제의 책임 >
클라우드
모델설명 통제의 책임
IaaS 자원을 사용할 수 있게 해주는 서비스
정부기관이 클라우드 제공업체에 비해 더 많은 통제의 책임을 가짐
PaaS 운영체제 또는 개발을 위한 환경을 제공하는 서비스
정부기관과 클라우드 제공업체가 거의 비슷한 통제의 책임을 가짐
SaaS 소프트웨어를 제공하는 서비스
정부기관이 클라우드 제공업체에 비해 적은 통제의 책임을 가짐
□ 보안평가패키지의 활용 예
o FedRAMP PMO는 정부기관이 활용하는 보안평가패키지를 보관하는 안전한
보관소를 유지
o 평가패키지의 각각의 범주들은 정부기관과 클러우드 제공업체들이 보안평가
에만 활용
o 보안평가패키지를 검토할 때 정부기관은 보안평가 패키지가 받은 검토수준
뿐만 아니라 클라우드 서비스와 관련된 위험성을 파악
< 보안평가패키지의 각 범주별 세부내용 >
- 24 -
정부 기관의
잠정적인
운용권한
- 각 기관들이 FedRAMP의 보관소에 없는 클
라우드 서비스를 이용하고자 할 때
FedRAMP프로세스의 프레임워크를 활용하
여 운용권한을 부여
- 정부기관은 내부의 ISSO를 활용하여
FedRAMP의 보안평가프로세스를 수행
※ 첨부된 템플릿과 가이던스를 사용
- 정부기관이 운용권
한을 부여
- 승인된 평가
대행기관을
활 용 하 지
않음
연방정부
기관의
잠정적인
운용권한
- 이 범주에서는 승인된 평가대행기관을 활용
하지 않기 때문에 정부기관은 평가대행기관
이 독립성을 입증하고 클라우드 제공업체의
패키지를 평가할 수 있는 기술자격을 제출
을 요구
- 각 기관들은 운용권한을 포함한 인증패키지
를 FedRAMP에 제출
- 정부기관은 매년 클라우드 제공업체의 인증
패키지의 모든 업데이트 내용이 FedRAMP
PMO에게 제공되었는지 검토
- 인증된 평가대행기관을 활용하지 않은 승인
은JAB로부터 검토 및 임시승인을 받을 수
없음
- 정부기관이 운용권
한을 부여
- 승인된 평가
대행기관을
활 용 하 지
않음
공인
인증된
평가대행기
관과
기관의
운용권한
- 승인된 평가대행기관이 클라우드 제공업
체의 평가패키지에 사용된 것을 제외하고
는 기관의 운용권한의 요구사항을 준수
- 정부기관은 매년 클라우드 제공업체의 인
증패키지의 모든 업데이트 내용이
FedRAMP PMO에게 제공되었는지 검토
- 정부기관이 운용권
한을 부여
- FedRAMP가
승인한 평
가대행기관
을 활용
- 25 -
FedRAMP
JAB의
임시승인
프로세스
- FedRAMP의 보안인증프로세스를 통과하고
6장에서 명시된 바와 같이 JAB에 의해 승
인이 되면 보안인증패키지를 지정
- 모든 후속기관의 운영권한은 정부기관이 검
토한 인증패키지의 전체적인 지식들이 제공
되는 JAB의 운영권한을 추가로 표시한
FedRAMP의 임시승인을 활용
- 클라우드 제공업체는 매년 FedRAMP PMO
에게 자체 증명한 SDOC문서를 제출
- JAB는 클라우드 제공업체가 JAB의 임시승인
을 유지하려는 경우, 자체 증명한 기관의
운영권한 없이 JAB의 임시승인을 검토
- JAB가 운용권
한을 부여
- FedRAMP가
승인한 평
가대행기관
을 활용
- 26 -
8. 인증 후 지속적 평가 및 인증 유지
□ 개요
o 클라우드 제공 업체 시스템의 보안적인 요소들을 지속적으로 관리하기 위한
과정 (NIST SP 800-13720) 을 기반으로 평가 및 인증 절차를 따름)
o 주기적인 모니터링을 통해 보안 인증 패키지의 유지 및 보안 관리과정에 대
한 정보를 제공하여 효율성을 제공
□ 지속적인 평가 및 인증 유지 절차
< 지속 적인 평가 및 인증 유지 절차의 세부설명 >
절차 설명
1단계 운영의 가시화- 자동화 된 데이터를 통해 보안 관리 구현. 정기적
인 자체 검증 보고서 자료 제출로 가시성을 제공
2단계 통제 시스템 변경- FedRAMP 요구사항을 충족 하는 시스템 변경계획
이나 제안 사항에 대한 문서를 제출
3단계 사고 대응- 시스템의 취약점과 보안 유지에 필요한 대응 방법
에 집중
20) NIST SP 800-137 : 미국국립표준원에서 제공하는 연방보안시스템의 지속적인 모니터링
- 27 -
□ 1단계: 운영의 가시화
o 기획 예산 목록(OMB) M-10-1521)에 따라 자동화된 접근 데이터를 통한 행
정 부담 간소화
o FY 2010 보고서22)의 연방정보호법에 대한 안내 및 각 기관의 개인정보를
보호하고 관리
o 클라우드 제공 업체는 정기적으로 각각의 자체평가보고서와 사후조치계획서를 제출
< 운영의 가시화 >
절차 부가설명
1-1 연간 자체평가 보고서 검토 ①,② 연간 자체평가 보고서 제출 및 평가 승인
1-2 [평가대행기관 검토부분]
자체평가 증명서류 분석
③ 클라우드 제공업체는 검토 절차를 완료했다는 사실을
입증 하려면 연간 자체평가 증명서류를 제출해야함
④ 정보시스템보안책임자는 JAB의 검토를 토대로 클라우
드 제공 업체와 평가대행기관 에게 각각의 통제 항목
이 재평가 되어야 함을 권고
1-3 승인 여부 결정⑤ JAB과 활용기관들은 증명서를 토대로 클라우드 제공업
체의 잠정적인 운용권한 발급 여부를 결정
21) oMB M-10-15 : FISMA 연방정보보안관리법의 기획예산 목록 22) FY 2010 보고서 : 2010년 계획 보고서
- 28 -
□ 2단계: 통제 시스템 변경
o 클라우드 제공 업체가 통제시스템을 변경하는 과정에 효과적인 정보 또는
문서를 제공
o 변경항목에 대한 위험요소를 판단하여 임시승인 및 결정
- 29 -
절차 부가설명
2-1 [평가대행기관 검토 부분]
클라우드 제공업체의 중요 변
경사항 검토
① 클라우드 제공 업체는 시스템보안계획서, 비상계획, 업데이트
된 구성관리계획 등의 기타 문서를 제출하여 FedRAMP 정보
시스템보안책임자에게 알림
ㆍFedRAMP가 요구하는 사항에 문제가 되는 변경사항이나 변경
제안 등은 필히 보고해야함 (클라우드 시스템 변경, 인프라
변경, 위험태세 변화 등의 사항도 포함되나 필수요소는 아님)
② 클라우드 제공 업체는 중요변경사항을 정보시스템보안 책임
자에게 필히 통지하고 정보시스템보안책임자는 클라우드 제
공 업체에게 보안 분석 서류를 제공
③ 클라우드 제공 업체는 제공된 서류를 작성하여 제출 하되 서
류는 정보시스템보안책임자에 의해 검토, FedRAMP JAB에 의
한 동의를 얻어야함
2-2 POA&M 보고 / 항목 탐지
④ FedRAMP 정보시스템보안책임자는 클라우드 제공 업체에 의해
주기적으로 제출되는 사후조치계획서를 검토 하고 JAB에 전달
ㆍ 변경 계획에 위험성이 있거나 활용기관의 책임을 변경 하는
경우 클라우드 제공 업체는 정보시스템 보안책임자와 구현
계획을 검토
⑤ 정보시스템보안책임자는 제안된 변경사항을 승인중인 기관과
검토 하여 클라우드 제공 업체에게 통지
⑥ 제안된 변경사항 내 JAB에서 허용할 수 없는 위험요소를 발
견한 경우 사후조치계획서에 따라 수정사항 반영, 변경 사항
이 이미 적용된 경우 임시승인 취소
2-3 임시 승인 여부 결정⑦ 활용 기관은 변경내용을 검토하여 잠정적인 운용권한
발급 여부를 결정, FedRAMP는 변경내용을 활용기관에 통지
< 통제 시스템 변경 과정 >
- 30 -
□ 3단계 사고 대응
o 클라우드 서비스 아키텍처의 단일 사고는 서비스를 활용하는 여러 기관의
피해를 의미
o 사고대응 처리를 조직화하여 US-CERT23)운영
< 사고 대응 처리 과정 >
절차 부가설명
3-1 사고대응
① 사고 즉시 피해를 알림
② FedRAMP는 사고 대응 트랙을 제공하고 정부기관은 US-CERT와
협력하여 사고 대응
23) US-CERT : 미국 국토안보부 산하 컴퓨터비상대응팀
- 31 -
II. FedRAMP 프로세스 국내 도입을 위한 정책 연구
1. 보안평가 요소별 타당성 및 국내도입의 가능성 분석
□ FedRAMP의 보안평가 요소별 타당성 분석을 위한 연구 방법론
o (1단계) FedRAMP의 보안평가요소와 국내의 IT제품 공통평가기준의 보안평
가요소의 비교
- 국내 클라우드 서비스에 대한 보안평가요소가 없기 때문에 FedRAMP에서 정의한
클라우드 서비스에 대한 보안평가요소를 국내도입을 위해 국내에서 FedRAMP와
보안평가요소와 가장 유사한 IT제품 공통평가기준의 보안평가요소를 비교
- FedRAMP의 보안평가요소와 국내의 공통평가기준의 보안평가요소의 공통점과
차이점을 비교
o (2단계) FedRAMP의 보안평가요소의 국내도입을 위한 보안평가요소 추출
- FedRAMP의 보안평가요소와 국내의 IT제품 공통평가기준의 보안평가요소의 비교
를 통해 공통점과 차이점을 추출하여 국내 공통평가기준에 없는 보안평가요소의
국내도입에 대한 타당성을 검토하여 보안평가요소 추출
o (3단계) 정책수립
- 2단계를 통하여 추출한 보안요소를 활용하여 기존의 IT제품의 보안평가요소가
아닌 클라우드 서비스에 대한 보안평가요소의 정책 수립
□ FedRAMP의 보안평가요소
o FedRAMP의 보안평가요소는 시스템보안계획에 있음
o 시스템보안계획(SSP)
- 서비스 제공자의 정보보안통제에 대한 자세한 정보가 포함한 템플릿 형식의 문서
- FedRAMP 프로그램을 통해 잠정적인 승인을 부여받고자하는 서비스 제공업체에
의해 사용
- 32 -
o 시스템보안계획의 보안평가요소
< FedRAMP 시스템보안계획의 보안평가요소 >
보안평가요소접근통제 (Access Control)인식 및 교육 (Awareness and Training)감사 및 책임 (Audit and Accountability)인증, 보안 평가 (Certification, Accreditation, and Security Assessment)구성 관리 (Configuration Management)비상 계획 (Contingency Planning)식별 및 인증 (Identification and Authentication)사고대응 (Incident Response)유지 보수 (Maintenance)매체 보호 (Media Protection)물리적 환경 보호 (Physical and Environmental Protection)계획 (Planning)인사 보안 (Personnel Security)리스크 평가 (Risk Assessment)시스템 및 서비스 취득 (System and Services Acquisition)시스템 및 통신 보호 (System and Communications Protection)시스템 또는 정보의 무결성 (System and Information Integrity)
o 보안 영향을 두 가지 등급(Low, Moderate)으로 정의
o FedRAMP 시스템보안계획의 보안평가요소의 세부사항은 첨부 000을 참고
□ 국내 IT제품 공통평가기준의 보안평가요소
o 국내에는 FedRAMP 보안평가요소와 유사한 IT제품 공통평가기준이 있음
o 공동평가기준24)
- IT 제품의 보안 기능성과 평가 과정에서 그 제품들에 적용되는 보증수단에 대
한 공통의 요구사항들을 제시
24) 1999년 6월 8일 ISO 15408 표준으로 채택된 정보 보호 제품 평가 기준. 정보화의 순기능 역할을 보장하기 위해 정보 보호 기술 기준으로 정보화 제품의 정보 보호 기능과 이에 대한 사용 환경 등급을 정한 기준. 정보 보호 시스템에 대한 공통 평가 기준(CC)은 선진 각국들이 서로 다른 평가 기준을 가지고 평가를 시행하여 초래되는 시간과 비용 낭비 등 기타 제반의 문제점을 없애기 위해 개발하기 시작하여, 1998년에는 이에 의한 상호 인정 협정이 미국, 캐나다, 영국, 프랑스, 독일 간에 체결. CC는 제1부 시스템의 평가 원칙과 평가 모델, 제2부 시스템 보안 기능 요구 사항(11개), 제3부 시스템의 7등급 평가를 위한 보증 요구 사항(8개)으로 구성.
- 33 -
보안요소 세부항목
사용자 데이터 보호
잔여정보 보호복귀저장된 데이터의 무결성TSF 간 정송되는 사용자 데이터 비밀성TSF 간 전송되는 사용자 데이터 무결성
식별 및 인증
인증 실패
사용자 속성 정의
비밀정보의 검증 및 생성
사용자 인증
사용자 식별사용자-주체 연결
보안 관리
TSF 기능 관리
보안속성 관리
TSF 데이터 관리
폐지
보안 속성 유효기간
관리기능 명세보안 역할 관리
프라이버시익명성
가명성
※ IT 제품은 하드웨어, 펌웨어, 소프트웨어로 구현
- 보안 기능성이 있는 IT 제품의 개발, 평가, 그리고/또는 조달에 대한 지침으로 활용
- 공통평가기준은 1부, 2부, 3부로 구성되어있고 2부에서 보안평가요소를 제시
< 공통평가기준의 보안평가요소 >
보안요소 세부항목
보안감사
보안감사 자동대응
보안감사 데이터 생성
보안감사 분석
보안감사 검토
보안감사 사건 선택보안감사 사건 저장
통신 발신 부인방지수신 부인방지
암호 지원 암호 키 관리암호 연산
사용자 데이터 보호
접근통제 정책
접근통제 기능
데이터 인증
TSF통제 외부로 사용자 데이터 유출
정보흐름통제 정책
정보흐름통제 기능
TSF통제 외부로부터 사용자 데이터 유입
내부전송
- 34 -
연계불가성관찰성
TSF25) 보호
안전한 상태 유지
외부 전송 TSF 데이터의 가용성
외부전송 TSF 데이터의 비밀성
외부전송 TSF 데이터의 부결성
TSF 데이터 내부 전송
TSF의 물리적 보호
안전한 복구
재사용 공격 탐지
상태 동기화 프로토콜
타임스탬프
TSF간 전송되는 TSF 데이터의 일관성
외부 실체 시험
내부 복제TSF 데이터의 일관성자체 시험
TOE26) 접근
선택 가능한 보안속성의 범위 제한
동시 세션 수의 제한
세션 잠금 및 종료
TOE 접근 경고
TOE 접근 이력TOE 세션 설정
안전한 경로/채널TSF간 안전한 채널안전한 경로
25) TSF : TOE 보안기능성(TOE Security Functionality)26) TOE : 평가대상 (Targetof Evaluation)
- 35 -
□ FedRAMP와 국내 보안평가요소의 비교
< FedRAMP와 국내 보안평가요소 비교 >
o 보안평가요소 비교
- FedRAMP 보안평가요소에는 국내에 없는 구성관리, 유지보수, 물리적/환경적 보
호, 인사보안, 위험 요소 평가의 평가요소 다룸
- 공통적으로 다루는 보안평가요소의 경우 FedRAMP의 보안평가요소의 세부사항이
더욱 세분화
- FedRAMP의 경우 모바일 기기에 따른 보안통제를 제시
□ FedRAMP의 보안평가요소의 국내 도입을 위한 보안요소 추출
o 구성관리
- 서비스 제공업체의 구성을 평가하여 서비스 제공에 있어서 개선이 필요한 구성에
도움을 제공
o 유지 보수
- 36 -
- 시스템, 인사 등에 대한 서비스 제공업체의 유지 보수 능력과 유지 보수를 위한
도구 등을 평가하여 지속적인 유지보수에 도움을 제공
o 물리적 및 환경적 보호
- 물리적 또는 환경적으로 발생할 수 있는 상황(화재, 온도, 습도)에 대한 예를 제시
하여 그에 따른 제공업체의 보호능력을 평가하여 서비스 제공업체의 물리적 및
환경적인 보호에 도움을 제공
o 인사보안
- 서비스 관리에 대해 인사와 관련된 모든 정보에 대한 보안을 평가를 실시하여 내
부의 직원에 의한 위험요소를 최소화
o 위험 요소 평가
- 서비스 제공업체의 위험성을 평가하고 취약점을 발견하여 개선방안을 제시
o 모바일 기기에 대한 보안통제
- 국내의 클라우드 서비스는 모바일 기기에서의 사용이 증가되고있기 때문에 모바
일 기기에 따른 보안통제의 평가요소 필요
□ 정책 수립
o FedRAMP의 보안평가요소의 세부사항을 참고하여 기존의 국내 공통평가기
준에 없던 보안평가요소 정의
- 사고대응, 구성관리, 유지보수, 물리적 및 환경적 보호, 인사보안, 위험 요소 평가 등
o FedRAMP의 보안평가요소와 국내 공통평가기준의 보안평가요소가 공통적이
라도 세부사항에서 FedRAMP의 보안평가요소가 더욱 세분화되어 있기 때문
에 FedRAMP의 보안평가요소를 참고하여 국내 보안평가요소 검토 및 개선
실시하여 클라우드 서비스에 적합한 보안평가요소로 정의
o FedRAMP의 보안평가요소의 세부사항에서 국내에 없는 모바일 기기에 대한
통제를 활용하여 국내의 보안평가에 없는 모바일 기기의 보안평가 요소 정의
- 37 -
2. 인증프로세스의 국내 도입을 위한 기구편성 및 요구정책
□ FedRAMP의 인증프로세스에 따른 기구편성의 국내도입 분석을
위한 방법론
o (1단계) FedRAMP와 국내 인증프로세스 조직체계 비교
- FedRAMP의 인증프로세스절차에 따른 조직체계와 국내의 IT제품 공통평가기준의
인증제도에 따른 조직체계를 비교
- 평가기관, 인증기관, 정책기관에 따른 역할적 측면과 운용적 측면의 구성 비교
o (2단계) FedRAMP와 국내의 조직체계의 차이점 및 보완요소
- FedRAMP와 국내의 인증프로세스에 따른 조직체계를 분석하여 FedRAMP의 조직
체계에만 있는 조직과 역할, FedRAMP에는 없지만 국내에 있는 조직과 역할,
FedRAMP와 국내의 비슷한 조직과 역할의 차이점을 비교
- 비교를 통해 나온 결과를 통하여 국내의 클라우드 서비스를 위한 인증제도의 조
직체계를 구성하기위한 보완요소 확립
- 38 -
□ FedRAMP 인증프로세스의 조직체계27)
< FedRAMP 인증프로세스의 조직체계 >
o FedRAMP 인증프로세스의 체계
- 클라우드 제공업체가 FedRAMP 프로그램 관리국에 평가를 신청 후 프로그램 관
리국은 검토 후 신청 개시 통지
- 클라우드 제공업체는 FedRAMP로부터 승인된 평가대행기관에 평가를 의뢰 후 평
가대행기관은 클라우드 제공업체를 평가
- 평가대행기관은 클라우드 제공업체의 평가결과를 프로그램 관리국에 보고 후 프
로그램 관리국은 평가결과 검토
- 프로그램 관리국은 평가결과를 검토한 결과를 FedRAMP 인증위원회에 보고 후
인증위원회는 평가검토결과를 검토하여 인증 부여의 여부를 프로그램 관리국에
보고
- 프로그램 관리국은 인증위원회의 인증부여 결과를 클라우드 제공업체에 알림
27) FedRAMP 인증프로세스의 조직체계 <번역보고서 00페이지 참고>
- 39 -
기구 역할
평가기관ㆍ정보보호제품의 보안시스템을 독립적으로 평가ㆍ보안평가 결과보고서 작성 후 국가기술보안연구소에 제
출
국가정보원
ㆍ정보보호제품 등의 인증에 관한 국가정책 결정ㆍ평가인증 수행규정, 평가기준∙방법론, 보호프로파일 등의
수립 및 시행ㆍ인증기관 지정 및 철회ㆍ인증기관의 인증업무 감독 및 인증자 자격관리ㆍ인증기관 보안관리 실태점검
□ 국내 IT제품 공통평가기준의 조직체계
o 국내 평가·인증제도는 국가정보원, 국가보안기술연구소, 평가기관이 공동 작업
< 국내 인증제도의 조직체계 >
- 국가정보원은 정책수립 및 인증기관의 감독 및 검토의 역할을 수행하는 정책기관
- 국가기술보안연구소의 IT보안인증사무국은 평가기관 감독, 평가결과 검토 , 인증
부여 등의 역할을 수행하는 인증기관
- 평가기관의 IT제품에 대한 독립적인 평가를 수행
o 국내 인증제도의 기관별 역할
< 기구별 역할 >
- 40 -
국가기술보안
연구소
ㆍ평가기관의 평가업무 감독 및 평가자 자격관리ㆍ평가기관 보안관리 실태점검ㆍ인증보고서 작성 및 인증서 발급ㆍ신청기관과 평가기관간의 분쟁조정ㆍ인증제품 목록 공개ㆍ국제상호인정협정(CCRA) 관련 활동ㆍ인증제품에 대한 사후관리ㆍ보호프로파일 등록 및 관리ㆍ평가기관 승인 및 취소ㆍ공인시험기관 인정 시 기술역량심사 참여
분류 비교
FedRAMP
ㆍ클라우드 제공업체는 FedRAMP 프로그램 관리국에 평가를 신청 후 평가개시 통지가 있게 되면 FedRAMP로 승인된 평가대행기관에게 평가를 의뢰
ㆍ평가대행기관은 FedRAMP의 보안패키지를 활용하여 클라우드 제공업체의 평가를 실시 후 FedRAMP 프로그램 관리국에 평가결과 보고
□ FedRAMP의 인증기구와 국내 인증기구의 비교
< FedRAMP와 국내의 평가/인증과정 비교 >
o FedRAMP 인증기구와 국내 인증기구의 역할적 측면 비교
- 평가수행기관의 평가과정 비교
- 41 -
국내ㆍ평가신청기관이 평가기관에게 평가를 신청을 하면
평가계약체결 후에 평가를 실시하여 국가보안기술연구소에 평가결과 보고
분석결과ㆍFedRAMP 평가기관과 국내의 평가기관의 역할은 평
가를 독립적으로 실시하는 점에서 흡사
분류 비교
FedRAMP
ㆍ클라우드 제공업체의 평가결과를 FedRAMP 프로그램 관리국이 검토
ㆍ클라우드 제공업체의 평가결과의 검토결과를 FedRAMP 인증위원회에서 검토 후 인증 부여
ㆍ국토안보부의 지속적인 모니터링의 표준ㆍ정부차원의 지속적인 모니터링
분류 비교
FedRAMP
ㆍ클라우드 제공업체의 평가결과를 FedRAMP 프로그램 관리국이 검토
ㆍ클라우드 제공업체의 평가결과의 검토결과를 FedRAMP 인증위원회에서 검토 후 인증 부여
국내 ㆍ국가기술보안연구소가 평가결과를 검토 후 인증 부여
분석결과ㆍ국내의 국가기술보안연구소가 FedRAMP 프로그램관
리국, 인증위원회의 역할을 동시에 수행하는 점에서 흡사
분류 비교
FedRAMP
ㆍ클라우드 제공업체가 평가를 FedRAMP 프로그램 관리국에 신청하여 평가대행기관이 평가를 실시하기 전에 FedRAMP 프로그램 관리국이 제출물을 평가하여 기본적인 평가를 실시 후 평가 계약체결
국내ㆍ평가신청기관이 평가기관에 평가를 신청하여 평가를 실시
하기 전에 제출물을 검토하고 평가 계약체결
분석결과
ㆍFedRAMP 프로그램 관리국이 계약체결 전에 클라우드 제공업체의 기본적인 평가 후에 평가대행기관이 평가를 실시하는 반면 국내의 경우 평가기관이 계약전 기본적인 평가와 계약후 평가를 모두 실시
- 평가기관의 평가결과 검토 및 인증부여 과정 비교
o FedRAMP 인증기구와 국내 인증기구의 운용적 측면 비교
- 평가신청기관과 계약체결과정 비교
- 평가기관의 평가결과 검토 및 인증부여 과정 비교
- 42 -
국내ㆍ국가기술보안연구소가 평가결과를 검토 후 인증 부여 ㆍ클라우드 서비스에 대한 지속적인 모니터링에 대한 표준
이 없음
분석결과
ㆍFedRAMP의 경우 평가기관의 평가결과를 프로그램 관리국에서 검토하고 검토결과를 인증위원회에서 검토하여 클라우드 제공업체의 평가결과를 두 번 검토 후 클라우드 제공업체에 인증을 부여
ㆍ국내의 경우 평가기관의 평가결과를 국가기술보안연구소에서만 검토 후 평가신청기관에 인증을 부여
ㆍ클라우드 서비스는 지속적으로 보안이 업데이트되기 때문에 지속적인 모니터링에 대한 표준과 책임을 담당하는 기관의 편성이 필요
분류 비교
FedRAMPㆍFedRAMP 프로그램 관리국에 의해 수립된 평가요소를
FedRAMP 인증위원회에서 검토 실시
국내ㆍ국가정보원에 의해 수립된 평가요소를 검토를 실시하
는 기관이 없음
분석결과ㆍ국가정보원에 의해 수립된 평가요소를 국가정보원이
아닌 상위기관에서 검토를 담당하여 평가요소의 정확성 및 유연성을 제공
분류 비교
FedRAMPㆍ정책기관인 프로그램관리국은 정부기관, 국립표준연구소,
연방보안최고관리자협의회, 국토안보부로 구성ㆍ인증기관인 인증위원회는 국방부, 국토안보부, 조달청으로 구성
국내ㆍ정책기관은 국가정보원ㆍ인증기관은 국가기술보안연구소
분석결과ㆍ국내의 정책기관과 인증기관은 하나의 기관으로 구성되
어있기 때문에 임무를 분담하여 더 체계적이고, 정확하고, 시간이 절약되는 조직 개편이 필요
- 정책기관에 의해 수립되는 인증제도 및 평가요소의 검토 책임을 담당하는 기관
비교
- 정책기관과 인증기관의 구성 비교
- 43 -
□ FedRAMP의 인증기구의 국내도입을 위한 조직개편
o (정책1) 평가신청기관과 계약체결 방식 변경
- 기존의 평가기관에서 평가신청을 받고 검토 후 계약체결을 하던 방식을 평가신청
및 계약체결을 평가기관이 아닌 상위기관이 담당
- 평가기관의 상위기관은 평가기관의 평가결과를 검토할 때 평가신청기관의 정보
를 더 자세히 숙지하고 있기 때문에 정확한 검토를 실시할 수 있음
o (정책2) 평가기관의 평가결과 검토와 평가신청기관에 대한 인증 부여의 책
임을 나누어 담당하는 조직개편
- FedRAMP의 경우 평가기관의 평가결과 검토는 프로그램관리국이 담당하고 평가
신청기관에 대한 인증부여는 인증위원회에서 담당을 하고, 국내의 경우 국가보안
기술연구소의 IT보안인증사무국 평가기관의 평가결과를 검토하고 평가신청기관에
대한 인증을 부여를 담당
- 국내의 평가기관의 평가결과 검토를 담당하는 기관과 평가신청기관에 대한 인증
부여를 담당하는 기관을 분리하여 각 기관들은 책임에 대한 부분의 전문성을 갖
게 됨
- 또한 평가결과를 검토하는 기관에서 평가결과를 검토하고 인증부여를 담당하는
기관에서 한 번 더 그 결과를 검토하기 때문에 평가신청기관에 대한 평가결과를
더 자세히 검토할 수 있음
o (정책3) 클라우드 제공업체와 평가기관에 대한지속적인 모니터링의 표준 수
립과 조직개편
- 클라우드 서비스는 지속적인 업데이트가 되기 때문에 한번 인증을 부여하고 끝나
는 게 아닌 지속적인 모니터링을 실시하여 검토와 평가가 필요
- 인증이 부여된 클라우드 제공업체가 변화하는 클라우드 서비스를 제공할 수 있는
능력이 있는지 지속적인 모니터링에 의해 검토 및 평가
- 또한 평가기관도 변화하는 클라우드 서비스에 대해 평가능력이 있는지 지속적인
모니터링에 의해 검토 및 평가
- 지속적인 모니터링에 대한 표준의 개발은 FedRAMP의 국토안보부의 지속적인 모
니터링 표준을 활용
- 정부차원의 지속적인 모니터링의 책임을 담당할 기관을 편성하거나 기존의 평가
및 검토의 책임을 갖는 기구가 담당
- 44 -
o (정책4) 정책기관에 의해 수립되는 인증제도 및 평가요소의 검토 책임을 담
당하는 기관편성
- 국가정보원에 의해 수립된 인증제도 및 평가요소를 검토하는 조직을 추가적으로
개편
- 인증제도 및 평가요소를 수립한 기관이 아닌 상위기관이 검토를 실시하여 무결
성, 유연성 제공
- 인증제도의 검토를 정부차원의 상위기관이 책임
o (정책5) 인증기관 및 정책기관의 조직구성 개편
- 국내의 인증기관과 정책기관은 하나의 독립적인 기관으로 편성되어 있기 때문에
인증기관 및 정책기관의 구성을 FedRAMP와 같이 여러 기관으로 구성하여 책임
을 분담하여 더 효율적인 인증제도를 제공
□ 요약
o 국가보안기술연구소의 검토/인증 책임을 분담하는 기구편성
o 지속적인 모니터링의 표준과 기구편성
o 정책기관에 의해 수립되는 정책을 검토하는 기구편성
o 인증 및 정책기관의 추가적인 구성원 편성
- 45 -
기관 역할
국가정보원
-변경절차 / 재평가관련 정책 수립 및 시행
-평가기관의 평가 업무 감독
-인증서 재발급
한국인터넷진흥원-평가 기준 및 평가 방법론 제시
-정보보호 시스템 평가 시행(EAL1~EAL7)
한국산업기술시험원
한국시스템보증
한국아이티평가원
한국정보통십기술협회
-정보보호 시스템 평가 시행(EAL1~EAL4)
-평가 업무 수행에 관한 규정수립 및 시행
3. 지속적 보안 평가 및 인증을 위한 정책 연구
□ 목적
o 기존 CC인증 프로세스에는 지속적 보안 평가 및 인증 부분이 명확하지 않
아 FedRAMP 인증 프로세스의 부분과 비교 분석하여 정책 연구가 필요
o 보안 평가 및 인증 후 활용되는 클라우드 서비스의 투명성을 보장하고 지
속적인 보안을 유지하기 위한 정책이 필요
o FedRAMP의 프로세스를 국내의 실정에 맞추어 반영하기 위한 수정과 방안
이 필요함에 따라 제도적, 절차적인 요소들이 필요
□ 국내 CC와 FedRAMP의 지속적 보안 평가 비교 분석을 위한 방법론
o 국내의 CC인증 프로세스에서의 기관별 역할과 FedRAMP의 인증 프로세스
에서의 기관별 역할을 비교분석하여 정책 수립
o 국내의 CC인증 절차와 FedRAMP의 인증 절차를 비교분석하여 정책 수립
□ 지속적 보안 평가 수행 절차를 위한 국내 CC & FedRAMP
기관별 역할 분석
<국내의 평가 및 인증기관의 역할>
- 46 -
기관 역할
FedRAMP JAB-변경된 보안통제항목 검토
-클라우드 서비스의 재승인
FedRAMP PMO
-지속적인 모니터링을 위한 운영절차 수립
-자체평가서, 변경서류 등의 표준 서식 제공
-국토안보부와 협력하여 사고 대응
국토안보부 -지속적인 평가 및 인증 체계의 사고 대응 방안 수립
평가대행기관
3PAO-CSP의 클라우드 시스템 보안 재평가 실시 및 보고
<FedRAMP의 지속적인 평가 및 인증기관의 역할>
o 국내의 평가 및 인증기관과 FedRAMP의 기관의 세분화와 각 기관들의 역할
분담이 달라 진행 과정에서 많은 차이가 있음
- 분석 보고서 30페이지 에 따르면 FedRAMP에는 사고대응 기관이 있지만 국내
CC의 경우 지속적인 평가 및 인증 체계의 사고 대응 부분의 담당 기관이 존재하
지 않음
- 국내 CC에서 지속적인 평가 및 인증 체계의 사고 대응부분을 담당하기에 국가정
보원이나 한국인터넷진흥원이 적합 하다고 볼 수 있음
o 지속적인 평가 및 인증 부분에서의 각 기관의 역할을 나눌 필요가 있음
- 기존에 지속적인 평가 및 인증부분이 존재하지 않아 평가 업무를 전반적으로 다
시 하는 과정을 거치는데 이에 대한 프로세스 부분을 추가로 두고 기관에게 역할
을 부여하여 수행 하는 것이 효율적
- 클라우드 서비스에 대한 평가 기관도 지정되어야 함
- 47 -
□ 지속적인 평가 및 인증 절차 분석
o 기존의 국내의 CC기반 인증 제도의 변경 시 재평가 절차와 FedRAMP의
지속적인 평가 프로세스 비교 분석
<국내의 프로세스와 FedRAMP의 프로세스 비교>
o 정보보호시스템의 평가 후 지속적인 평가 및 인증 과정이 없고 변경 시에
다시 평가 받을 수 있는 절차만이 존재하지만 FedRAMP의 프로세스에 있
어서는 이러한 절차 뒤에 지속적인 평가 및 인증과정이 존재
- 분석보고서 27페이지에 지속적인 모니터링 부분에서 매년 자체평가 보고서등을
제출하여 평가받는 반면 국내 CC의 경우 이러한 절차가 존재하지 않음
o FedRAMP에 있는 3PAO와 같은 제3자의 평가 기관이 없어 결과의 정확성
과 투명성이 떨어질 수 있음
- 분석 보고서 27~28 페이지의 과정에서 볼 수 있듯이 FedRAMP 프로세스에서는
3PAO가 과정을 검토하는 부분이 있지만 기존 CC인증에는 이러한 과정이 없음
o 국내 CC의 경우 환경 변화에 따른 클라우드 시스템의 변경되는 경우의 절
차가 없고 처음부터 재평가 되는 비효율적인 절차를 따름
- 국내 CC 프로세스의 경우 위의 과정에서 볼 수 있듯이 변경과정 에서의 효력유
지 심사를 하지만 재평가 시 전체 평가 프로세스를 따라야 함. 이에 반해
FedRAMP 프로세스의 경우 마지막 부분의 지속적인 절차 부분만을 따라 효율적
이며 안정적임
- 48 -
□ 지속적인 평가 및 인증 유지를 위한 정책
o 기존 CC인증 절차를 기반으로 하여 클라우드 시스템에 필요한 별도의 보안
통제항목을 지정하여 절차를 수행해야 할 필요가 있음
- 국내의 CC인증 프로세스에 지속적인 평가 및 인증 유지 절차가 없으므로
FedRAMP의 템플릿이나 제출자료를 수정, 사용 (관련 템플릿은 5장 첨부 부분에
있음)
- 클라우드 서비스를 위한 세부평가기준을 수립하여 보안통제항목을 제정
o 평가 및 인증 절차에서 제3자 평가 기관을 지정하여 평가 및 인증 결과의
투명성을 확보해야할 필요가 있음
- FedRAMP의 3PAO와 같은 평가 내용의 검토 기관을 지정
o FedRAMP의 프로세스를 기존의 인증 절차에 적용 하는 것에 따르는 준비
단계가 필요함
- 49 -
년도 핵심활동 결과
2012년
상반기
사
전
준
비
ㆍFedRAMP의 요구사항을 문서화
ㆍFedRAMP의 요구사항을 게시
(보안통제, 템플릿, 가이
던스)
ㆍ평가대행기관 승인ㆍ인증위원회 설립ㆍ보안패키지 검토
ㆍ승인된 평가대행기관의 목록 작성
ㆍ초기 FedRAMP운영
2012년
후반기
초
기
운
용
ㆍ제한적인 범위 내에서 초기운용과 클라우드 제공업체의 활동
ㆍ클라우드 제공업체 권한 부여
ㆍCONOPS 업데이트ㆍ지속적인 모니터링
ㆍ최초 클라우드 제공업체 인증
ㆍ성능기준 설립
2013년
상반기
정
상
운
용
ㆍ프로세스의 매뉴얼과 전체적인 운용능력 검토
ㆍ인증과 평가를 실시ㆍ더 많은 클라우드 제공
업체에 권한을 부여하고 운영능력을 평가
ㆍ여러 클라우드 제공업체 인증
ㆍ기업 모델을 정의
ㆍ기준을 평가
4. FedRAMP 인증프로세스의 국내 도입을 위한 준비단계 및 절차
□ 방법론
o (1단계) FedRAMP의 분기별 활동 및 계획 분석
- FedRAMP의 인증프로세스의 국내 도입을 위해 FedRAMP는 어떠한 활동 및 계획
을 실시하였는지 분석
o (2단계) FedRAMP의 인증프로세스의 국내 도입을 위한 준비단계 및 절차 분석
- FedRAMP의 인증프로세스 운용을 위한 활동 및 계획을 분석하여 국내 도입을 위
해서는 어떠한 준비단계를 실시하고, 이전에 분석하였던 FedRAMP와 국내의 차이
점을 통해 추출하였던 정책과 조직편성 등을 반영하여 준비단계 구성
- FedRAMP의 인증프로세스의 국내도입을 위하여 FedRAMP의 활동 및 계획을 참
고하고 구성한 준비단계를 반영하여 절차 구성
□ FedRAMP 인증프로세스의 운용을 위한 분기별 활동 및 계획
< FedRAMP 분기별 활동 및 계획 >
- 50 -
2014년
유
지
운
용
ㆍOn-Demand의 확장성에 따른 전체적인 시행 변경
ㆍ전자승인 보관소 구현ㆍ정상운용의 확장
ㆍ수요에 의한 승인규모
ㆍ 비즈니스모델 구현
ㆍ민영화 인증위원회
ㆍ자급자족의 재정지원 모델
o 현재 FedRAMP는 정상운용단계를 실시중이며 여러 클라우드 제공업체에 대
해 인증을 부여하는 단계에 있음
o FedRAMP의 분기별 활동 및 계획은 번역 보고서 00페이지 참고
□ FedRAMP의 인증프로세스의 국내 도입을 위한 준비단계 및 절차
o 준비단계
년도 핵심활동 결과
2013년
상반기ㆍ클라우드 서비스에 대
한 요구사항 문서화
ㆍ요구사항 게시ㆍ평가대행기관 승인ㆍ클라우드 서비스에 대한
인증제도를 수행하기 위한 조직개편
ㆍ보안패키지 검토
ㆍ승인된 클라우드 서비스에 대한 평가대행기관 목록 작성
ㆍ초기 운영
- 요구사항 게시
⦁ 클라우드 서비스를 평가할 평가요소를 문서화하여 평가기관이 클라우드 제공업
체를 평가하는데 활용
∘ 평가요소를 문서화할 때 본보고서의 보안평가요소별 타당성 및 국내도입의 가
능성 분석부분에서 추출한 보안평가요소 참고
⦁ 클라우드 제공업체가 평가를 신청 시에 활용하는 템플릿을 FedRAMP의 템플릿
을 활용하여 국내성향에 맞게 개발
∘ FedRAMP 템플릿은 첨부 000참고
- 클라우드 서비스를 평가할 평가대행기관 승인
⦁ 국내의 평가대행기관의 승인절차를 활용하여 클라우드 서비스를 평가할 평가대
- 51 -
행기관의 승인
⦁ 평가대행기관의 목록을 만들어 평가를 받고자하는 평가신청기관이 활용할 수
있도록 제공
- 조직개편
⦁ 국가보안기술연구소의 검토/인증 책임을 분담하는 기구편성
⦁ 지속적인 모니터링의 표준과 기구편성
⦁ 정책기관에 의해 수립되는 정책을 검토하는 기구편성
⦁ 인증 및 정책기관의 추가적인 구성원 편성
⦁ 본보고서의 기구편성 및 요구정책부분 참고
- 보안패키지 검토
⦁ 개발된 클라우드 서비스에 대한 보안패키지를 검토하여 문제점을 개선하고 추
가적으로 필요한 요소들을 업데이트 후 초기운용 실시
o 초기운용단계
년도 핵심활동 결과
2013년
후반기ㆍ제한적인 범위 내에
서 초기운용
ㆍ인증과 평가를 실시ㆍ더 많은 클라우드 제공
업체에 권한을 부여하고 운영능력을 평가
ㆍ여러 클라우드 제공업체 인증
ㆍ기업 모델을 정의
ㆍ기준을 평가
- 클라우드 제공업체 인증부여
⦁ 보안패키지를 활용하여 승인을 받고자하는 클라우드 제공업체 평가 후 인증 부여
- 보안패키지 업데이트
⦁ 초기운용단계에서 발견된 문제점을 개선하고 추가적으로 필요한 요소들을 업데이트
- 지속적인 모니터링
⦁ 승인을 부여받은 클라우드 제공업체를 지속적인 모니털링을 실시하여 클라우드
서비스를 사용자에게 제공하는데 문제가 없는지 검토
⦁ 승인된 평가대행기관을 지속적인 모니터링을 실시하여 평가를 위임해도 되는지
문제점을 검토
- 52 -
년도 핵심활동 결과
2014년ㆍ프로세스의 매뉴얼과
전체적인 운용능력 검토
ㆍ클라우드 제공업체 인증ㆍ보안패키지 업데이트ㆍ지속적인 모니터링
ㆍ최초 클라우드 제공업체 인증
⦁ 지속적인 모니터링은 본보고서 000참고
o 정상운용단계
- 클라우드 제공업체 인증부여
⦁ 지속적으로 업데이트한 보안패키지를 활용하여 승인을 받고자하는 클라우드 제
공업체 평가 후 인증 부여
- 보안패키지 업데이트
⦁ 지속적으로 보안패키지의 문제점 발견하고 개선이 필요한 추가적인 요소들을
업데이트
- 지속적인 모니터링
⦁ 승인을 부여받은 클라우드 제공업체를 지속적인 모니털링을 실시하여 클라우드
서비스를 사용자에게 제공하는데 문제가 없는지 검토
⦁ 승인된 평가대행기관을 지속적인 모니터링을 실시하여 평가를 위임해도 되는지
문제점을 검토
o 유지운용단계
년도 핵심활동 결과
2015년ㆍOn-Demand의 확장성에
따른 전체적인 시행 변경ㆍ정상운용의 확장
ㆍ수요에 의한 승인규모
ㆍ비즈니스모델 구현ㆍ자급자족의 재정
지원 모델
- 정상운용의 확장
⦁ 정상운용단계의 활동을 지속
- 53 -
5. FedRAMP 프로세스 도입을 위한 세부 평가 기준 및 운영 방안 수립
□ 목적
o FedRAMP 프로세스를 국내에 도입하기 위해 FedRAMP 프로세스에 있는 평
가 기준이나 항목, 절차 등의 요소들을 수렴하여 적용하기 위함
o 기존 국내의 평가 기준 및 절차에서 필요한 부분들을 추가하고 FedRAMP
프로세스의 템플릿을 수정하고 적용하기 위함
o 각 프로세스에 해당하는 평가 항목의 기준 및 지속적인 모니터링 부분의
활용 방안에 대한 정책 수립
□ FedRAMP 프로세스 도입을 위한 평가 절차 별 세부 평가 기준
템플릿 및 첨부 문서 요약
<절차 별 세부 평가 템플릿>
절차 단계 템플릿 첨부 문서
요청 시작 평가 대행기관 신청 지원 신청서기술 능력 증거자료
(SSP, SAP, SAR)평가 및 인가 평가 대행기관 인가
평가기관 모니터링평가 대행기관의 역
할에 대한 모니터링
- 54 -
o CSP 지원 신청서는 <첨부 2> 에 첨부
- 55 -
절차 단계 템플릿 첨부 문서
요청시작보안 영향 수준을 확인 FIPS-199통제 항목 조정 CTW통제의 구현을 정의 CIS
보안통제문서 문서 시스템 보안 계획
SSP
SSP내 첨부 문서
( 설 명 서 ,
E-Authentication
W o r k s h e e t ,
PTA/PIA, 행동 규
칙, IT 비상계획, 구
성관리계획, 사고대
응계획, CIS
Workbook)E-Authentication
PlanSSP와 함께 제출
IT 비상계획
SSP와 함께 제출하
고 IT 비상계획 테
스트 결과 첨부PTA / PIA
보안테스트 수
행
테스트 계획 생성SAP
SAP내 첨부 문서
(보안 프로세스
Test case)보안 프로세스
Test caseSAR과 함께 제출
감사 보안 통제 및
취약성 테스트 수행 SAR
POA&M POA&M
- 56 -
절차 단계 템플릿 첨부 문서운영 가시화 연간 운영 보고 자체 평가 보고서
통제 시스템 변경
통제 시스템 변경
시
절차
통제시스템 변경보
고서
POA&M사고 대응 사고 대응
- 57 -
< 목차 >
- <첨부 1> CSP 지원 신청서
- <첨부 2> SSP
- <첨부 3> SAP
- <첨부 4> SAR
- <첨부 5> FIPS-199
- <첨부 6> CIS
- <첨부 7> CTW
- <첨부 8> POA&M
- <첨부 9> 자체 평가 보고서
- 58 -
조직 정보조직명주소지우편번호
연락 지점이름직위PhoneE-mail
연락 지점2이름직위PhoneE-mail
CSP 정보조직명과 CSP의 내용이 일치 합니까?
Yes No
CSP 시스템 정보시스템 이름시스템 관리자시스템 설명클라우드 서비스 모델 SaaS / IaaS / PaaS 중 택 1클라우드 배포 모델 Public / Private / Hybrid / Community (중복 선택 가능)FIPS-199 분류 Low / Moderate 중 택 1
평가의 수준 선택CSP Supplied / Agency ATO / Agency ATO w FedRAMP 3PAO / FedRAMP JAB Provisional Authorization
시스템이 이전에 인증을 받은 적이 있습니까?있는 경우 - 인증 날짜, 인증 여부 확인 연락처, 이메일, 전화번호 등 기재
Yes No
FedRAMP에서 인가된 3PAO에 인증을 받은 적이 있습니까?있는 경우 - 타사 인증 기관명, 인증 기관 연락처, 이메일, 전화번호 등 기재
Yes No
<첨부 1> CSP 지원 신청서
- 59 -
<첨부 2> SSP
o C클라우드 서비스 제공자의 정보 보안 통제에 대한 자세한 정보를 포함한
템플릿 문서 (원문 파일 첨부 및 세부 통제 항목 한글 번역)
통제 항목 번호 이름 클래스
AC 접근 통제 (Access Control) 기술적인 분야
AT 인식 및 교육 (Awareness and Training) 기능, 절차적인 분야
AU 감사 및 책임 (Audit and Accountability) 기술적인 분야
CA 인증, 보안 평가 (Certification, Accreditation, and Security Assessment) 관리적인 분야
CM 구성 관리 (Configuration Management) 기능, 절차적인 분야
CP 비상 계획 (Contingency Planning) 기능, 절차적인 분야
IA식별 및 인증 (Identification and
Authentication)기술적인 분야
IR 사고 대응 (Incident Response) 기능, 절차적인 분야
MA 유지 보수 (Maintenance) 기능, 절차적인 분야
MP 매체 보호 (Media Protection) 기능, 절차적인 분야
PE물리적 환경 보호 (Physical and
Environmental Protection)기능, 절차적인 분야
PL 계획 (Planning) 관리적인 분야
PS 개인 보안 (Personnel Security) 기능, 절차적인 분야
RA 리스크 평가 (Risk Assessment) 관리적인 분야
SA시스템 및 서비스 취득 (System and
Services Acquisition)관리적인 분야
SC시스템 및 통신 보호 (System and
Communications Protection)기술적인 분야
SI시스템 또는 정보의 무결성 (System and
Information Integrity)기능, 절차적인 분야
각 통제 항목 별 세부 목록은 아래에 있음.
보안 영향 레벨 : L = Low / M = Moderate
FedRAMP 가이드 = G
추가적인 FedRAMP 요구사항 = *
- 60 -
o 각 항목별 세부 통제 내용
Access Control (AC)
통제 번호 통제 이름통제 기준 비고
Low
(L)
Moderate
(M)*
AC-1 접근 통제의 정책 및 절차 L MAC-2 계정 관리 L M(1,2,3,4,7) *AC-3 접근 시행 L M(3) *AC-4 정보 흐름 시행 MAC-5 직무의 분리 MAC-6 최소 권한 M(1,2) *AC-7 로그인 실패 시도 L MAC-8 시스템 사용 알림 L M *AC-10 동시 세션 제어 MAC-11 세션 잠금 M(1) GAC-14 식별, 인증 없이 허용하는 작업 L M(1)AC-16 보안 속성 M *AC-17 원격 접근 L M(1,2,3,4,5,7,8) *AC-18 무선 접근 L M(1,2)AC-19 모바일 기기를 위한 접근 통제 L M(1,2,3) *AC-20 외부 정보 시스템의 사용 L M(1,2)AC-22 공개적으로 접근 할 수 있는 내용 L M
Awareness and Training (AT)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
AT-1 보안 인식 및 교육에 대한 정책 및 절차 L MAT-2 보안 인식 L MAT-3 보안 교육 L MAT-4 보안 교육 기록 L M
Certification, Accreditation, & Sec. Assessment (CA)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
CA-1 보안 평가와 인증에 대한 정책 및 절차 L MCA-2 보안 평가 L(1) M(1)CA-3 정보 시스템 연결 L MCA-5 POA&M 계획 L MCA-6 보안 인증 L M GCA-7 지속적인 평가 및 인증 유지 L M(2)
- 61 -
Configuration Management (CM)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
CM-1 구성 관리 정책 및 절차 L MCM-2 기본 구성 L M(1,2) *CM-3 구성 변경 통제 L MCM-4 보안적 영향 분석 L M(1) *CM-6 변경에 대한 권한 통제 M(1,3)CM-7 구성 설정 M(1,2,3,5) *CM-8 최소한의 기능 M(1,2) *CM-9 정보 시스템 구성 요소 조사 L M(1,3) *CM-10 구성 관리 계획 L M(2,3) *
Contingency Planning (CP)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
CP-1 비상 계획 정책 및 절차 L MCP-2 비상 계획 L M(1,2) *CP-3 비상 교육 L MCP-4 비상 계획 테스트 및 연습 L M(1) *CP-6 대체 보관 사이트 M(1,3)CP-7 대체 처리 사이트 M(1,2,3,5) *CP-8 통신 서비스 M(1,2) *CP-9 정보 시스템 백업 L M(1,3) *CP-10 정보 시스템 복구 및 복원 L M(2,3) *
Identification and Authentication (IA)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
IA-1 식별 및 인증 정책 및 절차 L MIA-2 조직 사용자에 대한 식별 및 인증 L(1) M(1,2,3,8) *IA-3 장치 식별 및 인증 M *IA-4 식별 관리 L M(4) *IA-5 인증 관리 L(1) M(1,2,3,6,7) GIA-6 인증 피드백 L MIA-7 암호화 모듈 인증 L MIA-8 조직 사용자 외 식별 및 인증 L M
- 62 -
Incident Response (IR)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
IR-1 사고 대응 정책 및 절차 L MIR-2 사고 대응 교육 L MIR-3 사고 대응 테스트 및 연습 M *IR-4 사고 처리 L M(1) *IR-5 사고 모니터링 L MIR-6 사고 보고 L M(1)IR-7 사고 대응 지원 L M(1,2)IR-8 사고 대응 계획 L M *
Maintenance (MA)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
MA-1 시스템 유지 보수를 위한 정책 및 절차 L MMA-2 통제 유지 보수 L M(1)MA-3 유지 보수를 위한 도구 M(1,2,3)MA-4 비 지역적 유지 보수 L M(1,2)MA-5 인사에 대한 유지 보수 L MMA-6 시기에 맞는 유지 보수 M *
Media Protection (MP)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
MP-1 매체 보호의 정책 및 절차 L MMP-2 매체 접근 L M(1) *MP-3 매체 검사 MMP-4 매체 보관 M(1) *MP-5 매체 전송 M(2,4) *MP-6 매체 안전 처리 L M(4)
- 63 -
Personnel Security (PS)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
PS-1 인사 보안의 정책 및 절차 L MPS-2 직무 분류 L MPS-3 인사 심사 L MPS-4 인사 계약 종료 L MPS-5 인사 이동 L M *PS-6 접근 계약 L MPS-7 타사의 인사 보안 L MPS-8 인사 제재 L M
Physical and Environmental Protection (PE)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
PE-1 물리적 환경 보호 L MPE-2 물리적 접근 승인 L MPE-3 물리적 접근 통제 L MPE-4 전송 수단에 대한 접근 통제 MPE-5 출력 장치에 대한 접근 통제 MPE-6 물리적인 접근 모니터링 L M(1)PE-7 방문객 통제 L M(1)PE-8 접근 기록 L MPE-9 전원 장치 및 전원 케이블 MPE-10 긴급 차단 M *PE-11 비상 전원 MPE-12 비상등 L MPE-13 화재 예방 L M(1,2,3)PE-14 온도 및 습도 제어 L M *PE-15 습기 피해 보호 L MPE-16 납품 및 철회 L MPE-17 대체 작업 장소 M *PE-18 정보 시스템 구성요소의 물리적인 위치 M
Planning (PL)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
PL-1 보안 계획의 정책 및 절차 L MPL-2 시스템 보안 계획 L MPL-4 행동 규정 L MPL-5 평가에 대한 사적인 영향 L MPL-6 보안 관련 작업 계획 M
Risk Assessment (RA)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
RA-1 위험성 평가의 정책 및 절차 L MRA-2 보안 카테고리 L MRA-3 위험성 평가 L M GRA-5 취약점 스캔 L M(1,2,3,6,9)
- 64 -
System and Communication Protection (SC)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
SC-1 시스템과 통신의 보호 정책 및 절차 L MSC-2 응용 프로그램의 분할 MSC-4 공유 자원의 정보 MSC-5 서비스 거부 공격의 보호 L M *SC-6 자원의 중요도 M
SC-7 경계에 대한 보호 LM(1,2,3,4,5,7,8,1
2,13,18)*
SC-8 전송의 무결성 M(1)SC-9 전송의 기밀성 M(1) *SC-10 네트워크의 분리 MSC-11 신뢰할 수 있는 경로 M *SC-12 암호 키에 대한 설치 및 관리 L M(2,5) *SC-13 암호 사용 L M(1)SC-14 공개된 접근에 대한 보호 L MSC-15 공동의 컴퓨터 장치 L M *SC-17 공개 키 인프라에 대한 인증서 M *SC-18 모바일 코드 MSC-19 VoIP M
SC-20이름 및 주소 확인 서비스의 보안
(공인된 자원)L(1) M(1)
SC-21이름 및 주소 확인 서비스의 보안
(재귀적 요소 및 캐싱 해결)M
SC-22이름 및 주소 확인 서비스에 대한 구조와
권한 설정M
SC-23 세션의 진위 여부 M *SC-28 휴면 상태의 정보 보호 MSC-30 가상화 기술 MSC-32 정보 시스템의 분할 M
System and Services Acquisition (SA)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
SA-1 시스템 및 서비스의 수집 정책 및 절차 L MSA-2 자원 배분 L MSA-3 수명 주기 지원 L MSA-4 인수 L M(1,4,7) GSA-5 정보 시스템 문서 L M(1,3)SA-6 소프트웨어 사용 제한 L MSA-7 사용자 개발 소프트웨어 L MSA-8 보안 기술 원칙 MSA-9 외부 정보 시스템 서비스 L M(1) *SA-10 개발자 구성 관리 MSA-11 개발자 보안 테스트 M(1) *SA-12 유통 과정 보호 M *
- 65 -
System and Information Integrity (SI)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
SI-1 시스템과 정보의 무결성 정책 및 절차 L MSI-2 결함의 개선 L M(2)SI-3 악성 코드 보호 L M(1,2,3)SI-4 정보 시스템 모니터링 M(2,4,5,6) *SI-5 보안에 대한 알림, 자문, 지침 L M *SI-6 보안 기능성 확인 MSI-7 소프트웨어와 정보의 무결성 M(1)SI-8 스팸 보호 MSI-9 입력 가능한 정보의 제한 MSI-10 입력된 정보의 유효성 검사 MSI-11 오류 처리 MSI-12 정보 출력의 처리 및 유지 L M
Audit and Accountability (AU)
통제 번호 통제 이름Low
(L)
Moderate
(M)비고
AU-1 감사 및 책임에 대한 정책 및 절차 L MAU-2 감사 일정 L M(3,4) *AU-3 감사 내용 기록 L M(1) *AU-4 감사 저장 용량 L MAU-5 감사 처리 실패에 대한 응답 L MAU-6 감사 검토, 분석, 보고 L M(1,3)AU-7 감사의 축소 및 보고서 생성 M(1)AU-8 감사 발행 L M(1) *AU-9 감사 정보의 보안 L M(2)AU-10 감사 부인 방지 M(5) *AU-11 감사 기록 유지 L M *AU-12 감사 생성 L M
- 66 -
<첨부 3> SAP
o 보안 통제를 테스트 할 수 있는 테스트 계획을 구성하기 위해 만들어진 기
획안 (원문 파일 첨부)
- 67 -
<첨부 5> FIPS-199
o 첫 번째 3개의 항목에서 유형에 따른 NIST SP 800-60 V2 R1 추천 영향 수
준을 넣고 그다음 3개의 항목에서 CSP가 선택된 보안 영향 수준을 기입 후
추천된 영향 수준과 CSP 에 선택된 보안 영향 수준이 다른 경우 마지막 항
목에서 정당한 사유를 기입
< CSP 의 적절한 정보 유형과 NIST SP800-60 V2 R1을 적용한 보안 영향 수준 >
정보
유형
NIST SP
800-60
V2 R1의
기밀성
영향
수준
NIST SP
800-60
V2 R1의
무결성
영향
수준
NIST SP
800-60
V2 R1의
가용성
영향
수준
CSP에
선택된
기밀성
영향
수준
CSP에
선택된
무결성
영향
수준
CSP에
선택된
가용성
영향
수준
영향
수준을
조정한
정당한
정책
사유
- 68 -
<첨부 6> CIS
o FedRAMP의 보안 통제 구현상태를 포함하는 문서이며 클라우드 서비스 제
공자의 정보 보안 통제에 관한 정보를 포함함 (원문 파일 첨부)
- 69 -
<첨부 7> CTW
o 클라우드 시스템에 보안 영향 수준을 적용할 때 보안 통제 목록을
클라우드 업체에게 제공해주고 정보 보안 통제 항목에 따르는 세
부사항에 대해 자세히 설명되어 있는 문서임 (원문 파일 첨부)
- 70 -
FedRAMP의 작업 / 기록 계획 (POA&M) 템플릿
측정 지침지원 정보
코멘트FIPS 199
리스크 영향 레벨Low, Moderate,or High 를 입력
FY 20XX 시스템 POA&M정보시스템 이름
식별
번호
취약점
종류
연락지
점
(POC)
관련자료완료
예정일
완료 날짜와
기록
(예: 개선
작업)
발견
출처상태
각
POA&M
항목에
고유
식별번
호를
할당
자세한
취약점
정보를
제공
이
작업을
수행할
책임자
작업을
개선하기
위한 추가
관련 자료를
지정함
(공백의 경우
개선을 위해
따로
필요하지
않는 경우)
완료
예정일은
변경할 수
없으며
일정이
변경된
경우
오른쪽
셀에
기록을
입력
완료 날짜와
기록은
변경할 수
없으며
취약점을
개선하기
위한 수정
작업 및
추천을 기록
이
정보는
SAR과
일치
해야함
진행중
또는
완료
날짜를
기입
<첨부 8> POA&M
- 71 -
<첨부 9> 자체 평가 보고서
정보 시스템 및 연락처
o <정보 시스템 이름>의 식별번호는 표 1-1 에 표기 되어있음
<표1-1 정보시스템 이름 및 제목>
고유 식별번호 정보 시스템 이름 정보 시스템 약어
이 자체평가보고서에 대한 CSP지점의 연락처는 표 1-2 에 표기 되어있음
<표1-2 정보 시스템 관리자>
이름제목회사/조직명주소핸드폰번호이메일
이 자체평가보고서에 대한 FedRAMP의 ISSO 연락처는 표 1-3 에 표기 되어있음
<표1-3 FedRAMP ISSO>
이름제목 ISSO주소핸드폰번호이메일
사후 모니터링 계획
o 자체평가보고서에 결과물이 없다면 부록으로 첨부되어 있음
사고보고
작년에 보고된 <카테고리 이름> 의<사고 번호> 사고 보고서가 첨부되어있으며
작년에 보고된 사건의 요약은 표 2-1 에 표기 되어있음
<표2-1 사고 보고서의 요약>
사고 번호 보고 날짜 보고한 기관
- 72 -
사고대응계획 및 테스트 보고서
<정보시스템 이름>의 사고대응계획은 지난 <날짜> 에 업데이트 하였으며, <정보
시스템 이름>의 사고대응능력은 <날짜> 에 테스트 되었습니다. 계획 및 테스트
보고서는 모두 첨부함
POA&M 업데이트
<정보시스템 이름>에 대한 동작 & 일정계획은 분기별로 업데이트 된다 또한
POA&M을 ISSO에 제출 한 날짜는 표 2-2에 표기 되어있으며 가장 최근의
POA&M 문서가 첨부 되어있음
<표2-2 제출된 POA&M>
분기 제출 날짜 제출한 사람 제출 방법
1
2
3
4
취약점 스캔 보고서
취약점 스캔은 분기별로 시행하며 작년의 과정을 통해 ISSO에 제출된 보고서의
요약 내용은 표 2-3에 표기 되어있음
<표2-3 스캔 결과 보고서 요약>
스캔 제목 스캔된 호스트 사용한 스캐너 연락처 스캔 날짜
업데이트된 시스템보안계획 및 직무 매트릭스의 분리
<정보시스템 이름>에 대한 시스템보안계획은 연간 1회 업데이트되며 최신 시스템
보안계획을 첨부하며 직무 매트릭스의 정의와 역할, 권한의 분리 등은 SSP문서의
표에 표기 되어있음
IT 비상계획 및 테스트 보고서
- 73 -
<정보시스템 이름>에 대한 IT 비상계획은 연간 1회 업데이트되며 최신 IT 비상계
획을 첨부하고 IT 비상계획의 테스트 보고서는 IT 비상계획의 기본 부록임
IT 보안 교육 기록
<정보시스템 이름>에 대한 보안 교육은 매년 시행되며 모든 사용자에게 교육된
날짜는 <날짜>임 이 기록은 교육에 참가한 사용자에 대한 정보가 포함
- 사용자 이름- 직책- 사용자 분류- 사용자 ID
업데이트 구성관리계획
<정보시스템 이름>에 대한 업데이트 구성관리계획은 연간 1회 업데이트되며 최신
구성관리계획은 SSP에 첨부되어 있음
- 74 -
프로세스 제안 문서 설명
시작 요청
프로세스
FedRAMP 신청서
<첨부 4 참고>
ㆍFedRAMP 요청 양식은 FedRAMP 보안 평가 프로세스의 개시를 요청하는 정부 기관들과 클라우드 제공업체들에 의해 사용
FIPS 199 카테고리
<첨부1, 23, 24 참고>
ㆍFIPS 199 보안 카테고리는 클라우드 정보 시스템/서비스 에서 지원하는 수준을 결정하는 데에 사용
ㆍ공급자는 카테고리를 기반으로 그들의 시스템 내에 저장된 데이터와 활용하지 않는 기관의 데이터를 분류.
Control Tailoring
Workbook
<첨부 9 참고>
ㆍ클라우드 제공업체들의 통제 시스템 구현을 문서화하고 FedRAMP에 정의된 내용 및 보정된 통제 시스템의 구현 설정을 정의하는데 사용
Control
Implementation
Summary
<첨부 10 참고>
ㆍ소유권 통제 및 클라우드 제공업체에 의해 어떤 통제항목을 활용기관이 소유하고 관리하는지에 대한 정보를 요약해놓은 문서
보안 통제
문서화
시스템 보안 계획
<첨부 5 참고>
ㆍ시스템 보안 계획은 클라우드 정보 시스템이나 운영 환경에서 구현되는 통제의 방법에 대해 설명.
ㆍ시스템 보안 계획은 시스템의 경계 나 범위에 대해 설명하는데 사용
정보 보안 정책ㆍ시스템 보안 계획에 설명되어진 시스템을 제어
하는 클라우드 제공업체의 정보 보안 정책
유저 가이드ㆍ기관들이 시스템을 활용하는 방법에 대해 설명
하고 있는 문서
행동 방침
<첨부 27 참고>
ㆍ시스템 관리자의 책임과 정보 또는 정보 시스템 사용 및 접근 권한에 관한 문제들을 설명하고 규칙 등을 정의하는 데 사용
IT 비상 계획
ㆍ정보 시스템을 중단한 후에 서비스를 복구하거나 그에 맞는 조치 방법 등을 테스트 함
ㆍ시스템 데이터를 정기적으로 백업하거나 정의된 상황에서 복원할 수 있다는 것을 입증 할 수 있는 능력은 재해 시 복구할 수 있는지를
9. 참고/활용 문서
□ FedRAMP 프로세스 영역별 참고/활용 문서
- 75 -
테스트 하는데 필요
구성 관리 계획ㆍ시스템에 변경 사항을 관리하고 추적하는 방법에 대해 설명.
또한 구성 관리 계획 NIST SP 800-128과 동일하여야함
사고 대응 계획
ㆍ사건을 감지하고 보고하고 전달하거나 사건의 시간대, 접근 지점, 사건의 처리, 개선 방법 등을 포함해야함. 또한 사고 대응 계획 NIST Special Publication 800-61과 동일하여야함
E-Authentication
Workbook
<첨부 26 참고>
ㆍ클라우드 시스템에 사용될 인증 레벨(1-4)을 표시하는데 사용되며 인증 에러 및 자격의 오용의 결과 측면에서 레벨을 정의함 또한 위험성 평가 및 위험성을 확인하는 것에 사용
Privacy Threshold
Analysisㆍ개인적인 판단으로 평가했는지를 결정하는 데 사용
Privacy Impact
Assessment
ㆍ개인 신상 정보가 제대로 보장되고 있는지를 평가. 이 제안 문서는 Privacy threshold Analysis 문서의 결과에 따라 필수적으로 필요한 문서는 아님
보안
테스트를
수행
평가대행기관
Designation Form
ㆍ클라우드 제공업체는 자신의 시스템을 보안 통제를 독립적으로 평가하는 승인된 평가대행기관을지정하기 위해서 이 양식을 FedRAMP에게 제출
POA&M
<첨부11 참고>
ㆍ클라우드 제공업체의 시스템의 특정 작업 또는 통제 시스템 내 특정 부분의 구현을 개선하고 변경하는 일정 등을 설명
보안 통제 계획
<첨부5 참고>
ㆍ보안 통제와 통제의 수준 향상 평가에 FedRAMP 보안 관리 기준을 사용
ㆍ보안 관리의 효율성을 결정하는데 FedRAMP 평가 및 시험절차를 사용
보안 평가 테스트
케이스
ㆍ보안평가테스트는 NIST SP 800-53A를 따르며, NIST의 시험절차는 FedRAMP에 맞게 조정됨 ※ 이 테스트는 Excel통합문서로 파일화 해야함
보안 평가 보고서
<첨부 6>
ㆍSAR은 보안통제의 전체 상태 및 결함을 문서화하는 데 사용
ㆍ해당 POA&M항목에 매핑되는 보안의 취약점을 보여줌
지속적인
모니터링
Supplier’s
Declarationof
ㆍ클라우드 제공업체들이 그들의 평가 패키지에 관한 자세한 보안 통제 항목들이 구현된 것에
- 76 -
Conformity 대한 사실을 증명하고 검증하는 문서
사고 보고서ㆍ기간에 따라 보안사고대응계획이 문서화된
보고서
취약성 스캔 보고서ㆍ취약성에 대한 보안통제 테스트를 조사하여 만
들어진 보고서
시스템 보안 계획
업데이트
ㆍ업데이트된 시스템 보안 계획의 통제 시행에 대한 변경사항을 포함하고, 적어도 매년 검토해야함
ITCP 업데이트 ㆍITCP는 비상계획의 변경사항을 반영하기 위해 업데이트
업데이트된
구성관리계획ㆍ구성관리프로세스의 변경사항을 반영
보안 평가 ㆍ시스템에 새로운 위험성의 결정을 위한 평가
IT 보안 정책 ㆍ클라우드 제공업체의 IT 보안정책
사고대응 테스트
보고서ㆍ연간 사고대응계획을 테스트한 보고서
물리적인 접근을
검토한 보고서
ㆍ클라우드 제공업체의 데이터센터에 물리적인 접근에 대해 자세히 검토한 보고서
- 77 -
10. 약어
약 어 문서상 용어 비 고
3PAO 평가대행기관 독립적으로 클라우드 제공 업체를 평가
ATO 잠정적인 운영권한
평가대행기관과 FedRAMP의
보안테스트를 통과한 클라우드 제공
업체에 발급되는 운영권한
CONOPS 운영개념
CIS 통제정보요약
CSP 클라우드 제공업체 클라우드 서비스를 제공 하는 업체
CTW 통제조정 통합문서
DHS 국토안보부지속적인 모니터링을 통한
평가/인증 관리
DOD 국방부
ERB 전문가 검토위원회
FedRAMP FedRAMP연방정부의 위험성 및 인증 관리
프로그램FIPS 연방정부처리기준
GSA 조달청
ISSO정보시스템
보안 관리자JAB 공동인증위원회
NIST 국가기술표준연구소 FedRAMP JAB에 클라우드 기술 지원
OMB 행정관리 예산국
PII 개인 식별 정보
PMO 프로그램 관리국
POA&M 조치일정클라우드 제공 업체의 시스템의
취약점 보완 일정을 타나낸 문서SAP 보안평가계획
SDOC공급자적합성
선언 제도SLA 서비스레벨보증서
SOC 보안운영센터
SSP 시스템보안계획
US-CERT미국-침해사고
대응팀
- 78 -
<첨부1> FIPS-199 요약문
□ 소개
o 정보 시스템을 분류하는 표준을 개발하는 프로세스 등을 서술
- 정보 시스템의 보안 분류 표준에 따라 공통의 프레임워크와 보안표준기준을 제공
o 원문파일: FIPS_199_Template_050212_508.doc
□ 목적
o FIPS-199 분류 템플릿의 목적은 클라우드 서비스의 평가 환경의 범주를 완
료, 시스템 소유자와 FedRAMP 인증위원회 (JAB)가 클라우드 제공 업체 시
스템 수준을 검증하는데 도움을 줌
o 완성 된 보안 분류 템플릿은 클라우드 제공 업체에게 FedRAMP의 보안 통
제 구현 요구사항을 기반으로하는 보안통제 시스템을 만드는데 도움을 줌
□ 범위
o FIPS-199 분류 템플릿의 범위는 NIST SP 800-60에 정의 된 정보 유형
□ 방법론
o 영향 수준은 (기밀성, 무결성, 가용성) 보안 목표에 따라, 각 정보 유형에 따
라 결정
o 기밀성, 무결성, 가용성에 미치는 영향 수준은 각 정보 유형의 보안 감도 카
테고리에 정의
- FIPS-199 분류는 해당 정보 유형의 영향 수준에 대한 높은 워터 마크
- FIPS 199 분석은 정보 유형과 클라우드 제공 업체의 클라우드 서비스의 감도 수준
- 기관들은 클라우드 제공 업체의 클라우드 환경에서 자신의 데이터에 대한 별도
의 FIPS 199을 활용한 분석을 수행 할 것으로 예상
- 클라우드 제공 업체는 클라우드 환경을 사용하여 고객 정보 유형 수집, 처리, 또
는 클라우드 환경에 저장된 정보는 보안 분류의 기밀성, 무결성, 가용성에 대한
평가의 높은 워터 마크를 초과하지 않도록 해야 함
- 79 -
<NIST SP 800-60 V2 R1을 사용하여 보안 영향 수준 클라우드 제공 업체 해당 정보 유형 >
정 보 유 형 높 음 보 통 낮 음
NIST SP 800-60 V2 R1에서 권장하는 기밀성 영향 수준
NIST SP 800-60 V2 R1 권장 무결성 영향 수준
NIST SP 800-60 V2 R1 권장 가용성 영향 수준
클라우드 제공 업체 선택 기밀 영향 수준
클라우드 제공 업체 선택된 무결성 영향 수준
클라우드 제공 업체 선택 가용성 영향 수준
영향 조정 정당성에 대한 정책
- 80 -
<첨부2> NIST SP 800-53 요약문
□ 소개
o SP 800-53은 정보시스템을 위한 정보보호통제에 대한 지침을 제공
o 원문파일: sp800-53-rev3-final_updated-errata_05-01-2010.pdf
□ 목적
o 연방 정부의 정보시스템에 대한 보안통제 지침을 제공하며, 집행 기관을 지원
o 연방 정부 정보시스템의 효과적인 위험을 관리를 달성하기 위해 개발
□ 문서 활용대상
o 정보 시스템을 보안 관리 관련 종사자
o 정보 시스템 개발 관련 종사자
o 정보 보안 구현 및 운영 책임 관련 종사자
o 정보 시스템 및 정보 보안 평가 및 모니터링 관련 종사자
□ 보안 통제 기준
o 정보 보안 통제의 적절한 선택을 만드는 조직을 지원하기 위해 시스템의
보안 통제 기준의 개념이 도입
o 보안 범주와 정보 시스템 관련 영향 수준은 각각 FIPS 199와 FIPS200에 따라 결정
- 81 -
<첨부3> Federal Information Security Management Act 요약문
□ 소개
o FISMA는 연방정부 기관의 정보보안 강화를 위해서 제정된 법
- 정부기관이 정보와 정보시스템 보호를 위해 전사적 정보보호 프로그램을 개발,
문서화, 보안 통제 구현을 요구
o 원문파일: FISMA-final.pdf
□ 목적
o 연방 정부의 정보와 운영 및 자산을 보호하기 위한 포괄적인 기본
틀을 만드는 것
o IT 시스템의 보안을 강화하기 위해 국립표준기술원과 관리예산처와
같은 연방기관들에 대해 구체적인 책임을 부여
□ FISMA 디렉터의 기능
o 디렉터는 기관의 정보 보안 정책 및 관행을 감독
o 디렉터는 개발 및 정책, 원칙, 표준 및 정보 보안에 대한 가이드라인을 이행
□ 연간 독립적인 평가
o 매년 각 기관은 정보보안 프로그램을 기반으로 독립적인 평가를 수행
- 연간 평가는 독립적인 외부 감사에 의해 검사관이 수행
- 82 -
<첨부4> ISO/IEC 17020:1998 요약문
□ 소개
o 검사기관이 제공하는 서비스가 기술적 능력, 공정성, 신뢰성을 확보하고
책임성, 세심한 관찰력 및 자격을 갖춘 직원들이 정확한 보고능력을 갖추
고 수행하는 것을 입증하기 위한 요구사항을 규정한 국제기준
o 원문파일: ISOIEC17020.pdf
□ 목적
o 제품 디자인, 제품, 서비스, 특정 요건과의 적합성 결정
□ 독립 기준
o 검사기관은 다음과 같은 최소 기준을 충족
o Type A : 검사기관의 성격
- 검사기관은 관련 당사자와 독립적
- 검사기관은 검사 활동과 관련하여 무결성&독립적으로 충돌 할 수 있는 활동은
하지 않음
- 모든 이해 당사자는 검사 기관의 서비스에 액세스 할 수 있음
o Type C : 상위 검사기관의 역할
- 검사 기관은 문서화 된 절차에 의해 검사 서비스를 제공
- 83 -
<첨부5> System Security Plan (SSP) 요약문
□ 소개
o 이 문서는 템플릿 형식으로 배포
o 이 문서는 서비스 제공자의 정보 보안 통제에 대한 자세한 정보 포함
o 원문파일: System_Security_Plan_Template_120512_508.doc
□ 문서 활용 대상
o 美 연방 정부 FedRAMP 프로그램을 통해 임시 승인을 신청하는
클라우드 제공 업체에 의해 사용됨
- 미국 연방 기관은 FedRAMP 프로그램의 일부가 아닌 정보 시스템 보안 계획을
문서화하는 데 사용할 수 있음
o 다른 용도로는 대형 정보 보안 인프라를 관리 할 수 있는 계획을 수립하기
위한 목적 또는 조직 정보 보안 통제를 문서화하는데 사용
□ 정보 시스템 양식
o 정보 시스템 분류
- 전체 정보 시스템 감도 분류는 FIPS199 기준에 따라 다음 표에 기록
보안 목표 상(High), 중(Moderate), 하(Low)기밀성무결성가용성
o 정보 유형
- 이 섹션은 정보 시스템에서 사용하는 정보 유형은 기밀성, 무결성, 가용성 민감
도 수준 분류하는 방법을 설명
분 류 특 성
잠재적 인 영향이 낮은(Low) 경우
ㆍ기밀성, 무결성, 또는 가용성의 손실은 조직의 운영, 조직의 자산, 또는 개인에 한정된 부정적인 영향을 미칠 것으로 예상 할 수 있음
잠재적 인 영향이 중간(moderate) 경우
ㆍ기밀성, 무결성, 또는 가용성의 손실은 조직의 운영, 조직의 자산, 또는 개인에 심각한 악영향을 예상 할 수 있음
잠재적 인 영향이 높을(high) 경우
ㆍ기밀성, 무결성, 또는 가용성의 손실은 조직의 운영, 조직의 자산, 또는 개인에 치명적 악영향을 예상 할 수 있음
- 84 -
o 클라우드 서비스의 정보 시스템 타입
- 정보 시스템, 클라우드 아키텍처 모델에 따라 다른 서비스 층으로 구성
서비스 제공자 아키텍처 레이어
종류 구분 비고
Software as a Service (SaaS) 주요 응용프로그램
Platform as a Service (PaaS) 주요 응용프로그램
Infrastructure as a Service (IaaS) 일반 지원 시스템
Other
- 85 -
<첨부6> Security Assessment Plan (SAP) 요약문
□ 목적
o 보안 통제를 테스트 할 수 있는 테스트 계획을 구성하기 위해 만들어진 기획안
o 원문파일: SAP_Template_102612_508.doc
□ 범위
o 클라우드 제공 업체의 서비스 제공을 위해 수행 될 보안 통제 테스트의 범
위는 제한적
- 클라우드 제공 업체가 서비스를 제공하는 (FedRAMP 용)시스템 경계 밖에 있는
인터페이스에 대한 테스트 계획에는 포함되지 않음
□ 적용 기준
o 다음 표준 및 지침은 보안 테스트 및 위험 평가
- 연방 정보 시스템의 보안 컨트롤을 평가하기위한 가이드[NIST SP 800-53]
- 정보 기술 시스템을위한 위험 관리 가이드 [NIST SP 800-30]
- 정보 보안 테스트 및 평가에 대한 기술 가이드 [NIST SP 800-115]
□ 관련 법규 및 규정
o 다음 법률과 규정은 FedRAMP 프로그램에 적용 할 수 있음
- 컴퓨터 사기 및 남용 법 [PL 99-474, 18 USC 1030]
- 연방 정보 보안 관리법(FISMA) [Title III, PL 107-347]
- 국토 안보부 대통령 지침-7 [HSPD-7]
- 연방 정보 자원 관리 [OMB Circular A-130]
- 86 -
<첨부7> Security Assessment Report (SAR) 요약문
□ 소개
o 시스템의 포괄적인 보안 테스트와 평가의 결과를 포함하는 문서
o 보안 평가 중 식별 된 취약점과 관련된 위험을 설명
o 원문파일: SAR_Template_12_03_2012_508.doc
□ 목적
o 클라우드 제공 업체의 시스템 보안평가보고서를 FedRAMP JAB에 제공 하
는 것
□ 평가 방법론
o 위험 노출을 결정하기 위해 논리적으로 규정하는 과정으로, 보안평가과정은
NIST 800-37에 설명된 위험 관리 프레임워크(RMF)로 작성
① 보안 평가 계획 통합 문서에서 테스트를 수행하고 결과를 기록
② 클라우드 제공 업체 플랫폼에서 취약점을 식별
③ 위협을 식별하고 취약점과 관련된 위협 결정
④ 취약점 및 관련 위협에 따라 위험을 분석
⑤ 시정 조치를 추천
⑥ 결과를 문서화
- 87 -
<첨부8> NIST 800-37 요약문
□ 소개
o 연방기관 내의 정보시스템에 대한 보안 인증 및 승인을 위한 지침
o 원문파일: sp800-37-rev1-final.doc
□ 목적
o 이 발행물의 목적은 리스크 관리를 적용하기위한 지침을 제공하는 것
- 연방 정보 시스템에 대한 프레임 워크 분류, 보안 관리 선택과 구현, 보안 제어
평가, 정보 시스템 승인 및 보안 관리 모니터링 등의 지침
□ 문서 활용대상
o 이 문서는 연방 정보 시스템의 설계, 개발, 구현, 운영, 유지 보수 등,
관련된 전문가들에게 제공하는 문서
- 정보 시스템 개발 및 통합 책임이 있는 전문가
- 정보 시스템 및 보안관리, 감독에 책임이 있는 전문가
- 정보 시스템과 보안 관리 평가 및 모니터링에 책임이 있는 전문가
- 정보보안 구현 및 운영에 책임이있는 전문가
□ 보안 통제 할당
o 조직에 의해 사용 할 수 있는 정보 시스템에 대한 보안 통제는
세 가지 유형이 있음
- 특정 정보 시스템에 대한 보안 기능을 제공하는 컨트롤
- 여러 정보 시스템에 대한 보안 기능을 제공하는 컨트롤
- 시스템별 및 일반 특성을 모두 가지고 있는 컨트롤
o 조직은 조직의 기업 아키텍처 및 정보보안 아키텍처와 일치하는
정보 시스템 보안 컨트롤을 사용
- 88 -
<첨부9> Control Tailoring Workbook (CTW) 요약문
□ 개요
o 이 문서는 템플릿 형식으로 처음 릴리스 됨
o CTW는 서비스 제공자의 정보 보안 통제에 대한 자세한 정보를 포함
o 원문파일: CTW_071112_508.doc
□ 소개
o FedRAMP CTW는 클라우드 서비스 제공 업체들이 클라우드 환경을
구현하고 FedRAMP 보안 통제를 설명 함
- FedRAMP 보안 통제는 NIST에 SP 800-53, Revision 3에 근거
o FedRAMP의 경우, 보안 통제는 두 가지로 정의되어있음
- 중간(Moderate) , 낮음(Low)
- 영향을 미치는 수준은 FIPS-199에 정의된 대로, 처리 저장 및 클라우드
정보 시스템에 의해 전송되는 연방 정보의 감도와 임계를 기반으로 함
□ 목적
o 낮음과 중간 영향을 클라우드 시스템 환경에 적용 할 때, FedRAMP
보안통제 목록을 클라우드 제공 업체s에 제공
o CTW는 FedRAMP에 정의된 운영 및 기술 컨트롤, 조직 매개 변수에 대한
설명 등을 클라우드 제공 업체s에 제공
□ 범위
o CTW는 FedRAMP의 보안 통제를 특정 클라우드 환경에 만들 수 있는
기술과 함께 NIST SP 800-53 R3 관리, 운영 및 기술 컨트롤로 구성
□ 문서 활용대상
o 이 문서는 미국 연방 정부 FedRAMP 프로그램을 통해 (ATO) 운영하는 승인
을 신청하는 서비스 제공 업체에 의해 사용될 수 있게 하기 위한 것
- 89 -
□ 통합 문서 형식과 지침
o 아래 표는 CTW의 FedRAMP 보안 통제 기준을 제공
- 이 테이블은 NIST SP 800-53, R328)에서 확인
- 표는 CTW의 일환으로 모든 FedRAMP 기본 보안 통제에 대해 다음과 같은 정보
를 제공
① 제어 번호와 이름 - 관리 번호 및 제어 이름은 R3, NIST SP 800-53에
정의된 컨트롤에 관련된 내용
② 제어 기준 - 컨트롤은 그 기준에 적용 중 낮음, 중간 영향 열에 나열
③ 추가 요구 사항 및 안내 - 클라우드 컴퓨팅 응용 프로그램 및 운영 환경에
대한 추가 보안 요구 사항을 나타냄
28) NIST 800-53 : 정보시스템을 위한 정보보호통제에 대한 지침을 제공 <첨부 2 참고>
- 90 -
<첨부10> Control Implementation Summary 요약문
□ 소개
o 이 문서는 서비스 제공자의 정보 보안 통제에 대한 간략한 정보를 포함
- CIS 보고서는 제어 구현 과 FedRAMP 보안 통제의 구현 상태를 포함
o FedRAMP 프로그램을 통해 (ATO)를 운영하는 인증에 대해 적용하려는
클라우드 서비스 제공 업체 (클라우드 제공 업체s)에 의해 사용하기위한 것
- 이 템플릿은 클라우드 제공 업체 정보 시스템에 대한 제어 구현 요약 (CIS) 보고
서를 준비하기위한 샘플 형식을 제공
o 원문파일: Control_Implementation_Summary_071912_508.docx
□ 목적
o 클라우드 제공 업체s 및 고객 기관의 통제 책임에 대해 기술한 문서, 또는
CIS는 시스템에서 필요한 모든 컨트롤과 향상된 기능에 대한 요약을 제공
□ 통제 구현 결과
o CIS 스프레드시트의 열은 다음 표에 나와 있는 정의에 따라 정의
제어 시작 정 의 예 시
서비스 제공 기업클라우드 제공 업체기업
네트워크에서 제어
기업 네트워크에서 DNS는
정보시스템에 대한 주소
확인서비스를 제공
서비스 제공자 시스템 특징
특정 시스템에 대한 특정 통제는 서비스 제공 업체
기업의 일부가 아님
호스트 기반의 침입 탐지 시스템은 서비스 제공 플랫폼에서 사용할 수 있지만 회사
네트워크에서는 사용할 수 없음.
고객 구성고객 통제 요구 사항을 충족
하기 위해 구성을 적용해야 할 때 통제
사용자 프로필, 정책 / 감사 구성 가능 / 조직에 특정 IP 범위 입력은 고객이 구성
고객 제공추가 하드웨어나 소포트웨어를 제공 할 필요가 있을 때
통제
이중 인증을 구현하는 SAML SSO솔루션을 제공
공유 특정 시스템을 고객과
클라우드 제공 업체가 부분적으로 통제
보안 인식 교육은 클라우드 제공 업체와
고객 모두 실지
기존 임시 승인이미 승인을 받은 다른 클라우드 제공 업체
시스템에서 상속되어 있을 때 통제PasS 나 SaaS 제공 업체는
IaaS 공급 업체에서 PE통제를 상속
- 91 -
<첨부11> Planof Action and Milestones (POA&M) 요약문
□ 소개
o POA&M은 보안 인증 패키지의 세 가지 핵심 문서 중 하나이며, 계획된 특
정 작업에 대해 설명
o 원문파일: FedRAMP_POAM_Template_050212_508.doc
□ 방법론
o POA&M는 클라우드 정보 시스템 내의 모든 알려진 보안 취약점을 포함
o POA&M의 워크 시트는 두 섹션으로 구성
- 하단 부분은 IT 시스템 취약점이 POA & M의 상단 부분은 FISMA
시스템 성능 측정을 나타냄
- 워크 시트의 하단 부분은oMB의 요구 사항을 기반으로 함
구분 설명
FIPS 199 리스크 영향
수준ㆍ시스템은 FIPS 199/800-60 평가에 따라 낮음, 보통, 높음으로 분류
연방 또는 계약자
시스템ㆍ시스템은 연방 정부 또는 계약자 중 하나로 식별
- 92 -
<첨부12> NIST SP 800-145 요약문
□ 소개
o 클라우드 컴퓨팅을 정의
o 원문파일: SP800-145.pdf
□ 목적
o 클라우드 컴퓨팅의 중요한 측면의 특징들을 정의
o 클라우드 서비스와 배포계획의 폭 넓은 비교의 수단을 제공
o 클라우드 컴퓨팅의 최선의 사용방법에 대한 토론의 기준을 제공
□ 대상
o 시스템 기획자
o 프로그램 관리자
o 최신과학기술분야 전문가
o 클라우드 서비스 사용자
o 클라우드 서비스 제공자
- 93 -
<첨부13> NIST SP 800-61, Revision 2 요약문
□ 소개
o 컴퓨터보안사고 처리가이드
o 원문파일: draft-sp800-61rev2.pdf
□ 목적
o 사고의 효과적이고 효율적인 대응에 대한 가이드라인을 제공
o 사고의 검출, 분석, 우선순위, 사고처리에 정보를 제공
o 맞춤형 가이드라인 및 해결책을 제공
□ 대상
o 시스템 및 네트워크 관리자
o 보안 담당자
o 최고위자 정보보안임원(CISO)
o 최고위자 정보 책임자(CIO)
o 컴퓨터 보안 프로그램 관리자
- 94 -
<첨부14> NIST SP 800-34, Revision 1 요약문
□ 소개
o 연방정보시스템에 대한 비상계획 가이드
o 원문파일: sp800-34-rev1_errata-Nov11-2010.pdf
□ 목적
o 정보시스템 비상계획, 다른 유형의 보안, 비상사태 관리 관련 비상계획, 기
관의 회복력, 시스템개발수명주기의 연관성에 대한 참고자료를 제공
o 정보시스템 및 운영을 평가하여 비상계획의 요구사항과 우선순위를 결정할
때 도움을 제공
o 비상계획전략의 개발자를 돕기 위해 영향수준과 비상계획에 관련된 보안통
제의 고려사항을 제공
o 특정 하드웨어 플랫폼, 운영체제, 응용프로그램, 특정한 기술적 고려사항의
정보를 제공하여 일반적인 정보시스템 플랫폼을 해결
□ 대상
o 정보시스템의 운영 책임자
o 정보시스템의 최고정보책임자(CIO)
o 조직의 정보시스템의 보안을 개발하고 유지 관리하는 선임기관정보보안임원
o ISSO/ISSM
o 시스템 엔지니어와 설계자
o 시스템 관리자
- 95 -
<첨부15> NIST SP 800-27, Revision A 요약문
□ 소개
o 정보기술보안에 대한 엔지니어링 원칙을 제공
o 원문파일: SP800-27-RevA.pdf
□ 목적
o 정보기술의 설계, 개발, 운영의 시스템수준별 보안원칙의 목록을 제시
o 이미 배포되어진 정보시스템의 보안태세를 단언하고 확인하는데 도움을 제공
o 원칙은 짧고 간결하며 기관들이 자신의 시스템 라이프 사이클 정책을 개발
하는데 사용
□ 대상
o 개발 및 기능의 요구사항을 평가하는 사용자
o 조직 내의 정보시스템을 운영하는 사용자
o 시스템을 디자인, 구현, 또는 정보시스템을 수정하는 시스템 엔지니어 및 설계자
o ISSO
- 96 -
<첨부16> NIST SP 800-18, Revision 1 요약문
□ 소개
o 연방정보시스템에 대한 보안계획을 수립하기위한 가이드
o 원문파일: sp800-18-Rev1-final.pdf
□ 목적
o 시스템 보안계획을 준비하는 방법에 대한 기본정보를 제공
o 다양한 조직구조에 적응할 수 있도록 제작
o 보안계획에 관한 활동에 대한 책임을 제공
□ 대상
o 프로그램 관리자
o 시스템 운영자
o 보안 담당자
o 정보보안 시행 및 운영 책임자
- 97 -
<첨부17> NISP SP 800-60, Revision 1 요약문
□ 소개
o 보안에 대한 정보 및 정보시스템의 유형들을 매핑하기위한 가이드
o 원문파일: SP800-60_Vol1-Rev1.pdf
□ 목적
o 잠재적인 보안상 영향의 각 범주에 포함할 정보와 정보시스템의
유형을 추천하는 지침을 개발하기 위해 FISMA의 방향을 제시
※ 정보 : 개인정보, 의료, 금융, 영업비밀, 등
※ 정보시스템 : mission critical, mission support, 행정, 수사
o 정보와 정보시스템의 보안상 영향의 수준을 지속적으로 매핑할 수 있도록
도움을 제공
o 국가보안시스템을 제외한 모든 연방정보시스템에 적용
□ 대상
o 정보시스템, 정보보안관리, 감독의 책임자
o 임무 및 상업 부분 관리자, 정보관리자
o 정보 시스템 개발자
- 98 -
<첨부18> NIST SP 800-128 요약문
□ 소개
o 정보시스템의 보안에 중점을 둔 구성관리 가이드
o 원문파일: sp800-128.pdf
□ 목적
o 정보전송, 정보시스템 아키텍처, 보안프로세싱을 위한 구성요소들을 구성 관
리하는 가이드라인을 제공
o 정보시스템의 보안상의 위험을 관리하기위한 중요한 지원을 제공
o 연방정보시스템 및 운영관련 보안의 관리에 대한 지침을 제공
□ 대상
o 정보시스템, 정보보안관리의 책임자
o 정보시스템 개발자
o 정보보안시행 및 운영의 책임자
o 정보시스템, 정보보안평가, 모니터링 책임자
- 99 -
<첨부19> NIST SP 800-137 요약문
□ 소개
o 연방정보시스템과 기구를 위한 정보보안의 지속적인 모니터링
o 원문파일: SP800-137-Final.pdf
□ 목적
o 정보보안의 지속적인 모니터링계획을 개발을 지원
o 위협 및 취약점을 인식하는 정보보안의 모니터링프로그램의 시행을 지원
o 각 기관에 맞게 지속적인 보장 계획 및 보안통제시행을 제공
o 시기적절하게 위험에 대응하는 정보를 제공
□ 대상
o 모니터링 책임자
o 정보시스템 개발 및 통합 책임자
o 사업 소유권 책임자
o 정보보안시행 및 운영 책임자
- 100 -
<첨부20> NIST SP 800-30 요약문
□ 소개
o 정보기술시스템을 위한 위험관리 가이드
o 원문파일: sp800-30.pdf
□ 목적
o 효과적인 위험관리프로그램을 개발하기위한 기반을 제공
o IT시스템의 위험을 평가하고 완화하는데 필요한 도움을 제공
o IT관련 위험성을 관리할 수 있도록 도움을 제공
o 비용효율이 높은 보안통제의 정보를 제공
□ 대상
o IT보안의 예산을 결정하는 관리자
o 최고정보책임자
o IT시스템의 작동을 허용할지 결정하는 승인기관
o ISSO
o IT시스템 및 어플리케이션 프로그래머
o 정보시스템 감사관
o IT컨설턴트
- 101 -
<첨부21> NIST SP 800-64, Revision 2 요약문
□ 소개
o 시스템 개발 수명주기의 보안관련 고려사항
o 원문파일: NIST-SP800-64.pdf
□ 목적
o 주요 보안역할과 정보시스템의 개발의 책임을 제공
o 시스템 개발 수명주기의 정보를 제공
o 정보보안과 시스템 개발 수명주기 사이의 관계를 이해하는데 도움을 제공
□ 대상
o 정보시스템 및 정보보안관리 감독 책임자
o 정보시스템 개발자
o 조직 관리자
o 정보보안 구현 및 운영 책임자
- 102 -
<첨부22> NIST SP 800-115 요약문
□ 소개
o 정보보안 테스트 및 평가에 대한 기술 가이드
o 원문파일: SP800-115.pdf
□ 목적
o 정보보안 테스트를 계획 및 시행한 평가, 결과분석, 완화정략을 개발하는데
도움을 제공
o 보안테스트와 평과과정 및 평과정차에 관한 설계, 구현, 유지의 권장사항을 제공
o 시스템 및 네트워크의 취약점을 발견하는데 도움을 제공
o 정책 및 기타요구사항을 준수하였는지 확인하는데 도움을 제공
□ 대상
o 컴퓨터 보안전문가
o 프로그램 관리자
o 시스템 관리자
o 네트워크 관리자
- 103 -
<첨부23> FIPS Publication 200 요약문
□ 소개
o 연방정보와 정보시스템에 대한 보안의 최소한의 요구사항
o 원문파일: FIPS-200-final-march.pdf
□ 목적
o 정보의 분류와 정보시스템의 표준은 위험수준의 범위에 따른 정보보안의
적절한 수준의 목표를 연방기관을 대신하여 수집하거나 유지
o 정보와 정보시스템의 유형을 추천
o 최소한의 정보보안 요구사항을 충족하는 보안통제를 선택하기위한 위험기
반프로세스를 지정
□ 최소한의 보안요구사항
o 접근통제
o 교육 및 훈련
o 감사 및 책임
o 증명, 승인, 보안평가
o 구성관리
o 비상계획
o 식별 및 인증
o 사고대응
o 유지
o 미디어 보호
o 물리적 및 환경적 보호
o 인사보안
o 위험평가
o 시스템 및 서비스 취득
- 104 -
□ 보안통제의 선택
o 낮은 영향의 정보시스템은 낮은 기준에 맞는 보안통제를 사용해야하며, 기
준에 맞는 요구사항에 만족하는지 확인해야함
o 중간의 영향의 정보시스템은 중간 기준에 맞는 보안통제를 사용해야하며,
기준에 맞는 요구사항에 만족하는지 확인해야함
o 높은 기준의 영향의 정보시스템은 높은 기준에 맞는 보안통제를 사용해야
하며, 기준에 맞는 요구사항에 만족하는지 확인해야함
- 105 -
<첨부24> FIPS Publication 201-1 요약문
□ 소개
o 연방직원과 하청업체의 개인 신원확인(PIV)
o 원문파일: FIPS-201-1-chng1.pdf
□ 목적
o 연방정부관리 시설 및 정보시스템에 대해 접근하는 응용프로그램의 사용자
의 개인 신원확인시스템을 제공
o 신원확인 자격인증서를 생성하고 후에 신원을 확인하는데 사용하는 개인
신원확인시스템을 제공
o 보호되는 시설 및 정보의 위험성에 따라 다른 보안수준에 대한 요구사항을
제공
□ 신원 자격인증서의 기술적 요구사항
o 개인 직원의 신원확인을 위해 음성기준에 따라 발급
o 신뢰성을 인정받은 제공자만이 공식 인증프로세스에 의해 발급
o 신원의 조작, 변조, 위조, 테러착취에 강력한 저항력이 있어야함
o 빠른 전자 인증이 가능 해야함
- 106 -
<첨부25> FIPS Publication 140-2 요약문
□ 소개
o 암호화모듈의 보안관련 요구사항
o 원문파일: fips1402.pdf
□ 목적
o 연방기관이 민감하거나 중요한 데이터의 보호를 위해 암호화 기반의 보안
시스템을 사용할 수 있도록 표준을 제공
o 잠재적인 응용프로그램 및 환경상의 넓은 범위를 보호하기위해 보안의 증
가 및 질적 수준을 제공
o 보안시스템의 모듈의 정보를 보호를 위해 기밀성 및 무결성을 유지하는데
필요한 암호화모듈 제공
□ 암호화 모듈의 보안 설계 및 구현에 관한 요구사항
o 암호화 모듈의 사양
o 암호화 모듈의 포트 및 인터페이스
o 역할, 서비스, 인증
o 유한한 상태의 모델
o 물리적 보안
o 운영 환경
o 암호화 키 관리
o EMI/EMC
o 자가 테스트
o 다른 공격 완화
- 107 -
<첨부26> E-Authentication 요약문
□ 소개
o FedRAMP에서의 인증 수준에 대한 지침을 제공하기 위해 개발된 문서
o 원문파일: eAuthentication_Template_050212.doc
□ 대상
o 이 문서는 클라우드 제공 업체, 평가 대행기관, FedRAMP 구성원, FedRAMP
의 E-Authentication의 이용을 원하는 모든 기관에 의해 사용되는 것
□ E-Authentication 선택하는 방법
o 행정관리 예산국의 정책 M-04-04를 기반으로, 연방정보시스템의
E-Authentication을 분류 할 인증 수준을 정의
Assurance Level Impact Profile1 2 3 4
금융 손실 또는 기관 책임 Low Mod Mod High기관 프로그램 또는
공공 이익에 피해Low Mod Mod High
중요 정보의 무단 유출 N/A Low Mod High개인 정보 보호 N/A N/A Low Mod, High민사 또는 형사 위반 N/A Low Mod High
o Level 1: Little or no confidence in the asserted identity’s validity
o Level 2: Some confidence in the asserted identity’s validity
o Level 3: High confidence in the asserted identity’s validity
o Level 4: Very high confidence in the asserted identity’s validity
- 108 -
<첨부27> 행동규칙 (Rulesof Behavior) 요약문
□ 소개
o 행동의 규칙에 따라 보안 정책, 표준 및 절차에 대한 사용자 책임과 행동의
특정 기대와 관련된 보안 통제을 설명
o 원문파일: FedRAMP_RoB_050212_508.doc
□ 내부 사용자를위한 행동 규칙
o 독점 소프트웨어의 저작권 준수
o IT 부서에서 일어나는 모든 보안사건 또는 의심되는 사건을 보고
o 바이러스 및 악성 코드에 의해 감염된 흔적이 보이는 모든 시스템 자원의
사용을 중단하고 보고
o 권한이 있는 데이터 만 사용
o 자신의 데이터를 다른 사람이 무단으로 접근하는 것을 방지
o 개인 정보 보호법의 요구, 저작권 요구 사항 및 민감한 데이터의 데이터
를 보호하고, 액세스하기위한 특별한 요구 사항을 숙지
- 외 28개 항목
□ 외부 사용자에 대한 행동 규칙
o 시스템에 인증된 방식으로 접근
o 정보가 무단으로 유출, 유포 되는것을 사전에 방지
o 정보에 액세스 할 권한이없는 사람에게 정보를 검색 또는 기타 법으로 정
보를 공개금지
o 웹 브라우저가 잘못된 사이트 인증서에 대해 경고하도록 구성되어 있는지
확인
o 사용자가 보안 및 비보안 모드 사이를 변경하는 경우 웹
브라우저가 경고하도록 구성되어 있는지 확인
o 다운로드 받는 파일의 대한 웹사이트의 신뢰성 확인
-외 16개 항목
- 109 -
양식 1 . 클라우드 제공업체 신청서 양식
□ CSP Information - CSP Name:
- CSP Website:
□ CSP Pointsof Contact
o Primary Pointof Contact:
- First Name:
- Last Name:
- Title:
- Phone: Please enter phone in (XXX) XXX-XXXX forma
- Email:
o Secondary Pointof Contact:
- First Name:
- Last Name:
- Title:
- Phone: Please enter phone in (XXX) XXX-XXXX forma
- Email:
□ 클라우드 제공업체 시스템 정보 - System Name:
- 시스템에 대한 간략한 설명 :
- FedRAMP Readiness : FedRAMP 가이드라인 섹션 3.1에 대한
내용을 기반으로 현재 진행 상태에 대한 내용을 작성
- 클라우드 서비스 모델 : 1. SasS , 2. PasS 3. IasS 중 선택 1
- 클라우드 배포 모델 : 1. 공용, 2. 개인, 3. 혼합, 4, Community
- FIPS-199 Categorization : 1. Low impact level,
2. Moderate impact level
□ 평가대행기관 - 클라우드 제공업체의 평가대행기관 선정여부: 1. 예, 2. 아니오
