미국 CSF v2.0 vs ISO27001 및 KISA ISMS 비교
미국 NIST의 CSF에
관한 KISA의 소개자료를 읽고,
저의 시각에서 도출한 차이점 분석 결과 몇줄 게시합니다.
해당 문서는
KISA
한국인터넷진흥원>지식플랫폼>정기간행물>전체 616
"[KISA Insight 2024 Vol.06] 미국 NIST CyberSecurity Framework 2.0) 주요 내용과 시사점" 2024년 08월 26일자이고,
NIST 원본은
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf 2024년 02월 26일자입니다.
아래는 KISA가 제시한 비교표입니다.
(KISA원본에는 Cloud인증이 포함되어 있는데, 이 글에서는 의미가 없어 삭제했습니다)
제가 보완 작성한 비교표입니다.
(이후의 ISO ISMS 표기는 27001과 27002를 포함합니다.
27002가 27001의 Annex로 포함되어
있으므로)
|
|
CSF v2.0 |
ISO ISMS |
KISA ISMS+p |
|
구조 |
규격과 통제를 통합한 형태 |
규격(27001)과 통제(27002)가
분리되어 있음 |
규격(1.*.*)과 통제(2.*.*~3.*.*)이
분리되어 있음 |
|
제작 |
6Function/23Category/106SubCategory로
세분) |
4개 영역(조직/인적/물리/기술) 분리 후, 곧바로 세부통제를 나열 |
통제(보호대책)의 경우, 12개 영역으로 분류하고, 이하에 세부통제를 나열 |
|
지역 |
미국 내 조직 |
전세계 표준 (KS 국가 표준이기도 함) |
대한민국에 한정 |
|
보호대상 |
자산의 종류에 우선순위나 종속관계를 특정하지 않음 |
Information 중심 |
Information 중심 |
|
관점 |
'위험' 통제 |
정보자산의 '보호' |
대외정보시스템의 '보호' |
|
범위(목표) |
CyberSecurity (IT + OT + IoT) |
IT + CyberSecurity |
IT |
|
범위(실제) |
CyberSecurity (IT + OT + IoT) |
IT ( + OT일부 가능) |
IT ( + OT일부 가능) |
|
성숙 단계 |
4 단계 |
없음 |
없음 |
|
개선 구조 |
6개 Functions 중
식별(ID) 단계에 하위로 배치 (ID.IM) |
규격(27001)에 PDCA구조
반영 |
규격(1.*.*)에 PDCA구조
반영 |
|
조직 규모 고려 |
명시적으로 중소기업 등을 고려함 |
없음 |
일부 통제를 선별하여, |
CSF는 2024년 02월에 v2.0으로 갱신되었는데, 이전 v1.1에 비해서 꽤 많이 변경되었습니다.
먼저,
모든 조직의 모든 영역에서 (통합)보안관리체계로
이용 가능하게 개선된 점이 눈에 뜨입니다.
KISA는 CSF를 아래와
같이 평가했고, 저도 대략적으로 동의합니다.
그리고,
'Governance'Fuction을 추가함으로서,
조직관리, 역할/책임/권한, 정책, 감독 등을
명시적으로 강조했고,
위험관리전략(GV.RM)도
ISO27001이나 KISA ISMS에 비해서 훨씬 정밀하게 제시했습니다.
즉, ISMS의 확장판으로도 응용이 가능하다는 뜻입니다.
또한,
CSF v2.0에는
ISO의 모든 관리체계 표준에 공통적인 PDCA Cycle과는
외형적으로 매우 다르게 보이는 특징이 있습니다.
관리체계에서 중요한 자체적인 '개선'에
관한 항목이
6개 Fuctions 중 '관리(Govern)'단계가 아니고
식별(ID) 단계에 하위로 배치
(ID.IM)되어 있는 점입니다.
식별 Fuction에
1.자산관리(Asset
Management), 2.위험평가(Risk Assessment)와 동급으로
3.개선(Improvement)가
제시되어 있습니다.
자산이나 위험이 식별될때마다 즉시 관리에 착수하듯이,
개선이 필요한 상황이 식별되는 즉시 개선을 수행하라는 의미인가 유추해 봅니다.
CSF는 다른 기준들과 달리,
일종의 성숙도 모델을 내장해서,
조직의 보안 수준 향상을 더 정밀하게 관리 가능하게 보조합니다.
OT보안에 관해서는 :
NIST는 OT 적용에
관한 가이드를 CSF(v1.1시절부터) 제공합니다.
Guide
to Operational Technology (OT) Security (nist.gov)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf
위 문서의 부록 중 ISO27001에 관한 서술에
"대부분의 OT보안에 ISO27001를 응용하는 것이 가능"하다고 표현되어 있는데,
자신들의 CSF에 비해서는 충분하지 않다는 평가를 부드럽게 표현한듯
합니다.
(ISO27001:2022년 개정판에 OT보안에 관한 명시적인 배려는 어디에도 없고,
ISO27001의 통제인
ISO27002가 2022년 02월에 개정된
사실을 모르는 사람이 작성한 문장입니다)
ISO27001이 IT영역에서는 오랫동안 잘 활용되어 왔으나,
이것을 OT영역까지 충분하게 포용하려면,
"스스로 붙여 둔
'informaton'이라는 딱지"로 인해
씌워진 한계를 극복해야 합니다.
Informaion을
Primary Asset으로 선언하고,
나머지를 종속적인 Supporting Asset으로 취급했기 때문에,
IT 이외의 모든 보안 영역에서 어색합니다.
(그 개념이 틀렸다는 뜻이 아니고,
OT에 "information 우선하는 개념"을 적용하려고 보니
IT에서와 달리, 부자연스럽다는 말씀입니다)
상세한 해설은
ISO27001의 개선 필요성에 관한 소견을 담은 문서를 참조하셔요.
https://Open.R27001.iSMS.Support
(PowerPoint/PDF)
https://View.R27001.iSMS.Support
(Word/PDF)
NIST는 CSF v2.0으로 개정하면서 ISO표준에
관한 참조를 전혀 명시하지 않았습니다.
이전 v1.1에는 아래 기준들을
- ISACA COBIT (Control Objectives for Information Technologies)
- ISA(IEEE) 62443
- ISO/IEC 27001:2013 A.*
각 항목별로 Informative References에 명시했었는데,
v2.0 문서에는 NIST자체
문서를 제외하면
아래의 기준들만 Informative References로 나열하고
있습니다.
- CRI (Cyber Risk institite) Profile
https://cyberriskinstitute.org/the-profile/
금융 기관 및 무역 협회의 비영리 연합
- CCM (Cloud Controls Matrix)
https://cloudsecurityalliance.org/research/cloud-controls-matrix
Cloud보안을 위한 Alliance
- CIS (Center for Internet Securit) Critical Security Controls
https://www.cisecurity.org/controls
비영리단체
CSF v2.0과
ISO27001:2022를 각 항목 별로 비교한 자료에 의하면
https://www.razil.io/post/nist-csf-2-0-to-iso-27001-2022-annexure-a-mapping
CSF는 ISO27001을
완전하게 포함하지만,
ISO27001은 여러 부분에서
CSF의 세부 항목들에 해당하는 통제가 없습니다.
CSF v1.1과
ISO27001:2013을 비교해도 마찬가지입니다.
https://www.imprivata.com/sites/imprivata/files/2021-03/FW-MG-NISTCSF%26%20ISO-IEC27001_0.pdf
(각 항목의 Mapping 중
일부는 제 생각과 다른 부분들도 있지만, 대체적인 판단에 동의합니다.)
OT를 포함하는 보안관리체계를 원하면,
현재 시점에는
( ISO27001이나 KISA
ISMS보다는 )
미국 CSF v2.0이 더 유용하다는 뜻입니다.
CSF는 미국 NIST에서 제작했는데,
NIST는 상무부 산하 기관입니다.
FCC같은 통신관련 기관이나,
NSA/DHS같은 보안 전문 기관이 아닌,
우리 정부조직으로 보면, 산업통상자원부에 해당할듯 합니다.
그래서인지,
IT에 필요이상 종속되지 않은 보안관리 FrameWork가
만들어졌을까 하는 생각입니다.
미국 의회에서 NIST에
중소기업의 CyberSecurity를 배려할 것을 요구했었고,
PUBL236.PS
(govinfo.gov)
https://www.govinfo.gov/content/pkg/PLAW-115publ236/pdf/PLAW-115publ236.pdf
이번 CSF v2.0
개정에 확실하게 반영했다는 점도 눈에 뜨이는데,
우리 KISA의 ISMS 간편인증도
이런 노력의 일환이었는지 모르겠네요.
특정 국가 (남의 나라)에서
자신들이 쓰려고 만든 기준보다는
전세계에서 공동으로 참여하는 ISO에서 만든
IT+OT를
위한 보안관리체계 표준이 아쉽습니다.
2024년 09월말 ~ 10월초에
ISO/IEC JTC1/SC27 총회가 열린다는데,
ISO27001의 보완이 거론되기를 기대해봅니다.