DLP 솔루션
NIST 규정 준수
목 차
- NIST SP 800-53, 개정안 5 vs NIST 800-171, 개정안 2
- 누가 규정을 준수해야 하나요?
- CUI 예시
- Endpoint Protector로 NIST 규정 준수
- 조직을 위한 고려 사항
NIST SP 800-53, 개정안 5 vs NIST 800-171, 개정안 2
NIST 사이버 보안 프레임워크(CSF, Cybersecurity Framework)는 사이버 보안 위험을 표현하고 논의하기 위한 공통 언어를 제공합니다. NIST는 다양한 산업 및 사용 사례에 대한 사이버 보안 위험 관리를 여러 측면에서 다루는 200개 이상의 특별 간행물을 제작했습니다. 가장 널리 인정받고 사용되는 것은 연방 정보 시스템 및 조직을 위한 특정 보안 및 개인정보 보호 제어 집합인 NIST 800-53 (개정안 5)입니다.
연방 정부 기관을 대신하여 '통제된 미분류 정보(CUI, Controlled Uncalassified Information)'를 공유, 수집, 처리, 저장 또는 전송하는 비연방 기관(예: 공급업체 또는 계약업체)을 위한 통제 하위 집합도 발표되었습니다. 이를 NIST 800-171 (개정안 2)이라고 합니다.
누가 규정을 준수해야 하나요?
NIST SP 800-53,
개정안 5
미국 정부의 권한 아래에 운영되는 연방 기관 및 조직. 데이터 유형에 따라 일부 계약업체 또는 공급업체도 규정 준수를 요청받을 수 있습니다.
NIST 800-171,
개정안 2
미국 연방 정부를 대신하여 CUI (Controlled Unclassified Information, 통제된 미분류 정보)를 처리하거나 미국 정부의 계약업체, 하청업체 또는 서비스 제공업체로 활동하는 모든 조직
CUI 예시
CUI는 무단 공개 시 국가 안보, 경제적 이익 또는 개인 사생활에 피해를 줄 수 있으므로 보호 및 보안이 필요하고 민감하지만 기밀로 분류되지 않은 정보를 말합니다. CUI의 몇 가지 예는 다음과 같습니다:
- 수출 규제 정보: 방산물자, 소프트웨어, 기술 관련 기술 데이터 등입니다.
- 금융 정보: 세금 신고 정보, 금융 계좌 번호, 신용 보고서 등이 포함됩니다.
- 법 집행 정보: 범죄 수사, 민감한 보안 정보, 첩보 정보 등입니다.
- 개인 정보: 사회보장번호, 의료 기록 및 PII (Personally Identifiable Information) 입니다.
- 제어 기술: 핵 시설, 생물학 작용제, 화학 무기 관련 정보가 포함됩니다.
위의 내용은 CUI로 간주될 수 있는 정보 유형 몇 가지 예에 불과합니다.CUI의 구체적인 범주와 정의는 조직, 업계 및 관련 규제 프레임워크에 따라 달라질 수 있다는 점에 유의하세요.
Endpoint Protector로 NIST 규정 준수
광범위한 요구 사항을 고려할 때, 하나의 솔루션으로 모든 NIST SP 800-53, 개정안 5 또는 NIST 800-171, 개정안 2요구 사항을 충족할 수는 없습니다. 대신 조직은 명시된 목표를 달성하기 위해 여러 기술과 프로세스를 결합하는 방법을 모색해야 합니다.
다음은 특정 NIST 프레임워크 범주 및 하위 범주에 설명된 요구 사항을 충족하기 위해 Endpoint Protector를 적용할 수 있는 몇 가지 예입니다.
휴대용 저장 매체 사용 제어
Use Endpoint Protector’s Device Control solution to manage the use of USB drives, and other portable storage devices connected to employee endpoints. This includes USB Flash drives, external HDDs, SD Cards, and even storage media connected via Bluetooth (e.g. smartphones). Learn more about Endpoint Protector Device Control.
NIST SP 800-53, Revision 5
Subcategories met with Device Control:
- PR.DS-1: Data-at-rest is protecte
- PR.PT-2: Removable media is protected
Controls met with Device Control:
- MP-7: Media Use
NIST 800-171, Revision 2
Subcategories met with Device Control:
- PR.PT-2: Removable media is protected
Controls met with Device Control:
- 3.8.7: Control the use of removable media
Protect against data leaks
Use Endpoint Protector Device Control and Content Aware Protection to protect data from being exfiltrated at the employee endpoint (interface). This spans potential exfiltration of CUI through hardware devices (e.g. USB drives, external HDDs, Bluetooth connected devices, printers, and more); and also through software applications, e.g. email, Slack, file uploads etc. Learn more about Endpoint Protector Content Aware Protection.
NIST SP 800-53, Revision 5
Subcategories met with Device Control and Content Aware Protection:
- PR.DS-5: Protections against data leaks are implemented
Controls met with Device Control and Content Aware Protection:
- SC-7: Boundary Protection
- SC-7(10) Prevent Exfiltration
NIST 800-171, Revision 2
Subcategories met with Device Control and Content Aware Protection:
- PR.DS-5: Protections against data leaks are implemented
Controls met with Device Control and Content Aware Protection:
- 3.13.1: Monitor, control, and protect communications at external boundaries
- 3.9.2: Ensure that organizational systems containing CUI are protected during and after personnel actions such as terminations and transfers
Encrypt data transported via removable media
For organizations that require the use of portable media for the movement of data (e.g. USB flash drives), Endpoint Protector’s Enforced Encryption functionality removes the need for specialist (and expensive) hardware-based solutions, and instead applies AES 256bit encryption to files sent to any USB storage device approved for use by the organization.
NIST SP 800-53, Revision 5
Subcategories met with Enforced Encryption:
- PR.DS-2: data in transit is protected
Controls met with Enforced Encryption:
- SC-8: Protect the confidentiality of transmitted information
- SC-8(1) Cryptographic Or Alternate Physical Protection
NIST 800-171, Revision 2
Not Applicable to NIST 800-171, Revision 2
Considerations for your organization
Remember, given its breadth, no one solution will fulfill all NIST Cybersecurity Framework requirements. Instead, organizations should look to combine a multiple technologies, and processes, to meet their stated goals.
Organizations should also look to understand the Control Baseline required to cover their systems by determining the criticality and sensitivity of the information to be processed, stored, or transmitted by those systems. Not all of the controls listed here apply to all Control Baseline requirements (low-impact, moderate-impact, and high-impact), as well as the privacy control baseline. Organizations should conduct a thorough evaluation of Endpoint Protector to ensure it meets your own unique compliance needs and organizations are solely responsible for determining the appropriateness of using Endpoint Protector by CoSoSys to achieve their NIST compliance.
Multi-OS
Endpoint Protector can cover your Windows, macOS, and Linux machines through a single admin console.
Deployment
Multiple deployment options to meet your requirements - including on-premise or cloud.
Data Controls
Protect PII, PCI, PHI, source code or other types of IP or CUI.