NIST SP 800-53 개정 5

AWS Audit Manager는 NIST 800-53 개정 5: 정보 시스템 및 조직에 대한 보안 및 프라이버시 제어를 지원하는 사전 구축된 프레임워크를 제공합니다.

NIST SP 800-53이란 무엇인가요?

NIST(국립표준기술연구소)는 1901년에 설립되었으며 현재는 미국 상무부에 속해 있습니다. NIST는 미국에서 가장 오래된 물리과학 연구소 중 하나입니다. 미국 의회는 당시 썩 훌륭하지 않게 측정되었던 인프라를 개선하기 위해 이 기관을 설립했습니다. 인프라는 영국, 독일 등 다른 경제대국들에 비해 뒤쳐져 있었기 때문에 미국 산업경쟁력에 있어 주요 도전 과제였습니다.

NIST SP 800-53 보안 컨트롤은 일반적으로 미국 연방 정보 시스템에 적용됩니다. 이러한 시스템은 일반적으로 공식적인 평가 및 승인 프로세스를 거쳐야 합니다. 이 프로세스는 정보 및 정보 시스템의 기밀성, 무결성 및 가용성에 대한 충분한 보호를 보장합니다. 이는 시스템의 보안 범주와 영향 수준(낮음, 중간 또는 높음) 및 위험 판단에 기반합니다. 보안 컨트롤은 NIST SP 800-53 보안 컨트롤 카탈로그에서 선택되었으며 시스템은 이러한 보안 컨트롤 요구 사항을 바탕으로 평가되었습니다.

NIST 800-53 프레임워크는 연방 정보 시스템 및 조직을 위한 NIST SP 800-53 개정 5 권장 보안 컨트롤에 정의된 보안 컨트롤 및 관련 평가 절차를 나타냅니다. 이 NIST SP 800-53 프레임워크와 최근에 발행된 NIST 특수 간행물 SP 800-53 개정 5 간의 내용에서 발견되는 불일치의 경우 NIST 컴퓨터 보안 리소스 센터에서 제공되는 공식 출판 문서를 참조하세요.

이 프레임워크 사용

NIST SP 800-53 프레임워크를 사용하여 감사를 준비할 수 있습니다. 이 프레임워크에는 설명 및 테스트 절차가 포함된 사전 구축된 컨트롤 컬렉션이 포함되어 있습니다. 이러한 컨트롤은 NIST 요구 사항에 따라 컨트롤 세트로 그룹화됩니다. 특정 요구 사항이 있는 내부 감사를 지원하도록 이 프레임워크와 해당 컨트롤을 사용자 지정할 수도 있습니다.

프레임워크를 출발점으로 사용하여 Audit Manager 평가를 생성하고 감사와 관련된 증거 수집을 시작할 수 있습니다. 평가를 생성하면 Audit Manager가 AWS 리소스 평가를 시작합니다. 이는 NIST SP 800-53 프레임워크에 정의된 컨트롤을 기반으로 이 작업을 수행합니다. 감사 시기가 되면 사용자 또는 사용자가 선택한 대리인이 Audit Manager에서 수집한 증거를 검토할 수 있습니다. 어느 방식으로든 평가에서 증거 폴더를 찾아보고 평가 보고서에 포함할 증거를 선택할 수 있습니다. 또는 증거 찾기 기능을 활성화한 경우 특정 증거를 검색하고 CSV 형식으로 내보내거나 검색 결과에서 평가 보고서를 생성할 수 있습니다. 둘 중 하나의 방식으로 이 평가 보고서를 사용하여 제어가 의도한 대로 작동하고 있음을 보여줄 수 있습니다.

프레임워크 세부 정보는 다음과 같습니다.

이 AWS Audit Manager 프레임워크의 컨트롤은 시스템이 NIST 표준을 준수하는지 확인하기 위한 것이 아닙니다. 게다가 이는 NIST 감사 통과를 보장할 수도 없습니다. AWS Audit Manager는 수동 증거 수집이 필요한 절차상의 컨트롤을 자동으로 확인하지 않습니다.

다음 단계

포함된 표준 제어 목록을 포함하여 이 프레임워크에 대한 자세한 정보를 보는 방법에 대한 지침은 AWS Audit Manager에서 프레임워크 검토 섹션을 참조하세요.

이 프레임워크를 사용하여 평가를 생성하는 방법에 대한 지침은 AWS Audit Manager에서 평가 생성을 참조하세요.

특정 요구 사항을 지원하도록 이 프레임워크를 사용자 지정하는 방법에 대한 지침은 AWS Audit Manager에서 기존 프레임워크의 편집 가능한 복사본 만들기 섹션을 참조하세요.

추가 리소스