NIST CSF (Cybersecurity Framework)

NIST CSF (Cybersecurity Framework)

NIST가 개발한 사이버보안 위험 관리를 위한 자발적 프레임워크

목적: 사이버보안 체계 수립, 위험 관리, 성숙도 평가

특징: 6가지 핵심 기능(CSF 2.0, Govern 추가), 위험 기반 접근, 산업 중립적

6가지 기능

• •Govern(거버넌스): 사이버보안 전략, 정책, 역할/책임, 감독
• •Identify(식별): 자산, 비즈니스 환경, 거버넌스, 위험 평가
• •Protect(보호): 접근통제, 인식/교육, 데이터 보안, 보호 기술
• •Detect(탐지): 이상 탐지, 보안 모니터링, 탐지 프로세스
• •Respond(대응): 대응 계획, 커뮤니케이션, 분석, 완화
• •Recover(복구): 복구 계획, 개선, 커뮤니케이션

구현 계층(Tier): Tier 1(부분적) → Tier 2(위험 인지) → Tier 3(반복 가능) → Tier 4(적응적)

적용사례: 중요 인프라 보호, 사이버보안 체계 수립, 성숙도 평가

비교: NIST CSF(프레임워크) vs NIST 800-53(통제 카탈로그) vs CIS Controls(기술 통제)

연관: 보안 프레임워크, 위험관리, 중요인프라