FISMA와 FedRAMP의 차이점은 무엇인가요?

정부에 클라우드 기반 서비스를 제공하려면 정부가 제정한 연방 IT 규정 준수 표준을 이해하는 것이 중요합니다.

Listen

미국 정부는 클라우드 우선 정책을통해 기관에 상용 클라우드 기반 서비스를 채택할 수 있는 광범위한 권한을 부여하기로 약속했습니다. 이러한 도입의 가장 큰 동인은 기관 IT 인프라 투자의 투자 수익률(ROI) 개선, 정부 IT 보안 강화, 미국 국민에게 더 높은 품질의 서비스 제공입니다.

Gartner에 따르면 2018년 중반에 정부 조직의 약 절반( )이 이미 클라우드 서비스를 적극적으로 사용하고 있었습니다. 하이브리드 클라우드와 멀티 클라우드 제품이 각광을 받으면서도입이 증가하고 있습니다. 정부에 클라우드 기반 서비스를 제공할 계획이라면 정부가 제정한 연방 IT 규정 준수 표준을 근본적으로 이해하는 것이 그 어느 때보다 중요합니다. 연방 IT 인프라에 대해 이야기할 때 많이 논의되는 두 가지 중요한 IT 보안 관련 규정 준수 의무는 FISMA와 FedRAMP입니다.

FISMA와 FedRAMP는 정부 데이터를 보호하고 연방 정보 시스템 내에서 정보 보안 위험을 줄인다는 동일한 높은 수준의 목표를 가지고 있습니다. 또한 두 가지 모두 NIST 특별 간행물 800-53A 제어를 기반으로 구축되었습니다. 그러나 연방 정책, 보안 통제 및 권한 부여 측면에서 이 둘 사이에는 뚜렷한 대조가 있습니다.

FISMA란 무엇인가요?

2002년에 제정된 연방 정보 보안 관리법(FISMA)은 정부 데이터의 저장 및 처리에 관한 규정 준수 사항을 다루고 있습니다. 이 규정은 연방 기관과 해당 민간 부문 공급업체가 연방 정보 시스템의 데이터 보안 태세를 보호하는 정보 보안 제어를 구현하도록 요구합니다. 연방 정부에 서비스를 판매하는 모든 민간 부문 기업은 FISMA 요구 사항을 준수해야 합니다.

FISMA 규정 준수를 위한 기본 프레임워크는 NISTSP 800-53입니다. 간단히 말해, 공급업체가 FISMA를 준수하려면 NIST SP 800-53에 명시된 대로 연방 정보 시스템에 대한 권장 정보 보안 제어를 구현해야 합니다. FISMA 평가는 전통적으로 단일 기관을 지원하는 정보 시스템에 중점을 두고 있습니다.

FISMA를 준수하는 공급업체는 거래하는 특정 연방 기관으로부터만 운영 권한(ATO)을 받습니다. 공급업체가 여러 연방 기관과 비즈니스 계약을 체결한 경우, 각 기관의 특정 데이터 보안 요구 사항에 따라 보안 제어가 다를 수 있으므로 공급업체는 각 기관으로부터 ATO를 받아야 합니다.

FedRAMP에 대해 알아보기

FedRAMP를 제정함으로써 정부는 기관의 클라우드 서비스 제공업체 조달 프로세스를 더 쉽게 만드는 것을 목표로 했습니다. 가장 기본적인 수준에서 FedRAMP는 보다 구체적으로 클라우드 서비스 제공업체를 대상으로 합니다. 정부 기관에서 사용하기 위해 FedRAMP에 따라 평가되는 시스템은 민간 부문 기업에서 사용하는 상용 클라우드 기반 시스템(예: IaaS, PaaS, SaaS)입니다.

FISMA 또는 FedRAMP에 따라 평가된 정보 시스템은 몇 가지 기준에 따라 FIPS 199에 따라 높음, 보통 또는 낮음으로 분류됩니다. 그런 다음 보안 분류에 따라 NIST SP 800-53의 적용 가능한 보안 제어가 정보 시스템에 고영향, 중간 영향 또는 저영향으로 적용됩니다. FedRAMP 요구 사항에는 NIST SP 800-53 개정 4의 표준 NIST 기준 제어 이상의 추가 제어가 포함됩니다. 이러한 추가 제어는 클라우드 컴퓨팅의 고유한 요소를 해결하여 클라우드 환경에서 모든 연방 데이터를 안전하게 보호합니다.

연방 기관은 FedRAMP 승인을 받으면 클라우드 기반 서비스를 안전하게 사용할 수 있으며, FISMA와 달리 FedRAMP ATO는 클라우드 서비스 제공업체가 모든 연방 기관과 거래할 수 있는 자격을 부여합니다.

범위가 더 넓기 때문에 FedRAMP 인증 프로세스도 훨씬 더 엄격합니다. 인증 프로그램에 따라 클라우드 제공업체는 정부 클라우드 서비스를 연방 기관에 판매하려면 제3자 평가 조직( 3PAO)에서 실시하는 독립적인 보안 평가를 받아야 합니다.

결론

FedRAMP를 준수하는 제품이나 서비스를 찾는 연방 기관은 해당 제품이 FISMA를 준수할 것으로 기대할 가능성이 높습니다. 클라우드 서비스 제공업체는 미국 정부로부터 ATO를 유지하려면 FISMA 및 FedRAMP 규정을 모두 준수해야 합니다. 

 

전 세계 국가 및 연방 정부 부처는 성공적인 사이버 공격을 방지하고, 기밀 및 민감한 데이터를 보호하며, 보안 운영을 최적화하기 위해 Palo Alto Networks를 신뢰합니다. 

자세히 알아보기