FISMA Security Controls Assessment

FISMA 요건 충족 및 ATO(Authority to Operate) 취득

다음 단계:

개요

National Institute of Standards and Technology에서는 FISMA(Federal Information Security Management Act)에 따른 책임의 일부로, 미연방 조직에서 정보 보안을 정의, 관리 및 평가하는 데 도움을 주는 다양한 문서, 표준 및 지침을 발표했습니다.

McAfee Foundstone은 보안 전문 업체로, 조직의 정보 보안 프로그램의 구축, 유효성 검사 및 관리를 지원하기 위해 조직에서 방대한 문서 환경을 탐색할 수 있도록 돕는 데 초점을 두고 있습니다. FISMA Security Controls Assessment는 FISMA에 따른 조직의 인증 및 승인 책임을 이행할 수 있도록 도와주며 최소의 잔여 위험으로 ATO(Authority to Operate)을 취득할 수 있도록 해줍니다.

McAfee에서는 연방 시민, DoD, 및 정보 커뮤니티 공간에서의 제공, 조직의 사전 정의된 프로세스 및 CMS(Centers for Medicare and Medicaid Services) Acceptable Risk Safeguards와 같은 보고 템플릿의 활용이나 자체 템플릿의 사용 등의 작업을 수행할 수 있습니다.

McAfee의 컨설턴트 팀은 백그라운드 검사를 받았으며, 많은 컨설턴트가 기밀 정보의 취급 허가도 받았습니다.

주요 장점

  • 해커가 취약성을 공격하기 전에 시스템 및 응용프로그램에서 보안 허점을 찾습니다.
  • 운영 체제와 응용프로그램 수준의 보안 제어를 분석하여 중요한 서버의 보안을 평가합니다.
  • 잠재적 공격 지점을 파악하고 테스트하며 특히 침해 발생 시 기업에 가장 큰 영향과 위험을 미칠 수 있는 영역에 중점을 둡니다.
  • 견고한 보안 상황을 구축합니다.
  • ATO(Authority to Operate)를 취득합니다.

방법론

FISMA Security Controls Assessment는 체계적인 접근 방식에 따라 조직이 신속하면서도 잔여 위험이 거의 없이 ATO(Authority to Operate)를 취득할 수 있도록 도와줍니다.

  1. 범위 설정
    • 고객과 평가 목표를 검토합니다.
    • 시스템 보안 계획, 네트워크 다이어그램 및 인벤토리 목록과 같은 관련 기록을 검토합니다.
    • 테스트할 응용프로그램, 시스템 및 컨트롤을 선택합니다.
  2. 평가 계획
    • 팀원들의 역할 및 책임을 문서로 기록합니다.
    • 수집할 정보를 정의합니다.
    • 테스트 대상과 컨트롤을 정의합니다.
    • 보고 아티팩트를 정의합니다.
  3. 테스트
    • 인터뷰를 수행합니다.
    • 서류 검토를 수행합니다.
    • 시스템 데모를 관찰합니다.
    • 네트워크 및 웹 응용프로그램 침투 테스트를 수행합니다.
    • 일별 아웃 브리핑(out-briefing) 회의를 진행합니다.
  4. 보고

관련 서비스

Foundstone에서는 FISMA 컴플라이언스와 관련한 다음 서비스 및 교육을 제공합니다.