[ 고지 사항 (Disclaimer) ]
본 컨텐츠는 고객의 편의를 위하여 AWS 서비스 설명을 위해 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우 AWS 사이트 (AWS.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
본 문서는 Data Classification — Secure Cloud Adoption (2018, 영문) 내용에 기반하여 작성 되었습니다.
이 문서는 정보 제공의 목적으로만 제공됩니다. 본 문서의 발행일 당시 AWS의 현재 제품 오퍼링 및 실행방법 등을 설명하며, 예고 없이 변경될 수 있습니다. 고객은 본 문서에 포함된 정보나 AWS 제품 또는 서비스의 사용을 독립적으로 평가할 책임이 있으며, 각 정보 및 제품은 명시적이든 묵시적이든 어떠한 종류의 보증 없이 “있는 그대로” 제공됩니다. 본 문서는 AWS, 그 자회사, 공급업체 또는 라이선스 제공자로부터 어떠한 보증, 표현, 계약 약속, 조건 또는 보장을 구성하지 않습니다. 고객에 대한 AWS의 책임 및 의무는 AWS 계약에 의해 관리되며 본 문서는 AWS와 고객 사이의 어떠한 계약에도 속하지 않으며 계약을 변경하지도 않습니다.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
본 문서는 총 2부로 구성되어 있으며 이 글은 1부입니다.
2부 링크 : 데이터 분류 — 안전한 클라우드 도입 2/2
목적
이 백서는 데이터를 클라우드로 옮길 때 공공 및 민간 조직이 활용할 분류 체계에 대한 통찰력을 제공합니다. 현재 글로벌 퍼스트 무버와 얼리 어답터가 구현한 사례와 모델을 식별하고, 이러한 체계의 구현이 클라우드 채택을 단순화 할 수 있는 방법을 조사하고 국가 요구 사항을 국제적으로 인정 된 표준 및 프레임 워크에 조화시키기위한 사례를 권장합니다.
데이터 분류란 무엇입니까?
데이터 분류는 사이버 보안 위험 관리의 기본 단계입니다. 여기에는 조직이 소유하거나 운영하는 정보 시스템에서 처리 및 저장되는 데이터 유형을 식별하는 것이 포함됩니다. 또한 데이터의 민감도 및 손상, 손실 또는 오용으로 인해 발생할 수있는 영향을 판단합니다. 이 문서에 사용 된 “분류”라는 용어는 국가 안보 영향의 범위가 좁지 않고 기밀성, 무결성 및 가용성에 대한 데이터 분류의 전체적 접근 방식을 의미합니다.
데이터 분류의 가치는 무엇입니까?
데이터 분류는 조직이 적절한 수준의 보호로 중요하거나 중요한 데이터를 보호 할 수 있도록 수십 년 동안 사용되었습니다. 데이터가 전통적인 온-프레미스 시스템 또는 클라우드에서 처리 또는 저장되는지 여부에 관계없이 데이터 분류는 데이터의 위험 영향 수준에 따라 데이터의 기밀성 (및 무결성 및 가용성)을 유지하기위한 시작점입니다. 예를 들어, “제한된”것으로 간주되는 데이터는 일반 대중이 소비 한 “제한되지 않은” 데이터보다 더 높은 수준의 치료로 처리해야합니다. 데이터 분류를 통해 조직은 민감도 및 비즈니스 영향을 기준으로 데이터에 대해 생각할 수 있으므로 조직은 다양한 유형의 데이터와 관련된 위험을 평가할 수 있습니다. ISO (International Standards Organization) 및 NIST (National Institute of Standards and Technology)와 같은 평판이 좋은 표준 조직은 데이터 분류 체계를 권장하여 관련 위험 및 중요도에 따라 정보를 보다 효과적으로 관리하고 보호 할 수 있도록 합니다. 모든 데이터를 동일하게 취급합니다. 각 데이터 분류 수준은 지정된 보호 수준에 상응하는 취약성, 위협 및 위험에 대해 적절한 보호를 제공하는 기본 보안 컨트롤 집합과 연결되어야 합니다.
기존 공공 부문 모델은 무엇입니까?
미국 (U.S.)과 영국 (UK)은 공공 부문 데이터에 대한 데이터 분류 체계를 확립했습니다. 두 정부 모두 가장 낮은 두 계층으로 분류 된 대부분의 공공 부문 데이터와 함께 3 계층 분류 체계를 사용합니다. 워싱턴 D.C.는 또한 공개 데이터 옹호자들에게 널리 찬사를받는 5 계층 분류 체계를 사용하여 데이터 분류 프로그램을 설립했으며 다른 지방 정부에 적합한 모델 일 수 있습니다. 데이터 분류 체계에는 조직이 적절한 분류 수준을 결정하는 데 도움이 되는 간단한 특성 목록과 관련 측정 또는 기준이 있습니다.
미국
미국 정부는 행정 명령 13526에서 업데이트 된 3 계층 분류 체계를 사용하며 공개 될 경우 국가 안보에 미칠 잠재적 영향 (예 : 기밀성)을 기반으로합니다.
1. 기밀 — 무단 공개가 합리적으로 국가 안보에 피해를 줄 것으로 예상되는 정보.
2. 비밀 — 무단 공개가 합리적으로 국가 안보에 심각한 피해를 줄 것으로 예상되는 정보.
3. 기밀 — 무단 공개가 합리적으로 국가 안보에 심각한 피해를 초래할 것으로 예상되는 정보.
또한, 실제 분류는 아니지만 미국은 “분류되지 않은 데이터” 라는 용어를 사용하여 공식 3 가지 분류 수준으로 분류되지 않은 데이터를 나타냅니다. 분류되지 않은 데이터의 경우에도 “공식 사용 전용”(FOUO) 및 “제어 된 분류되지 않은 정보”(CUI)와 같은 민감한 정보에 대해 공개 또는 승인되지 않은 직원에게 공개를 제한하는 몇 가지 주의 사항이 있습니다.
정보 보호 요구 사항을 평가할 때 필요한 요소-분류 수준의 데이터 무결성과 가용성을 직접 고려하지 않는 미국 분류 시스템의 좁은 초점으로 인해 NIST는 다음과 같은 잠재적 영향을 기반으로 3 계층 분류 체계를 개발했습니다. 조직의 사명에 적용 가능한 정보 및 정보 시스템의 기밀성, 무결성 및 가용성. 공공 부문 조직에서 처리하고 저장하는 대부분의 데이터는 다음과 같이 분류 할 수 있습니다.
• 낮음 — 조직 운영, 조직 자산 또는 개인에 대한 악영향 제한.
• 보통 — 조직 운영, 조직 자산 또는 개인에게 심각한 악영향을 미침.
• 높음 — 조직 운영, 조직 자산 또는 개인에게 심각하거나 치명적인 부작용.
NIST는 시스템을 분류 할 때 “높은 워터 마크”개념을 사용합니다. 즉, 전체 시스템은 기밀성, 무결성 및 가용성 요구 사항에 따라 최상위 수준으로 분류됩니다. 국가 보안 분류 (예 : 기밀, 비밀 또는 일급 비밀)를 사용하는 경우 위 분류는 시스템에서 처리 할 데이터의 분류에 따라 적용됩니다 (표 1). 2015 회계 연도 데이터에 따르면 미국 연방 부서 및 대행사는 시스템의 88 %를 낮음 및 보통 범주로 분류했습니다. AWS에는 모든 유형의 데이터 범주 및 분류를 지원하도록 인증 된 리전 및 서비스가 있습니다.
다른 많은 국가, 지방, 주 및 지방 정부의 경우이 이중 분류 및 분류 시스템은 너무 복잡하여 정보 보증 요구를 충족시키기 위해 필요하지 않을 수 있습니다. 이러한 상황에서 두 가지 개념을 국가 분류 (해당되는 경우)를 다루는 단일 용어 “분류”로 통합하고 조직의 정보에 대한 세 가지 정보 보증 (기밀성, 무결성 및 가용성)의 중요성을 모두 고려하는 것이 더 간단한 옵션 일 수 있습니다. 사명과 사업. 이러한 이유로 이 문서에서 “분류”라는 단어를 사용하면 국가 안보 영향의 범위가 좁아지지 않고 기밀성, 무결성 및 가용성에 대한 분류의 전체적 접근 방식을 의미합니다.
워싱턴 D.C.는 2017 년에 민감한 데이터를 보호하면서 투명성을 높이기 위해 새로운 데이터 정책을 시행했습니다. Washington D.C.는 5 계층 모델을 구현했지만 이러한 계층은 클라우드 인증 체계에 사용되는 널리 채택 된 다른 3 계층 분류 체계와 연계 될 수 있습니다 .
레벨 0 — 데이터를 엽니다. 공개 정부 웹 사이트 및 데이터 세트에서 대중이 쉽게 이용할 수 있는 데이터.
수준 1 — 사전 공개되지 않은 공개 데이터. 공개, 공개되지 않거나 법률, 규정 또는 계약에 따라 원천 징수 대상이 아닌 데이터. 공용 인터넷에 데이터를 게시하면 정보에서 식별 된 사람의 안전, 개인 정보 보호 또는 보안이 위험에 처할 수 있습니다.
2 단계 — 지방 정부 사용. 법률, 규정 또는 계약에 의해 제한없이 정부 내에서 매우 민감하지 않고 배포 될 수 있는 데이터. 주로 일일 정부 사업 운영 데이터입니다.
레벨 3 — 기밀. 법률, 규정 또는 계약에 의해 공개되지 않도록 보호되고 합법적이거나 규제 적이거나 계약 상 다른 공공 기관에 공개되는 것을 금지하는 데이터. 여기에는 개인 정보 관련 데이터 (예 : 개인 식별 정보 (PII), 보호 된 건강 정보 (PHI), 지불 카드 산업 데이터 보안 표준 (PCI DSS), 연방 세금 정보 (FTI) 등)가 포함됩니다.
수준 4 — 제한된 기밀. 무단 공개는 잠재적으로 정보에서 식별 된 사람의 사망을 포함하여 중대한 손상이나 부상을 초래할 수 있거나 기관이 법정을 수행 할 수 있는 능력을 크게 손상시킬 수 있습니다
영국
영국 정부는 최근 수준을 6에서 3으로 줄임으로써 분류 체계를 단순화했습니다. 그들은:
1. 공식 — 일상적인 비즈니스 운영 및 서비스. 일부는 미디어에서 분실, 도난 또는 출판 된 경우 피해를 입을 수 있지만 그 중 어느 것도 강화 된 위협 프로필의 대상이 아닙니다.
2. 비밀 — 결정적이고 유능한 위협 행위자로부터 보호하기 위해 강화 된 보호 조치를 정당화하는 매우 민감한 정보입니다 (예 : 타협은 군사 능력, 국제 관계 또는 심각한 조직 범죄 조사에 크게 손상 될 수 있음).
3. 일급 비밀 — 가장 심각한 위협으로부터 최고 수준의 보호가 필요한 가장 민감한 정보입니다 (예 : 타협은 광범위한 인명 손실을 초래하거나 국가 또는 우호국의 안보 또는 경제적 안녕을 위협 할 수 있음).
영국 정부는 전통적으로 데이터의 약 90 %를 “공식”으로 분류했습니다. 영국은 개별 기관이 클라우드 서비스를 결정하는 유연하고 분산 된 인증 방식을 사용합니다.
14 개의 클라우드 보안 원칙에 대한 클라우드 서비스 제공 업체 (CSP)의 보안 보증을 기반으로 하는 “공식”데이터에 적합합니다. 대부분의 영국 정부 기관은 “공식”데이터로 워크로드를 실행할 때 평판이 좋은 하이퍼 스케일 CSP를 사용하는 것이 적절하다고 판단했습니다.
AWS는 IT 인프라 비용을 절감하고 기업의 핵심가치에 더욱 집중할 수 있도록 합니다.
AWS에 대한 자세한 문의사항은 여기를 눌러 주세요.
빌드업웍스는 AWS 컨설팅 파트너로 고객 비즈니스를 최우선으로 하며 고객의 클라우드의 성공적인 시작과 운영을 지원합니다.
