1 / 38

Presented to AMCHAM Korea Seoul May 16, 2014

Public-Private Engagement: Government-Industry Collaboration for Effective Cybersecurity Policymaking. Presented to AMCHAM Korea Seoul May 16, 2014. 공공 - 민간 협약 : 효과적인 사이버 보안 정책 수립을 위한 정부와 기업간 협약. 발표 대상 : 주한미국상공회의소 서울 2014 년 5 월 16 일. Today’s Speakers.

derex
Download Presentation

Presented to AMCHAM Korea Seoul May 16, 2014

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Public-Private Engagement:Government-Industry Collaboration for Effective Cybersecurity Policymaking Presented to AMCHAM Korea Seoul May 16, 2014

  2. 공공-민간 협약:효과적인 사이버 보안 정책 수립을 위한 정부와 기업간 협약 발표 대상: 주한미국상공회의소 서울 2014년 5월 16일

  3. Today’s Speakers Danielle Kriz Director, Global Cybersecurity Policy, Information Technology Industry Council (ITI) Angela McKay, Director, Cybersecurity Policy and Strategy, Global Security Strategy and Diplomacy, Trustworthy ComputingMicrosoft Cheri McGuire Vice President, Global Government Affairs and Cybersecurity Policy, Symantec Corporation Adam Sedgewick Senior Information Technology Policy Advisor, U.S. National Institute of Standards and Technology (NIST) Jamie Brown Director, Global Government Relations, CA Technologies

  4. 초청 연사 Danielle KrizDirector, 글로벌 사이버 보안 정책, Information Technology Industry Council (ITI) Angela McKay, Director, 사이버 보안 정책 및 전략, 글로벌 보안 전략 및 외교, Trustworthy ComputingMicrosoft Cheri McGuireVice President, 글로벌 정부 업무 및 사이버 보안 정책, Symantec Corporation Adam SedgewickSenior Information Technology Policy Advisor, U.S. National Institute of Standards and Technology (NIST) Jamie BrownDirector, 글로벌 정부 관계, CA Technologies

  5. Characteristics of public-private engagement in cybersecurity policymaking Participants • ITI and member companies work with governments around the world on cybersecurity policy • We advocate approaches based on global standards, global principles Benefits • Global approaches allow for better security and interoperability with enhanced trade • Partnerships leverage expertise of all participants Global Examples…

  6. 사이버 보안 정책 수립에서의 공공-민간 협약의 특징 참가자 • ITI 및 회원사는 사이버 보안 정책에서 전 세계의 정부와 공조 • 글로벌 기준과 원칙에 기반한 접근 방식 지지 혜택 • 글로벌 접근 방식으로 개선된 보안 및 상호 운용성과 무역 강화 • 제휴 관계를 통한 모든 참여자의 전문 기술 활용 해외 사례…

  7. Industry engagement in U.S. cybersecurity policymaking • Industry works with U.S. Congress (legislature) and U.S. executive branch (White House, Departments, Agencies) • Both branches are active on cybersecurity • U.S. Congress • Many cybersecurity bills over last 10+ years • Industry provides perspective, experience, suggestions • Although few bills have passed, Congress conducts oversight over executive branch agencies • U.S. Executive Branch • Focus shifted here as Congressional activity slowed • Obama Administration developed new initiatives to advance cybersecurity goals • Administration mandated roles for industry in its initiatives

  8. 미국내 기업의 사이버 보안 정책 수립 참여 • 기업은 미국 의회(입법부)와 미국 행정부(백악관, 부서, 기관)과 공조 • 두 기관 모두 사이버 보안에 적극적 • 미국 의회 • 지난 10년 이상 동안 많은 사이버 보안 법안 발의 • 기업은 업계의 관점, 경험, 제안을 제공 • 많지 않은 법안이 통과되었지만 의회는 행정부 기관을 감독 • 미국 행정부 • 의회 활동의 둔화로 관심 집중 • 오바마 정부는 사이버 보안 목표 달성을 위해 새로운 계획 개발 • 이 계획에서 행정부는 기업에 역할 위임

  9. U.S. National Infrastructure Protection Plan • Outlines a structure for U.S. critical infrastructure protection • Provides the framework for all levels of U.S. government to collaborate with appropriate security partners, including private sector entities • Consists of a base plan and 16 sector-specific plans to cover all areas of critical infrastructure and key resources (CI/KR) • Describes responsibility to address physical, human, and cyber risk in all infrastructure sectors

  10. 미국 국가 기반시설 보호 계획 • 미국 주요 국가 기반시설 보호의 체계 설명 • 민간 단체 등 적절한 보안 파트너와의 협력을 위한 프레임워크를 모든 층위의 미국 정부에 제공 • 기본 계획 및 주요 인프라와 주요 자원(CI/KR)의 모든 분야를 아우르는 16개 부문별 계획으로 구성 • 모든 기반시설 분야에서, 물적, 인적 위험 및 사이버 위험을 해결하기 위한 책임 설명

  11. U.S. National Infrastructure Protection Plan

  12. 미국 국가 기반시설 보호 계획

  13. February 2013 Executive Order (EO), “Improving Cybersecurity Critical Infrastructure” • Issued by President Obama • Mandates only U.S. federal department/agency actions • Mandates outreach to industry • Industry has chosen to engage • Many industry stakeholders provided ideas during development of EO • EO recognizes effective cybersecurity policy should leverage public-private partnerships, be adaptable to emerging threats, technologies, and business models, and be based on risk management 

  14. 2013년 2월, 행정 명령(EO), “주요 인프라 사이버 보안 개선” • 오바마 대통령 발표 • 미국 연방 부서/기관 조치에 한해서 위임 • 기업에 대한 확장을 위임 • 기업도 참여하기로 선택 • 많은 업계 관계자가 EO의 개발 과정에서 아이디어를 제공 • EO에 의하면, 효과적인 사이버 보안 정책은 공공-민간 파트너십을 활용해야 하며 새로운 위협, 기술, 비즈니스 모델에 대해 적용 가능해야 하고, 위험 관리 에 기반해야 한다.

  15. Key components of Executive Order • Cyber threat information sharing  • Directs government to share more “actionable” cyber threat information with private sector • Cybersecurity Framework. • Directs NIST to create a Framework based on existing voluntary standards and best practices that helps critical infrastructure owners and operators manage cyber risks  • Voluntary Program • Directs Department of Homeland Security to develop a Program to help organizations utilize Cybersecurity Framework • Incentives • Directs White House to explore incentives for organizations to participate in Program • Critical infrastructure at greatest risk • Directs DHS to identify “critical infrastructure at greatest risk” - where a cybersecurity incident could have catastrophic effects on public health or safety, economic security, or national security 

  16. 행정 명령의 주요 구성 요소 • 사이버 위협 정보 공유  • 정부에게 민간 부문에 더 많은 "실행 가능한" 사이버 위협 정보를 공유하도록 지시 • 사이버 보안 프레임워크 • NIST에게 기존의 자발적 표준과 주요 인프라의 소유자와 운영자가 사이버 위험을 관리하는 것을 돕는 최선의 방법에 기반해서 프레임워크를 만들 것을 지시  • 자발적 프로그램 • 국토 안보부에게 조직이 사이버 보안 프레임워크를 활용할 수 있도록 돕는 프로그램을 개발하는 것을 지시 • 혜택 • 백악관에게 프로그램에 참여하는 조직에 혜택을 주는 방안을 강구하는 것을 지시 • 가장 위험한 주요 인프라 • 국토 안보부에게 사이버 보안 사고 시 공중 보건과 안전, 경제 안보 또는 국가 안보에 치명적인 영향을 줄 수 있는 “가장 위험한 주요 인프라”를 식별할 것을 지시 

  17. NIST Framework for Improving Critical Infrastructure Cybersecurity Under the EO, NIST was directed to work with stakeholders to develop a voluntary framework for reducing cyber risks to critical infrastructure Version 1.0 of the framework was released on Feb. 12, 2014, along with a roadmap for future work Based on the EO, the Framework must: • Include a set of standards, methodologies, procedures, and processes that align policy, business, and technological approaches to address cyber risks • Incorporate international voluntary consensus standards and industry best practices to the fullest extent possible • Provide a prioritized, flexible, repeatable, performance-based, and cost-effective approach, including information security measures and controls, to help owners and operators of critical infrastructure identify, assess, and manage cyber risk • Identify areas for improvement to be addressed through future collaboration with particular sectors and standards-developing organizations

  18. 주요 인프라 사이버 보안 개선을 위한 NIST 프레임워크 EO에 의해서, NIST는 이해 관계자들과의 작업을 통해서 자발적인 프레임워크를 개발해서 중요 프레임워크에 대한 사이버 위험을 감소시키도록 지시 받음 2014년 2월 12일에 배포된 프레임워크 버전 1.0 에는 향후 작업에 대한 로드맵이 포함됨 EO에 기반한 프레임워크의 필수 사항: • 정책과 사업을 조정하는 표준, 방법론, 절차, 프로세스 및 사이버 위험에 대응할 수 있는 기술적 접근 방식을 포함해야 한다. • 가능한 최대 범위까지 국제 자발적 합의 표준 및 업계의 모범 사례를 통합해야 한다. • 우선 순위별, 유연하고 반복 가능하며 성능 기반의 비용 효과적인 접근 방법을 제공해야 한다. 이러한 접근 방법에는 주요 인프라의 소유자와 운영자가 사이버 위험을 식별하고 평가하며 관리할 수 있도록 하는 정보 보안 대책 및 제어가 포함된다. • 특정 부문과 표준 개발 조직의 향후의 협력을 통해 해결해야 할 개선 영역을 식별해야 한다.

  19. Development of the Cybersecurity Framework EO 13636 Issued – February 12, 2013 NIST Issues Request For Information (RFI) – February 26, 2013 1st Framework Workshop (DC)– April 03, 2013 2ndFramework Workshop (Pennsylvania) – May 29-31, 2013 Draft Outline of Preliminary Framework – June 2013 3rdFramework Workshop (California) – July 10-12, 2013 Discussion Draft of the Preliminary Framework - August 28, 2013 4th Framework Workshop (Texas) – September 11-13, 2013 Publish Preliminary Framework – October 29, 2013 Ongoing Engagement: Open public comment and review encouraged and promoted throughout the process 5th Framework Workshop (North Carolina) – Nov 14-15, 2013 Publish Final Framework – February 13, 2014

  20. 사이버 보안 프레임워크의 개발 EO 13636 발행 – 2013년 2월 12일 NIST에서 정보 요청(Request For Information) 발행 – 2013년 2월 26일 1차프레임워크 워크숍(DC) – 2013년 4월 3일 2차프레임워크 워크숍(Pennsylvania) – 2013년 5월 29-31일 예비 프레임워크 초안 개요 – 2013년 6월 3차프레임워크 워크숍(California) – 2013년 7월 10-12일 예비 프레임워크 초안 토론 - 2013년 8월 28일 4차프레임워크 워크숍(Texas) – 2013년 9월 11-13일 예비 프레임워크 발표 – 2013년 10월 29일 지속적인 참여: 전 과정에 있어 공개 의견 수렴 및 검토 장려 및 추진 5차프레임워크 워크숍(North Carolina) – 2013년 11월 14-15일 최종 프레임워크 발표 – 2014년 2월 13일

  21. Framework Structure • Built around five functions of any good cybersecurity program: • Identify – Protect – Detect – Respond – Recover

  22. 프레임워크 체계 사이버 보안 프로그램의 5개의 기능을 중심으로 설계: 확인 - 보호 - 감지 - 대응 - 복구

  23. Using the Cybersecurity Framework It is designed to complement existing business and cybersecurity operations, and can be used for many different purposes, such as • Understand your cybersecurity status • Establish, improve, or adjust a cybersecurity program • Communicate a company’s cybersecurity requirements with partners, suppliers • Identify opportunities for industry to develop new or revised voluntary standards • Identify tools and technologies to help organizations use the Framework • Incorporate privacy protections into cybersecurity programs • Alignment with international policies and/or standards for cybersecurity and risk management

  24. 사이버 보안 프레임워크 사용 기존의 비즈니스와 사이버 보안 운영을 보완하도록 설계되었으며, 다음과 같은 다양한 기타 목적으로 사용될 수 있다. • 사이버 보안 상태 이해 • 사이버 보안 프로그램의 수립, 개선 또는 조정 • 기업의 사이버 보안 요구사항에 대해 계약 업체 및 공급 업체와 커뮤니케이션 • 업계를 위한 기회를 식별하여 신규 또는 개정된 자발적 표준 개발 • 조직이 프레임워크를 사용할 수 있도록 도구 및 기술 식별 • 개인 정보 보호를 사이버 보안 프로그램에 통합

  25. Key Points About the Framework It’s a framework, not a prescription • It provides a common language and systematic methodology for managing cyber risk • A common language will enable best practices of elite companies to become standard practices for everyone • It does not tell a company howmuch cyber risk is tolerable, or claim to provide “the one and only” formula • It is technologically neutral, so that industry can innovate It will not prevent all cyber incidents • Goal: detect, respond, and recover more quickly it is a living document • Intended to be updated over time as stakeholders learn from implementation, and as technology/risks change Use is voluntary

  26. 프레임워크 주요 사항 처방책이 아닌 프레임워크다. • 사이버 위험을 관리하기 위한 공통 언어 및 체계적인 방법을 제공한다. • 공통 언어를 통해 일류 기업의 모범 사례를 구축해 놓으면 모두를 위한 표준 방법으로 자리잡을 수 있다. • 프레임워크는 기업에게 사이버 위험의 허용 한도를 알려주거나, "유일한" 해결 공식을 제공하지 않는다. • 기술적으로 중립이므로, 업계에서 혁신할 수 있다. 모든 사이버 사고를 방지할 수는 없다. • 목표: 더 빠르게 감지하고 대응하며복구한다. 살아있는 문서이다. • 구현으로 인한 이해 관계자들의 학습과 기술 및 위험의 변화에 따라 시간이 지남에 따라 업데이트되어야 한다. 사용은 자발적이다.

  27. The Framework is Based on a Risk Management Approach It is based on how all organizations already need to manage risks It provides a structured way for organizations to think about cybersecurity Focuses on underlying business drivers to guide cybersecurity activities- cyber risks are part of the organization’s overall risk management process Focuses on managing risks, not stopping attacks Will help organizations detect better, respond earlier, and recover sooner- all things that impact a company’s revenues The voluntary approach allows the greatest number of stakeholders to participate

  28. 위험 관리 접근법에 기반한 프레임워크 모든 조직의 필요한 위험 관리 방법에 기초한다. 조직이 사이버 보안에 대해 생각할 수 있는 구조화된 방법을 제공한다. 기본적인 비즈니스 요소에 중점을 두고 사이버 보안 활동을 끌어 나간다. 사이버 위험은 조직의 전반적인 위험 관리 프로세스의 일부이다. 공격을 중지하는 것이 아닌, 위험 관리에 초점을 맞춘다. 회사의 수익과 관련된 모든 사항을 더 잘 감지하고, 일찍 반응하고, 빨리 복구하는데 도움을 준다. 자발적 접근 방식을 통해 최대 다수의 이해 관계자 참여를 유도한다. 사이버 보안 및 위험 관리를 위한 국제 정책 및/또는 표준에 맞춘다.

  29. Company perspectives on U.S activities • Promote benefits of industry-driven innovation in cybersecurity rather than static controls • Promote policies that enable us to focus on new security product development, rather than building products to unique standards • Recognize that government policy plays an important role in cybersecurity • Government acts as convener of multiple stakeholders • Need greater information sharing to combat and mitigate cyber threats • Need for research & development and STEM education funding to enhance next-generation cybersecurity capabilities and workforce

  30. 미국 활동에 대한 기업의 시각 • 사이버 보안에 있어서 정체적인 제어보다는 산업 중심의 혁신의 혜택 독려 • 독자적인 표준을 지닌 제품 구축보다 새로운 보안 제품 개발에 집중할 수 있도록 정책 추진 • 사이버 보안에 있어 정부 정책이 중요한 역할을 한다는 것을 인식 • 정부는 여러 이해 관계자의 의장 역할 • 더 많은 정보를 공유하여 사이버 위협에 대응 및 위협 완화 • 차세대 사이버 보안 기능과 인력을 강화하는 연구 개발 및 STEM 교육 자금 필요

  31. Company perspectives on NIST Framework • Tremendous stakeholder input in Framework development process • Industry responded to RFI, participated in all 5 workshops, commented on draft • Many organizations—led by their senior executives—are currently assessing their internal processes and/or products • Determining how products and services help customers use Framework • Weighing development of new products and services • Using Framework to talk with suppliers, partners • Industry associations are educating members, encouraging use

  32. NIST 프레임워크에 대한 기업의 시각 • 엄청난 수의 이해 관계자가 프레임워크의 개발 과정에 참여 • RFI에 응답, 5개 워크숍에 참가, 초안에 대한 논평 • 많은 조직에서 고위 임원의 주도로 현재 내부 프로세스 및/또는 제품 평가 중 • 고객이 프레임워크를 사용하는 데 제품과 서비스가 도움이 되는 방법을 결정 • 새로운 제품과 서비스의 개발 검토 • 프레임워크를 사용하여 공급 업체 및 계약 업체와 의사 교환 • 업계 협회에서 사용 장려 및 구성원 교육

  33. Company perspectives on NIST Framework • ICT companies working with NIST to develop Framework use cases, identify gaps to address in future versions • DHS/NIST committed to promoting understanding and use of Framework • Industry helping promote understanding and use • Industry has vested interest in seeing flexible, voluntary approach succeed • Allows for greater innovation, robust competition, and stronger security

  34. NIST 프레임워크에 대한 기업의 시각 • NIST와 협업 중인 ICT 기업은 프레임워크 사용 사례집을 개발하고, 향후 버전에서의 해결을 위해 간극을 식별 • DHS/NIST는 프레임워크의 이해와 사용을 촉진하기 위해 최선을 다함 • 이해와 사용 촉진을 위한 업계의 지원 • 업계는 유연하고 자발적인 접근 방식의 성공을 확신 • 더 큰 혁신과 강력한 경쟁 및 보안 가능

  35. Thank You

  36. 감사합니다.

  37. U.S. Administration- roles and responsibilities • White House – National Security Council • Michael Daniel, Special Advisor to the President & Cyber Coordinator • Leads policy • Department of Homeland Security • Department of Defense • Department of Commerce • National Institute of Standards and Technology (NIST) • Department of Justice (includes FBI) • Others…. • Division of responsibilities, yet interagency coordination • Different missions ensure proper balance in policy development and implementation • National Security Council runs Interagency Policy Committee meetings for structured feedback and oversight • Often Departments develop Memorandum of Agreement to ensure proper collaboration

  38. 미국 행정부 - 역할과 책임 • 백악관 - 국가 안전 보장 회의 • Michael Daniel, 대통령 특별 고문 및 사이버 코디네이터 • 정책 주도 • 국토 안보국 • 국방부 • 상무부 • 국립 표준 기술 연구소(NIST) • 법무부(FBI 포함) • 기타…. • 책임 분담 및 부처간 협력 조정 • 업무 분담을 통해 정책 개발 및 구현에 있어 적절한 균형 보장 • 국가 안전 보장 회의는 체계적인 피드백과 감독을 위해 부처간 정책 위원회 회의를 실행 • 적절한 협력을 보장하기 위해 부서간 합의 각서 작성

More Related