국가 사이버 보안 개선에 대한 행정 명령
미국 헌법과 법률에 따라 대통령으로서 부여된 권한에 따라 다음과 같이 명령합니다.
제1절 정책. 미국은 공공 부문, 민간 부문, 궁극적으로 미국 국민의 보안과 프라이버시를 위협하는 지속적이고 점점 더 정교해지는 악성 사이버 캠페인에 직면해 있습니다. 연방 정부는 이러한 행동과 행위자를 식별, 억제, 보호, 탐지 및 대응하기 위한 노력을 개선해야 합니다. 연방 정부는 또한 주요 사이버 사고 중에 발생한 일을 신중하게 조사하고 얻은 교훈을 적용해야 합니다. 그러나 사이버 보안에는 정부 조치 이상이 필요합니다. 악의적인 사이버 행위자로부터 국가를 보호하려면 연방 정부가 민간 부문과 협력해야 합니다. 민간 부문은 끊임없이 변화하는 위협 환경에 적응하고, 제품이 안전하게 구축되고 운영되도록 보장하고, 연방 정부와 협력하여 보다 안전한 사이버 공간을 조성해야 합니다. 결국 디지털 인프라에 두는 신뢰는 해당 인프라의 신뢰성과 투명성, 그리고 그 신뢰가 잘못되었을 때 초래되는 결과에 비례해야 합니다.
점진적인 개선으로는 필요한 보안을 얻을 수 없습니다. 대신 연방 정부는 미국 생활 방식을 뒷받침하는 중요한 기관을 방어하기 위해 대담한 변화와 상당한 투자를 해야 합니다. 연방 정부는 클라우드 기반, 온프레미스 또는 하이브리드 여부에 관계없이 컴퓨터 시스템을 보호하고 보안하기 위해 권한과 리소스의 전체 범위를 활용해야 합니다. 보호 및 보안 범위에는 데이터를 처리하는 시스템(정보 기술(IT))과 안전을 보장하는 중요한 기계(운영 기술(OT))를 실행하는 시스템이 포함되어야 합니다.
사이버 사고의 예방, 탐지, 평가 및 시정이 최우선 순위이며 국가 및 경제 안보에 필수적이라는 것이 제 행정부의 정책입니다. 연방 정부는 모범을 보여야 합니다. 모든 연방 정보 시스템은 이 명령에 따라 제정되고 발행된 사이버 보안에 대한 표준 및 요구 사항을 충족하거나 초과해야 합니다.
제2조 위협 정보 공유 장벽 제거.
(a) 연방 정부는 IT 및 OT 서비스 제공자와 계약하여 연방 정보 시스템에서 다양한 일상 업무를 수행합니다. 클라우드 서비스 제공자를 포함한 이러한 서비스 제공자는 연방 정보 시스템에서 사이버 위협 및 사고 정보에 대한 고유한 액세스 권한과 통찰력을 가지고 있습니다. 동시에 현재 계약 조건 또는 제한 사항은 사이버 보안 및 인프라 보안 기관(CISA), 연방수사국(FBI) 및 정보 커뮤니티(IC)의 다른 요소와 같이 사이버 사고를 조사하거나 해결할 책임이 있는 행정부 및 기관(기관)과 이러한 위협 또는 사고 정보를 공유하는 것을 제한할 수 있습니다. 이러한 계약 장벽을 제거하고 이러한 위협, 사고 및 위험에 대한 정보 공유를 늘리는 것은 사고 억제, 예방 및 대응 노력을 가속화하고 기관 시스템과 연방 정부에서 수집, 처리 및 유지 관리하는 정보를 보다 효과적으로 방어할 수 있는 필요한 단계입니다.
(b) 이 명령의 날짜로부터 60일 이내에, 관리예산국(OMB) 국장은 국방부 장관, 법무장관, 국토안보부 장관 및 국가정보국 국장과 협의하여 연방조달규정(FAR)과 국방연방조달규정 보충 계약 요건 및 IT 및 OT 서비스 공급자와의 계약에 대한 언어를 검토하고 FAR 위원회 및 기타 적절한 기관에 이러한 요건 및 언어에 대한 업데이트를 권고해야 합니다. 권고 사항에는 제안된 계약 언어의 적용을 받는 계약자에 대한 설명이 포함되어야 합니다.
(c) 이 섹션의 하위 섹션(b)에 설명된 권장 계약 언어 및 요건은 다음을 보장하도록 설계되어야 합니다.
(i) 서비스 공급자는 기관의 요건과 일관되게 기관을 대신하여 운영되는 시스템을 포함하여 통제하는 모든 정보 시스템에서 사이버보안 이벤트 예방, 탐지, 대응 및 조사와 관련된 데이터, 정보 및 보고서를 수집하고 보존합니다.
(ii) 서비스 제공자는 사이버 사고 또는 계약한 모든 기관과 관련된 잠재적 사고와 관련된 데이터, 정보 및 보고서를 해당 기관과 직접 공유하고, OMB 국장이 국방부 장관, 법무장관, 국토안보부 장관 및 국가정보국 국장과 협의하여 적절하다고 판단하는 다른 기관과도 공유하며, 이는 적용 가능한 개인정보 보호법, 규정 및 정책에 따라야 합니다.
(iii) 서비스 제공자는 연방 정보 시스템의 사고 또는 잠재적 사고에 대한 조사 및 대응에서 연방 사이버 보안 또는 조사 기관과 협력하며, 필요한 경우 지원하는 기관과 협력하여 위협에 대한 네트워크 모니터링과 같은 기술적 역량을 구현한다.
(iv) 서비스 제공자는 사이버 위협 및 사고 정보를 기관과 공유하며, 가능한 경우 사고 대응 및 수정을 위해 업계에서 인정하는 형식으로 공유한다.
(d) 이 섹션의 하위 섹션(b)에 설명된 권장 사항을 수령한 날로부터 90일 이내에 FAR 협의회는 제안된 계약 언어 및 조건을 검토하고, 적절한 경우 FAR에 대한 제안된 업데이트를 대중의 의견을 위해 게시한다.
(e) 이 명령의 날짜로부터 120일 이내에 국토안보부 장관과 OMB 국장은 서비스 제공자가 연방 정부가 사이버 위협, 사고 및 위험에 대응하는 데 필요한 데이터를 기관, CISA 및 FBI와 공유하도록 최대한 보장하기 위한 적절한 조치를 취한다.
(f) 연방 정부의 정책은 다음과 같습니다.
(i) 기관과 계약을 체결하는 정보 및 통신 기술(ICT) 서비스 제공자는 해당 기관에 제공된 소프트웨어 제품 또는 서비스, 또는 해당 기관에 제공된 소프트웨어 제품 또는 서비스를 위한 지원 시스템과 관련된 사이버 사고를 발견하는 경우 해당 기관에 즉시 보고해야 합니다.
(ii) ICT 서비스 제공자는 또한 이 섹션의 하위 섹션(f)(i)에 따라 연방 민간 행정부(FCEB) 기관에 보고할 때마다 CISA에 직접 보고해야 하며, CISA는 이러한 정보를 중앙에서 수집하고 관리해야 합니다.
(iii) 이 명령의 섹션 10(h)에 정의된 국가 안보 시스템과 관련된 보고서는 이 섹션의 하위 섹션(g)(i)(E)에 따라 결정되는 적절한 기관에서 수신하고 관리해야 합니다.
(g) 이 섹션의 하위 섹션(f)에 명시된 정책을 이행하려면:
(i) 이 명령의 날짜로부터 45일 이내에 국토안보부 장관은 국가안보국(NSA) 국장, 법무장관 및 OMB 국장을 통해 행동하는 국방부 장관과 협의하여 FAR 협의회 계약 언어에 다음을 식별하는 권고를 해야 함:
(A) 보고가 필요한 사이버 사고의 특성;
(B) 효과적인 사이버 사고 대응 및 구제를 용이하게 하기 위해 보고가 필요한 사이버 사고에 대한 정보 유형;
(C) 개인 정보 보호 및 시민적 자유에 대한 적절하고 효과적인 보호;
(D) 계약자가 심각도에 따라 사이버 사고를 보고해야 하는 기간(최초 감지 후 3일을 초과하지 않는 가장 심각한 사이버 사고 보고 포함);
(E) 국가 안보 시스템 보고 요구 사항;
(F) 제안된 계약 언어에 포함되는 계약자 및 관련 서비스 제공자 유형.
(ii) 이 섹션의 하위 섹션 (g)(i)에 설명된 권장 사항을 수령한 날로부터 90일 이내에 FAR 위원회는 권장 사항을 검토하고 FAR에 대한 제안된 업데이트를 대중의 의견을 위해 게시해야 합니다.
(iii) 이 명령일로부터 90일 이내에 NSA 국장, 법무 장관, 국토 안보부 장관 및 국가 정보 국장을 통해 행동하는 국방부 장관은 사이버 사고 보고서가 기관 간에 신속하고 적절하게 공유되도록 하는 절차를 공동으로 개발해야 합니다.
(h) 비밀이 아닌 시스템 계약에 대한 현재 사이버 보안 요구 사항은 클라우드 서비스 사이버 보안 요구 사항을 포함하여 기관별 정책 및 규정을 통해 대체로 구현됩니다. 기관 간 공통 사이버 보안 계약 요건을 표준화하면 공급업체와 연방 정부의 규정 준수가 간소화되고 개선됩니다.
(i) 이 명령의 날짜로부터 60일 이내에 국토안보부 장관은 CISA 국장을 통해 NSA 국장을 통해 국방부 장관, OMB 국장 및 총무국장과 협의하여 현재 법률, 정책 또는 계약의 문제로 존재하는 기관별 사이버 보안 요건을 검토하고 적절한 사이버 보안 요건에 대한 표준화된 계약 언어를 FAR 협의회에 권고해야 합니다. 이러한 권고에는 제안된 계약 언어의 적용을 받는 계약자 및 관련 서비스 제공자의 범위를 고려하는 것이 포함되어야 합니다.
(j) 이 섹션의 하위 섹션(i)에 따라 개발된 권장 계약 언어를 수신한 후 60일 이내에 FAR 협의회는 권장 계약 언어를 검토하고 FAR에 대한 제안된 업데이트를 대중의 의견을 위해 게시해야 합니다.
(k) 이 섹션의 하위 섹션(j)에 설명된 공개 의견 기간 이후 FAR 협의회가 FAR에 대한 모든 업데이트를 수행한 후 기관은 해당 FAR 업데이트와 중복되는 모든 요구 사항을 제거하기 위해 기관별 사이버보안 요구 사항을 업데이트해야 합니다.
(l) OMB 국장은 이 섹션에 따라 개발된 모든 권장 사항에 대한 비용 분석을 연간 예산 절차에 통합해야 합니다.
제3조. 연방 정부 사이버 보안 현대화.
(a) 오늘날의 역동적이고 점점 더 정교해지는 사이버 위협 환경에 발맞추기 위해 연방 정부는 위협에 대한 연방 정부의 가시성을 높이는 동시에 프라이버시와 시민적 자유를 보호하는 것을 포함하여 사이버 보안에 대한 접근 방식을 현대화하기 위한 결정적인 조치를 취해야 합니다. 연방 정부는 보안 모범 사례를 채택하고, Zero Trust 아키텍처로 발전하고, SaaS(Software as a Service), IaaS(Infrastructure as a Service), PaaS(Platform as a Service)를 포함한 클라우드 서비스를 보호하기 위한 움직임을 가속화하고, 사이버 보안 데이터에 대한 액세스를 중앙 집중화하고 간소화하여 사이버 보안 위험을 식별하고 관리하기 위한 분석을 추진하고, 이러한 현대화 목표에 맞게 기술과 인력에 투자해야 합니다.
(b) 이 명령의 날짜로부터 60일 이내에 각 기관의 수장은 다음을 수행해야 합니다.
(i) 관련 OMB 지침에 명시된 대로 클라우드 기술의 채택 및 사용을 위한 리소스를 우선 순위로 지정하기 위해 기존 기관 계획을 업데이트합니다.
(ii) 제로 트러스트 아키텍처를 구현하기 위한 계획을 수립합니다. 여기에는 적절한 경우 상무부 내 국가 표준 기술 연구소(NIST)가 표준 및 지침에 설명한 마이그레이션 단계가 통합되어야 하며, 이미 완료된 해당 단계를 설명하고, 가장 즉각적인 보안 영향을 미칠 활동을 식별하고 이를 구현하기 위한 일정이 포함되어야 합니다.
(iii) OMB 국장과 대통령 보좌관 겸 국가 안보 보좌관(APNSA)에게 이 섹션의 하위 섹션(b)(i) 및 (ii)에 따라 필요한 계획을 논의하는 보고서를 제공합니다. (c) 기관이
클라우드 기술을 계속 사용함에 따라 연방 정부가 사이버 사고를 예방, 탐지, 평가 및 수정할 수 있도록 조정되고 의도적인 방식으로 이를 수행해야 합니다. 이러한 접근 방식을 용이하게 하기 위해 클라우드 기술로의 마이그레이션은 실행 가능한 경우 제로 트러스트 아키텍처를 채택해야 합니다. CISA는 현재의 사이버 보안 프로그램, 서비스 및 기능을 현대화하여 제로 트러스트 아키텍처가 있는 클라우드 컴퓨팅 환경에서 완벽하게 작동하도록 해야 합니다. 국토안보부 장관은 CISA 국장을 통해 행동하고, 총무청 내의 연방 위험 및 승인 관리 프로그램(FedRAMP)을 통해 행동하는 총무 관리자와 협의하여 기관 현대화 노력에 통합하기 위해 클라우드 서비스 공급자(CSP)를 관리하는 보안 원칙을 개발해야 합니다. 이 작업을 용이하게 하기 위해:
(i) OMB 국장은 이 명령의 날짜로부터 90일 이내에 CISA 국장을 통한 국토안보부 장관 및 FedRAMP를 통한 총무국장과 협의하여 연방 클라우드 보안 전략을 개발하고 그에 따라 기관에 지침을 제공해야 합니다. 이러한 지침은 FCEB가 클라우드 기반 서비스를 사용함으로써 발생하는 위험을 광범위하게 이해하고 효과적으로 해결하고 FCEB 기관이 Zero Trust Architecture에 더욱 접근하도록 하는 것을 목표로 해야 합니다.
(ii) 이 명령의 날짜로부터 90일 이내에 CISA 국장을 통한 국토안보부 장관은 OMB 국장 및 FedRAMP를 통한 총무국장과 협의하여 FCEB에 대한 클라우드 보안 기술 참조 아키텍처 문서를 개발하여 발행해야 합니다. 이 문서는 기관 데이터 수집 및 보고를 위한 클라우드 마이그레이션 및 데이터 보호에 대한 권장 접근 방식을 설명합니다.
(iii) 이 명령의 날짜로부터 60일 이내에 CISA 국장을 통한 국토안보부 장관은 FCEB 기관에 대한 클라우드 서비스 거버넌스 프레임워크를 개발하여 발행해야 합니다. 해당 프레임워크는 사고 심각도에 따라 기관에서 사용할 수 있는 다양한 서비스와 보호 조치를 식별해야 합니다. 해당 프레임워크는 또한 해당 서비스 및 보호 조치와 관련된 데이터 및 처리 활동을 식별해야 합니다.
(iv) 본 명령일로부터 90일 이내에 FCEB 기관의 책임자는 CISA 국장을 통해 국토안보부 장관과 협의하여 각 기관의 비밀이 아닌 데이터의 유형과 민감도를 평가하고 CISA 국장을 통해 국토안보부 장관과 OMB 국장에게 해당 평가에 따른 보고서를 제공해야 합니다. 평가는 기관에서 가장 민감하고 가장 큰 위협에 처해 있다고 생각하는 비밀이 아닌 데이터를 식별하고 해당 데이터에 대한 적절한 처리 및 저장 솔루션을 우선시해야 합니다.
(d) 본 명령일로부터 180일 이내에 기관은 연방 기록법 및 기타 해당 법률과 일치하는 최대 범위 내에서 저장 중인 데이터와 전송 중인 데이터에 대한 다중 요소 인증 및 암호화를 채택해야 합니다. 그 목적을 위해:
(i) FCEB 기관의 수장은 CISA 국장, OMB 국장 및 APNSA를 통해 국토안보부 장관에게 각 기관의 저장 및 전송 중 데이터의 다중 인증 및 암호화 도입 진행 상황에 대한 보고서를 제공해야 합니다. 해당 기관은 기관 전체에서 다중 인증 및 데이터 암호화를 완전히 도입할 때까지 이 명령일로부터 60일마다 해당 보고서를 제공해야 합니다.
(ii) 기관 구현의 확인된 격차를 기반으로 CISA는 FCEB 기관이 저장 중인 데이터와 전송 중인 데이터에 대한 다중 인증 및 암호화를 구현하기 위한 기술 및 프로세스를 채택하도록 하기 위한 모든 적절한 조치를 취해야 합니다. (
iii) 이 명령일로부터 180일 이내에 다중 인증 및 데이터 암호화를 완전히 채택할 수 없는 FCEB 기관의 책임자는 180일 기간이 끝나면 CISA 국장, OMB 국장 및 APNSA를 통해 국토안보부 장관에게 서면 근거를 제공해야 합니다.
(e) 이 명령일로부터 90일 이내에 국토안보부 장관은 CISA 국장을 통해 법무장관, FBI 국장 및 FedRAMP 국장을 통해 총무부와 협의하여 FCEB 클라우드 기술과 관련된 사이버 보안 및 사고 대응 활동에 대한 협업을 위한 프레임워크를 수립하여 기관 간 및 기관과 CSP 간의 효과적인 정보 공유를 보장해야 합니다.
(f) 이 명령의 날짜로부터 60일 이내에, 총무부 장관은 OMB 국장 및 총무부 장관이 적절하다고 판단하는 다른 기관의 수장과 협의하여 다음을 통해 FedRAMP 현대화를 시작해야 합니다.
(i) 기관이 FedRAMP 요청을 관리하도록 효과적으로 교육을 받고 장비를 갖추도록 하는 교육 프로그램을 수립하고, 주문형 비디오를 포함한 교육 자료에 대한 액세스를 제공합니다.
(ii) 승인의 각 단계에서 메시지를 자동화하고 표준화하여 CSP와의 커뮤니케이션을 개선합니다.이러한 커뮤니케이션에는 상태 업데이트, 공급업체의 현재 단계를 완료하기 위한 요구 사항, 다음 단계 및 질문에 대한 연락처가 포함될 수 있습니다.
(iii) 평가, 승인, 지속적인 모니터링 및 규정 준수를 포함하여 FedRAMP의 수명 주기 전반에 걸쳐 자동화를 통합합니다.
(iv) 온라인 접근성 및 사전 작성된 양식을 포함하여 공급업체가 작성해야 하는 문서를 디지털화하고 간소화합니다. (v) 관련 준수 프레임워크를 식별 하고
, 해당 프레임워크를 FedRAMP 승인 프로세스의 요구 사항에 매핑하고, 해당 프레임워크가 적절한 경우 승인 프로세스의 관련 부분을 대체하는 데 사용되도록 허용합니다.
제4조. 소프트웨어 공급망 보안 강화.
(a) 연방 정부가 사용하는 소프트웨어의 보안은 연방 정부가 중요한 기능을 수행하는 데 필수적입니다. 상용 소프트웨어의 개발은 종종 투명성이 부족하고, 소프트웨어가 공격에 저항하는 능력에 충분히 집중하지 못하며, 악의적인 행위자의 변조를 방지하기 위한 적절한 통제가 부족합니다. 제품이 안전하게 의도한 대로 작동하도록 보장하기 위한 보다 엄격하고 예측 가능한 메커니즘을 구현해야 할 절실한 필요성이 있습니다. 신뢰에 중요한 기능을 수행하는 소프트웨어(예: 높은 시스템 권한 제공 또는 요구, 네트워킹 및 컴퓨팅 리소스에 대한 직접 액세스)인 “중요 소프트웨어”의 보안 및 무결성은 특히 우려 사항입니다. 따라서 연방 정부는 소프트웨어 공급망의 보안 및 무결성을 신속하게 개선하기 위한 조치를 취해야 하며, 우선적으로 중요 소프트웨어를 해결해야 합니다.
(b) 이 명령의 날짜로부터 30일 이내에 NIST 국장을 통해 상무부 장관은 연방 정부, 민간 부문, 학계 및 기타 적절한 주체로부터 의견을 수렴하여 이 섹션의 하위 섹션(e)에 있는 표준, 절차 또는 기준을 준수하기 위한 기존 표준, 도구 및 모범 사례를 식별하거나 새로운 표준, 도구 및 모범 사례를 개발해야 합니다. 지침에는 소프트웨어 보안을 평가하는 데 사용할 수 있는 기준, 개발자 및 공급업체 자체의 보안 관행을 평가하는 기준, 보안 관행을 준수함을 입증하기 위한 혁신적인 도구 또는 방법을 포함해야 합니다.
(c) 이 명령의 날짜로부터 180일 이내에 NIST 국장은 이 섹션의 하위 섹션(b)에 설명된 협의를 기반으로 하고 실행 가능한 기존 문서를 활용하여 소프트웨어 공급망 보안을 강화하고 이 섹션의 요구 사항을 충족하기 위한 예비 지침을 발표해야 합니다.
(d) 이 명령의 날짜로부터 360일 이내에 NIST 국장은 이 섹션의 하위 섹션(c)에 설명된 지침의 주기적 검토 및 업데이트 절차를 포함하는 추가 지침을 발표해야 합니다.
(e) 이 섹션의 하위 섹션(c)에 따라 예비 가이드라인이 발표된 날로부터 90일 이내에 상무부 장관은 NIST 국장을 통해 NIST 국장이 적절하다고 생각하는 기관의 수장과 협의하여 소프트웨어 공급망의 보안을 강화하는 관행을 식별하는 가이드라인을 발행해야 합니다. 이러한 가이드라인은 이 섹션의 하위 섹션(c) 및 (i)에 따라 발표된 가이드라인을 통합할 수 있습니다. 이러한 가이드라인에는 다음에 대한 표준, 절차 또는 기준이 포함되어야 합니다.
(i) 보안 소프트웨어 개발 환경, 여기에는 다음이 포함됩니다.
(A) 관리상 분리된 빌드 환경 사용;
(B) 신뢰 관계 감사;
(C) 기업 전체에 걸쳐 다중 요소, 위험 기반 인증 및 조건부 액세스를 확립한다.
(D) 소프트웨어를 개발, 빌드 및 편집하는 데 사용되는 환경의 일부인 기업 제품에 대한 종속성을 문서화하고 최소화한다.
(E) 데이터 암호화를 사용한다.
(F) 운영 및 경고를 모니터링하고 시도된 사이버 사고와 실제 사이버 사고에 대응한다.
(ii) 구매자가 요청할 경우 이 섹션의 하위 섹션 (e)(i)에 명시된 프로세스를 준수함을 입증하는 아티팩트를 생성하고 제공한다.
(iii) 자동화된 도구 또는 비슷한 프로세스를 사용하여 신뢰할 수 있는 소스 코드 공급망을 유지 관리함으로써 코드의 무결성을 보장한다.
(iv) 알려진 취약성과 잠재적 취약성을 확인하고 이를 수정하는 자동화된 도구 또는 비슷한 프로세스를 사용하여 정기적으로 또는 최소한 제품, 버전 또는 업데이트 릴리스 전에 작동한다.
(v) 구매자가 요청할 경우, 이 섹션의 하위 섹션 (e)(iii) 및 (iv)에 설명된 도구 및 프로세스 실행의 아티팩트를 제공하고, 이러한 작업 완료에 대한 요약 정보를 공개적으로 사용 가능하게 하며, 여기에는 평가 및 완화된 위험에 대한 요약 설명이 포함됩니다.
(vi) 정확하고 최신 데이터, 소프트웨어 코드 또는 구성 요소의 출처(즉, 출처), 소프트웨어 개발 프로세스에 존재하는 내부 및 타사 소프트웨어 구성 요소, 도구 및 서비스에 대한 제어를 유지하고 이러한 제어에 대한 감사를 반복적으로 수행합니다.
(vii) 구매자에게 각 제품에 대한 소프트웨어 자재 목록(SBOM)을 직접 제공하거나 공개 웹사이트에 게시합니다.
(viii) 보고 및 공개 프로세스가 포함된 취약성 공개 프로그램에 참여합니다.
(ix) 안전한 소프트웨어 개발 관행을 준수함을 증명합니다.
(x) 제품의 모든 부분에서 사용되는 오픈 소스 소프트웨어의 무결성과 출처를 실행 가능한 범위 내에서 보장하고 증명합니다.
(f) 상무부 장관은 이 명령의 날짜로부터 60일 이내에 통신정보 담당 차관보 및 국가통신정보청장과 협력하여 SBOM에 대한 최소 요소를 공표해야 합니다.
(g) 이 명령의 날짜로부터 45일 이내에 상무부 장관은 NIST 국장을 통해 NSA 국장을 통해 국방부 장관, CISA 국장을 통해 국토안보부 장관, OMB 국장 및 국가정보국 국장과 협의하여 이 섹션의 하위 섹션(e)에 따라 발행된 지침에 포함할 “중요 소프트웨어”라는 용어의 정의를 공개해야 합니다. 해당 정의는 기능에 필요한 권한 또는 액세스 수준, 다른 소프트웨어와의 통합 및 종속성, 네트워킹 및 컴퓨팅 리소스에 대한 직접 액세스, 신뢰에 중요한 기능의 수행 및 손상 시 발생할 수 있는 피해 가능성을 반영해야 합니다.
(h) 이 섹션의 하위 섹션 (g)에 의해 요구되는 정의가 공표된 날로부터 30일 이내에, 국토안보부 장관은 CISA 국장을 통해 NIST 국장을 통해 상무부 장관과 협의하여 이 섹션의 하위 섹션 (g)에 따라 발행된 중요 소프트웨어의 정의를 충족하는 사용 중이거나 인수 과정에 있는 소프트웨어 및 소프트웨어 제품 범주 목록을 식별하여 기관에 제공해야 합니다.
(i) 이 명령의 날짜로부터 60일 이내에, 상무부 장관은 NIST 국장을 통해 CISA 국장을 통해 국토안보부 장관과 OMB 국장과 협의하여 이 섹션의 하위 섹션 (g)에 정의된 중요 소프트웨어에 대한 보안 조치를 설명하는 지침을 공표해야 합니다. 여기에는 최소 권한, 네트워크 분할 및 적절한 구성의 관행 적용이 포함됩니다.
(j) 이 섹션의 하위 섹션(i)에 설명된 지침이 발행된 날로부터 30일 이내에 OMB 내 전자 정부 사무소의 관리자를 통해 행동하는 OMB 국장은 기관이 해당 지침을 준수하도록 요구하기 위한 적절한 조치를 취해야 합니다.
(k) 이 섹션의 하위 섹션(e)에 설명된 지침이 발행된 날로부터 30일 이내에 OMB 내 전자 정부 사무소의 관리자를 통해 행동하는 OMB 국장은 기관이 이 명령일 이후에 조달된 소프트웨어와 관련하여 해당 지침을 준수하도록 요구하기 위한 적절한 조치를 취해야 합니다.
(l) 기관은 이 섹션의 하위 섹션(k)에 따라 발행된 모든 요구 사항을 준수하기 위한 연장을 요청할 수 있습니다. 이러한 요청은 OMB 국장이 사례별로 검토해야 하며, 기본 요구 사항을 충족하기 위한 계획이 함께 제공되는 경우에만 가능합니다. OMB 국장은 분기별로 APNSA에 부여된 모든 연장을 식별하고 설명하는 보고서를 제공해야 합니다.
(m) 기관은 이 섹션의 하위 섹션(k)에 따라 발행된 모든 요구 사항에 대해 면제를 요청할 수 있습니다. 면제는 OMB 국장이 APNSA와 협의하여 사례별로 고려하며, 예외적인 상황에서 제한된 기간 동안만 허가되며, 잠재적 위험을 완화하기 위한 수반 계획이 있는 경우에만 허가됩니다.
(n) 이 명령일로부터 1년 이내에 국토안보부 장관은 국방부 장관, 법무장관, OMB 국장 및 OMB 내 전자 정부 사무국장과 협의하여 FAR 협의회 계약 언어에 기관에서 구매할 수 있는 소프트웨어 공급업체가 이 섹션의 하위 섹션(g)부터 (k)까지에 따라 발행된 모든 요구 사항을 준수하고 준수를 증명하도록 권고해야 합니다.
(o) FAR 협의회는 이 섹션의 하위 섹션(n)에 설명된 권장 사항을 접수한 후 권장 사항을 검토하고 적절하고 해당 법률에 따라 FAR을 수정해야 합니다.
(p) 이 섹션의 하위 섹션 (o)에 설명된 대로 FAR을 수정하는 최종 규칙이 발행된 후 기관은 해당 법률에 따라 적절하고 일관되게 수정된 FAR의 요구 사항을 충족하지 않는 소프트웨어 제품을 모든 무기한 납품 무기한 수량 계약, 연방 공급 일정, 연방 정부 전체 조달 계약, 총괄 구매 계약 및 다중 수주 계약에서 제거해야 합니다.
(q) OMB 내 전자 정부 사무국장을 통해 행동하는 OMB 국장은 이 명령일 이전에 개발 및 조달된 소프트웨어(레거시 소프트웨어)를 사용하는 기관이 이 섹션의 하위 섹션 (k)에 따라 발행된 모든 요구 사항을 준수하거나 해당 요구 사항을 수정하거나 충족하기 위한 조치를 설명하는 계획을 제공하도록 요구해야 하며, 레거시 소프트웨어를 포함하여 소프트웨어 계약을 갱신하려는 기관이 이 섹션의 하위 섹션 (k)에 따라 발행된 모든 요구 사항을 준수하도록 추가로 요구해야 합니다. 다만 이 섹션의 하위 섹션 (l) 또는 (m)에 따라 연장 또는 포기가 허가되지 않는 한 그렇습니다.
(r) 이 명령의 날짜로부터 60일 이내에 상무부 장관은 NIST 국장을 통해 NSA 국장을 통해 국방부 장관과 협의하여 소프트웨어 소스 코드에 대한 공급업체의 테스트에 대한 최소 표준을 권장하는 지침을 발표해야 합니다. 여기에는 권장되는 수동 또는 자동 테스트 유형(예: 코드 검토 도구, 정적 및 동적 분석, 소프트웨어 구성 도구, 침투 테스트)이 포함됩니다.
(s) NIST 국장을 통해 행동하는 상무부 장관은 NIST 국장이 적절하다고 판단하는 다른 기관의 대표와 협력하여 기존 소비자 제품 라벨링 프로그램에서 정보를 얻은 시범 프로그램을 시작하여 사물인터넷(IoT) 기기의 보안 기능과 소프트웨어 개발 관행에 대해 대중을 교육하고 제조업체와 개발자가 이러한 프로그램에 참여하도록 인센티브를 제공하는 방법을 고려해야 합니다.
(t) 이 명령일로부터 270일 이내에 NIST 국장을 통해 행동하는 상무부 장관은 연방거래위원회(FTC) 위원장 및 NIST 국장이 적절하다고 판단하는 다른 기관의 대표와 협력하여 소비자 라벨링 프로그램에 대한 IoT 사이버보안 기준을 파악하고 해당 소비자 라벨링 프로그램이 해당 법률에 따라 기존의 유사한 정부 프로그램과 함께 운영되거나 이를 모델로 할 수 있는지 고려해야 합니다. 이 기준은 제품이 거쳤을 수 있는 점점 더 포괄적인 수준의 테스트 및 평가를 반영해야 하며 제조업체가 소비자에게 제품의 보안에 대해 알리기 위해 사용하는 기존 라벨링 체계를 사용하거나 호환되어야 합니다. NIST 국장은 모든 관련 정보, 라벨링 및 인센티브 프로그램을 검토하고 모범 사례를 적용해야 합니다. 이 검토는 소비자의 사용 편의성과 제조업체 참여를 극대화하기 위해 취할 수 있는 조치를 결정하는 데 중점을 둡니다.
(u) 이 명령의 날짜로부터 270일 이내에 NIST 국장을 통해 행동하는 상무부 장관은 FTC 의장 및 NIST 국장이 적절하다고 생각하는 다른 기관의 대표와 협력하여 소비자 소프트웨어 라벨링 프로그램에 대한 보안 소프트웨어 개발 관행 또는 기준을 식별하고 해당 소비자 소프트웨어 라벨링 프로그램이 적용 가능한 법률에 따라 유사한 기존 정부 프로그램과 함께 운영되거나 이를 모델로 할 수 있는지 여부를 고려해야 합니다. 기준은 보안 관행의 기준 수준을 반영해야 하며, 실행 가능한 경우 제품이 거쳤을 수 있는 점점 더 포괄적인 수준의 테스트 및 평가를 반영해야 합니다. NIST 국장은 모든 관련 정보, 라벨링 및 인센티브 프로그램을 검토하고 모범 사례를 적용하고 권장되는 라벨 또는 실행 가능한 경우 계층형 소프트웨어 보안 평가 시스템을 식별, 수정 또는 개발해야 합니다. 이 검토는 소비자의 사용 편의성과 참여를 극대화하기 위해 취할 수 있는 조치를 결정하는 데 중점을 둡니다.
(v) 이러한 시범 프로그램은 OMB 회람 A-119 및 NIST 특별 간행물 2000-02(연방 기관에 대한 적합성 평가 고려 사항)와 일관된 방식으로 수행되어야 합니다.
(w) 이 명령의 날짜로부터 1년 이내에 NIST 국장은 시범 프로그램을 검토하고, 민간 부문 및 관련 기관과 협의하여 프로그램의 효과를 평가하고, 향후 어떤 개선이 필요한지 결정하고 APNSA에 요약 보고서를 제출해야 합니다.
(x) 이 명령의 날짜로부터 1년 이내에 상무부 장관은 상무부 장관이 적절하다고 생각하는 다른 기관의 수장과 협의하여 APNSA를 통해 이 섹션에 따라 이루어진 진행 상황을 검토하고 소프트웨어 공급망을 보호하는 데 필요한 추가 단계를 설명하는 보고서를 대통령에게 제공해야 합니다.
제5조. 사이버 안전 검토 위원회 설립.
(a) 국토안보부 장관은 법무장관과 협의하여 2002년 국토안보법(6 USC 451) 제871조에 따라 사이버 안전 검토 위원회(이사회)를 설립해야 합니다.
(b) 위원회는 FCEB 정보 시스템 또는 비연방 시스템에 영향을 미치는 중대한 사이버 사고(2016년 7월 26일 대통령 정책 지침 41(미국 사이버 사고 조정)(PPD 41)에 따라 정의됨)와 관련하여 위협 활동, 취약성, 완화 활동 및 기관 대응을 검토하고 평가해야 합니다.
(c) 국토안보부 장관은 PPD-41 제V(B)(2)조에 따라 사이버 통합 조정 그룹(UCG) 설립을 촉발하는 중대한 사이버 사고가 발생한 후 위원회를 소집해야 합니다. APNSA를 통해 행동하는 대통령의 지시에 따라 언제든지 가능합니다. 또는 국토안보부 장관이 필요하다고 판단하는 모든 시점.
(d) 이사회의 초기 검토는 2020년 12월 UCG 설립을 촉진한 사이버 활동과 관련이 있어야 하며, 이사회는 이사회 설립 후 90일 이내에 이 섹션의 하위 섹션(i)에 명시된 대로 사이버 보안 및 사고 대응 관행을 개선하기 위한 권고안을 국토안보부 장관에게 제공해야 합니다.
(e) 이사회의 구성원에는 연방 공무원과 민간 부문 기관의 대표가 포함되어야 합니다. 이사회는 국방부, 법무부, CISA, NSA 및 FBI의 대표와 국토안보부 장관이 결정한 적절한 민간 부문 사이버 보안 또는 소프트웨어 공급업체의 대표로 구성되어야 합니다. 국토안보부 장관이 결정한 대로 검토 중인 사고에 FCEB 정보 시스템이 관련된 경우 OMB의 대표가 이사회 활동에 참여해야 합니다. 국토안보부 장관은 검토 중인 사고의 특성에 따라 사례별로 다른 사람의 참여를 요청할 수 있습니다.
(f) 국토안보부 장관은 2년마다 이사회 위원 중에서 이사회 의장과 부의장을 지명해야 하며, 여기에는 연방 위원 1명과 민간 부문 위원 1명이 포함됩니다.
(g) 이사회는 해당 법률에 따라 공유된 민감한 법 집행, 운영, 사업 및 기타 기밀 정보를 보호해야 합니다.
(h) 국토안보부 장관은 해당 사고에 대한 검토가 완료되면 사이버 보안 및 사고 대응 관행과 정책을 개선하기 위한 이사회의 조언, 정보 또는 권장 사항을 APNSA를 통해 대통령에게 제공해야 합니다.
(i) 본 섹션의 하위 섹션(d)에 설명된 초기 검토 완료 후 30일 이내에 국토안보부 장관은 APNSA를 통해 대통령에게 초기 검토에 따른 이사회의 권고안을 제공해야 합니다. 이러한 권고안은 다음을 설명해야 합니다.
(i) 이사회의 구성 또는 권한에 대한 식별된 격차 및 옵션;
(ii) 이사회의 제안된 사명, 범위 및 책임;
(iii) 민간 부문 대표의 자격 기준;
(iv) 행정부 및 대통령 행정부와의 상호 작용을 포함한 이사회 거버넌스 구조;
(v) 평가할 사이버 사고 유형에 대한 임계값 및 기준;
(vi) 해당 법률 및 정책에 따라 이사회에 제공해야 하는 정보 출처;
(vii) 이사회에 제공된 정보를 보호하고 사고에 대한 이사회의 검토 목적을 위해 영향을 받는 미국 개인 및 단체의 협조를 확보하기 위한 접근 방식;
(viii) 이사회 운영에 필요한 행정 및 예산 고려 사항.
(j) 국토안보부 장관은 법무장관 및 APNSA와 협의하여 이 섹션의 하위 섹션(i)에 따라 APNSA를 통해 대통령에게 제공된 권고안을 검토하고 적절한 경우 이를 이행하기 위한 조치를 취해야 합니다.
(k) 대통령이 달리 지시하지 않는 한 국토안보부 장관은 2002년 국토안보법 제871조에 따라 국토안보부 장관이 적절하다고 판단하는 경우 2년마다 이사회의 수명을 연장해야 합니다.
제6조. 사이버 보안 취약성 및 사고에 대응하기 위한 연방 정부의 플레이북 표준화.
(a) 현재 시스템에 영향을 미치는 취약성 및 사고를 식별, 수정 및 복구하는 데 사용되는 사이버 보안 취약성 및 사고 대응 절차는 기관마다 다르며, 주요 기관이 기관 전체에서 취약성 및 사고를 보다 포괄적으로 분석하는 능력을 방해합니다. 표준화된 대응 프로세스는 사고를 보다 조정되고 중앙 집중적으로 카탈로그화하고 기관의 성공적인 대응 진행 상황을 추적합니다.
(b) 이 명령의 날짜로부터 120일 이내에 국토안보부 장관은 CISA 국장을 통해 OMB 국장, 연방 최고정보책임자 협의회, 연방 최고정보보안협의회와 협의하고 국방부 장관이 NSA 국장, 법무장관, 국가정보국 국장을 통해 행동하는 것과 협력하여 FCEB 정보 시스템에 관한 사이버 보안 취약성 및 사고 대응 활동을 계획하고 수행하는 데 사용할 표준 운영 절차(플레이북) 세트를 개발해야 합니다. 플레이북은
(i) 모든 적절한 NIST 표준을 통합해야 합니다.
(ii) FCEB 기관에서 사용해야 합니다.
(iii) 인시던트 대응의 모든 단계에서 진행 상황과 완료 상황을 구체적으로 설명하면서, 다양한 대응 활동을 지원하는 데 사용할 수 있도록 유연성을 허용해야 합니다.
(c) OMB 국장은 기관의 플레이북 사용에 대한 지침을 발행해야 합니다.
(d) 플레이북과 다른 사이버보안 취약성 또는 인시던트 대응 절차를 사용하는 기관은 OMB 국장과 APNSA와 협의하고 이러한 절차가 플레이북에 제안된 표준을 충족하거나 초과함을 입증한 후에만 해당 절차를 사용할 수 있습니다.
(e) CISA 국장은 NSA 국장과 협의하여 매년 플레이북을 검토하고 업데이트하고, 지침 업데이트에 통합할 정보를 OMB 국장에게 제공해야 합니다.
(f) 사고 대응 활동의 포괄성을 보장하고 무단 사이버 행위자가 더 이상 FCEB 정보 시스템에 액세스할 수 없다는 확신을 구축하기 위해 플레이북은 관련 법률에 따라 CISA 국장이 기관의 사고 대응 및 시정 결과를 기관이 사고 대응을 완료하면 검토하고 검증해야 한다는 요구 사항을 수립해야 합니다. CISA 국장은 적절한 경우 다른 기관 또는 제3자 사고 대응팀을 사용할 것을 권고할 수 있습니다.
(g) 사이버 사고와 기관의 사이버 보안 상태에 대한 공통된 이해를 보장하기 위해 플레이북은 주요 용어를 정의하고, 실행 가능한 범위 내에서 해당 용어를 법적 정의와 일관되게 사용해야 하며, 이를 통해 플레이북을 사용하는 기관 간에 공유되는 어휘집을 제공해야 합니다.
제7조. 연방 정부 네트워크에서 사이버 보안 취약성 및 사고 감지 개선.
(a) 연방 정부는 모든 적절한 리소스와 권한을 활용하여 네트워크에서 사이버 보안 취약성 및 사고를 조기에 감지하는 것을 극대화해야 합니다. 이 접근 방식에는 연방 정부의 사이버 보안 노력을 강화하기 위해 기관 네트워크에 대한 사이버 보안 취약성 및 위협에 대한 연방 정부의 가시성을 높이고 감지하는 것이 포함됩니다.
(b) FCEB 기관은 연방 정부 인프라 내에서 사이버 보안 사고의 사전 감지, 적극적인 사이버 사냥, 격리 및 복구, 사고 대응을 지원하기 위해 엔드포인트 감지 및 대응(EDR) 이니셔티브를 구축해야 합니다.
(c) 이 명령의 날짜로부터 30일 이내에 CISA 국장을 통해 국토안보부 장관은 FCEB 정보 시스템에 대한 호스트 수준 가시성, 귀속 및 대응을 지원하기 위해 중앙에 위치한 EDR 이니셔티브를 구현하기 위한 옵션에 대한 권장 사항을 OMB 국장에게 제공해야 합니다.
(d) 이 섹션의 하위 섹션(c)에 설명된 권장 사항을 수신한 후 90일 이내에 OMB 국장은 국토안보부 장관과 협의하여 FCEB 기관이 연방 정부 전체 EDR 접근 방식을 채택하도록 요구 사항을 발행해야 합니다. 이러한 요구 사항은 CISA 국장을 통해 행동하는 국토안보부 장관이 사이버 사냥, 탐지 및 대응 활동에 참여할 수 있는 역량을 지원해야 합니다.
(e) OMB 국장은 국토안보부 장관 및 기관 책임자와 협력하여 기관이 이 섹션의 하위 섹션(d)에 따라 발행된 요구 사항을 준수하는 데 필요한 충분한 자원을 확보하도록 해야 합니다.
(f) FCEB 정보 시스템을 방어하려면 CISA 국장을 통해 행동하는 국토안보부 장관이 위협 및 취약성 분석과 평가 및 위협 사냥 목적에 관련된 기관 데이터에 액세스할 수 있어야 합니다. 본 명령의 날짜로부터 75일 이내에 기관은 CISA와 지속적인 진단 및 완화 프로그램에 대한 합의각서(MOA)를 작성하거나 업데이트하여 MOA에 정의된 대로 객체 수준 데이터가 해당 법률에 따라 CISA에서 사용 가능하고 접근할 수 있도록 해야 합니다.
(g) 이 명령의 날짜로부터 45일 이내에 국가 안보 시스템 국가 관리자(국가 관리자)인 NSA 국장은 적용 가능한 법률에서 허용하는 범위 내에서 국가 안보 시스템에 영향을 미치는 사이버 사고의 탐지를 개선하기 위한 적절한 조치를 국방부 장관, 국가 정보국장 및 국가 안보 시스템 위원회(CNSS)에 권고해야 합니다. 여기에는 EDR 접근 방식에 대한 권고 사항과 이러한 조치를 기관에서 운영해야 하는지 아니면 국가 관리자가 제공하는 공통 관심 중앙 서비스를 통해 운영해야 하는지 여부가 포함됩니다.
(h) 이 명령의 날짜로부터 90일 이내에 국방부 장관, 국가 정보국장 및 CNSS는 이 섹션의 하위 섹션(g)에 따라 제출된 권고 사항을 검토하고, 적절한 경우 적용 가능한 법률에 따라 해당 권고 사항을 실현하는 정책을 수립해야 합니다.
(i) 이 명령의 날짜로부터 90일 이내에 CISA 국장은 OMB 국장과 APNSA에 공법 116-283의 섹션 1705에 따라 기관의 사전 승인 없이 FCEB 네트워크에서 위협 사냥 활동을 수행할 수 있는 권한이 어떻게 구현되고 있는지 설명하는 보고서를 제공해야 합니다. 이 보고서는 또한 임무 수행에 중요한 시스템이 중단되지 않도록 하는 절차, 취약한 정부 시스템에 대한 시스템 소유자에게 통지하는 절차, FCEB 정보 시스템 테스트 중에 사용할 수 있는 기술 범위를 권장해야 합니다. CISA 국장은 공법 116-283의 섹션 1705에 따라 취한 조치에 관해 APNSA와 OMB 국장에 분기별 보고서를 제공해야 합니다.
(j) 국방부 정보망(DODIN) 지침과 FCEB 정보 시스템 지침 간의 일치를 보장하기 위해 국방부 장관과 국토안보부 장관은 OMB 국장과 협의하여 다음을 수행해야 합니다.
(i) 이 명령의 날짜로부터 60일 이내에 국방부와 국토안보부가 각자의 정보망에 적용되는 국방부 사고 대응 명령 또는 국토안보부 비상 지침 및 구속력 있는 운영 지침을 즉시 서로 공유하기 위한 절차를 수립합니다.
(ii) 기밀 정보 공유에 관한 규정과 일관되게 다른 부서가 발행한 명령 또는 지침에 포함된 지침을 채택할지 여부를 평가합니다.
(iii) 이 섹션의 하위 섹션 (j)(i)에 따라 수립된 절차에 따라 발행된 명령 또는 지침에 대한 통지를 받은 날로부터 7일 이내에 OMB 내 전자 정부 사무국 관리자 및 APNSA에게 이 섹션의 하위 섹션 (j)(ii)에 설명된 평가 결과를 통지합니다. 여기에는 다른 부서에서 발행한 지침을 채택할지 여부에 대한 결정, 그 결정의 근거 및 해당되는 경우 지침의 적용 일정이 포함됩니다.
제8조. 연방 정부의 조사 및 시정 역량 개선.
(a) 연방 정보 시스템(온프레미스 시스템과 CSP와 같은 제3자가 호스팅하는 연결 모두)의 네트워크 및 시스템 로그 정보는 조사 및 시정 목적에 매우 귀중합니다. 기관 및 해당 IT 서비스 제공업체가 이러한 데이터를 수집 및 유지 관리하고, FCEB 정보 시스템에서 사이버 사고를 해결하기 위해 필요한 경우 CISA 국장을 통해 국토안보부 장관과 FBI에 요청 시 해당 법률에 따라 제공하는 것이 필수적입니다.
(b) 국토안보부 장관은 이 명령일로부터 14일 이내에 법무장관 및 OMB 내 전자 정부 사무국장과 협의하여 OMB 국장에게 기관의 시스템 및 네트워크 내에서 이벤트를 기록하고 기타 관련 데이터를 보관하기 위한 요구 사항에 대한 권장 사항을 제공해야 합니다. 이러한 권장 사항에는 유지 관리해야 할 로그 유형, 로그 및 기타 관련 데이터를 보관하는 기간, 기관에서 권장 로깅 및 보안 요구 사항을 활성화하는 기간, 로그를 보호하는 방법이 포함되어야 합니다. 로그는 수집된 후 무결성을 보장하고 보관 기간 내내 해시에 대해 주기적으로 검증하기 위해 암호화 방법으로 보호해야 합니다. 데이터는 모든 해당 개인 정보 보호법 및 규정과 일치하는 방식으로 보관해야 합니다. 이러한 권장 사항은 또한 FAR 협의회에서 이 명령의 섹션 2에 따라 규칙을 공포할 때 고려해야 합니다.
(c) 이 섹션의 하위 섹션(b)에 설명된 권장 사항을 수신한 후 90일 이내에 OMB 국장은 상무부 장관 및 국토안보부 장관과 협의하여 기관이 로깅, 로그 보관 및 로그 관리에 대한 요구 사항을 수립할 수 있는 정책을 수립해야 하며, 이를 통해 각 기관의 최상위 보안 운영 센터에 대한 중앙 집중식 액세스 및 가시성을 보장해야 합니다.
(d) OMB 국장은 기관 책임자와 협력하여 기관이 이 섹션의 하위 섹션(c)에 명시된 요구 사항을 준수하는 데 필요한 충분한 리소스를 확보하도록 해야 합니다.
(e) 잠재적 사이버 위험 또는 사고를 포함한 사이버 위험 또는 사고를 해결하기 위해 이 섹션의 하위 섹션(b)에 따라 발행된 제안된 권장 사항에는 기관이 요청에 따라 CISA 국장을 통해 국토안보부 장관과 FBI에 해당 법률에 따라 로그를 제공하도록 보장하는 요구 사항이 포함되어야 합니다. 이러한 요구 사항은 기관이 사이버 위험 또는 사고에 대해 필요하고 적절한 경우 로그 정보를 다른 연방 기관과 공유할 수 있도록 설계되어야 합니다.
제9조. 국가 안보 시스템.
(a) 이 명령의 날짜로부터 60일 이내에 국방부 장관은 국가 관리자를 통해 국가 정보국장 및 CNSS와 협력하고 APNSA와 협의하여 이 명령에 명시된 사이버 보안 요구 사항과 동등하거나 이를 초과하는 국가 안보 시스템 요구 사항을 채택해야 하며, 이는 국가 안보 시스템에는 적용되지 않습니다. 이러한 요구 사항은 고유한 임무 요구 사항으로 인해 필요한 상황에서 예외를 규정할 수 있습니다. 이러한 요구 사항은 국가 안보 각서(NSM)에 체계화되어야 합니다. 해당 NSM이 발행될 때까지 이 명령에 따라 수립된 프로그램, 표준 또는 요구 사항은 국가 안보 시스템과 관련하여 적용되지 않습니다.
(b) 이 명령의 어떤 내용도 1990년 7월 5일 국가 안보 지침 42(국가 안보 통신 및 정보 시스템 보안을 위한 국가 정책)(NSD-42)에 정의된 국가 안보 시스템과 관련하여 국가 관리자의 권한을 변경하지 않습니다. FCEB 네트워크는 CISA 국장을 통해 국토안보부 장관의 권한 하에 계속 유지됩니다.
제10조 정의. 이 명령의 목적을 위해:
(a) “기관”이라는 용어는 44 USC 3502에 따라 부여된 의미를 갖습니다.
(b) “감사 신뢰 관계”라는 용어는 자산 보호와 관련된 안전한 상호 작용, 행동 및 결과에 대한 기준에 따라 관리되는 두 개 이상의 시스템 요소 간의 합의된 관계를 의미합니다.
(c) “사이버 사고”라는 용어는 44 USC 3552(b)(2)에 따라 “사고”에 부여된 의미를 갖습니다.
(d) “연방 민간 행정부 기관” 또는 “FCEB 기관”이라는 용어는 국방부와 정보 커뮤니티의 기관을 제외한 모든 기관을 포함합니다.
(e) “연방 민간 행정부 정보 시스템” 또는 “FCEB 정보 시스템”이라는 용어는 연방 민간 행정부 기관이 운영하는 정보 시스템을 의미하지만 국가 안보 시스템은 제외합니다.
(f) “연방 정보 시스템”이란 용어는 기관 또는 기관의 계약자 또는 기관을 대신하여 다른 조직이 사용하거나 운영하는 정보 시스템을 의미하며, 여기에는 FCEB 정보 시스템 및 국가 안보 시스템이 포함됩니다.
(g) “정보 커뮤니티” 또는 “IC”란 용어는 50 USC 3003(4)에 따라 부여된 의미를 갖습니다.
(h) “국가 안보 시스템”이란 용어는 44 USC 3552(b)(6), 3553(e)(2) 및 3553(e)(3)에 정의된 정보 시스템을 의미합니다.
(i) “로그”란 용어는 조직의 시스템 및 네트워크 내에서 발생하는 이벤트의 기록을 의미합니다. 로그는 로그 항목으로 구성되며 각 항목에는 시스템 또는 네트워크 내에서 발생한 특정 이벤트와 관련된 정보가 포함됩니다.
(j) “소프트웨어 자재 목록” 또는 “SBOM”이라는 용어는 소프트웨어를 구축하는 데 사용되는 다양한 구성 요소의 세부 정보와 공급망 관계가 포함된 공식 기록을 의미합니다. 소프트웨어 개발자와 공급업체는 종종 기존 오픈 소스 및 상용 소프트웨어 구성 요소를 조립하여 제품을 만듭니다. SBOM은 이러한 구성 요소를 제품에 나열합니다. 식품 포장재의 재료 목록과 유사합니다. SBOM은 소프트웨어를 개발하거나 제조하는 사람, 소프트웨어를 선택하거나 구매하는 사람, 소프트웨어를 운영하는 사람에게 유용합니다. 개발자는 종종 사용 가능한 오픈 소스 및 타사 소프트웨어 구성 요소를 사용하여 제품을 만듭니다. SBOM을 사용하면 빌더가 해당 구성 요소가 최신 상태인지 확인하고 새로운 취약성에 신속하게 대응할 수 있습니다. 구매자는 SBOM을 사용하여 취약성 또는 라이선스 분석을 수행할 수 있으며, 둘 다 제품의 위험을 평가하는 데 사용할 수 있습니다. 소프트웨어를 운영하는 사람은 SBOM을 사용하여 새로 발견된 취약성의 잠재적 위험에 처해 있는지 빠르고 쉽게 확인할 수 있습니다. 널리 사용되는 기계 판독 가능 SBOM 형식은 자동화 및 도구 통합을 통해 더 큰 이점을 제공합니다. SBOM은 다른 애플리케이션과 시스템에서 쉽게 쿼리할 수 있는 저장소에 집합적으로 저장될 때 더 큰 가치를 얻습니다. 소프트웨어의 공급망을 이해하고, SBOM을 획득하고, 알려진 취약성을 분석하는 데 사용하는 것은 위험 관리에 매우 중요합니다.
(k) “제로 트러스트 아키텍처”라는 용어는 보안 모델, 일련의 시스템 설계 원칙, 위협이 기존 네트워크 경계 안팎에 존재한다는 인식을 기반으로 하는 조정된 사이버 보안 및 시스템 관리 전략을 의미합니다. 제로 트러스트 보안 모델은 어떤 한 요소, 노드 또는 서비스에 대한 암묵적 신뢰를 제거하고 대신 여러 소스의 실시간 정보를 통해 운영 상황을 지속적으로 검증하여 액세스 및 기타 시스템 응답을 확인해야 합니다. 본질적으로 제로 트러스트 아키텍처는 사용자에게 전체 액세스를 허용하지만 작업을 수행하는 데 필요한 최소한으로만 허용합니다. 장치가 손상되면 제로 트러스트는 손상이 억제되도록 보장할 수 있습니다. 제로 트러스트 아키텍처 보안 모델은 침해가 불가피하거나 이미 발생했을 가능성이 있다고 가정하므로 필요한 것만으로만 액세스를 제한하고 비정상적이거나 악의적인 활동을 찾습니다. 제로 트러스트 아키텍처는 포괄적인 보안 모니터링, 세분화된 위험 기반 액세스 제어, 시스템 보안 자동화를 인프라의 모든 측면에 조정된 방식으로 내장하여 동적 위협 환경 내에서 실시간으로 데이터를 보호하는 데 집중합니다. 이 데이터 중심 보안 모델을 통해 모든 액세스 결정에 최소 권한 액세스 개념을 적용할 수 있으며, 여기서 누가, 무엇을, 언제, 어디서, 어떻게라는 질문에 대한 답은 심각한 요구 사항의 조합을 기반으로 리소스에 대한 액세스를 적절히 허용하거나 거부하는 데 중요합니다.
제11조 일반 조항
(a) 국가 사이버 국장(NCD)이 임명되고 대통령 행정부 내에 관련 사무소가 설립되면, 공법 116-283 제1752조에 따라 NCD가 그 의무와 책임을 완전히 이행할 수 있도록 이 명령의 일부를 수정할 수 있습니다.
(b) 이 명령의 어떤 내용도 다음을 손상하거나 영향을 미치는 것으로 해석되어서는 안 됩니다.
(i) 행정부 또는 기관 또는 그 수장에 법률에 의해 부여된 권한
(ii) 예산, 행정 또는 입법 제안과 관련된 관리 및 예산국 국장의 기능
(c) 이 명령은 해당 법률과 일치하는 방식으로 이행되어야 하며 예산의 가용성에 따라야 합니다.
(d) 이 명령은 미국, 그 부서, 기관 또는 단체, 그 임원, 직원 또는 대리인 또는 기타 사람에 대해 법률이나 형평성에 따라 집행 가능한 실질적 또는 절차적 권리 또는 이익을 창출하려는 의도가 없으며, 그렇게 하지 않습니다.
(e) 이 명령의 어떤 내용도 형사 또는 국가 안보 수사, 체포, 수색, 압수 또는 방해 작전을 방해하거나 지시할 권한을 부여하지 않으며, 기관이 형사 또는 국가 안보 수사 과정에서 알게 된 정보를 보호하도록 요구하는 법적 제한을 변경할 권한을 부여하지 않습니다.
조셉 R. 바이든 주니어
백악관,
2021년 5월 12일.
