반응형

 

국가 사이버 보안 개선에 관한 행정 명령

 

헌법과 미합중국 법률에 의해 대통령으로서 나에게 부여된 권한에 따라 다음과 같이 명령합니다.

섹션 1. 정책. 미국은 공공 부문, 민간 부문, 궁극적으로 미국인의 보안 및 개인 정보를 위협하는 지속적이고 점점 더 정교해지는 악의적인 사이버 캠페인에 직면해 있습니다. 연방 정부는 이러한 행위와 행위자를 식별, 억제, 방지, 탐지 및 대응하기 위한 노력을 개선해야 합니다. 연방 정부는 또한 주요 사이버 사고 중에 발생한 일을 주의 깊게 조사하고 배운 교훈을 적용해야 합니다. 그러나 사이버 보안에는 정부 조치 이상의 것이 필요합니다. 악의적인 사이버 행위자로부터 국가를 보호하려면 연방 정부가 민간 부문과 협력해야 합니다. 민간 부문은 지속적으로 변화하는 위협 환경에 적응하고 제품이 안전하게 구축 및 운영되도록 하고 연방 정부와 협력하여 보다 안전한 사이버 공간을 조성해야 합니다.

점진적인 개선은 우리에게 필요한 보안을 제공하지 않습니다. 대신, 연방 정부는 미국 생활 ​​방식을 뒷받침하는 중요한 제도를 방어하기 위해 과감한 변화와 상당한 투자를 해야 합니다. 연방 정부는 클라우드 기반이든 사내 구축형이든 하이브리드이든 관계없이 컴퓨터 시스템을 보호하고 보호하기 위해 모든 권한과 자원을 부담해야 합니다. 보호 및 보안의 범위에는 데이터를 처리하는 시스템(정보 기술(IT))과 우리의 안전을 보장하는 중요한 기계를 실행하는 시스템(운영 기술(OT))이 포함되어야 합니다. 

사이버 사고의 예방, 탐지, 평가 및 교정이 국가 및 경제 안보에 최우선 순위이며 필수적이라는 것이 우리 행정부의 정책입니다. 연방 정부는 모범을 보여야 합니다. 모든 연방 정보 시스템은 이 명령에 따라 발표되고 규정된 사이버 보안에 대한 표준 및 요구 사항을 충족하거나 초과해야 합니다.

비서. 2. 위협 정보 공유에 대한 장벽 제거.


     (a) 연방 정부는 연방 정보 시스템에서 일상적인 기능을 수행하기 위해 IT 및 OT 서비스 제공자와 계약합니다. 클라우드 서비스 제공업체를 포함한 이러한 서비스 제공업체는 연방 정보 시스템의 사이버 위협 및 사고 정보에 대한 고유한 액세스 권한과 통찰력을 가지고 있습니다. 동시에, 현행 계약 조건 또는 제한은 사이버 보안 및 기반 시설 보안국(CISA), FBI(연방수사국) 및 기타 정보 커뮤니티(IC) 요소. 이러한 계약상의 장벽을 제거하고 그러한 위협, 사건,


     (b) 이 명령의 날짜로부터 60일 이내에, 국방부 장관, 법무장관, 국토안보부 장관 및 국가정보국장과 협의하여 관리예산처(OMB) 국장 , 연방 획득 규정(FAR) 및 국방 연방 획득 규정 보완 계약 요구 사항 및 IT 및 OT 서비스 제공자와의 계약을 위한 언어를 검토하고 이러한 요구 사항 및 언어에 대한 업데이트를 FAR 위원회 및 기타 적절한 기관에 권장합니다. 권장 사항에는 제안된 계약 언어가 적용되는 계약자에 대한 설명이 포함되어야 합니다. 


     (c) 이 섹션의 하위 섹션 (b)에 설명된 권장 계약 언어 및 요구 사항은 다음을 보장하도록 설계되어야 합니다.
          (i) 서비스 제공자는 기관의 요구 사항에 따라 기관을 대신하여 운영되는 시스템을 포함하여 자신이 통제하는 모든 정보 시스템에 대한 사이버 보안 이벤트 예방, 탐지, 대응 및 조사와 관련된 데이터, 정보 및 보고를 수집 및 보존합니다.
          (ii) 서비스 제공자는 그들이 계약한 기관과 관련된 사이버 사건 또는 잠재적 사건과 관련된 데이터, 정보 및 보고를 해당 기관 및 OMB 국장이 협의하여 해당 기관 및 기타 기관과 직접 공유합니다. 국방부 장관, 법무장관, 국토안보부 장관 및 국가정보국장은 해당 개인정보 보호법, 규정 및 정책에 따라 적절하다고 간주합니다.
          (iii) 서비스 제공자는 필요에 따라 지원하는 기관과 협력하여 위협에 대한 네트워크 모니터링과 같은 기술적 기능을 구현하는 것을 포함하여 연방 정보 시스템의 사건 또는 잠재적 사건에 대한 조사 및 대응에서 연방 사이버 보안 또는 수사 기관과 협력합니다. (
          iv) 서비스 제공자는 사이버 위협 및 사고 정보를 기관과 공유하여 가능한 경우 사고 대응 및 교정을 위해 업계에서 인정하는 형식으로 공유합니다.


     (d) 이 섹션의 하위 섹션 (b)에 설명된 권장 사항을 접수한 후 90일 이내에 FAR 평의회는 제안된 계약 언어 및 조건을 검토하고 적절한 경우 공개 의견을 위해 제안된 FAR 업데이트를 게시해야 합니다.


     (e) 이 명령 날짜로부터 120일 이내에 국토안보부 장관과 OMB 국장은 서비스 제공자가 가능한 한 최대한 기관, CISA 및 FBI와 데이터를 공유할 수 있도록 적절한 조치를 취해야 합니다. 연방 정부가 사이버 위협, 사고 및 위험에 대응하는 데 필요합니다.


     (f) 연방 정부의 정책은 다음과 같습니다.
          (i) 기관과 계약을 체결하는 정보 및 통신 기술(ICT) 서비스 제공자는 그러한 기관 또는 그러한 기관에 제공되는 소프트웨어 제품 또는 서비스에 대한 지원 시스템 관련;
          (ii) ICT 서비스 제공자는 이 섹션의 (f)(i)항에 따라 연방 민간인 행정부(FCEB) 기관에 보고할 때마다 CISA에 직접 보고해야 하며, CISA는 이러한 정보를 중앙에서 수집하고 관리해야 합니다. (iii) 이 명령의 섹션 10(h)에 정의된 국가 보안 시스템 과 
          관련된 보고서는 이 섹션의 하위 섹션 (g)(i)(E)에 따라 결정된 해당 기관에서 접수 및 관리해야 합니다. .  


     (g) 이 섹션의 하위 섹션 (f)에 명시된 정책을 구현하기 위해:
          (i) 이 명령의 날짜로부터 45일 이내에 국토안보부 장관은 국가안보국(NSA) 국장, 법무장관 및 OMB 국장을 통해 행동하는 국방장관과 협의하여, 다음을 식별하는 FAR 평의회 계약 언어를 권장합니다.
              (A) 보고가 필요한 사이버 사고의 성격
              (B) 효과적인 사이버 사고 대응 및 개선을 촉진하기 위해 보고가 필요한 사이버 사고에 관한 정보 유형;
              (C) 사생활과 시민의 자유를 위한 적절하고 효과적인 보호
              (D) 계약자가 단계적 심각도 척도에 따라 사이버 사고를 보고해야 하는 기간과 가장 심각한 사이버 사고에 대한 보고는 최초 탐지 후 3일을 초과하지 않아야 합니다.
              (E) 국가 안보 시스템 보고 요건; (
              F) 제안된 계약 언어가 적용되는 계약자 및 관련 서비스 제공자의 유형.
          (ii) 이 섹션의 하위 섹션 (g)(i)에 설명된 권장 사항을 받은 후 90일 이내에 FAR 평의회는 권장 사항을 검토하고 FAR에 대한 제안된 업데이트를 대중의 의견을 위해 게시해야 합니다.
          (iii) 이 명령의 날짜로부터 90일 이내에 NSA 국장, 법무장관, 국토안보부 장관 및 국가 정보 국장을 통해 행동하는 국방부 장관은 사이버 사고를 보장하기 위한 절차를 공동으로 개발해야 합니다. 보고서는 기관 간에 신속하고 적절하게 공유됩니다.


     (h) 분류되지 않은 시스템 계약에 대한 현재 사이버 보안 요구 사항은 클라우드 서비스 사이버 보안 요구 사항을 포함하여 기관별 정책 및 규정을 통해 대부분 구현됩니다. 기관 전반에 걸쳐 공통 사이버 보안 계약 요구 사항을 표준화하면 공급업체와 연방 정부의 규정 준수를 간소화하고 개선할 수 있습니다.
     (i) 이 명령의 날짜로부터 60일 이내에 국토안보부 장관은 NSA 국장, OMB 국장 및 국장을 통해 대행하는 국방부 장관과 협의하여 CISA 국장을 대행합니다. 서비스는 현재 법률, 정책 또는 계약의 문제로 존재하는 기관별 사이버 보안 요구 사항을 검토하고 적절한 사이버 보안 요구 사항에 대해 FAR 위원회에 표준화된 계약 언어를 권장합니다. 이러한 권장 사항에는 제안된 계약 언어가 적용되는 계약자 및 관련 서비스 제공자의 범위에 대한 고려가 포함됩니다.


     (j) 이 섹션의 하위 섹션 (i)에 따라 개발된 권장 계약 언어를 받은 후 60일 이내에 FAR 평의회는 권장 계약 언어를 검토하고 FAR에 대한 제안된 업데이트를 대중의 의견을 위해 게시해야 합니다.


     (k) 이 섹션의 하위 섹션 (j)에 설명된 공개 의견 수렴 기간 이후 FAR 평의회에서 FAR에 대한 업데이트를 수행한 후 기관은 해당 FAR 업데이트와 중복되는 모든 요구 사항을 제거하기 위해 기관별 사이버 보안 요구 사항을 업데이트해야 합니다.


     (l) OMB 국장은 이 섹션에 따라 개발된 모든 권장 사항의 비용 분석을 연간 예산 프로세스에 통합해야 합니다.

 비서. 3. 연방 정부 사이버 보안 현대화.


     (a) 오늘날의 역동적이고 점점 더 정교해지는 사이버 위협 환경에 보조를 맞추기 위해 연방 정부는 위협에 대한 연방 정부의 가시성을 높이는 동시에 개인 정보와 시민의 자유를 보호하는 것을 포함하여 사이버 보안에 대한 접근 방식을 현대화하기 위한 단호한 조치를 취해야 합니다. 연방 정부는 보안 모범 사례를 채택해야 합니다. 제로 트러스트 아키텍처로의 발전; SaaS(Software as a Service), IaaS(Infrastructure as a Service) 및 PaaS(Platform as a Service)를 포함한 보안 클라우드 서비스로의 이동을 가속화합니다. 사이버 보안 위험을 식별하고 관리하기 위한 분석을 추진하기 위해 사이버 보안 데이터에 대한 액세스를 중앙 집중화하고 간소화합니다. 이러한 현대화 목표를 달성하기 위해 기술과 인력 모두에 투자합니다.
     (b) 이 명령 날짜로부터 60일 이내에 각 기관의 장은 다음을 수행해야
          합니다.
          (ii) 상무부 내 NIST(National Institute of Standards and Technology)가 표준 및 지침에 요약한 마이그레이션 단계를 적절하게 통합해야 하는 제로 트러스트 아키텍처 구현 계획을 개발하고, 다음과 같은 단계를 설명합니다. 이미 완료되었으며 보안에 가장 즉각적인 영향을 미칠 활동을 식별하고 이를 구현하기 위한 일정을 포함합니다. 그리고
          (iii) 이 섹션의 하위 섹션 (b)(i) 및 (ii)에 따라 필요한 계획에 대해 논의하는 OMB 국장 및 대통령 보좌관 및 국가 안보 고문(APNSA) 보좌관에게 보고서를 제공합니다.
     (c) 기관이 ​​클라우드 기술을 계속 사용함에 따라 연방 정부가 사이버 사고를 예방, 탐지, 평가 및 수정할 수 있도록 조정되고 신중한 방식으로 사용해야 합니다. 이러한 접근 방식을 용이하게 하기 위해 클라우드 기술로의 마이그레이션은 가능한 한 제로 트러스트 아키텍처를 채택해야 합니다. CISA는 현재의 사이버 보안 프로그램, 서비스 및 기능을 제로 트러스트 아키텍처로 클라우드 컴퓨팅 환경에서 완벽하게 작동하도록 현대화해야 합니다. 국토안보부 장관은 CISA 국장을 통해 업무를 수행하고, General Services Administration 내의 FedRAMP(Federal Risk and Authorization Management Program)를 통해 업무를 수행하는 General Services 행정관과 협의하여, 기관 현대화 노력에 통합하기 위해 클라우드 서비스 공급자(CSP)를 관리하는 보안 원칙을 개발해야 합니다. 

 

이 작업을 용이하게 하려면:


          (i) 이 명령의 날짜로부터 90일 이내에 OMB 국장은 CISA 국장을 통해 행동하는 국토 안보부 장관 및 FedRAMP를 통해 행동하는 일반 서비스 관리자와 협의하여 연방 클라우드 보안을 개발해야 합니다. 전략을 수립하고 이에 따라 기관에 지침을 제공합니다. 이러한 지침은 클라우드 기반 서비스 사용으로 인한 FCEB의 위험을 광범위하게 이해하고 효과적으로 해결하고 FCEB 기관이 제로 트러스트 아키텍처에 더 가까이 다가갈 수 있도록 해야 합니다.
          (ii) 이 명령의 날짜로부터 90일 이내에 CISA 국장을 통해 행동하는 국토안보부 장관은 OMB 국장 및 FedRAMP를 통해 대행하는 일반 서비스 관리자와 협의하여 FCEB를 개발하고 발행해야 합니다. , 기관 데이터 수집 및 보고를 위한 클라우드 마이그레이션 및 데이터 보호에 대한 권장 접근 방식을 설명하는 클라우드 보안 기술 참조 아키텍처 문서. 
          (iii) 이 명령 날짜로부터 60일 이내에 CISA 국장을 통해 행동하는 국토안보부 장관은 FCEB 기관을 위해 클라우드 서비스 거버넌스 프레임워크를 개발하고 발행해야 합니다. 이 프레임워크는 사고 심각도에 따라 기관에서 사용할 수 있는 서비스 및 보호 범위를 식별해야 합니다. 해당 프레임워크는 또한 해당 서비스 및 보호와 관련된 데이터 및 처리 활동을 식별해야 합니다.
          (iv) 이 명령의 날짜로부터 90일 이내에 FCEB 기관의 장은 CISA 국장을 통해 행동하는 국토안보부 장관과 협의하여 해당 기관의 미분류 데이터의 유형과 민감도를 평가하고 다음을 제공해야 합니다. CISA 국장 및 OMB 국장을 통해 국토안보부 장관에게 그러한 평가를 기반으로 한 보고서. 평가는 기관에서 가장 민감하고 가장 큰 위협을 받는 것으로 간주되는 분류되지 않은 데이터의 식별과 해당 데이터에 대한 적절한 처리 및 저장 솔루션의 우선 순위를 지정해야 합니다.
     (d) 이 명령의 날짜로부터 180일 이내에, 기관은 미연방 기록 및 기타 관련 법률과 일치하는 최대 범위 내에서 저장 및 전송 중인 데이터에 대해 다단계 인증 및 암호화를 채택해야 합니다. 이를 위해:
          (i) FCEB 기관의 장은 CISA 국장, OMB 국장 및 APNSA를 통해 국토 안보부 장관에게 미사용 데이터의 다중 요소 인증 및 암호화 채택 진행 상황에 대한 보고서를 제공해야 합니다. 운송 중. 그러한 기관은 기관 전체의 다중 요소 인증 및 데이터 암호화를 완전히 채택할 때까지 이 명령 날짜 이후 60일마다 보고서를 제공해야 합니다.
          (ii) 기관 구현에서 확인된 격차를 기반으로 CISA는 저장 및 전송 중인 데이터에 대한 다중 요소 인증 및 암호화를 구현하기 위한 기술 및 프로세스의 FCEB 기관 채택을 극대화하기 위해 모든 적절한 조치를 취해야 합니다.
          (iii) 이 명령 날짜로부터 180일 이내에 다단계 인증 및 데이터 암호화를 완전히 채택할 수 없는 FCEB 기관의 장은 180일 기간이 끝날 때 국토 장관에게 서면 근거를 제공해야 합니다. CISA 국장, OMB 국장 및 APNSA를 통한 보안.
     (e) 이 명령의 날짜로부터 90일 이내에 국토안보부 장관은 법무장관, FBI 국장 및 FedRAMP 국장을 통해 대행하는 총무국장과 협의하여 CISA 국장을 통해 행동합니다. , 기관 간, 기관과 CSP 간에 효과적인 정보 공유를 보장하기 위해 FCEB 클라우드 기술과 관련된 사이버 보안 및 사고 대응 활동에 협력하는 프레임워크를 수립해야 합니다.
     (f) 이 명령 날짜로부터 60일 이내에 일반 서비스 관리자는 OMB 국장 및 적절하다고 판단되는 기타 기관의 장과 협의하여 다음을 통해 FedRAMP 현대화를 시작해야 합니다.
          (i) 기관이 ​​FedRAMP 요청을 관리할 수 있도록 효과적으로 교육 및 장비를 갖추도록 하고 주문형 비디오를 포함한 교육 자료에 대한 액세스를 제공하기 위한 교육 프로그램을 수립합니다.
          (ii) 인증의 각 단계에서 메시지의 자동화 및 표준화를 통해 CSP와의 통신 개선. 이러한 커뮤니케이션에는 상태 업데이트, 공급업체의 현재 단계를 완료하기 위한 요구 사항, 다음 단계 및 질문에 대한 연락처가 포함될 수 있습니다.
          (iii) 평가, 승인, 지속적인 모니터링 및 규정 준수를 포함하여 FedRAMP의 수명 주기 전반에 걸쳐 자동화를 통합합니다.
          (iv) 온라인 접근성 및 미리 채워진 양식을 포함하여 공급업체가 완료해야 하는 문서를 디지털화하고 간소화합니다. 그리고
          (v) 관련 준수 프레임워크를 식별하고, 해당 프레임워크를 FedRAMP 승인 프로세스의 요구사항에 매핑하고, 해당 프레임워크가 적절한 경우 승인 프로세스의 관련 부분에 대한 대체물로 사용되도록 허용합니다.

비서. 4. 소프트웨어 공급망 보안 강화. 


     (a) 연방 정부가 사용하는 소프트웨어의 보안은 중요한 기능을 수행하는 연방 정부의 능력에 매우 중요합니다. 상용 소프트웨어의 개발은 종종 투명성, 공격에 저항하는 소프트웨어의 능력에 대한 충분한 초점, 악의적인 행위자에 의한 변조를 방지하기 위한 적절한 제어가 부족합니다. 제품이 의도한 대로 안전하게 작동하도록 하기 위해 보다 엄격하고 예측 가능한 메커니즘을 구현해야 할 절박한 요구가 있습니다. 신뢰에 중요한 기능을 수행하는 소프트웨어(예: 높은 시스템 권한 또는 네트워킹 및 컴퓨팅 리소스에 대한 직접 액세스 제공 또는 요구)의 보안 및 무결성은 특히 문제입니다. 따라서 연방 정부는 소프트웨어 공급망의 보안과 무결성을 신속하게 개선하기 위한 조치를 취해야 합니다.


     (b) 이 명령 날짜로부터 30일 이내에 NIST 국장을 통해 행동하는 상무장관은 연방 정부, 민간 부문, 학계 및 기타 적절한 행위자로부터 기존 표준, 도구를 식별하거나 개발하기 위해 의견을 요청해야 합니다. 및 이 섹션의 하위 섹션 (e)에 있는 표준, 절차 또는 기준을 준수하기 위한 모범 사례. 지침에는 소프트웨어 보안을 평가하는 데 사용할 수 있는 기준이 포함되어야 하고, 개발자와 공급자 자체의 보안 관행을 평가하기 위한 기준이 포함되어야 하며, 보안 관행에 대한 적합성을 입증하기 위한 혁신적인 도구 또는 방법을 식별하는 기준이 포함되어야 합니다.


     (c) 이 명령 날짜로부터 180일 이내에 NIST 국장은 소프트웨어 공급망 보안 및 소프트웨어 공급망 보안 및 이 섹션의 요구 사항을 충족합니다.
     (d) 이 명령 날짜로부터 360일 이내에 NIST 소장은 이 섹션의 하위 섹션 (c)에 설명된 지침의 정기적인 검토 및 업데이트 절차를 포함하는 추가 지침을 게시해야 합니다.
     (e) 이 섹션의 (c)항에 따른 예비 지침이 발표된 후 90일 이내에 NIST 국장이 적절하다고 판단하는 기관의 장과 협의하여 NIST 국장을 통해 행동하는 상무장관은 소프트웨어 공급망의 보안을 강화하는 관행을 식별하는 지침을 발행합니다. 이러한 지침은 이 섹션의 하위 섹션 (c) 및 (i)에 따라 게시된 지침을 통합할 수 있습니다. 그러한 지침에는 다음과 같은 표준, 절차 또는 기준이 포함됩니다.
              (B) 신뢰 관계 감사;
              (C) 기업 전반에 걸쳐 다중 요소, 위험 기반 인증 및 조건부 액세스를 설정합니다.
              (D) 소프트웨어를 개발, 구축 및 편집하는 데 사용되는 환경의 일부인 엔터프라이즈 제품에 대한 종속성을 문서화하고 최소화합니다.
              (E) 데이터 암호화 사용 (F) 작전 및
              경보를 모니터링하고 사이버 사고 시도 및 실제 대응
          (ii) 구매자가 요청할 경우 이 섹션의 하위 섹션 (e)(i)에 명시된 프로세스에 대한 준수를 입증하는 아티팩트를 생성하고 제공합니다. 
          (iii) 신뢰할 수 있는 소스 코드 공급망을 유지하기 위해 자동화된 도구 또는 유사한 프로세스를 사용하여 코드의 무결성을 보장합니다.
          (iv) 정기적으로 또는 최소한 제품, 버전 또는 업데이트 릴리스 전에 작동해야 하는 알려진 잠재적 취약성을 확인하고 수정하는 자동화 도구 또는 이와 유사한 프로세스를 사용합니다.
          (v) 구매자가 요청할 경우 이 섹션의 하위 섹션 (e)(iii) 및 (iv)에 설명된 도구 및 프로세스 실행의 인공물을 제공하고 이러한 작업 완료에 대한 요약 정보를 공개적으로 사용할 수 있도록 합니다. 평가 및 완화된 위험에 대한 요약 설명을 포함합니다.
          (vi) 정확한 최신 데이터, 소프트웨어 코드 또는 구성요소의 출처(즉, 출처), 소프트웨어 개발 프로세스에 있는 내부 및 제3자 소프트웨어 구성요소, 도구 및 서비스에 대한 통제를 유지하고 감사를 수행하고 이러한 통제를 반복적으로 시행합니다.
          (vii) 구매자에게 각 제품에 대한 SBOM(Software Bill of Materials)을 직접 제공하거나 공개 웹사이트에 게시합니다.
          (viii) 보고 및 공개 프로세스를 포함하는 취약성 공개 프로그램에 참여
          (ix) 보안 소프트웨어 개발 관행에 대한 적합성을 증명합니다. 그리고
          (x) 제품의 모든 부분에서 사용되는 오픈 소스 소프트웨어의 무결성과 출처를 가능한 한 보장하고 증명합니다.
     (f) 이 명령 날짜로부터 60일 이내에 상무부 장관은 통신 및 정보 차관보 및 국가 전기 통신 및 정보 관리국의 행정관과 협력하여 SBOM에 대한 최소 요소를 공표해야 합니다.
     (g) 이 명령의 날짜로부터 45일 이내에 NIST 국장을 통해 대행하는 상무장관은 NSA 국장을 대행하는 국방부 장관, 국장을 대행하는 국토안보부 장관과 협의하여 CISA, OMB 국장 및 국가 정보 국장은 이 섹션의 하위 섹션 (e)에 따라 발행된 지침에 포함하기 위해 "중요 소프트웨어"라는 용어의 정의를 게시해야 합니다. 그 정의는 기능에 필요한 권한 또는 액세스 수준, 다른 소프트웨어와의 통합 및 종속성, 네트워킹 및 컴퓨팅 리소스에 대한 직접 액세스, 신뢰에 중요한 기능의 성능, 손상될 경우 잠재적인 피해를 반영해야 합니다.
     (h) 이 섹션의 (g)항에서 요구하는 정의가 발표된 후 30일 이내에 CISA 국장을 통해 행동하는 국토안보부 장관은 NIST 국장을 통해 대행하는 상무장관과 협의하여 다음을 확인해야 합니다. 이 섹션의 하위 섹션 (g)에 따라 발행된 중요 소프트웨어의 정의를 충족하거나 사용 중인 소프트웨어 및 소프트웨어 제품의 범주 목록을 기관에 제공합니다.
     (i) 이 명령의 날짜로부터 60일 이내에 NIST 국장을 통해 활동하는 상무장관은 CISA 국장을 통해 대행하는 국토안보부 장관 및 OMB 국장과 협의하여 보안을 개괄하는 지침을 발표해야 합니다. 최소 권한, 네트워크 분할 및 적절한 구성의 적용을 포함하여 이 섹션의 하위 섹션(g)에 정의된 중요 소프트웨어에 대한 조치.
     (j) 이 섹션의 하위 섹션 (i)에 설명된 지침이 발행된 후 30일 이내에 OMB 내의 전자 정부 사무국 관리자를 통해 행동하는 OMB 국장은 기관이 해당 지침을 준수하도록 요구하는 적절한 조치를 취해야 합니다. .
     (k) 이 섹션의 하위 섹션 (e)에 설명된 지침이 발행된 후 30일 이내에 OMB 내의 전자 정부 국장을 통해 행동하는 OMB 국장은 기관이 다음과 같은 지침을 준수하도록 요구하는 적절한 조치를 취해야 합니다. 이 주문 날짜 이후에 조달된 소프트웨어와 관련하여.
     (l) 기관은 이 섹션의 하위 섹션 (k)에 따라 발행된 요구 사항을 준수하기 위해 연장을 요청할 수 있습니다. 그러한 요청은 기본 요구 사항을 충족하기 위한 계획이 수반되는 경우에만 OMB 국장이 사례별로 고려합니다. OMB 국장은 분기별로 승인된 모든 연장을 식별하고 설명하는 보고서를 APNSA에 제공해야 합니다.
     (m) 기관은 이 섹션의 하위 섹션 (k)에 따라 발행된 요구 사항에 대한 포기를 요청할 수 있습니다. 면제는 APNSA와 협의하여 OMB 국장이 사례별로 고려해야 하며 예외적인 상황과 제한된 기간 동안에만 허용되어야 합니다. 위험.
     (n) 이 명령의 날짜로부터 1년 이내에 국토안보부 장관은 국방부 장관, 법무장관, OMB 국장 및 OMB 내 전자정부청장과 협의하여 다음을 권고해야 합니다. 기관이 구매할 수 있는 소프트웨어 공급업체가 이 섹션의 하위 섹션 (g)에서 (k)에 따라 발행된 모든 요구 사항을 준수하고 준수를 증명하도록 요구하는 FAR 위원회 계약 언어로 변경됩니다.
     (o) 이 섹션의 하위 섹션 (n)에 설명된 권장 사항을 받은 후 FAR 평의회는 권장 사항을 검토하고 해당 법률에 따라 적절하고 일관되게 FAR을 수정합니다.
     (p) 이 섹션의 하위 섹션 (o)에 설명된 대로 FAR을 수정하는 최종 규칙이 발표된 후 기관은 적절하고 해당 법률에 따라 수정된 FAR의 요구 사항을 충족하지 않는 소프트웨어 제품을 모든 제품에서 제거해야 합니다. 무기한 인도 무기한 수량 계약; 연방 공급 일정; 연방 정부 차원의 인수 계약; 일괄 구매 계약; 및 다중 낙찰 계약.
     (q) OMB 내 전자 정부 사무국의 관리자를 통해 행동하는 OMB 국장은 이 명령 날짜 이전에 개발 및 조달된 소프트웨어(레거시 소프트웨어)를 사용하는 기관이 하위 절에 따라 발행된 요구 사항을 준수하도록 요구해야 합니다. (k) 이 섹션의 또는 해당 요구 사항을 수정하거나 충족하기 위한 조치를 요약한 계획을 제공하고, 추가로 레거시 소프트웨어를 포함하여 소프트웨어 계약 갱신을 원하는 기관이 이 섹션의 하위 섹션 (k)에 따라 발행된 요구 사항을 준수하도록 요구합니다. , 이 섹션의 하위 섹션 (l) 또는 (m)에 따라 연장 또는 포기가 허용되지 않는 한.
     (r) 이 명령 날짜로부터 60일 이내에 NIST 국장을 통해 행동하는 상무장관은 NSA 국장을 통해 대행하는 국방부 장관과 협의하여 공급업체의 테스트를 위한 최소 표준을 권장하는 지침을 발표해야 합니다. 권장 유형의 수동 또는 자동 테스트(예: 코드 검토 도구, 정적 및 동적 분석, 소프트웨어 구성 도구, 침투 테스트) 식별을 포함한 소프트웨어 소스 코드.
     (s) NIST 국장을 통해 행동하는 상무장관은 NIST 국장이 적절하다고 판단하는 다른 기관의 대표와 협력하여 인터넷의 보안 기능에 대해 대중을 교육하기 위해 기존 소비자 제품 라벨링 프로그램에 기반한 파일럿 프로그램을 시작해야 합니다. 사물(IoT) 장치 및 소프트웨어 개발 관행에 대해 설명하고 제조업체와 개발자가 이러한 프로그램에 참여하도록 장려하는 방법을 고려해야 합니다.
     (t) 이 명령의 날짜로부터 270일 이내에 연방 무역 위원회(FTC) 위원장 및 NIST 국장이 적절하다고 판단하는 다른 기관의 대표와 협력하여 NIST 국장을 통해 행동하는 상무장관, 소비자 라벨링 프로그램에 대한 IoT 사이버 보안 기준을 식별하고, 그러한 소비자 라벨링 프로그램이 해당 법률에 따라 유사한 기존 정부 프로그램과 함께 운영되거나 이를 모델로 삼을 수 있는지 여부를 고려해야 합니다. 기준은 제품이 겪었을 수 있는 점점 더 포괄적인 테스트 및 평가 수준을 반영해야 하며 제조업체가 제품의 보안에 대해 소비자에게 알리기 위해 사용하는 기존 라벨링 체계를 사용하거나 이와 호환되어야 합니다. NIST 소장은 모든 관련 정보를 검토하고, 라벨링 및 인센티브 프로그램을 제공하고 모범 사례를 사용합니다. 이 검토는 소비자의 사용 용이성과 제조업체 참여를 극대화하기 위해 취할 수 있는 조치의 결정에 중점을 두어야 합니다.
     (u) 이 명령의 날짜로부터 270일 이내에 NIST 국장을 통해 행동하는 상무장관은 FTC 의장 및 NIST 국장이 적절하다고 판단하는 다른 기관의 대표와 협력하여 보안 소프트웨어 개발을 식별해야 합니다. 소비자 소프트웨어 라벨링 프로그램에 대한 관행 또는 기준을 준수하고, 그러한 소비자 소프트웨어 라벨링 프로그램이 해당 법률에 따라 유사한 기존 정부 프로그램과 함께 운영되거나 이를 모델로 삼을 수 있는지 여부를 고려해야 합니다. 기준은 보안 관행의 기준 수준을 반영해야 하며, 실행 가능한 경우 제품이 겪었을 수 있는 점점 더 포괄적인 테스트 및 평가 수준을 반영해야 합니다. NIST 국장은 모든 관련 정보, 라벨링 및 인센티브 프로그램을 검토하고 모범 사례를 채택하고, 권장 레이블 또는 가능한 경우 계층화된 소프트웨어 보안 등급 시스템을 식별, 수정 또는 개발합니다. 이 검토는 소비자의 사용 용이성과 참여를 극대화하기 위해 취할 수 있는 조치의 결정에 중점을 둡니다.
     (v) 이러한 시범 프로그램은 OMB 회람 A-119 및 NIST 특별 간행물 2000-02(연방 기관에 대한 적합성 평가 고려 사항)와 일치하는 방식으로 수행되어야 합니다.
     (w) 이 명령일로부터 1년 이내에 NIST 소장은 시범 프로그램을 검토하고 민간 부문 및 관련 기관과 협의하여 프로그램의 효율성을 평가하고 앞으로 개선할 사항을 결정해야 합니다. , 요약 보고서를 APNSA에 제출합니다.
     (x) 이 명령의 날짜로부터 1년 이내에 상무장관은 적절하다고 판단하는 다른 기관의 장과 협의하여 APNSA를 통해 진행 상황을 검토하는 보고서를 대통령에게 제공해야 합니다. 이 섹션에서 만들고 소프트웨어 공급망을 보호하는 데 필요한 추가 단계를 간략하게 설명합니다.

비서. 5. 사이버안전심의위원회 설치.


     (a) 국토안보부 장관은 법무장관과 협의하여 2002년 국토안보법(6 USC 451) 섹션 871에 따라 사이버 안전 검토 위원회(이사회)를 설립해야 합니다. 
     (b) 위원회는 FCEB 정보 시스템 또는 비연방 시스템에 영향을 미치는 중대한 사이버 사고(2016년 7월 26일 대통령 정책 지침 41(미국 사이버 사고 조정)(PPD 41)에 따라 정의됨)와 관련하여 검토 및 평가해야 합니다. , 위협 활동, 취약성, 완화 활동 및 기관 대응.
     (c) 국토안보부 장관은 PPD-41의 섹션 V(B)(2)에 규정된 바와 같이 사이버 통합 조정 그룹(UCG)의 설립을 촉발한 중대한 사이버 사건이 발생한 후 이사회를 소집해야 합니다. APNSA를 통해 행동하는 대통령의 지시에 따라 언제든지 또는 국토안보부 장관이 필요하다고 판단하는 경우. 
     (d) 위원회의 초기 검토는 2020년 12월 UCG의 설립을 촉발한 사이버 활동과 관련되어야 하며, 위원회는 위원회 설립 후 90일 이내에 사이버 보안 및 사고 개선을 위해 국토 안보부 장관에게 권고 사항을 제공해야 합니다. 이 섹션의 하위 섹션 (i)에 설명된 대로 대응 관행.
     (e) 위원회의 위원에는 연방 공무원과 민간 부문 대표자가 포함됩니다. 위원회는 국방부, 법무부, CISA, NSA 및 FBI의 대표와 국토안보부 장관이 결정한 적절한 민간 부문 사이버 보안 또는 소프트웨어 공급업체의 대표로 구성됩니다. OMB 대표는 국토안보부 장관이 결정한 대로 검토 중인 사건이 FCEB 정보 시스템과 관련된 경우 위원회 활동에 참여해야 합니다. 국토안보부 장관은 검토 중인 사건의 성격에 따라 사례별로 다른 사람의 참여를 요청할 수 있습니다. 
     (f) 국토안보부 장관은 연방 위원 1명과 민간 부문 위원 1명을 포함하도록 위원회 위원 중에서 2년마다 위원회 의장 및 부의장을 지정해야 합니다.
     (g) 위원회는 해당 법률에 따라 위원회와 공유된 민감한 법 집행, 운영, 비즈니스 및 기타 기밀 정보를 보호해야 합니다.  
     (h) 국토안보부 장관은 해당 사건에 대한 검토가 완료되면 APNSA를 통해 사이버 보안 및 사고 대응 관행 및 정책을 개선하기 위한 위원회의 조언, 정보 또는 권장 사항을 대통령에게 제공해야 합니다. 
     (i) 이 섹션의 하위 섹션 (d)에 설명된 초기 검토가 완료된 후 30일 이내에 국토안보부 장관은 초기 검토를 기반으로 위원회의 권고를 APNSA를 통해 대통령에게 제공해야 합니다. 이러한 권고는 다음을 기술해야 한다
          .
          (ii) 이사회가 제안한 사명, 범위 및 책임;
          (iii) 민간 부문 대표를 위한 회원 자격 기준;
          (iv) 행정부 및 사장실과의 상호작용을 포함하는 이사회 거버넌스 구조;
          (v) 평가할 사이버 사고 유형에 대한 임계값 및 기준
          (vi) 해당 법률 및 정책에 따라 위원회에 제공되어야 하는 정보 출처
          (vii) 위원회에 제공된 정보를 보호하고 사고에 대한 위원회의 검토를 위해 영향을 받는 미국 개인 및 단체의 협력을 확보하기 위한 접근 방식; (
          viii) 이사회 운영에 필요한 행정 및 예산 고려 사항.
     (j) 국토안보부 장관은 법무장관 및 APNSA와 협의하여 이 절의 (i)항에 따라 APNSA를 통해 대통령에게 제공된 권고를 검토하고 적절하게 이행하기 위한 조치를 취해야 합니다.
    (k) 대통령이 달리 지시하지 않는 한 국토안보부 장관은 2002년 국토안보법 제871조에 따라 국토안보부 장관이 적절하다고 판단하는 대로 이사회의 수명을 2년마다 연장해야 합니다.

비서. 6. 사이버 보안 취약성 및 사고 대응을 위한 연방 정부의 플레이북 표준화.  


     (a) 시스템에 영향을 미치는 취약성 및 사고를 식별, 수정 및 복구하는 데 현재 사용되는 사이버 보안 취약성 및 사고 대응 절차는 기관마다 다르므로 주요 기관이 기관 전반에 걸쳐 취약성과 사건을 보다 포괄적으로 분석하는 능력을 방해합니다. 표준화된 대응 프로세스는 보다 조정되고 중앙 집중화된 사건 목록화와 성공적인 대응을 위한 기관의 진행 상황 추적을 보장합니다. 
     (b) 이 명령의 날짜로부터 120일 이내에 국토안보부 장관은 OMB 국장, 연방 최고 정보 책임자 협의회 및 연방 최고 정보 보안 협의회와 협의하여 CISA 국장을 통해 행동합니다. NSA 국장, 법무장관 및 국가 정보 국장을 통해 행동하는 국방부 장관과의 조정은 사이버 보안 취약성 및 사고 대응 활동을 계획하고 수행하는 데 사용할 일련의 표준 운영 절차(플레이북)를 개발해야 합니다. FCEB 정보 시스템을 존중합니다. 플레이북은
          (i) 모든 적절한 NIST 표준을 통합해야 합니다. 
          (ii) FCEB 기관에서 사용합니다. 그리고
          (iii) 다양한 대응 활동을 지원하는 데 사용할 수 있도록 유연성을 허용하면서 사고 대응의 모든 단계를 통해 진행 상황과 완료를 명확히 합니다.
     (c) OMB 국장은 플레이북의 대행사 사용에 대한 지침을 발행해야 합니다.
     (d) 플레이북에서 벗어난 사이버 보안 취약성 또는 사고 대응 절차가 있는 기관은 OMB 및 APNSA 국장과 상의하고 이러한 절차가 플레이북에서 제안된 표준을 충족하거나 초과함을 입증한 후에만 이러한 절차를 사용할 수 있습니다.
    (e) CISA 국장은 NSA 국장과 협의하여 매년 플레이북을 검토 및 업데이트하고 지침 업데이트에 통합하기 위해 OMB 국장에게 정보를 제공해야 합니다. 
    (f) 사고 대응 활동의 포괄성을 보장하고 권한이 없는 사이버 범죄자가 더 이상 FCEB 정보 시스템에 액세스할 수 없다는 확신을 구축하기 위해 플레이북은 관련 법률에 따라 CISA 국장이 FCEB 기관의 사고를 검토하고 검증해야 한다는 요구 사항을 설정해야 합니다. 기관의 사고 대응 완료 시 대응 및 교정 결과. CISA 국장은 적절하게 다른 기관이나 제3자 사고 대응 팀의 사용을 권장할 수 있습니다.
    (g) 사이버 사건 및 기관의 사이버 보안 상태에 대한 공통의 이해를 보장하기 위해 플레이북은 핵심 용어를 정의하고 해당 용어의 법적 정의와 일관성 있게 실행 가능한 범위 내에서 이러한 용어를 사용하여 기관 간에 공유 어휘를 제공해야 합니다. 플레이북을 이용하여

비서. 7. 연방 정부 네트워크의 사이버 보안 취약성 및 사고 탐지 개선.  


     (a) 연방 정부는 네트워크상의 사이버 보안 취약성 및 사고의 조기 탐지를 극대화하기 위해 모든 적절한 자원과 권한을 사용해야 합니다. 이 접근 방식에는 연방 정부의 사이버 보안 노력을 강화하기 위해 기관 네트워크에 대한 사이버 보안 취약성과 위협에 대한 연방 정부의 가시성을 높이고 탐지하는 것이 포함됩니다.
     (b) FCEB 기관은 연방 정부 기반 시설 내 사이버 보안 사고의 사전 탐지, 적극적인 사이버 사냥, 억제 및 교정, 사고 대응을 지원하기 위해 엔드포인트 탐지 및 대응(EDR) 이니셔티브를 배포해야 합니다.
     (c) 이 명령 날짜로부터 30일 이내에 CISA 국장을 통해 행동하는 국토안보부 장관은 OMB 국장에게 호스트 수준 가시성, 속성을 지원하기 위해 중앙에 위치한 EDR 이니셔티브 구현 옵션에 대한 권장 사항을 제공해야 합니다. , FCEB 정보 시스템에 관한 응답.
     (d) 이 섹션의 하위 섹션 (c)에 설명된 권장 사항을 받은 후 90일 이내에 OMB 국장은 국토 안보부 장관과 협의하여 FCEB 기관이 연방 정부 차원의 EDR 접근 방식을 채택하도록 요구 사항을 발행해야 합니다. 이러한 요구 사항은 CISA 국장을 통해 행동하는 국토부 장관이 사이버 사냥, 탐지 및 대응 활동에 참여할 수 있는 능력을 지원해야 합니다. 
     (e) OMB 국장은 국토안보부 장관 및 기관장과 협력하여 기관이 이 섹션의 (d)항에 따라 발행된 요건을 준수할 수 있는 적절한 자원을 보유하고 있는지 확인해야 합니다.
     (f) FCEB 정보 시스템을 방어하려면 CISA 국장을 통해 행동하는 국토 안보부 장관이 평가 및 위협 사냥 목적뿐만 아니라 위협 및 취약성 분석과 관련된 기관 데이터에 액세스할 수 있어야 합니다. 이 명령의 날짜로부터 75일 이내에 기관은 MOA에 정의된 개체 수준 데이터를 CISA가 일관되게 사용할 수 있고 액세스할 수 있도록 CISA와 지속적 진단 및 완화 프로그램을 위한 MOA(각서)를 설정하거나 업데이트해야 합니다. 해당 법률에 따라.
     (g) 이 명령의 날짜로부터 45일 이내에 국가 안보 시스템의 국가 관리자(National Manager)인 NSA의 국장은 국방부 장관, 국가 정보 국장 및 국가 안보 위원회에 다음을 권고해야 합니다. 시스템(CNSS) EDR 접근 방식에 관한 권장 사항 및 이러한 조치가 기관에서 운영해야 하는지 아니면 공공 기관이 제공하는 중앙 집중식 서비스를 통해 운영해야 하는지 여부를 포함하여 해당 법률이 허용하는 범위 내에서 국가 안보 시스템에 영향을 미치는 사이버 사건의 탐지를 개선하기 위한 적절한 조치 내셔널 매니저. 
     (h) 이 명령의 날짜로부터 90일 이내에 국방부 장관, 국가정보국장 및 CNSS는 이 절의 (g)항에 따라 제출된 권고를 검토하고 적절한 경우 그러한 권고를 시행하는 정책을 수립해야 합니다. 관련 법률과 일치하는 권장 사항.
     (i) 이 명령 날짜로부터 90일 이내에 CISA 국장은 OMB 및 APNSA 국장에게 공법 116-283의 1705항에 따라 부여된 당국이 위협 사냥 활동을 수행하기 위해 어떻게 했는지 설명하는 보고서를 제공해야 합니다. 기관의 사전 승인 없이 FCEB 네트워크가 구현되고 있습니다. 이 보고서는 또한 미션 크리티컬 시스템이 중단되지 않도록 보장하는 절차, 취약한 정부 시스템을 시스템 소유자에게 알리는 절차, FCEB 정보 시스템 테스트 중에 사용할 수 있는 기술 범위를 권장합니다. CISA 국장은 공법 116-283의 1705항에 따라 취한 조치에 관해 APNSA와 OMB 국장에게 분기별 보고서를 제공해야 합니다.

          (j) 국방부 정보 네트워크( DODIN      ) 지침과 FCEB 정보 시스템 지침 간의 일치를 보장하기 위해 국방부 장관과 국토 안보부 장관은 OMB 국장과 협의하여 다음을 수행해야 합니다.  이 명령의 날짜, 국방부와 국토안보부가 각각의 정보 네트워크에 적용되는 국방부 사고 대응 명령 또는 국토안보부 비상 지시 및 구속력 있는 작전 지시를 서로 즉시 공유할 수 있는 절차를 수립합니다. 
          (ii) 기밀 정보 공유에 관한 규정에 따라 다른 부서에서 발행한 명령 또는 지침에 포함된 지침을 채택할지 여부를 평가합니다. (
          iii) 이 섹션의 하위 섹션 (j)(i)에 따라 설정된 절차에 따라 발행된 명령 또는 지침의 통지를 받은 후 7일 이내에 APNSA 및 OMB 내의 전자 정부 사무국 관리자에게 설명된 평가를 통지합니다. 다른 부서에서 발행한 지침을 채택할지 여부에 대한 결정, 해당 결정에 대한 근거 및 해당되는 경우 지침 적용 일정을 포함하여 이 섹션의 하위 섹션 (j)(ii)에서. 

비서. 8. 연방 정부의 조사 및 교정 능력 향상.  


    (a) Federal Information Systems의 네트워크 및 시스템 로그 정보(CSP와 같은 제3자가 호스팅하는 온프레미스 시스템 및 연결 모두에 대해)는 조사 및 교정 목적 모두에 매우 중요합니다. 기관 및 해당 IT 서비스 제공업체는 이러한 데이터를 수집 및 유지 관리하고 FCEB 정보 시스템에 대한 사이버 사건을 해결하기 위해 필요한 경우 요청 시 CISA 국장을 통해 국토 안보부 장관과 FBI에 일관되게 제공해야 합니다. 해당 법률에 따라. 
    (b) 이 명령의 날짜로부터 14일 이내에 국토안보부 장관은 법무장관 및 OMB 내 전자정부청장과 협의하여 이벤트 기록 요건에 대한 권고 사항을 OMB 국장에게 제공해야 합니다. 기관의 시스템 및 네트워크 내에서 기타 관련 데이터를 유지합니다. 이러한 권장 사항에는 유지 관리할 로그 유형, 로그 및 기타 관련 데이터를 유지하는 기간, 기관이 권장되는 로깅 및 보안 요구 사항을 활성화하는 기간, 로그 보호 방법이 포함됩니다. 로그는 수집된 무결성을 보장하기 위해 암호화 방법으로 보호되어야 하며 보존 기간 동안 해시에 대해 주기적으로 확인해야 합니다. 데이터는 적용 가능한 모든 개인정보 보호법 및 규정과 일치하는 방식으로 유지됩니다. 이러한 권고는 이 명령의 섹션 2에 따라 규칙을 공포할 때 FAR 평의회에서도 고려되어야 합니다.
    (c) 이 섹션의 하위 섹션 (b)에 설명된 권장 사항을 받은 후 90일 이내에 OMB 국장은 상무부 장관 및 국토 안보부 장관과 협의하여 기관이 벌목 요건을 설정하기 위한 정책을 수립해야 합니다. 로그 보존 및 로그 관리, 각 기관의 최고 수준 보안 운영 센터에 대한 중앙 집중식 액세스 및 가시성을 보장합니다.  
    (d) OMB 국장은 기관장과 협력하여 기관이 이 섹션의 (c)항에 명시된 요건을 준수할 수 있는 적절한 자원을 보유하고 있는지 확인해야 합니다.
    (e) 잠재적인 사이버 위험 또는 사건을 포함하여 사이버 위험 또는 사건을 다루기 위해 이 섹션의 하위 섹션 (b)에 따라 발행된 제안된 권장 사항에는 요청 시 기관이 해당 법률에 따라 CISA 및 FBI 국장. 이러한 요구 사항은 기관이 사이버 위험 또는 사고에 대해 다른 연방 기관과 필요에 따라 적절하게 로그 정보를 공유할 수 있도록 설계해야 합니다.

비서. 9. 국가 안보 시스템.


    (a) 이 명령의 날짜로부터 60일 이내에, 국가 관리자를 통해 행동하는 국방부 장관은 국가 정보 국장 및 CNSS와 협력하고 APNSA와 협의하여 다음과 같은 국가 안보 시스템 요구 사항을 채택해야 합니다. 국가 안보 시스템에 적용되지 않는 이 명령에 명시된 사이버 보안 요구 사항과 동등하거나 초과합니다. 그러한 요구 사항은 고유한 임무 요구에 의해 필요한 상황에서 예외를 제공할 수 있습니다. 이러한 요구 사항은 NSM(국가 안보 각서)에 성문화되어야 합니다. NSM이 발행될 때까지 이 명령에 따라 설정된 프로그램, 표준 또는 요구사항은 국가 안보 시스템과 관련하여 적용되지 않습니다.
    (b) 이 명령의 어떤 내용도 1990년 7월 5일 국가 안보 지침 42(국가 안보 전기 통신 및 정보 시스템 보안에 대한 국가 정책)(NSD- 42). FCEB 네트워크는 계속해서 CISA 국장을 통해 행동하는 국토안보부 장관의 권한 내에 있어야 합니다.

비서. 10. 정의.   이 명령의 목적을 위해:


    (a) "대리인"이라는 용어는 44 USC 3502에 따라 부여된 의미를 갖습니다.
    (b) "감사 신뢰 관계"라는 용어는 규율되는 둘 이상의 시스템 요소 간의 합의된 관계를 의미합니다. 자산 보호와 관련된 안전한 상호 작용, 행동 및 결과에 대한 기준에 따라
    (c) "사이버 사건"이라는 용어는 44 USC 3552(b)(2)에 따라 "사건"에 부여된 의미를 갖습니다.
    (d) "연방 민간인 행정부 기관" 또는 "FCEB 기관"이라는 용어는 국방부 및 정보 커뮤니티의 기관을 제외한 모든 기관을 포함합니다.  
    (e) "연방 민간 행정부 정보 시스템" 또는 "FCEB 정보 시스템"이라는 용어는 연방 민간 행정부 기관에서 운영하는 정보 시스템을 의미하지만 국가 보안 시스템은 제외됩니다.
    (f) "연방 정보 시스템"이라는 용어는 FCEB 정보 시스템 및 국가 보안 시스템을 포함하여 기관 또는 기관의 계약자 또는 기관을 대신하여 다른 조직이 사용하거나 운영하는 정보 시스템을 의미합니다.
    (g) "정보 커뮤니티" 또는 "IC"라는 용어는 50 USC 3003(4)에 따라 부여된 의미를 갖습니다.
    (h) "국가 보안 시스템"이라는 용어는 44 USC 3552(b)(6), 3553(e)(2) 및 3553(e)(3)에 정의된 정보 시스템을 의미합니다.
    (i) "로그"라는 용어는 조직의 시스템 및 네트워크 내에서 발생하는 이벤트의 기록을 의미합니다. 로그는 로그 항목으로 구성되며 각 항목에는 시스템 또는 네트워크 내에서 발생한 특정 이벤트와 관련된 정보가 포함됩니다.
    (j) "소프트웨어 BOM" 또는 "SBOM"이라는 용어는 소프트웨어를 구축하는 데 사용되는 다양한 구성요소의 세부사항 및 공급망 관계를 포함하는 공식 기록을 의미합니다. 소프트웨어 개발자와 공급업체는 기존의 오픈 소스 및 상용 소프트웨어 구성 요소를 조합하여 제품을 만드는 경우가 많습니다. SBOM은 제품에서 이러한 구성 요소를 열거합니다. 식품 포장재의 성분 목록과 유사합니다. SBOM은 소프트웨어를 개발하거나 제조하는 사람, 소프트웨어를 선택하거나 구입하는 사람, 소프트웨어를 운영하는 사람에게 유용합니다. 개발자는 종종 사용 가능한 오픈 소스 및 타사 소프트웨어 구성 요소를 사용하여 제품을 만듭니다. SBOM을 통해 빌더는 해당 구성 요소가 최신 상태인지 확인하고 새로운 취약성에 신속하게 대응할 수 있습니다. 구매자는 SBOM을 사용하여 취약성 또는 라이선스 분석을 수행할 수 있으며, 둘 다 제품의 위험을 평가하는 데 사용할 수 있습니다. 소프트웨어를 운영하는 사람들은 SBOM을 사용하여 새로 발견된 취약점의 잠재적 위험에 있는지 여부를 빠르고 쉽게 결정할 수 있습니다. 널리 사용되는 기계 판독 가능 SBOM 형식은 자동화 및 도구 통합을 통해 더 큰 이점을 제공합니다. SBOM은 다른 응용 프로그램 및 시스템에서 쉽게 쿼리할 수 있는 저장소에 집합적으로 저장할 때 더 큰 가치를 얻습니다. 소프트웨어 공급망을 이해하고, SBOM을 획득하고, 알려진 취약성을 분석하는 데 사용하는 것은 위험 관리에 중요합니다. 기계 판독이 가능한 SBOM 형식은 자동화 및 도구 통합을 통해 더 큰 이점을 제공합니다. SBOM은 다른 응용 프로그램 및 시스템에서 쉽게 쿼리할 수 있는 저장소에 집합적으로 저장할 때 더 큰 가치를 얻습니다. 소프트웨어 공급망을 이해하고, SBOM을 획득하고, 알려진 취약성을 분석하는 데 사용하는 것은 위험 관리에 중요합니다. 기계 판독이 가능한 SBOM 형식은 자동화 및 도구 통합을 통해 더 큰 이점을 제공합니다. SBOM은 다른 응용 프로그램 및 시스템에서 쉽게 쿼리할 수 있는 저장소에 집합적으로 저장할 때 더 큰 가치를 얻습니다. 소프트웨어 공급망을 이해하고, SBOM을 획득하고, 알려진 취약성을 분석하는 데 사용하는 것은 위험 관리에 중요합니다.


    (k) "제로 트러스트 아키텍처"라는 용어는 보안 모델, 일련의 시스템 설계 원칙, 위협이 기존 네트워크 경계 내부와 외부 모두에 존재한다는 인식에 기반한 조정된 사이버 보안 및 시스템 관리 전략을 의미합니다. 제로 트러스트 보안 모델은 한 요소, 노드 또는 서비스에 대한 묵시적 신뢰를 제거하고 대신 액세스 및 기타 시스템 응답을 결정하기 위해 여러 소스의 실시간 정보를 통해 운영 상황을 지속적으로 검증해야 합니다. 본질적으로 제로 트러스트 아키텍처는 사용자가 작업을 수행하는 데 필요한 최소한의 액세스만 허용합니다. 장치가 손상된 경우 제로 트러스트를 통해 손상을 억제할 수 있습니다. 제로 트러스트 아키텍처 보안 모델은 침해가 불가피하거나 이미 발생했을 가능성이 있다고 가정합니다. 따라서 필요한 것만 액세스하도록 지속적으로 제한하고 변칙적이거나 악의적인 활동을 찾습니다. 제로 트러스트 아키텍처는 포괄적인 보안 모니터링을 포함합니다. 세분화된 위험 기반 액세스 제어 동적 위협 환경 내에서 실시간으로 데이터를 보호하는 데 집중하기 위해 인프라의 모든 측면에 걸쳐 조정된 방식으로 시스템 보안 자동화를 수행합니다. 이 데이터 중심 보안 모델을 사용하면 모든 액세스 결정에 최소 권한 액세스 개념을 적용할 수 있습니다. 서버의 조합에. 세분화된 위험 기반 액세스 제어 동적 위협 환경 내에서 실시간으로 데이터를 보호하는 데 집중하기 위해 인프라의 모든 측면에 걸쳐 조정된 방식으로 시스템 보안 자동화를 수행합니다. 이 데이터 중심 보안 모델을 사용하면 모든 액세스 결정에 최소 권한 액세스 개념을 적용할 수 있습니다. 서버의 조합에. 세분화된 위험 기반 액세스 제어 동적 위협 환경 내에서 실시간으로 데이터를 보호하는 데 집중하기 위해 인프라의 모든 측면에 걸쳐 조정된 방식으로 시스템 보안 자동화를 수행합니다. 이 데이터 중심 보안 모델을 사용하면 모든 액세스 결정에 최소 권한 액세스 개념을 적용할 수 있습니다. 서버의 조합에.

비서. 11. 일반 조항.  


    (a) 공법 116-283의 1752항에 따라 국가 사이버 국장(NCD)이 임명되고 대통령 행정부 내에 관련 사무소가 설립되면 이 명령의 일부가 수정될 수 있습니다. NCD는 그 의무와 책임을 다합니다.
    (b) 이 명령의 어떤 내용도 다음을 손상시키거나 다른 방식으로 영향을 미치는 것으로 해석되지 않습니다
        . 또는
        (ii) 예산, 행정 또는 입법 제안과 관련된 관리 및 예산 국장의 기능.
    (c) 이 명령은 해당 법률과 일치하는 방식으로 집행되어야 하며 지출 가능성에 따라 달라집니다.
    (d) 이 명령은 미국, 그 부서, 기관 또는 단체, 그 공무원, 직원에 대해 당사자가 법률 또는 형평법에 따라 집행할 수 있는 실질적 또는 절차적 권리 또는 이익을 의도하지 않으며 생성하지도 않습니다. , 대리인 또는 기타 사람.
    (e) 이 명령의 어떠한 내용도 범죄 또는 국가 안보 조사, 체포, 수색, 압수 또는 중단 작업을 방해하거나 지시할 권한을 부여하거나 기관이 조사 과정에서 알게 된 정보를 보호하도록 요구하는 법적 제한을 변경할 권한을 부여하지 않습니다. 범죄 또는 국가 안보 조사.
                       

조셉 R. 바이든 JR.

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

 

Executive Order on Improving the Nation's Cybersecurity - The White House

By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows: Section 1.  Policy.  The United States faces persistent and increasingly sophisticated malicious cyber campa

www.whitehouse.gov

 

,