DFARS 준수 체크리스트 전자 설계 팀용
국방 연방 조달 규정 보충 (DFARS)은 미국 국방부(DoD)가 상품 및 서비스의 조달을 관리하기 위해 개발하고 사용하는 일련의 규정입니다. 이 규정은 DoD가 국가 안보를 증진하고 방위 목표를 지원하는 방식으로 항목과 서비스를 조달하도록 보장하기 위해 설계되었습니다. 따라서 귀하의 회사가 산업에 관계없이 해당 부서에 공급하는 데 어떤 관련이 있든지 간에 DFARS를 준수해야 합니다.
전자 설계 팀에 DFARS가 중요한 이유는 무엇인가요?
기술에 대한 의존도가 증가하는 세계에서, DoD 계약 작업을 하는 전자 설계 팀은 특히 규칙을 준수해야 한다는 것은 놀라운 일이 아닙니다. 준수하지 않을 경우 계약 해지, 벌금, 명성 손상과 같은 심각한 결과를 초래할 수 있으므로, 귀하의 팀이 민감한 정보를 보호하고, 위험을 완화하며, DoD와의 강력한 관계를 유지하기 위해 새로운 보드를 설계하고 개발할 때 DFARS 요구 사항을 이해하고 구현하는 것이 매우 중요합니다.
다음 두 섹션에서는 귀하의 팀이 DoD를 위한 전자 제품을 준비할 때 고려해야 할 사항들에 대한 체크리스트로서 기능하는 두 개의 표를 찾을 수 있습니다.
전자 설계 팀을 위한 주요 DFARS 준수 요구 사항
DFARS와 관련하여 팀이 고려해야 할 몇 가지 주요 요소는 안전한 설계 관행, 사이버 보안, 공급망 보안, 데이터 권리, 수출 통제로 크게 요약됩니다—이에 대한 자세한 내용은 다음 표에서 찾을 수 있습니다:
|
고려 사항 |
예시 |
|
안전한 설계 관행 |
펌웨어와 소프트웨어의 취약점을 줄이기 위해 OWASP Top 10과 같은 안전한 코딩 표준을 준수합니다. |
|
보안 부팅, 하드웨어 기반 암호화, 변조 감지와 같은 하드웨어 보안 조치를 구현합니다. |
|
|
설계에서 잠재적 취약점과 위험을 식별하기 위해 철저한 위협 모델링을 수행합니다. |
|
|
항상 강력한 보안 기능을 갖춘 구성 요소를 우선시하고 알려진 취약점이 있는 구성 요소는 피합니다. |
|
|
구성 요소의 수명 종료를 염두에 두고 보안 영향을 해결하기 위한 계획을 준비합니다. |
|
|
사이버 보안 |
DFARS 조항 252.204-7012에 따라 기술 데이터, 소스 코드 및 설계 문서를 포함할 수 있는 통제되지 않은 기밀 정보(CUI)를 식별하고 보호합니다; 접근 제어, 암호화 및 정기적인 보안 평가의 구현이 모두 이러한 노력을 도울 수 있습니다. |
|
NIST SP 800-171에서 개요한 보안 표준을 준수하십시오. 이는 접근 제어, 사건 대응 및 위험 평가와 관련된 표준을 포함합니다. |
|
|
조직 전반의 팀이 사이버 보안 사건을 신속하게 감지, 대응 및 보고할 수 있도록 신뢰할 수 있는 사건 대응 계획을 수립하십시오. 이는 DFARS 조항 252.204-7012에 따릅니다. |
|
|
DFARS의 "클라우드 컴퓨팅 서비스" 조항 252.239-7010 및 "민감한 방위 정보 보호를 위한 준수"로 알려진 조항 252.204-7008, 그리고 민감한 데이터 보호와 관련된 기타 관련 조항을 준수하십시오. |
|
|
공급망 보안 |
공급업체의 진위와 사이버 보안 관행을 평가하고 검증하기 위해 충분한 실사를 수행하고, 필요한 표준 및 규정을 준수하도록 합니다. 기존 공급업체가 표준을 충족하지 못하는 경우, 그들을 교체하거나 표준에 맞게 조정해야 합니다. |
|
공급망에 위조 부품이 도입되는 것을 방지하기 위한 조치를 시행하십시오; 이는 공급업체 감사, 부품 추적성 및 위조 부품 탐지 도구를 통해 달성할 수 있습니다. |
|
|
공급망과 관련된 위험을 평가하고 완화하십시오; 이는 전쟁, 자연 재해 및 사이버 위협과 같은 지정학적 요인 및 중단을 포함할 수 있습니다. |
|
|
데이터 권리 |
제한된 권리, 무제한 권리 등 다양한 유형의 데이터 권리와 그 함의를 자신과 팀원들이 숙지하도록 하십시오. 데이터 권리가 데이터의 소유, 사용 및 배포에 어떤 영향을 미치는지 모두가 이해하도록 확실히 하십시오. |
|
정부 제공 정보(GFI)를 적절히 표시하고 처리하여 그 보안과 적절한 사용을 보장하십시오. 접근, 저장, 전송을 통제하기 위한 절차를 시행하십시오. |
|
|
수출 통제 |
귀하의 설계나 기술이 국제무기거래규정 (ITAR) 또는 수출관리규정(EAR)에 따른 수출 통제 대상인지 결정하십시오. |
|
통제된 기술을 수출하거나 이전하기 위한 필요한 라이선스와 허가를 취득하고, 주문 검토, 품목 분류, 필요한 인가 취득을 포함한 수출 통제 절차를 시행하십시오. |
클라우드 컴퓨팅 및 DFARS 준수
|
고려 사항 |
예 |
|
클라우드 서비스 제공업체(CSP) 선택 |
DFARS 요구 사항을 충족할 수 있고 강력한 보안 관행을 가진 CSP를 선택하십시오; 연방 위험 및 인가 관리 프로그램(FedRAMP 인증), 데이터 센터 위치, 보안 인증과 같은 요소를 고려하십시오. |
|
FedRAMP 인증 CSP를 사용하는 것을 진지하게 고려해 보세요. 이들은 아마도 가장 엄격한 보안 평가를 거쳤으며 연방 보안 기준에 부합하는 것으로 간주됩니다. |
|
|
클라우드에서의 데이터 보안 |
휴식 상태와 전송 중인 민감한 데이터를 암호화하고, 팀 전반에 걸쳐 강력한 암호화 알고리즘과 키 관리 관행을 구현하려고 노력하세요. |
|
민감한 데이터에 대한 접근을 역할 기반 접근 제어 및 다중 요소 인증 프로세스를 통해 승인된 인원에게만 제한하세요. |
|
|
취약점을 식별하고 해결하기 위해 정기적인 보안 평가를 수행하세요; 이를 위해 취약점 스캔, 침투 테스트 및 보안 감사를 실행할 수 있습니다. |
|
|
데이터 거주지 및 주권 |
데이터 거주지 요구 사항을 인지하고 민감한 데이터가 승인된 위치에 저장되도록 하세요. 데이터 저장 및 전송에 영향을 줄 수 있는 데이터 주권 법률 및 규정을 고려하는 것을 잊지 마세요. |
|
데이터 전송 제한을 준수하고 국경 간 데이터 흐름에 필요한 승인을 받으며, 데이터 전송 제어를 구현하고 데이터 흐름을 모니터링하여 규정 준수를 보장하세요. |
DFARS 준수를 위한 실용적인 팁
DFARS는 다면적이고 정기적으로 변경되는 표준이지만, 국방부(DoD)와의 작업을 하는 모든 회사가 반드시 다뤄야 할 필수적인 측면입니다. 이를 염두에 두고, 여러분의 회사 내에서 실현할 수 있는 몇 가지 실용적인 준수 팁을 제시하였으니, 이를 통해 조금 더 수월한 준수 과정을 만들 수 있습니다.
1. DFARS 준수 프로그램 설정
DFARS 준수 담당자 역할을 할 수 있는 책임 있는 팀원을 찾습니다; 그들의 업무는 준수 노력을 감독하는 것이 될 것입니다. 동시에, DFARS 위험의 식별, 평가 및 완화 절차를 개요하는 포괄적인 계획을 개발합니다. 이 두 단계가 확립되면, 요구 사항에 대한 준수 여부를 확인하고 개선할 수 있는 영역을 식별하기 위해 주기적인 감사를 실시하는지 확인하십시오.
2. 강력한 사이버 보안 조치 시행
시스템과 인프라를 보호해야 합니다. 입력 검증, 출력 인코딩, 오류 처리와 같은 안전한 코딩 관행에 대한 회사 전체의 준수를 확실히 하고; 네트워크 분할, 방화벽, 침입 탐지 시스템 및 민감한 설계 및 개발 데이터를 보호하기 위한 기타 보안 조치를 구현하며; 사건에 신속하게 대응하기 위해 사고 대응 계획을 개발하고 정기적으로 테스트하세요.
3. 팀 교육하기
소프트웨어만으로는 회사나 팀을 보호할 수 없습니다. 사이버 보안이 상대적으로 새로운 개념인 만큼, 회사는 직원들에게 사이버 위협, 최선의 관행, 그리고 민감한 정보를 보호하는 방법에 대해 충분히 교육하는 것이 중요합니다. 이러한 교육은 데이터 처리 절차에 대한 적절한 교육을 통해 강화될 수 있으며, 여기에는 분류, 라벨링, 접근 제어가 포함됩니다. 위에서 언급한 것처럼, 팀이 수출 통제 규정, 라이선스 요구 사항 및 불이행의 잠재적 결과에 대해 모두 알고 있는 것이 마찬가지로 중요합니다.
4. 자동화를 수용하기
혁신적인 기술 회사가 제공하는 도구들은 이 전체 과정을 더 쉽게 만들 수 있습니다. 예를 들어, 데이터 손실 방지(DLP) 도구를 구현하여 데이터 이동을 모니터링하고 제어함으로써 인간 요소를 제거하고 무단 전송 및 유출을 방지하거나, 보안 정보 및 이벤트 관리(SIEM) 도구를 사용하여 보안 이벤트 로그를 수집, 분석, 상관 관계를 파악함으로써 사건에 대한 신속한 탐지 및 대응을 가능하게 하거나, 구성 관리 도구를 사용하여 시스템의 구성 및 배포를 자동화함으로써 일관된 보안 설정을 보장하고 잘못된 구성의 위험을 줄일 수 있습니다.
DFARS 규정 준수가 단순히 규정 준수에 관한 것이 아니라, 국방부(DoD)를 통한 더 크고, 아마도 더 나은 계약에 자격을 부여하는 전략적인 움직임이라는 것을 기억하세요. 이러한 규정을 준수함으로써 귀사는 위험을 완화하고 민감한 정보를 보호하는 신뢰할 수 있는—그리고 미래 협력을 위해 신뢰할 수 있는—파트너로서의 명성을 향상시킬 수 있는 훌륭한 기회를 얻게 됩니다.
가장 간단한 과정은 아니지만, 가치 있는 과정이며, Altium 365는 중앙 집중식 설계 데이터를 통해, 내부 팀, 공급업체 및 파트너 간의 향상된 협업, 데이터 암호화 및 접근 제어를 포함한 강력한 보안 조치, 그리고 규정 준수 검사 자동화 통합을 통해 이 과정을 도울 수 있습니다. 오늘 Altium 365 GovCloud를 탐색해보세요—AWS GovCloud 인프라에 구축된 Altium 365의 전용 지역으로, DFARS 준수를 향한 다음 단계를 밟고 전자 설계 과정의 보안을 강화하세요.
작성자 정보
관련 자료
관련 기술 문서
목차
Take advantage of the world's
most trusted PCB design system.
One interface. One data
model. Endless possibilities.
Effortlessly collaborate with
mechanical designers.
The world's most trusted
PCB design platform
Best in class interactive
routing
View License Options
Back
Thank you, you are now subscribed to updates.
