정보보안기사 필기 - 42(정보보호 인증제도)

- 보안 제품 평가방법 및 기준

보증 평가는 시스템에서 보안과 관계되는 부분을 검사합니다. 예를 들어 TCB, 접근 통제 메커니즘, 참조 모니터, 커널, 보호 메커니즘 등의 항목을 검사합니다. 또한 이러한 구성요소들 사이의 상화작용 역시 평가됩니다.

 

<TCSEC(trusted computer system evaluation criteria)>

TCSEC는 orange book이라 불리는 rainbow series 라는 미국방부 문서중 하나입니다. TCSEC는 1960년대부터 시작된 컴퓨터 보안 연구를 통하여 1972년에 그 지침이 발표되었고 1983년에 세계 최초로 미국 정보보안 조례로 공표되었고 1995년에 공식화 되었습니다. TCB, 참조모니터, 보안 커널등의 개념을 도입하였고 효과적인 정보보호시스템 평가기준과 이러한 기준에 맞게 개발된 제품들을 평가하는데 초점을 두고 있습니다.

 

<TCSEC 보증 수준>

• A : 검증된 보호를 뜻합니다.
• B : 강제적 보호를 뜻합니다.
• C : 임의적 보호를 뜻합니다.
• D : 최소 보호를 뜻합니다.

 

<TCSEC  단계별 보안 수준>

• D : 보안 설정이 이루어지지 않은 단계입니다.
• C1 : 일반적인 로그인 과정이 존재하는 시스템입니다. 최그의 유닉스 시스템이 C1등급에 해당합니다.
• C2 : 각 계정별 로그인이 가능하며 그룸 ID에 따라 통제가 가능한 시스템입니다. 현재 사용되는 대부분의 유닉스 시스템이 C2등급에 해당합니다.
• B1 : 시스템 내에 보안정책을 적용할 수 있고 각 데이터에대해 보안 레벨 설정이 가능합니다. 시스템 파일이나 시스템에대한 권한을 설정할 수 있습니다.
• B2 : 시스템에 정형화된 보안 정책이 존재하며 B1 등급의 기능을 모두 포함합니다.
• B3 : 운영체제에서 보안에 불필요한 부분을 모두 제거하고 분석 및 테스트가 가능합니다. 시스템 파일 및 디렉터리에 대한 접근 방식을 지정하고 백업까지 자동으로 이루어집니다. 현재까지 B3 등급을 받은 시스템은 극히 일부입니다.
• A1 : 수학적으로 완벽한 시스템으로 현재까지 A1등급을 받은 시스템은 없습니다.

<TCSEC의 문제점>

오렌지 북은 군서용 컴퓨터 시스템의 요구사항과 기대사항을 주로 다룹니다. 따라서 상업적인 영역에서의 시스템에 적용될때는 많은 결점이 있습니다. 네트워킹, 데이터베이스와 같은 논점에는 주목하지 않고, 기밀성에만 집중하며 무결성과 가용성에는 집중하지않습니다. 또한 민간 상업 부문용의 보호 분류와는 동작하지않습니다.

 

<레드북>

레드북은 TNI라는 책의 표지색깔 때문에 붙은 이름으로 네트워크 및 네트워크 구성요소에대한 보안 평가 주제를 다룹니다.

 

<ITSEC(information technology securiry evaluation criteria)>

ITSEC는 독일, 프랑스, 네덜란드, 영국등 유럽 4개국이 평가제품의 상호인정 및 평가 기준이 상이함에따른 불합리함을 보완하기 위하여 작성한 유럽형 보안 기준입니다. TCSEC보다 나은 유연성을 제공하고 무결성, 가용성, 기밀성에대해 모두 대처합니다. 또한 네트워크 시스템을 다룹니다.

 

<공통평가 기준(CC, common criteria)>

오렌지북과 레드북은 비즈니스 세계에서 사용하기엔 엄격하다보니 사용하지 못했고 ITSEC는 기능성과 보증성은 분리하고 유연하게 가려했지만 복잡성이 증가되어 CC를 만들게되었습니다. ISO가 만들었습니다. CC는 요구조건과 평가 방법을 자세히 설명하며 운영하는 중에 IT변화에따른 새 취약점또한 자세히 설명합니다. 평가 기준으로 보증 수준(EAL)이 부여되며 보증 수준이 올라감에따라 엄격한 시험이 이루어집니다.

 

<CC의 등급별 보안수준>

• EAL1 : 기능적 시험
• EAL2 : 구조적 시험
• EAL3 : 방법론적 시험, 검사
• EAL4 : 방법론적 설계, 시험, 검토
• EAL5 : 준정형적 설계, 시험
• EAL6 : 준정형적 검증된 설계, 시험
• EAL7 : 정형적 검증된 설계, 시험

<CC의 구성요소>

패키지 : 보안목표를 만족하게 하기위한 컴포넌트의 집합

EAL : Evaluation으로 보증 등급을 말합니다

TOE : target of evaluation으로 평가 대상을 말합니다.

PP : protection profile로 정보제품이 갖추어야할 공통적인 보안 요구사항을 모아놓은 것입니다. PP는 ST를 수용할 수 없습니다.

ST : security target으로 필요에따라 CC에 정의되지않은 보안요구를 포함하는 것입니다. ST는 PP를 수용할 수 있습니다.

 

<CC의 문서 구성>

ISO/IEC 15408-1 : CC평가 모델의 일반적 개념과 원칙을 설명합니다.

ISO/IEC 15408-2 : 평가중에 진단될 보안 기능 요구사항을 정의합니다.

 

<국제상호 인정 협정(CCRA, CC recongnition arrangement)>

CCRA는 CC기반의 국제상호인정협정을 말합니다. 정보보호제품의 국가 간 교역장벽을 낮추어 수출을 용이하게 하는 수단이라고 할 수 있습니다. CCRA 가입국 간에 평가 인증 받은 제품은 협정에 참여한 어떤 국가에서도 다시 평가를 거치지않고 동일한 효력을 가질 수 있도록 하자는 것입니다. CCRA는 MRA라고 불리던 CCMRA의 체제가 모체이며 달라진점은 CCMRA의 참가국 형태가 평가와 수용을 같이하는 일원화된 체제였지만 CCRA는 평가국*CAP, certificate authorization paricipant)와 수용국(CCP, certificate consuming participant)로 이원화되었습니다. 우리나라는 CCRA에 CAP 자격으로 가입하였고 EAL4등급까지 상호 인정하고 있습니다.

 

<국내 동향>

현재 한국정보통신기술협회가 정보 통신 단체 표준 관련 업무를 담당하고 있습니다. 예전에는 단체 표준이었지만 현재는 기술 표줜원과 합의하여 국가 표준으로 인정받고 있습니다. CCRA의 평가는 한국인터넷진흥원이 맡고 인증서 발행은 국가정보원이 수행하고 있습니다.

 

- 정보보호관리체계 인증

정보보호관리체계 인증은 내부적인 평가만으로는 대외 신뢰도를 제고하기 어렵다는 문제점을 해결하기위해 개발되었습니다.

 

<BS7799(ISO/IEC 17788)>

BS7799는 정보보호 관리체계 구축을 위한 하나의 지침일 뿐만 아니라 한 조직이 정보보호 관리치계를 제대로 운영하고 있는지 평가하고 인증하는 표준으로 사용되고 있습니다. 영국에서 개발되었습니다. 여러나라의 기업들이 인증을 획득하였거나 추진중이며 이와 유사한 정보보호관리 표준을 그나라 나름대로 제정하고 운영중입니다.

 

- 정보보호 및 개인정보 관리체계(ISMS-P 인증)

ISMS-P(personal information & information security management system) 인증은 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도입니다. ISMP와 PISM인증을 통합하였습니다. ISMS-P 인증제도는 정보통신망법 제 47조, 제47조의3, 개인정보보호법 제32조의2에 근거를 두고 있습니다. 정보보호 관련 80개 인증항목으로 기본적인 ISMS인증을 받을 수 있고 개인정보 관련 22개의 인증항목을 추가하여 ISMS-P 인증도 받을 수 있습니다.

 

<관리체계 수립 및 운영>

해당 기업이 정보보호 관리체계를 잘 수립하고 운영하는지 점검합니다. 4개분야 16개 인증 기준으로 구성되었습니다. PDCA사이클에따라 반복적으로 실행되어야합니다.

• 관리체계 기반 마련(6) : 경영진 참여, 최고책임자 지정, 조직구성, 범위 설정, 정책 수립, 자원 할당
• 위험관리(4) : 정보자산 식별, 현황 및 흐름분석, 위험평가, 보호대책 선정
• 관리체계운영(3) : 보호대책 구현, 보호대책 공유, 운영현황 관리
• 관리체계 점검 및 개선(3) : 법적 요구사항 준수 검토, 관리체계 점검, 관리체계 개선

<관리체계 기반 마련>

• 경영진 참여 : 최고 경영자는 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영해야합니다.
• 최고책임자의 지정 : 정보보호 최고 책임자와 개인정보보호책임자를 예산 인력등 자원을 할당할 수 있는 임원급으로 지정해야합니다.
• 조직 구성 : 정보보호 주요 사항을 검토 및 의결할 수 있는 위원회, 부서별 정보보호 담당자와 개인정보보호 담당자로 구성된 협의체를 구성, 운영해야합니다. 조직 구성의 근거를 정책서 등에 명시해야합니다.
• 범위 설정 : 관리체계 범위를 설정하고 개인정보 처리 업무와 조직, 자산, 물리적 위치등을 문서화해야합니다.
• 정책 수립 : 정보보호와 개인정보보호 정책 및 시행문서를 수립, 작성해야하며 방침 및 방향을 명확하게 제시해야합니다. 또한 정책과 시행문서는 경영진의 승인을 받고 임직원 및 관련자에게 이해하기 쉬운 형태로 전달해야합니다. 정책에는 다음과 같은 내용을 포함해야합니다. 최고경영자 등 경영진의 의지 및 방향, 역할과 책임 및 대상과 범위, 과리적, 기술적, 물리적 정보보호 및 개인정보보호 활동의 근거
• 자원 할당 : 분야별 전문성을 갖춘 인력을 확보하고 예산 및 자원을 할당해야합니다. 

<위험 관리>

• 정보자산 식별 : 정보자산 부류기준을 수립하여 관리체계 범위내 모든 정보자산을 식별, 분류하고 중요도를 산정한 후 그목록을 최신으로 관리하여야합니다.
• 현황 및 흐름 분석 : 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며 이를 주기적으로 검토하여 최신성을 유지하여야합니다.
• 위험 평가 : 유형별 위협정보를 수집하고 조직에 적합한 위험평가 방법을 선저앟여 연 1회이상 위험을 평가하며 수용할 수 있는 위험은 경영진의 승인을 받아 관리합니다.
• 보호대책 선정 : 조직에 적합한 보호대책을 선정하고 보호대책의 우선순위와 일정, 담당자,예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야합니다.

<관리체계 운영>

• 보호대책 구현 : 선정한 보호대책은 이행계획에따라 효과적으로 구현하고 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야합니다.
• 보호대책 공유 : 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 해야합니다.
• 운영현황 관리 : 주기적으로 수행하여야하는 운영활동 및 수행 내역은 기록하여 관리하고 경영진은 운영 활동의 효과성을 확인하여 관리하여야합니다.

 

<관리체계 점검 및 개선>

• 법적 요구사항 준수 검토 : 법적 요구사항을 주기적으로 파악하여 규정에 반영하고 준수 여부를 지속적으로 검토하여야합니다.
• 관리체계 점검 : 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고 발견된 문제점을 경영진에게 보고해야합니다.
• 관리체계 개선 : 관리체계상의 문제점에 대한 원인을 분석하고 재발 방지 대책을 수립, 이행해야하며 경영진은 개선 결과의 정확성과 효과성 여부를 확인해야합니다.

 

<정보보호 보호대책 요구사항>

해당 기업이 구체적으로 보호대책을 잘 계획하고 실행하고 있는지 점검합니다. 12개 부야 64개의 인증기준으로 구성되어 있습니다.

• 정책,조직,자산 관리(3) : 정책의 유지관리, 조직의 유지관리, 정보자산 관리
• 인적 보안(6) : 주요 직무장 지정 및 관리, 직무 분리, 보안 서약, 인식제고 및 교육 훈련, 퇴직 및 직무 변경 관리, 보안 위반 시 조치
• 외부자 보안(4) : 외부자 현황 관리, 외부자 계약 시 보안, 외부자 보안 이행 관리, 외부자 계약 변경 및 만료시 보안
• 물리 보안(7) : 보호구역 지정, 출입통제, 정보시스템 보호, 보호설비 운영, 보호구역 내 작업, 반출입 기기통제, 업무환경 보안
• 인증 및 권한관리(6) : 사용자 계정 관리, 사용자 식별, 사용자 인증, 비밀번호 관리, 특수 계정 및 권한 관리, 접근권한 검토
• 접근 통제(7) : 네트워크 접근, 정보시스템 접근, 응용프로그램 접근, 데이터베이스 접근, 무선 네트워크 접근, 원격 접근 통제, 인터넷 접속 통제
• 암호화 적용(2) : 암호정책 적용, 암호키 관리
• 정보시스템 도입 및 개발 보안(6) : 보안 요구사항 정의, 보안 요구사항 검토 및 시험, 시험과 운영 환경 분리, 시험데이터 보안, 소스 프로그램 관리, 운영 환경 이관
• 시스템 및 서비스 운영관리(7) : 변경관리, 성능 및 장애 관리, 백업 및 복구 관리, 로그 및 접속기록 관리, 로그 및 접속기록 점검, 시간 동기화, 정보자산의 재사용 및 폐기
• 시스템 및 서비스 보안 관리(9) : 보안 시스템 운영, 클라우드보안, 공개서버 보안, 전자거래 및 핀테크 보안, 정보전송 보안, 업무용 단말기기 보안, 보조저장매체 관리, 패치 관리, 악성코드 통제
• 사고 예방 및 대응(5) : 사고 예방 및 대응체계 구축, 취약점 점검 및 조치, 이상행위 분석 및 모니터링, 사고 대응 훈련 및 개선, 사고 대응 및 복구
• 재해복구(2) : 재해 재난 대비 안전조치, 재해 복구 시험 및 개선

<정책,조직,자산 관리>

정책의 유지 관리 : 정보보호 및 개인정보보호 관련 정책과 시행문서는 주기적으로 검토하여 필요한 경우 개정하고 그 내역을 이력관리해야합니다.

조직의 유지 관리 : 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통 할수 있는 체계를 수립하여 운영해야합니다.

정보자산 관리 : 정보자산의 용도와 중요도에따른 취급절차 및 보호대책을 수립, 이행하고 자산별 책임소재를 명확히 정의하여 관리해야합니다.

 

<인적 보안>

• 주요 직무자 지정 및 관리 : 중요정보의 취급이나 주요 직무의 기준과 관리방안을 수립하고 주요 직무자를 최소한으로 지정하여 그목록을 최신으로 관리해야합니다.
• 직무 분리 : 권한 오남용등으로 인한 잠재적인 피해예방을 위하여 직무 분리기준을 수립하고 적용해야합니다. 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행해야합니다.
• 보안 서약 : 접근권한이 부여된 임직원등이 내부정책 및 간련 법규, 비밀 유지 의무등의 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야합니다.
• 인식제고 및 교육 훈련 : 임직원 및 관련 외부자가 조지그이 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립, 운영하고 그 결과에 따른 효과성을 평가하여 다음 계획에 반영해야합니다.
• 퇴직 및  직무변경 관리 : 퇴직 및 직무변경시 인사, 정보보호, 개인정보보호 등 관련 부서별로 자산 반납, 계정 및 접근권한 회수 조정, 결과확인등의 절차를 수립 관리해야합니다.
• 보안 위반시 조치 : 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에따른 조치 절차를 수립 이행해야합니다.

<외부자 보안>

• 외부자 현황 관리: 외부에 위탁하거나 외부의 시설 또는 서비스를 이용하는 경우 그현황을 식별하고 법적 요구사항 및 외부조직, 서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련해야합니다.
• 외부자 계약시 보안 : 외부자에게 업무를 위탁하는 경우 이에따른 정보보호 및 개인 정보보호 요구사항을 식별하고 관련 내용을 계약서 또는 협정서 등에 명시해야합니다.
• 외부자 보안 이행 관리 : 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에따라서 주기적인 점검 도는 감사 등 관리 감독해야합니다.
• 외부자 계약 변경 및 만료 시 보안 : 계약 만료, 담당자 변경시에는 제공한 정보 자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 업무 수행중 취득정보의 미밀유지 확약서 징구 등의 보호대책을 이행해야합니다.

<물리 보안>

• 보호구역 지정 : 물리적 환경적 위험으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템을 보호하기위하여 통제구역, 제한 구역, 접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립 및 이행해야합니다.
• 출입 통제 : 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토해야합니다.
• 정보시스템 보호 : 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 정보시스템을 배치하고 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야합니다.
• 보호설비 운영 : 보호 구역에 위치한 정보시스템의 중요도 및 특성에따라 온도, 습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선등의 보호설비를 갖추고 운영절차를 수립, 운영해야합니다.
• 보호구역 내 작업 : 보호구역내에서의 비인가 행위 및 권한 오남용등을 방지하기위한 작업 절차를 수립 및 이행하고 작업 기록을 주기적으로 검토해야합니다.
• 반출입 기기 통제 : 보호구역 내 정보시스템, 모바일 기기, 저장매체등에대한 반출입 통제 절차를 수립, 이행하고 주기적으로 검토해야합니다.
• 업무환경 보안 : 공용으로 사용하는 사무용 기기를 통해 개인정보 및 중요 정보가 비인가자에게 노출 또는 유출되지 않도록 정기점검등으로 업무 환경 보호대책을 수립 이행해야합니다.

<인증 및 권한 관리>

• 사용자 계정 관리 : 중요정보에대한 비인가 접근을 통제하고 업무 목적에따른 접근권한을 최소한으로 부여할 수있도록 사용자 등록 해지 및 접근구너한 부여 변경 말소 절차를 수립 이행하고 사용자에게 보안책임이 있음을 규정하고 인시기켜야합니다.
• 사용자 식별 : 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측가능한 식별자 사용을 제한해야하며 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임 추적성을 확보 하는 등 보완대책을 수립 이행해야합니다.
• 사용자 인증 : 강화된 인증방식을 적용하고 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립 이행해야합니다.
• 비밀번호 관리 : 법적 요구사항, 외부 위협요인등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체가 사용하는 비밀번호 관리절차를 수립 이행해야합니다.
• 특수 계정 및 권한 관리 : 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제해야합니다.
• 접근 권한 검토 : 사용자 계정이 등록 이용 삭제 및 접근 권한의 부여 변경 삭제이력을 남기고 주기적으로 검토하여 적정성 여부를 점검해야합니다.

<접근 통제>

• 네트워크 접근 : IP고나리, 단말인증 등 관리절차를 수립 이행하고 업무 목적 및 중요도에따라 네트워크 분리와 접근 통제를 해야합니다.
• 정보시스템 접근 : 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근 수단등을 정의하여 통제해야합니다.
• 응용프로그램 접근 : 사용자별 업무 및 접근 정보의 중요도 등에따라 응용프로그램 접근권한을 제한하고 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용해야합니다.
• 데이터베이스 접근 : 테이블 목록등 데이터베이스내에서 저장 관리되고 있는 정보를 식별하고 정보의 중요도와 응용프로그램 및 사용자 유형등에 따른 접근통제 정책을 수립 이행해야합니다.
• 무선 네트워크 접근 : 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터  암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 합니다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립 이행해야합니다.
• 원격 접근 통제 : 보호구역 이외 장소에서 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고 재택근무, 장애대응, 원격협업등 불가피한 사유로 원격접근을 허용하는 경우 책임자가 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속 단말 보안 등 보호대책을 수립, 이행해야합니다.
• 인터넷 접속 통제 : 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투등을 예방하기위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스를 제한하는 등 이너넷 접속 통제 정책을 수립, 이행해야합니다.

<암호화 적용>

• 암호정책 적용 : 개인정보 및 주요 정보보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요 정보의 저장,전송,전달 시 암호화를 적용해야합니다.
• 암호키 관리 : 암호키의 안전한 생성 이용 보관 배포 파기를 위한 관리 저라를 수립 이행하고 필요시 복구방안을 마련해야합니다.

<정보시스템 도입 및 개발 보안>

• 보안 요구사항 정의 : 정보시스템의 도입 개발 변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안 취약점, 안전한 코딩방법등 보안 요구사항을 정의하고 적용해야합니다.
• 보안 요구사항 검토 및 시험 : 사전 정의된 보안 요구사항에따라 정보시스템이 도입 또는 구현되었는지를 검토하기위하여 법적 요구사항 준수, 최신 보안 취약점점검, 안전한 코딩 구현, 개인정보 영행 평가등의 검토 기준과 절차를 수립 이행하고 발견된 문제점에대한 개선조치를 수행해야합니다.
• 시험과 운영 환경 분리 : 개발 및 시험 시스템은 운영 시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야합니다.
• 시험 데이터 보안 : 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리 파기 기술적 보호조치에 관한 절차를 수립 이행해야합니다.
• 소스프로그램 관리 : 소스 프로그램은 인가된 사용자만이 접근할수 있도록 관리하고 운영환경에 보관하지않는 것을 원칙으로 합니다.
• 운영환경 이관 : 신규 도입 개발 또는 변경되는 시스템을 운영환경으로 이관할때는 통제된 절차를 따라야하고 실행 코드는 시험 및 사용자 인수 절차에따라 실행되어야합니다.

<시스템 및 서비스 운영관리>

• 변경 관리 : 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립, 이행하고 변경 전 시스템의 성능 및 보안에 영향을 분석해야합니다.
• 성능 및 장애관리 : 정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야하며 장애 발생 시 효과적으로 대응하기위한 탐지, 기록, 분석, 복구, 보고 등의 절차를 수립 관리하해야합니다.
• 백업 및 복구 관리 : 정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관 장소, 보관 기간, 소산 등의 절차를 수립 이행해야합니다. 아울러 사고 발생시 적시에 복구할 수 있도록 관리해야합니다.
• 로그 및 접속 기록 관리 : 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에대한 사용자 접속기록, 시스템 로그, 권한 부여 내역등의 로그 유형, 보존기간, 보존방법 등을 정하고 위변조, 도난, 분실되지 않도록 안전하게 보존 관리해야합니다.
• 로그 및 접속기록 점검 : 정보시스템의 정상적인 사용을 보장하고 사용자 오남용을 방지하기위하여 접근 및 사용에대한 로그 검토기준을 수립하여 주기적으로 점검하며 문제 발생시 사후 조치를 적시에 수행해야합니다.
• 시간 동기화 : 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각으로 표준시각을 동기화하고 주기적으로 관리하여야합니다.
• 정보자산의 재사용 및 폐기 : 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구 재생되지 않도록 안전한 재사용 및 폐기 절차를 수립 해야합니다.

<시스템 및 서비스 보안관리>

• 보안시스템 운영 : 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립 이행하고 보안시스템별 정책 적용 현황을 관리해야합니다.
• 클라우드 보안 : 클라우드 서비스 이용시 서비스 유형(SaaS, PaaS, IaaS)에 따른 비인가 접근, 설정 오류 등에따라 중요정보와 개인정보가 유노출되지않도록 관리자 접근 및 보안 설정 등에대한 보호대책을 수립 이행해야합니다.
• 공개서버 보안 : 외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근 통제, 인증, 정보수집 저장 공개 절차 등 강화된 보호대책을 수립 이행해야합니다.
• 전자거래 및 핀테크 보안 : 전자거래 및 핀테크 서비스 제공시 정보유출이나 데이터 조작 사기등의 침해사고 예방을 위해 인증, 암호화 등의 보호대책을 수립하고 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검해야합니다.
• 정보전송 보안 : 타 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직간의 합의를 통해 관리 책임, 전송 방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치등을 협약하고 이행해야합니다.
• 업무용 단말기기 보안 : 단말기기를 업무목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근 통제 대책을 수립하고 주기적으로 점검해야합니다.
• 보조저장매체 관리 : 보조저장매체를 통하여 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립 이행하고 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관해야합니다.
• 패치관리 : 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신패치를 적용해야합니다. 다만, 최신패치가 어려울 경우 별도의 보완대책을 마련하고 이행해야합니다.
• 악성코드 통제 : 바이러스 웜 트로이목마 랜섬웨어등의 악성코드로부터 개인정보 및 중요정보, 정보 시스템 및 업무용 단말기 등을 보호하기위하여 악성코드 예방 탐지 대응 등의 보호 대책을 수립 이행해야합니다.

<사고 예방 및 대응>

• 사고 예방 및 대응체계 구축 : 침해사고 및 개인정보 유출등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내 외부 침해시도의 탐지 대응 분석 및 공유를 위한 체계와 절차를 수립하고 관련 외부기관 및 전문가들과 협조체계를 구축해야합니다.
• 취약점 점검 및 조치 : 정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치해야합니다.
• 이상행위 분석 및 모니터링 : 내 외부에의한 침해시도, 개인정보유출시도, 부정행위등을 신속하게 탐지 대응할 수 있도록 네트워크 및 데이터흐름 등을 수집하여 분석하며 모니터링 및 점검 결과에따른 사후조치는 적시에 이루어져야합니다.
• 사고 대응 훈련 및 개선 : 침해사고 및유출사고 대응절차를 임직원과 이해관계자가 숙지하도록 시나리오에따른 모의훈련을 연 1회 이상 실시하고 훈련 결과를 반영하여 대응체계를 개선해야합니다.
• 사고 대응 및 복구 : 침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야하며 절차에따라 신속하게 대응 및 복구하고 사고 분석 후 재발 방지 대책을 수립하여 대응체계에 반영해야합니다.

 

<재해복구>

• 재해 재난 대비 안전조치 : 자연재해 통신 전력 장애 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 유형별 예상 피해규모를 분석해야합니다. 또한 RTO, RPO 등을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락 체계, 복구절차등 복구체계를 구축해야합니다.
• 재해 복구 시험 및 개선 : 재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경 변화, 법규등에 따른 변화를 반영하여 복구전략 및 대책을 보완해야합니다.

- 개인정보보 처리 단계별 요구사항

개인정보를 처리할때 보호하면서 잘 하고있는지 검토합니다. 영역은 5개 분야 22개의 인증기준이 있습니다.

 

- 일반 개인정보보호법(GDRP, general data protection regulation)

GDPR은 개인정보의 자유로운 이동을 보장하는 것을 목적으로 EU 회원국에 직접적으로 적용됩니다. 컨트롤러 또는 프로세서가 EU에 사업장을 가지고 있고 사업장이 개인정보의 처리를 포함한다면 GDPR이 적용됩니다. one-stop-shop 메커니즘의 도입으로 하나의 감독기구를 대상으로 대응이 가능하며 DPO를 의무지정해야합니다.

 

- OECD 정보보호 가이드라인

OECD는 정보보호 가이드라인 9개 원칙을 제시하고 있습니다. 

• 인식(awareness) : 참여자들은 정보시스템과 네트워크 보안의 필요 및 보안을 향상시키기 위해 무엇을 할 수 있는지 인지하고 있어야합니다.
• 책임(responsibility) : 모든 참여자들은 정보시스템과 네트워크 보안에 책임이 있습니다.
• 대응(response) : 참여자들은 보안사고를 방지 탐지 대응하는데 시기 적절하게 협력하여 행동해야합니다.
• 윤리(ethics) : 참여자들은 타인의 적법한 이익을 존중해야합니다.
• 민주주의(democracy) :정보시스템과 네트워크의 보안은 민주사회에서의 근본적인 가치들과 조화되어야합니다.
• 위험평가(risk assessment) : 참여자들은 위험평가를 해야합니다.
• 보안설계와 이행(security design and implementation) : 참여자들은 보안을 정보시스템과 네트워크의 핵심요소로 포함시켜야합니다,
• 보안관리(security management) : 참여자들은 보안관리에 있어 포괄적인 접근방식을 도입해야합니다.
• 재평가(reassesement) : 참여자들은 정보시스템과 네트워크의 보안을 재검토 및 재평가해야하며 보안정책 관행 도구 절차 등에 적절한 수정을 가해야합니다.