1. 컴플라이언스의 구성요소
-컴플라이언스를 위한 구성요소는 '목표', '통제방안', '정책', '절차'이다.
-규범과 프레임워크는 통제 목표를 정의
-통제 목표를 달성하기 위해 통제 방법을 정의
-통제 방안은 보안 목표와 통제 목표가 달성하기 위해 어떻게 이행할 것인지를 다룬다.
-통제 방안을 준수, 갱신, 모니터링하기 위해 정책과 절차, 모니터링 방법(실시간, 주기적인)을 정의
2. 규제 및 준수사항
-회사는 통제된 상황에서 업무 수행
-산업 군마다 규제와 요구조건이 있고 그 산업에서 사업을 하기 위해서 충족해야 하는 규제 또는 요구조건이 존재
(PCIDSS, 바젤 2 등)
-산업 군마다 규제 내용, 범위, 세부사항이 다양함
3. IT 통제 프레임워크
-이미 만들어진 권고사항(프레임워크)을 활용하여 통제 목표와 통제 방안 수립에 활용
1) COSO
2) COBIT
3) ISO 27000 시리즈
4) ITIL
5) BSI 표준 100
6) NIST 800-53
4. 로깅 관리하기
-통제 목표, 정책, 절차가 존재하고 적절하게 작동하고 있는지 증명하기 위한 방안
(통제 방안을 강제하고, 모니터링하며, 감사 기록 로깅)
-시각화를 통해 많은 로그를 관리하는데 활용 가능
5. 감사
-정확한 통제 목표가 수립되어 운영되고 있는지 확인하는 절차
-외부/내부 감사인(팀) 활용
-지속적인 모니터링과 임시 테스트를 통해 수행
-감사자료 시각화가 감사에 도움
-업무 모니터링 절차
1) 업무 절차(단계, 중요도, 손해 등) 그려보기
2) 관련 인프라 식별
3) 정보 자산 식별
4) 처리 작업과 사용자 식별
5) 절차를 모니터링하기 위해 도움이 되는 로그(데이터) 정의 및 수집
6) 모니터링/대시보드에 배치
7) 모니터링
6. 컴플라이언스 모니터링 방법
1) 실시간 대시보드 (사용자, 정보 업데이트 주기, 대상 정보 등 고려)
-사용자 유형별 대시보드 제공 정보 차별화 가능(시스템 관리자, 네트워크 관리자, 보안 관리자, 운영 관리자, IT 관리자, 정보보호 최고책임자, 감사인, 사업 담당자, 재무담당자 등)
-컴플라이언스 준수 여부 측정 방법: 통제 프레임워크 측면에서 각 영역의 통제 목표 준수 여부 또는 기술적 측면(방화벽 정책, 접근 통제 상태, 원격 접속 등 모니터링)에서 통제 방안의 작동 여부
2) 위험 관리
-주기적인 위험 평가
(통제 목표 우선순위 매기기와 위험도 시각화를 통한 우선순위 결정, 의사결정 등)
-효과적인 정보 보안 정책
-보안 사고 탐지, 보고, 대응
-트리 맵을 통해 위험도가 높은 통제 정책 또는 실패된 통제 정책을 집중 모니터링 가능
-위험도와 노출 가능성에 대한 분포를 나타낸 산포도를 통해 통제 적용 상태 또는 위험도가 높은 부서 등을 식별 가능
-선 그래프를 이용해 부서 간 시간에 따른 위험도 변화 추이를 나타낼 수 있음
-섹터 차트는 어제와 비교해 위험도가 어떻게 변화하는지 그리고 부서 간 위험도가 어떻게 변화하였는지 서로 비교 가능
3) 직무 분리
-사용자 역할과 t코드를 통한 링크 그래프(직무 분리 그래프) 이용
4) 데이터베이스 모니터링
-재무 기록 등에 대해 허가된 직원만 액세스 가능하도록 통제 필요
-링크 그래프를 통해 테이블에 접근하는 사용자들 모니터링 가능
-평행 좌표를 이용해 소속, 사용자, 테이블 간의 액세스 기록 모니터링
댓글