본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다/CSAP 인증심사34

(CSAP) 품질 관리와 정보보호 관리의 비교 (1) 1. 품질 관리의 개요 가. 품질 관리의 정의 -수요자의 요구에 맞는 품질의 제품, 서비스를 경제적으로 제공하기 위한 모든 수단, 도구 등을 관리하는 기법 나. 품질 관리의 특징 -(관리 또는 경영), Management는 정책, 계획을 수립하고, 조직을 구성하여 수립된 정책 또는 계획을 이행하면서 적절한 통제를 적용하여 제품, 서비스의 품질을 보증하는 과정 -(Control), 기준을 설정하여 범위 안에 이르도록 관리하는 기법 -(현상 유지), 표준 등 기준을 만족하고 경우 그 상태를 유지하기 위해 노력 -(현상 타파), 표준 등 기준에 부족한 경우 새로운 목표를 설정하고 목표 달성을 위해 노력 다. 품질 관리의 사이클 (PDCA) ① 정책, 지침, 표준, 계획 등 수립 (Plan) ② 제품, 서비스가.. 2021. 4. 11.

(CSAP) 클라우드 보안 인증제 1. 클라우드 보안인증제의 개요 가. 클라우드 보안인증제의 정의 -클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. 클라우드 보안인증제의 특징 -(공공기관이 이용), 공공기관이 민간 클라우드 서비스 이용 시 안전성 및 신뢰성 제공 -(서비스 경쟁력 확보), 객관적이고 공정한 인증을 통해 이용자의 보안 우려 해소 및 이를 통한 경쟁력 확보 -(인증, 심사 기관), 한국인터넷진흥원을 통한 인증체계 관리 2. 클라우드 보안인증제의 구성 1) 인증 유형 구분 분야 통제항목 IaaS 14개 117개 Sa.. 2021. 4. 11.

(CSAP) 품질 경영 시스템(QMS)과 정보보호 경영 시스템(ISMS) 1. 품질 경영 시스템과 정보보호 경영 시스템의 개요 가. 경영 시스템의 정의 품질 경영 시스템 (QMS) 고객 요구사항 및 고객 만족, 품질확보를 위해 최고경영자 및 전사 구성원이 품질 향상을 위해 수립, 이행, 유지관리 및 지속 개선 등의 활동을 수행하는 경영 시스템 정보보호 경영 시스템 (ISMS) 정보보호관리를 위한 표준 실무 규약을 만족하기 위해 최고경영자 및 전사 구성원이 참여하여 수립, 이행, 유지관리 및 지속 개선 등의 활동을 수행하는 경영 시스템 나. 경영 시스템의 특징 -(종합적인 관리), 다양한 영역에 대한 균형있는 관리 수행 -(요구사항 부합), 고객, 기업, 정부 등의 요구사항 관리 -(환경 적응), 기업 내외부 환경에 대한 적절하고 능동적인 대처 -(경쟁력 제고), 기업의 이미지.. 2021. 4. 11.

(CSAP) 클라우드 보안인증제 확대 (DaaS) 1. CSAP의 DaaS 인증 확대 가. 추진배경 -공공기관의 민간 상용 클라우드 이용이 가능하도록 국가가 사전 점검 및 승인 -행안부의 개방형 OS 도입 전략 수립에 따라 인터넷망 PC대체를 위해 행정 공공기관이 도입 가능한 DaaS에 대한 인증 필요성 대두 나. 정의 -공공기관이 망분리를 위해 기존에 사용하던 인터넷 PC를 대체하기 위해 클라우드 서비스 제공자의 DaaS 서비스를 사전에 점검 인증하는 제도 2. DaaS의 인증 범위 가. DaaS의 인증 범위 나. DaaS의 인증기준 -14개 부문, 110개 통제항목, 209개 세부점검항목 -기 IaaS인증을 획득한 사업자는 IaaS 대피 변경사항을 식별하여 중복 점검기준 도출 후 평가 수행 -인증 유효기간 : 5년 -일부 보안요구사항 삭제 -DaaS.. 2021. 4. 10.

(CSAP) 20년도 '보안기능 확인서' 제도의 대상과 유효기간 * 20년 2월 '보안기능 시험결과서'가 '보안기능 시험결과 확인서(보안기능 확인서)'로 명칭 변경 -효력은 동일하며 단순 명칭 변경 1. 발급 대상 - 정보보호시스템 - 네트워크 장비 (L3 이상 스위치, 라우터, SDN 등) - 단 국가 공공기관 도입 시 CC인증 또는 암호모듈 검증이 필수로 요구되는 제품은 해당 인증을 획득한 후 발급 가능 (CC인증을 받은 제품 V1.0이 V1.0.2로 형상변경된 경우 원래 인증된 형상인 V1.0에 대해 보안기능 확인서 발급 신청 가능) 2. 유효기간 - 국가용 보안요구사항의 필수 항목을 모두 만족한 제품의 경우, 2년 부여 - 그외 제품은 1년 부여 - 효력 연장기간을 포함하여 최대 3년 부여 가능 - 단 CC인증 또는 검증필 암호모듈 제품의 유효기간은 해당 인증.. 2021. 4. 3.

(CSAP) 21년도 '보안기능 확인서'의 유효기간 전자정부법 제56조에 의거 시행중인 '보안기능 시험' 제도의 효율성 제고 및 업계 불편 해소를 위해 '보안기능 확인서' 유효기간을 21년부터 연장 1) 보안기능 확인서의 유효기간 변경 최대 3년(2년+연장 1년)을 부여하였으나 신규 발급되는 보안기능 확인서의 경우 5년 효력 부여 (효력 연장 절차는 폐지) 2) 기존 발급 제품 효력 연장 21년 1월 1일 현재, 유효한 보안기능 확인서는 발급일로부터 5년 효력 연장 3) 예외 대상 국가용 보안요구사항을 만족하지 않고 발급된 보안기능 확인서는 유효기간이 연장되지 않음 [관련 링크] https://www.nis.go.kr:4016/AF/1_7_2_3/view.do?seq=71 2021. 4. 3.

(CSAP) CC 인증 필수 제품 유형 23종 도입 요건 제품 유형 비고 CC 인증 침입차단시스템 침입방지시스템 통합보안관리제품 웹 응용프로그램 침입차단제품 서버 접근통제 제품 DB 접근통제 제품 네트워크 접근통제 제품 인터넷전화 보안 제품 무선침입방지 시스템 무선랜 인증 제품 가상화 제품 네트워크 자료유출방지 제품 디지털 복합기(완전삭제 또는 데이터 암호) 스마트폰 보안관리 제품 EAL2 이상 또는 관련 PP 준수 스마트 카드 EAL4 이상 CC 인증 및 검증필 암호모듈 가상사설망 제품 호스트 자료유출방지 제품(매체제어 제품 포함) EAL2 이상 혹은 관련 PP 준수 KCMVP 필수 적용 CC 인증 or GS 인증(국가용 보안요구사항 준수) 스팸메일 차단 시스템 패치 관리 시스템 망간 자료 전송 시스템 CC 인증 : EAL2 이상 혹은 관련 PP .. 2021. 4. 3.

(CSAP) 국가기관 도입기준 중 GS인증 제외 예정 1. 상황 o 국가용 보안기준을 만족하는 제품에 대해서 국가기관이 도입 가능 o 국가용 보안기준을 만족하는 GS인증제품 또한 CC인증(보안적합성 검증) 없이 국가 기관이 도입 가능하였음 o 안정성 확인 미흡 등으로 제도 폐지 2. 대상 : 스팸메일차단시스템, 패치관리시스템, 망간자료전송제품 등 3종 3. 사유 : 기존 제도로 안전성 확인 미흡 4. 시점 : 2022년 1월 1일 부터 기준 적용 예상 o 스팸메일차단시스템 : CC인증ㆍGS인증(2022.1.1 이전) → CC인증으로 단일화(2022.1.1 이후) o 패치관리시스템 : CC인증ㆍGS인증(2022.1.1 이전) → CC인증으로 단일화(2022.1.1 이후) o 망간자료전송제품 : CC인증ㆍGS인증(2022.1.1 이전) → 보안기능 확인서로 단.. 2021. 4. 3.

(CSAP) 까칠 또는 타협, 양보 앞서 까칠한 담당자를 지양해야 한다고 이야기를 했습니다. 그렇다면 까칠이라는 것은 어떤 것을 말할까요 외부심사를 나간 적이 있었는데 신청기관으로부터 컴플레인이 있었는데 다른 위원님이 너무 취조하는 느낌으로 인터뷰를 한다는 것이었습니다. "신분증을 받는 목적이 무엇인가요", "왜 안내판 등은 없나요" 등등의 질문에 심사 대응 담당자의 표정에서 매우 당황해 함을 느낄 수 있었습니다. 마찬가지로 정보보호 담당자가 현업 담당자에게도 유사한 형태로 대화를 하는 경우가 간혹 있습니다. 신청 부서에서 검토 요청을 하면 정보보호 부서에서는 "~그렇게 하면 안돼요.", "~법률/정책 위반입니다."라는 형태로 먼저 부정적인 답변을 하는 경우가 많습니다. 이런 형태의 대화가 되는 이유는 대화의 초점이 법률, 정책 준수 여부.. 2021. 3. 29.

(CSAP) 리히비 최소량의 법칙 & 하인리히의 법칙 정보보호와 관련된 중요한 법칙을 소개하고자 합니다. 1) 리히비 최소량의 법칙 독일 화학자 유스투스 폰 리비히가 1843년 주장한 이론으로 모든 동식물은 최소량의 법칙에 따라 성장한다는 이론입니다. 내용은 "어떤 영향소가 최소량 이하인 경우 다른 영양소를 많이 주더라도 결국 가장 최소량의 영향소가 식물의 발육에 영향을 미친다"는 것입니다. 리히비의 법칙을 설명할 때 그림처럼 나무통을 가지고 설명하는데 나무통을 구성하는 여러 나무 조각 중에서 가장 작은 나무 조각이 나무통에 담을 수 있는 전체 물의 양을 결정하게 됩니다. 정보보호 분야에서도 마찬가지입니다. 정보보호 분야는 관리, 물리, 기술적 각 분야로 이뤄져 있으며 각 분야는 다시 세부분야로 구성되어 있습니다. 이 각 분야들은 정보자산을 보호하기 위해 .. 2021. 3. 29.

(CSAP) 고집불통 정보보호 담당 1. 커뮤니케이션의 중요 일반적으로 조직 내에서 정보보호 담당자에 대한 인식이 좋은 편이 아닙니다. 다양한 매체에서 정보보호 담당자에 대한 인식 설문조사 등을 수행한 결과 다음과 같이 1) 독단적이고 권위적이다. 2) 커뮤니케이션이 잘되지 않는다. 3) 까칠하다. 4) 깐깐하다. 등의 의견이 대부분입니다. 이처럼 고집 세고, 대화가 잘되지 않는다는 인식이 많고, 개발 및 인프라 운영부서 등과는 거의 앙숙에 가까운 관계가 형성되어 있는 경우가 대부분이죠. 이렇게 된 이유는 1) 대부분 정책, 지침, 가이드, 법률 등을 기반으로 한 Negative 활동과 2) ISMS 등 다양한 인증을 지원하면서 발생되는 이슈에 대한 지원 업무특성(부적합 보고서)과 대화방식이 주 원인인 듯합니다. 정보보호 담당자와 인프라 .. 2021. 3. 28.

(CSAP) 20년도 정보보호 실태조사 결과 요약정리 * 20년도 정보보호 실태조사 결과 요약 1) 정보보호의 중요성에 대한 인식 개선 (4.5% 증가) 1-1) 개인정보 수집률 (12.1% 증가), 이용률 (11.5%) 2) 정보보호 정책 수립률 증가 (0.5% 증가) - 10~49인 50.9% - 1~4인 11.9% 어려움을 느끼고 있음 3) 정보보호 조직 보유율 (1.1% 증가) - 50~249인 이하 58.2% - 10~49인 28.9% - 1~4인 6.3% 4) 정보보호 교육 실시율 (6.6% 증가) - 5인 이상 규모의 경우 50% 실시 5) 정보보호 예산 편성률 (29.5% 증가) 6) 정보보호 제품 이용률 (6.2% 증가) - 네트워크 및 단말기 보안이 각각 90.0% 이상 이용 7) 정보보호 서비스 이용률 (27.0% 증가) - 인증서, 유.. 2021. 3. 28.

(CSAP) 보안사고 정말 없었다? 믿어져? 1. 사고의 정의 2. 사고가 정말 없었나 3. 중소기업은 안전하다? 컨설팅이나 심사를 나가서 정보보호와 관련된 사고 대응과 관련된 인터뷰를 진행해 보면 지금까지 침해사고가 없었고 관련된 모니터링, 분석 및 대응 등의 증적이 전혀 없는 경우가 있습니다. 1. 이 경우 먼저 사고의 정의가 적절하지 않아 발생할 수 있습니다. 일반적으로 "침해사고"란 “해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태”의미합니다. 즉 주로 공격자에 의해 해킹, 악성코드 감염, 시스템 파괴, 경유지 공격, 위변조 등 피해가 발생한 사고를 의미하는데 이는 정보보호와 관련된 사고의 일부만을 의미하고 있습니다. 반면.. 2021. 3. 27.

(CSAP) 문서 중앙화 1. 최근 추세 최근 창궐하고 있는 랜섬웨어로 인해 문서중앙화 솔루션 업체들이 반사이익을 누리는 것으로 나타났다. 랜섬웨어는 해커가 컴퓨터 내 악성파일을 감염시켜 문서나 사진 파일을 암호화해 돈을 요구하는 사이버 범죄다. 문서중앙화 솔루션은 문서를 한곳에 모아 접근, 수정 권한을 제한하는 역할을 하기 때문에 랜섬웨어 피해를 막을 수 있다. 13일 업계에 따르면 랜섬웨어 피해를 당하거나, 예방을 위해 관련 솔루션에 대한 문의가 증가하면서, 국내 문서중앙화 솔루션 업체들이 랜섬웨어로 수혜를 입고 있는 것으로 나타났다. 2. 정의 문서중앙화 솔루션은 사내에서 작성되는 문서를 개인PC가 아닌 중앙 문서관리 서버에 저장하고 관리하는 솔루션이다. 문서 사용과 수정에 권한이 필요하기 때문에 랜섬웨어 등 악성코드 접근.. 2021. 3. 27.

(CSAP) 사고발생 시 신고기관 및 이용자 통지 개인정보처리자 또는 정보통신서비스제공자가 정보통신망을 이용하여 개인정보를 수집, 보관, 이용하여 서비스를 제공하던 중 개인정보 유출, 침해사고 등이 발생했을 때에는 신고, 통지를 하여야 합니다. 하지만 대상 기관별로 사고 유형에 따라 신고 기관과 기준, 기한 등이 다소 상이하지만 이 차이를 구별하지 않고 관리하는 경우 법률 위반이 될 수 있으므로 주의해야 합니다. 1. 클라우드컴퓨팅서비스제공자의 개인정보 유출 또는 침해사고 발생 시 클라우드컴퓨팅서비스제공자의 경우 대부분 정보통신서비스제공자이므로 개인정보유출 및 침해사고 등이 발생했을 때 개인정보보호위원회 또는 한국인터넷진흥원의 보호나라 등에 신고하는 것으로만 알고 있으나 클라우드컴퓨팅법에 따라 클라우드인증팀에도 별도 신고를 하여야 함을 숙지하고 있어야 .. 2021. 3. 27.

(CSAP) 물리적 보호구역 지정 클라우드 서비스 보안 운영 명세서 '8.1.1. 물리적 보호구역 지정'에서 - 접견구역 : 외부인이 별다른 출입증 없이 출입이 가능한 구역 (예 : 접견장소 등) - 제한구역 : 비인가된 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소 (예 : 부서별 사무실 등) - 통제구역 : 제한구역의 통제항목을 모두 포함하고 출입 자격이 최소인원으로 유지되며 출입을 위하여 추가적인 절차가 필요한 곳 (예 : 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등) 에 대한 부가 설명 간혹 받게되는 질문이 접견 구역은 이해가 되는데 제한구역과 통제구역의 통제 차이가 무엇입니까라는 질문입니다. 아래의 그림처럼 통제구역은 제한구역보다 더 중요한.. 2021. 3. 27.

이전 1 2 다음

티스토리툴바