본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

CSAP153

(ISMS-P) (Linux) 리눅스 시스템의 감사 로그 생성 및 로그 유형 1. rsyslog의 개요 가. rsyslog의 정의 -리눅스 초기 syslog를 사용하던 것을 성능 및 관리 편리성을 개선한 로그 관리 기능 나. rsyslog의 관련 파일 관련 파일 설명 /etc/rc.d/init.rsyslog -rsyslogd 데몬을 동작시키는 스크립트 /etc/rsyslog.conf -rsyslogd 데몬 환경 설정 파일 /etc/sysconfig/rsyslog -rsyslogd 데몬 실행과 관련된 옵션 설정 파일 /sbin/rsyslogd -실제 rsyslog 관련 데몬 2. rsyslog.conf의 설정 파일 및 로그 옵션 구성요소 가. rsyslog.conf의 설정파일 -리눅스 시스템에서 생성될 각종 유형의 로그에 대한 설정을 rsyslog.cnf에서 가능 나. rsyslo.. 2021. 7. 25.

(ISMS-P) 관리자 계정을 공용으로 사용하는 문제점 상황 1) 시스템을 관리하는 다수의 관리자(User #1, User #2, User #3)가 'abc'계정을 공용으로 사용 2) Application이 시스템 내의 자원을 엑세스할 때 기본적으로 'abc' 계정을 사용 (관리자와 Application이 'abc' 계정을 공용으로 사용하는 상황) 3) 'abc'계정에서 root 권한 필요 시 패스워드 입력 없이 su, sudo 사용 보완조치 1) 각 관리자별로 개인 계정을 발급하여 추후 사고 시 책임추적성 확보 필요 2) Application이 시스템 자원 엑세스 시 관리자와 다른 계정과 권한을 사용하여 사고 예방 및 책임추적성 확보 필요 3) su, sudo 실행 시 패스워드 입력을 통해 악이적인 접근 및 root권한 획득을 통한 추가 피해 예방 -사용자.. 2021. 7. 9.

(ISMS-P) 개인정보 유출 및 침해사고 등 발생 시 신고기관 및 이용자 통지 개인정보 유출 및 침해사고 발생 등이 발생하면 개인정보처리자, 정보통신서비스제공자, 클라우드컴퓨팅서비스제공자 등은 각각의 사항에 해당되는 기관에 신고를 하여야함 1) 개인정보 유출 신고 -개인정보처리자 (개인정보보호법 제34조) -정보통신서비스제공자 (개인정보보호법 제39조의4) -상거래 기업 및 법인 (신용정보의 이용 및 보호에 관한 법률 제39조의4) 2) 개인정보 침해 신고 -이용자/정보주체 (개인정보보호법 제62조) 3) 침해사고 신고 -정보통신서비스제공자 (정보통신망법 제48조의3) 4) 클라우드컴퓨팅 관련 침해사고 신고 및 이용자 정보 유출 등 -클라우드컴퓨팅서비스제공자 (클라우드컴퓨팅법 제25조) * 클라우드에 관한 침해사고 및 개인정보 유출 신고는 각각 별도로 신고 개인정보 유출 시 개인정.. 2021. 6. 29.

(ISMS-P) 법적 요구사항 준수 만족 방안 7.1.1. 법적 요구사항 준수 + 7.1.2. 정보보호 정책 준수 + 7.2.1. 독립적 보안감사 1. 법 및 정책 준수의 개요 가. 법 및 정책 준수의 정의 -기관이 준수해야 할 다양한 법률을 식별하고 식별된 법률에서 요구하는 다양한 사항을 반영하여 미준수 시 발생되는 위험을 감소시키는 관리 활동 나. 법 및 정책 준수의 특징 법률 위반 위험 감소 기관이 해당 업무를 수행함에 있어 관련된 다양한 법률을 식별하고 검토하여 위반 가능성 감소 고객 신뢰도 고객과의 계약으로부터 발생되는 다양한 요구사항도 반영하여 평소 업무 수행 시 준수하고 증적 생성 및 보관 보안 감사 주기적으로 보안 요구사항의 준수여부를 독립적 감사를 통해 점검 및 보완 2. 법 및 정책 준수 방안의 개념도 및 설명 가. 법 및 정책 준.. 2021. 6. 29.

(ISMS-P) (Oracle) Database Audit Log 관리 방법 1. Database Audit의 개요 가. Database Audit의 정의 -Database 사용자가 권한을 부여받아 Database를 이용할 경우, 승인되지 않은 작업을 수행하거나 적절한 권한이 없는 사용자가 계정을 도용하여 접근할 수 있으므로 추후 책임추적성을 확보하기 위해 제공하는 기법 나. Database Audit의 특징 -(Database 감시), 사용자가 데이터를 조작하거나 조회 시 관련 로그 저장 -(책임추적성), 내부감사 또는 사고 발생 시 저장된 로그를 검토하여 조치 가능 -(Database 성능 저하), 운영 서비스에서 상세한 로그를 저장할 경우 성능 저하의 원인이 될 수 있어 DBA가 설정 가능 -(Audit Trail), Database의 이벤트에 대한 정보를 저장 가능 -(A.. 2021. 6. 24.

(ISMS-P) 개인정보 수집 이용 제공 동의 시 미흡사항 현업에서 개인정보처리자가 직접 개인정보를 수집하는 경우에 가장 많이 실수하는 부분이 위의 그림과 같이 3곳의 현황이 서로 상이한 경우이다. 1) 회원가입 신청서 내에서 수집하는 개인정보 항목이 개인정보 수집 이용 동의서에서 고지 후 동의를 받는 부분과 일치하도록 관리하여야 한다. 2) 개인정보 수집 이용 동의서에서 고지, 동의받은 사항은 개인정보처리방침 내에서 동일하게 일치하도록 작성 관리되어야 한다. 다음의 예시에서 왼쪽은 서로 내용이 일치하지 않는 예시이며 오른쪽은 3가지 영역에서 서로 내용이 모두 일치한 예시이다. 2021. 6. 16.

(ISMS-P) 화상회의 서비스 인증 시 추가 점검 기준 클라우드 서비스 보안 인증 (CSAP)에서 화상회의와 관련된 서비스를 인증할 경우, SaaS 인증 항목 외에 다음과 같은 추가 점검 항목이 존재함 구분 설명 통신 구간 암호화 - 모든 회의 참석자들간의 화상 회의 통신 구간은 암호화 통신 적용 (암호화 통신 시 자체 개발한 암호화 알고리즘을 사용하지 않고 안전한 암호화 알고리즘을 사용하도록 주의) 2 Factor 인증 - 서비스 이용을 위해 접속하는 모든 관리자/이용자는 2 Factor 인증 적용 (OTP, SMS, 공인인증서, 이메일 인증 코드 등 사용) 회의방 참석 - 사전에 공유된 회의 URL, 비밀번호를 이용하여 참석 - 회의방에 비밀번호(코드번호)는 필수 적용 (회의방에 초대하기 위해 관련 URL이 포함된 메시지 또는 이메일을 전송하는 경우에도 .. 2021. 6. 14.

(CSAP) 개인정보처리시스템 접속기록 보관 기준 기분 개인정보의 안전성 확보조치 기준 개인정보의 기술적 관리적 보호조치 기준 대상 기관 개인정보처리자 정보통신서비스제공자 접속 기록 보관 기간 -개인정보처리시스템에 접속한 기록은 1년 이상 보관 (단 5만명 이상의 정보주체에 관하여 개인정보 처리하거나 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상) -접속기록은 최소 1년 이상 보관 권한 관리 기록 보관 기간 -권한부여, 변경, 말소에 대한 내역을 기록하는 경우관 최소 3년간 보관 -권한부여, 변경, 말소에 대한 내역을 기록하는 경우 최소 5년간 보관 접속기록 점검주기 월 1회 이상 월 1회 이상 접속기록 관리 -접속기록이 위변조 및 도난, 분실되지 않도록 안전하게 보관 -접속기록이 위변조되지 않도록 별도 물리적 저장 장치에 보.. 2021. 6. 8.

(ISMS-P) 본인인증기관을 활용할 경우 개인정보 수집 이용 내용 공개 여부 개인정보 처리자가 웹페이지, 앱 등을 통해 서비스를 제공하기 위해 회원가입 등의 절차에서 본인인증 절차를 수행하는 경우가 있습니다. 대부분 자체적으로 필요에 의해 본인 확인이 필요한 경우, 간단하게 메일이나 SMS 등을 통해 인증하는 경우도 있지만 반드시 본인 여부를 확인해야 하거나 주민등록번호를 확인하는 대신 다른 대체 수단을 제공해야 하는 경우 등에서는 전문 기관을 통해 인증을 하는 경우가 있습니다. 이때 본인인증 전문기관에서 제공하는 별도 Application을 통해 인증을 하므로 개인정보 처리자는 해당 정보를 수집하지 않고 결과를 통보 받는다고 하여 회원가입 시 수집 이용되는 개인정보 현황, 개인정보처리방침 내에서 수집되는 항목, 목적 등에서 누락되는 경우가 있습니다. 본인인증을 하는 목적은 개인.. 2021. 6. 8.

(ISMS-P) 친목단체에서 개인정보를 수집하는 경우 수집 이용 동의 여부 Q) 친목단체에 가입 또는 활동 등에 참여할 경우 회원들의 개인정보를 수집할 때 정보주체의 동의가 필요하는지? A) 개인정보 처리자가 친목단체를 운영하기 위하여 다음의 경우에 해당하는 개인정보를 수집하는 경우에는 정보주체의 동의 없이 개인정보를 수집·이용할 수 있다. 1. 친목단체의 가입을 위한 성명, 연락처 및 친목단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적 사항 2. 친목단체의 회비 등 친목유지를 위해 필요한 비용의 납부 현황에 관한 사항 3. 친목단체의 활동에 대한 구성원의 참석여부 및 활동내용에 관한 사항 4. 기타 친목단체의 구성원 상호 간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향 및 가족의 애경사 등에 관한 사항 * 표준 개인정보보호 지침 제12조.. 2021. 6. 4.

(ISMS-P) 근로자의 개인정보를 수집할 때 동의 필요 여부 Q) 회사가 근로자의 개인정보를 수집할 때 동의가 필요하는지? A) 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 따른 임금지급, 교육, 증명서 발급, 근로자 복지 제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다. (표준 개인정보보호지침 제6조(개인정보의 수집 이용) 제6항) 개인정보보호법 제15조(개인정보의 수집ㆍ이용) 제1항에 개인정보를 수집할 수 있는 경우를 다음과 같이 정의하고 있으며 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법.. 2021. 6. 4.

(ISMS-P) 품질 관리와 정보보호 관리의 비교 (2) 구분 품질 관리 정보보호 관리 정의 - 제품이나 서비스에 대한 고객(이용자)의 다양한 요구사항과 기대를 충족시키는 생산, 기술, 마케팅에 대한 전체적 성질을 관리하는 기법 - 기업의 정보자산을 위협으로부터 보호하는 활동을 관리하는 기법 대상 - 제품이나 서비스 - 정보자산 (유형, 무형의 자산) - 제품이나 서비스 중요성 - 고객/이용자 기호 변화 - 고객 만족 증진 - 내구성 향상으로 인한 유지비용 절감 - 기업 신뢰도 향상 - 4차 산업혁명으로 물리적/논리적 자산 외에도 지적 재산 등 중요 - 개인정보 유출 시 사생활 침해로 이용자 불만 증가 - 법적 책임 이행으로 손실 발생 - 기업 이미지 손상 시 기업 이익 감소 목표 - 품질 향상 - 고객 만족 - 기업 생존 - 자산 보호 - 이해관계자 및 이용.. 2021. 5. 30.

(ISMS-P) 개인정보보호법(20.08.05) 사업자 체크리스트 작성 최근 개정된 개인정보보호법의 법적 요구사항을 반영하여 작성된 체크리스트 업데이트 2021. 5. 27.

(ISMS-P) 정보보호 최고책임자 신고제도 강화 (정통망법 21.05.24) 정보보호 최고책임자 신고제도 강화됐다... 정통망법 개정안 국회 통과 (boannews.com) 정보보호 최고책임자 신고제도 강화됐다... 정통망법 개정안 국회통과 그동안 형식적으로 운영돼 왔다는 지적이 제기됐던 정보보호 최고책임자(CISO) 제도를 강화할 정보통신망법 개정안이 국회 본회의를 통과했다. 국민의힘 김영식 의원은 자신이 대표발의한 ‘정 www.boannews.com 2021. 5. 26.

(ISMS-P) 정보보호 조직의 구성 및 역할 1. 정보보호 조직의 개요 가. 정보보호 조직의 정의 -조직의 정보보호 및 개인정보보호와 관련된 활동을 체계적으로 수행하기 위한 담당 부서 나. 정보보호 조직의 특징 -(개인정보보호), 조직의 특성에 따라 정보보호와 개인정보보호 업무를 통합 또는 이원화 관리 -(실무역량 고려), 효과적인 조직의 정보보호 활동 수행을 위해 학력, 경력, 자격 등을 고려 -(실무역량강화), 채용 이후에도 주기적 또는 상시적으로 관련 직무의 역량 강화를 위해 세미나 참석, 교육 이수 등 활동 수행 2. 정보보호 조직도 및 담당업무/자격 가. 정보보호 조직도 나. 정보보호 조직 내 담당업무 다. 정보보호 자격요건 3. 정보보호 또는 정보기술 분야 학력, 기술자격, 경력 등 2021. 5. 16.

(ISMS-P) (개인)정보보호 활동의 성공과 동기부여 대부분 정보보호관리체계를 구축한다고 할 때 보통 정책/지침을 수립하고 조직 구성 및 예산 배정 등을 합니다. 그리고 담당자에 의해 정책/지침에서 요구하는 활동들을 끊임없이 수행, 준수하도록 요구하지만 조직의 정보보호 활동은 잘 수행되지 않고 있는 경우가 있습니다. 이에 대한 원인은 다양한 이유가 있겠지만 아래와 같은 유형의 이유일 것입니다. -기관 내 임원진의 관심이 부족한 경우 (담당자 나홀로 정보보호 활동을 수행) -기관의 임직원들의 인식이 부족한 경우 (왜 귀찮게 이일을 해야 하느지 불만) -기관의 비즈니스 전략과 분리 운영되는 경우 (목적 없이 단순히 의무로써 형식적인 수행) -잘하고 싶은데 어떻게 해야 하는지 모르는 경우 (전문가 채용, 외부 교육 등 역량강화 기회 부족) -잘하고 있는줄 알았는.. 2021. 5. 8.

(ISMS-P) (개인) 정보보호 조직 구성의 주요 부적합 사항 및 개선 방안 (현황) -홍길동/상무는 서비스 본부의 본부장으로써 CISO와 CPO 업무를 겸직 수행하고 있음 -김유신/팀장은 서비스 사업팀의 팀장 -이순신/팀장은 서비스 운영팀의 팀장으로써 서비스 사업팀장과 동등한 직무레벨 -유관순/과장, 강감찬/과장은 서비스 운영팀 내에서 정보시스템 및 정보보호시스템 등 운영 관리 (부적합 사항) -홍길동/상무는 내부 업무 수행 현황에 따르면 정보보호 최고책임자와 개인정보 보호책임자 직무를 수행하고 있으나 각종 문서 상에서는 내용이 일치하지 않음 -개인정보보호법률에 따르면 개인정보 보호책임자를 지정해야 하나 각종 문서상에서는 개인정보 관리책임자, 개인정보 보호책임자 등 다양한 직무명을 사용하고 있음 -결재 시에 정보보호 관리자의 검토, 승인이 존재하지 않음 (실제 업무수행 시 동등.. 2021. 5. 2.

(ISMS-P) 정보통신서비스 제공자 해당 여부 1. 정보통신서비스 제공자의 개요 가. 정보통신서비스 제공자의 정의 - 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자 (정보통신망법 제2조제1항제3호) 나. 정보통신서비스 제공자의 특징 -(전기통신사업자), 기간통신사업자, 부가통신사업자의 경우 정보통신서비스 제공자에 해당 -(지정 요건), 영리목적, 전기통신사업자의 전기통신 역무 이용, 정보의 제공 또는 매개 -(영리목적 유무), 법인의 특성, 정보통신서비스의 성격, 목적 등을 바탕으로 종합적으로 고려 2. 정보통신서비스 제공자의 해당 여부 2021. 5. 2.

이전 1 ··· 4 5 6 7 8 9 다음

티스토리툴바