사이버 침해 대응절차
1. 침해사고의 인식 및 신고
2. 긴급조치
3. 분석
4. 재발방지 조치
5. 침해사고 결과 분석 및 보고서 작성
6. 침해사고 분석 및 대응 결과를 승인
ISMS(Information Security Management System)
기업이 주요 정보자산을 보호하기 위해 수립, 관리, 운영하는 정보보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도
기밀성, 무결성, 가용성을 실현
PIMS(Personal Information Management System)
개인정보보호 관리체계로 정보통신망에서 개인정보보호 활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적, 기술적, 물리적 보호조치가 표준에 맞게 구축되어 있는지 정부가 확인하여 인증해주는 제도
ISMS-P
ISMS와 PIMS 두 가지 체계를 합쳐 만든 새로운 인증체계로 인증기준에 개인정보 항목들과 정보보호 항목이 합쳐져 있다.
인증 신청 대상자
- 자율신청자: 의무대상자 기준에 속하지 않지만 자발적으로 정보보호 및 개인정보보호 관리체계 구축 및 운영하는 기업 기관
- 의무대상자: ISMS와 ISMS-P 인증 중 선택 가능. 미인증 시 3,000만원 이하의 과태료가 부과
의무대상자(정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조)
- 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자
- 연간 매출액 또는 세입이 1,500억원 이상인 자 중 의료법 제3조의4에 따른 상급종합병원 혹은 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제2조에 따른 학교
- 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
- 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
관리적 요구사항 절차
1. 경영진 책임 및 조직
2. 보호정책 수립 및 범위
3. 위험관리
4. 보호대책
5. 사후관리
개인정보보호법
- 개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
(해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함)
- 처리: 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위
- 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 정보의 주체가 되는 사람
- 개인정보파일: 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물
- 개인정보처리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
개인정보 보호위원회(제2장 제7조)
- 개인정보 보호에 관한 사항을 심의, 의결하기 위하여 대통령 소속으로 개인정보 보호위원회를 둔다. 보호위원회는 그 권한에 속하는 업무를 독립하여 수행한다.
- 보호위원회는 위원장 1명, 상임위원 1명을 포함한 15명 이내의 위원으로 구성하되, 상임위원은 정무직 공무원으로 임명
- 위원장과 위원의 임기는 3년으로 하되, 1차에 한하여 연임할 수 있다.
개인정보의 수집, 이용
- 개인정보 수집 가능
1. 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우.
- 개인정보주체에게 알려야하는 사항
1. 개인정보의 수집, 이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
- 제3자에게 개인정보 제공 시 정보주체에게 알려야하는 사항
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
- 제3자에게 개인정보 제공 가능 상황
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의, 의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
개인정보 영향평가(제 33조)
공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 하고 그 결과를 보호위원회에 제출해야 한다.
- 영향평가 시 고려사항
1. 처리하는 개인정보의 수
2. 개인정보의 제 3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
- 영향평가 절차
사업계획 - 분석, 설계 - 개발 - 테스트 -운영
재난복구 서비스
- 미러사이트: 주 전산센터와 완전 이중화를 수행하고 데이터도 실시간 동기화를 수행, 주 서버와 백업 서버를 active-active 상태로 유지하여 재해 발생 시 즉시 전환이 가능
- 핫사이트: 주센터와 동일한 수준 정보 자원을 원격지에 구축, active-standby 상태 유지하여 재해 발생 시 백업 서버를 active 상태로 전환
- 웜사이트: 중요성이 높은 정보 기술 자원만 부분적 원격지에 보유
- 콜드사이트: 최소한의 자원(기본 시설)만 원격지에 구축
정보 보호 시스템 평가 기준
ITSEC(Information Technology Security Evaluation Criteria)
- 유럽 4개국이 평가제품의 상호 인정 및 평가기준이 상이함에 따른 불합리함을 보완하기 위하여 작성
- 단일 기준으로 모든 정보보호제품을 평가, 시스템과 제품을 동일한 평가기준으로 평가하도록 되어있으며 새로운 보안기능의 정의가 용이하고 등급의 평가는 보증 평가만으로 이루어짐
- 평가등급은 최하위 레벌의 신뢰도를 요구하는 E0(부적합판정)부터 최상위레벨의 신뢰 도를 요구하는 E6까지 7등급으로 구분함
- 기술적인 문제 보다는 조직적, 관리적 통제와 보안제품의 기능성 등 비기술적인 측면을 중시
TCSEC(Trusted Computer System Evaluation Criteria)
- 정보가 안전한 정도를 객관적으로 판단하기 위하여 보안의 정도를 판별하는 기준을 제시한 것
- 오렌지북
- 1985년 미국 국방성의 정보 보호 평가 표준으로 제정
CC
- 국제 공통 평가기준, 정보화의 순기능 역할을 보장하기 위해 정보 보호 기술 기준으로 정보화 제품의 정보 보호 기능과 이에 대한 사용 환경 등급을 정한 기준
- 국제표준
참고 자료
http://www.law.go.kr/lsInfoP.do?lsiSeq=195062&efYd=20171019#0000
https://blog.naver.com/ktykty8974/221012077954
https://blog.naver.com/sky00141/221377694433
https://blog.naver.com/dlguswls9998/221798684046
https://blog.naver.com/zoidnick/150041242987
'Security > Others' 카테고리의 다른 글
Compiler vs Interpreter (0) | 2020.10.14 |
---|---|
DDE 공격 (0) | 2020.06.01 |
정보보안기사 공부 (0) | 2020.05.27 |
Shellcode(쉘코드) (1) | 2019.09.26 |
기본 용어 정리 (0) | 2019.07.10 |
Defensive Programming VS Offensive Programming (0) | 2019.07.10 |
제로데이 vs 원데이 vs 올데이 (0) | 2019.07.10 |
Bug Hunting (0) | 2019.07.10 |