CISA Domain 5 - 정보 보안의 개념 (2)

정보시스템 감사인은 보안 사고에 대한 인식, 보고, 기록, 분석을 하고 모니터링하는 절차의 필요성을 인식하고 있어야 한다. 즉, 보안 사고로부터 피해를 최소화하고 보안 사고를 통한 학습을 위해 공식적인 사고 대응 능력을 갖추어야 한다.

 

 

✔ 사고 처리 대응

1️⃣ 사고처리 및 대응을 위해 해야 할 사항들

• 발견한 사고나 의심이 가는 사건을 지정된 사람에게 가능한 신속하게 보고
• 보안 결함을 발생시킨 직원에 대한 공식적인 징계 프로세스 수립
• 사고에 적절하게 대응하기 위해서는 사고 발생 후 가능한 신속하게 증거(로그)를 수집
• 자동화된 침투 탐지 시스템을 구축

 

2️⃣ 로그의 유지

사고에 대한 기록. 즉, 로그는 정확 / 완벽(무결성) 해야 하며 허가되지 않은 사람, 프로세스, 프로그램에 의해 변경되어서는 안 된다.

• 로그는 예방이 아닌 탐지통제이다.
• 로그는 한번 써지면 읽기만 가능해야 한다.(Read Only)
• 저장매체 중 WORM(웜, 광저장매체)에 저장

 

💡 기밀성(Confidentiality)의 통제 방법은 암호화, 무결성(Integrity)의 통제 방법은 전자 서명, 가용성(Availability)의 통제 방법은 백업이 있다.

 

3️⃣ 사고처리 대응 능력(IRP, Incident Response Platform)으로 인한 이익

• 피해 확산의 방지 및 복구
• 앞으로 발생할 피해의 방지
• 위협 및 취약성 데이터의 활용
• 교육과 보안 인식 프로그램 향상

 

 

✔ 프라이버시 개요

프라이버시는 비인가 접근이나 개인 정보가 폭로되는 것에서 자유로워지는 것을 의미한다.

1️⃣ 프라이버시 요구사항

• 프라이버시 데이터는 수집제한의 원칙으로 최소한으로 수집되어야 한다.
• 프라이버시 데이터는 공개적이고 투명하게 수집되어야 한다.
• 프라이버시 데이터는 그 수명이 다 할 때까지 보호되어야 한다.
• 프라이버시 데이터는 본래의 수집 목적에만 활용되어야 한다.
• 프라이버시 데이터는 정확하고 완전성(데이터 품질의 원칙, 무결성)을 가지며 최신이어여 한다.
• 프라이버시 데이터는 요구사항이 사라지면 삭제되어야 한다.

 

2️⃣ 프라이버시 원칙에 기초한 보증 고려사항

• 선택과 동의 : 기업은 개인정보를 다른 관할구역으로 이전하기 전에 적절한 동의를 얻었는지 확인하였는가?
• 법적 목적 명세 및 사용 제한 : 개인정보 수집 목적을 명시하고 있는가?
• 개인정보 및 민감한 정보 생명주기 : 기업은 필요한 기간 동안만 개인정보를 보관하고 있는가?
• 정확성 및 품질 : 기업은 개인 정보가 정확하고 완전하며, 최신 상태인지 확인하기 위해 실무 및 프로세스를 구현하고 있는가?
• 모니터링, 측정 및 보고 : 기업은 정책, 표준 및 법률 준수를 보고하고 있는가?
• 침해 관리 : 기업은 사고 식별, 에스컬레이션 및 보고를 위한 문서화된 정책 및 지원 절차를 수립했는가?
• 설계에 따른 보안 / 프라이버시 : 기업 이벤트 내에서 개인 정보 및 프라이버시 위험을 식별하기 위한 경영진의 지원을 보장하고 있는가?
• 정보의 자유로운 유통 및 합법적 제한 : 기업은 국가 간 정보의 전송에 대한 해당 데이터 보호 당국의 요구사항을 준수하는가?

 

 

✔ 프라이버시 영향평가(PIA, Privacy Impact Assessment)

신규 개발되는 정보 시스템 등이 기본적인 프라이버시 요구를 만족시킬 수 있도록 도와주는 프로세스

1️⃣ PIA의 목표

• 경영층으로 하여금 프라이버시에 대한 위험과 이를 대응하는 대책의 이해에 기반하여 시스템 설계에 대한 의사결정을 하도록 지원
• 프라이버시에 대한 책임성(Accountability)을 명확히 포함하도록 한다.
• 신규 시스템이 프라이버시 관련된 정부의 법규에 기술적, 법적으로 순응함을 제시하기 위한 일관성 있고 구조화된 프로세스가 있음을 확인시켜 준다. → 국제 법규가 고려될 때 특히 중요
• 개인정보의 흐름에 대해서 문서화를 제시하여 향후 확인, 주기적인 점검, 새로운 프라이버시 보호 요건의 반영이 용이하도록 한다. → 불필요한 개인 정보 수집을 막아 프라이버시 준수를 위한 정보 시스템의 수정 및 갱신을 감소
• 업무 프로세스와 관련된 개인 신상 정보의 성격을 식별하여 보호한다.

 

2️⃣ PIA의 필요 시기

• 시스템 개발 초기단계에서 고려
• 시스템 구매 또는 시스템 개발 작업의 승인을 위한 펀딩의 요청 승인 시

 

 

✔ DPIA(Data Privacy Impact Assessment)

자신의 데이터가 어떻게 쓰이는지, 안전하게 보호되고 있는지, 그리고 스스로 인지하고 있는 목적으로만 사용되고 있는지 끊임없이 감시해야 한다. 따라서 개인정보 보호 최적화 설계를 실제로 적용하려면 우선 DPIA를 해야 한다.

DPIA를 위해서는 우선 사용 데이터를 파악하고 그러한 데이터를 어떻게, 어느 정도로 보호할 수 있는가를 평가해야 한다.

그리고 모든 데이터 저장소의 위치를 고려하고, 데이터가 어떻게 처리되는지 등도 계산에 넣어야 한다.

 

 

✔ PII(Personal Identification Information)

1️⃣ Masking(물리적인 PII 보호방법)

ex) 물리적인 영수증에서 데이터를 *로 보호

 

2️⃣ Tokenization(통신간 PII 보호방법)

ex) 인터넷상에서 카드정보가 랜덤으로 변경되어 전송 

 

 

✔ 인적보안

1️⃣ 신원조회

• 법 / 규제에 따라 배경 확인
• 대상 : 피고용인, 계약직 등
• 업무 요구사항
• 범죄이력

2️⃣ 고용조건

• NDA 서명
• 저작권 / 데이터 보호 법률
• AUP 동의
• 연대보증

3️⃣ 고용 중

• 공식적인 보안 인식 훈련
• 직무 분리
• 최소 권한(알 필요성의 원칙)
• 강제 휴가

4️⃣ 퇴직

• 논리적, 기술적 : 계정 철회
• 물리적 : 에스코트(Escort)
• NDA 재검토
• 퇴직 면담

 

 

💡 에스코트(Escort)의 경우

• 강제적 퇴사
• 데이터 센터 방문 시
• 장애해결하기 위해 방문 시
• IDC에서 부품절도 방지 시

 

💡 NDA(Non-Disclosure Agreement)

협약에 따라서 보호되는 정보를 공개하지 않는데 동의하는 계약. 즉, 업무상 취득한 정보는 외부에 발설하지 않겠다는 계약이다.