본문 바로가기
반응형

분류 전체보기

 (183)
CPO (Chief Privacy Officer) / CISO (Chief Information Security Officer) * CPO : 기업의 개인정보 관리에 대한 총괄 책임자 - 개인정보보호법 제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.) * CPO 자격 요건 기관 요건 공공 기관 고위 공무원, 개인정보 처리 관련 업무를 담당하는 부서의 장 (3급) 공공 기관 외 사업주 또는 대표자, 개인정보 처리 관련 업무를 담당하는 부서의 장, 개인정보보호에 관한 소양이 있는 사람 * CPO 역할 : 정보 기술에 관한 관리적 조치에 중점 - 개인정보보호 내부 관리 체계 수립 - 보안 감사 - 보안 교육 - 법령 준수 - 정보보호 시스템 구축 - 개인정보 파일 관리 - 개인정보 파기 - 개인정보 유출 방지 * CISO : 기업의 정보보안을..
망 분리 (Network Segmentation) / 망 연계 (Network Connection) * 망 분리 : 외부의 침입을 막고 내부 정보의 유출을 막는 것을 목적으로 내부 업무 전산망/외부 인터넷망을 논리적/물리적으로 분리한 보안 강화 기법 - 금융권에서는 의무적으로 수행 * 망 분리 유형 분류 내용 특징 물리적 망 분리 2대의 PC나 망 전환 장치를 이용, 업무용/인터넷용 PC를 구분하여 사용 - 보안성 및 응답 속도가 높음 - 소프트웨어 및 네트워크 구성 비용이 2배 소요 - 금융권(보안성 중시)에서 많이 사용 논리적 망 분리 가상화 머신을 탑재한 서버 (SBC - Server Based Computing) 및 PC (CBC - Client Based Computing)을 두고 업무 처리 시 가상화 하여 이용 - 효율적 가격으로 망분리 가능 - 유연한 구성 및 제거 가능 - 보안 측면에서 ..
FDS (Fraud Detection System) * FDS : 전자금융 거래에 사용되는 단말기 정보, 접속 정보, 거래 내용 등을 종합 분석하여 의심 거래를 탐지, 이상 금융 거래를 차단하는 시스템 * FDS 프로세스 단계 내용 정보 수집 사용자의 정보 및 행위에 대한 정보 수집 분석 및 탐지 수집된 정보를 통해 이상 행위에 대한 분석 수행 대응 정상 판별 및 이상 거래에 대한 대응 모니터링 및 감사 수집, 분석, 대응 단계의 상호 밀접한 관계 유지를 위한 감사 * FDS 분류 탐지 시기별 분류 내용 동기 방식 거래 단계별, 이상 금융 거래 여부를 판단하여 단계별로 차단 및 승인된 처리에 대해서만 거래를 진행 비동기 방식 지시된 모든 금융 거래에 대해 거래원장을 작성, 지시된 금융 거래를 최종 승인하기 전, 이상 금융 거래 유무를 파악 * FDS 탐지..
e-Discovery (Electronic Discovery) * e-Discovery : 소송 또는 규제 요구에 대응하기 위해 기업의 콘텐츠를 수집, 준비, 검토, 구성, 생산하는 절차 - 즉, 포렌식 기술을 통해 소송, 감사 등에 대해 명확한 증거를 미리 정리하는 행위 - 국제 표준의 경우 EDRM (Electronic Discovery Reference Model)이 존재함. * e-Discovery 디지털 포렌식 비교 사항 비교 e-Discovery 디지털 포렌식 목적 요구에 의한 방어적 증거 공격적 수사 기법, 제출 프로세스 사전 원칙/분류 절차 중심 사후 추적/분석 절차 중심 소송 관점 쌍방에 의한 민간에 적용 강제적 형사 소송에 적용 활동 주체 민간 기관, 경영 조직 국가 기관, 사이버 수사대 기준 원칙 법적 근거, 내부 규정 원칙 연계 보관성 주요 기..
디지털 포렌식 (Digital Forensic) * 디지털 포렌식 : 디지털 매체를 매개체로 한 범죄 행위에 대해 자료 수집, 분석, 보존하여 법적 효력을 유지, 법원에 제출할 수 있도록 하는 일련의 절차 및 방법 * 디지털 포렌식 5원칙 원칙 내용 정당성의 원칙 증거를 적법한 절차로 수집하며, 위반 시에 증거는 효력을 잃음 재현의 원칙 동릴 조건과 상황에서 항상 같은 결과 쟇녀을 보장하여야 함 연계 보관성의 원칙 증거는 획득, 이송, 분석, 보관, 법정 제출의 일련의 과정이 명확해야 하며, 이를 추적할 수 있어야 함 무결성의 원칙 수집된 정보는 각각의 과정에서 위/변조되지 않음을 입증해야 함 신속성의 원칙 수집 과정은 손실이 발생하지 않도록 신속히 진행해야 함 * 디지털 포렌식 절차 1. 수사 준비 2. 증거 수집 3. 보안/이송 4. 증거 분석 5..
IOT 보안 가이드라인 * IoT 공통 보안 7원칙 : KISA에서 배포하였으며, IoT 기기의 개발 주기(SDLC)에 따라 설계/개발, 배포/설치/구성, 운영/관리/폐기 시 까지 보안을 검증하는 방안 단계 내용 참조 사항 설계 & 개발 단계 정보보호와 프라이버시 강화를 고려한 IoT 제품, 서비스 설계 보안 & 개인정보 반영한 디자인 준수 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증 수행 시큐어 코딩, 소프트웨어 보안성 검증 등 배포 & 설치 & 구성 단계 안전한 초기 보안 설정 방안을 제공 초기 안전한 보안 설정(Secure by Default) 원칙을 준수 안전한 설치를 위한 보안 프로토콜 준수 및 안전한 파라미터 설정 실제 운영환경 고려 운영 & 관리 & 폐기 단계 IoT 제품, 서비스의 취약점 패치 및 업데..
개인정보 비식별화 (Privacy De-Identification) * 개인정보 비식별화 : 수집/활용되고 있는 데이터에서 정보 주체(개인)을 식별할 수 있는 부분을 비식별 조치하여 개인정보보호와 동시에 비식별 조치된 정보는 산업적으로 활용할 수 있도록 하는 절차 - 데이터 3법 통과로 일반 기업에서도 가명 정보 형태로 개인정보를 이용 가능 (즉 개인정보 이용 시 필수 고려 사항이 됨) * 개인정보 비식별화 절차 단계 해당 내용 1단계 : 사전 검토 개인정보(식별정보)에 해당하는지 여부 확인 2단계 : 비식별 조치 정보 집합물에서 삭제나 대체를 수행 3단계 : 적정성 평가 다른정보와 쉽게 결합하여 식별 가능한지 여부를 평가 4단계 : 사후 관리 재식별 가능성에 대한 모니터링 * 비식별 조치 유형 : 식별자 데이터를 비식별 데이터로 변경 유형 내용 종류 예시 가명 처리 (..
정보보호 거버넌스(Governance - ISO27014) * 정보보호 거버넌스(ISO27014) : 정보보호 관련 의사결정 권한과 책임의 할당, 비즈니스와 전략적 연계, 관련 법과 규정의 준수를 위한 프로세스 및 실행 체계의 국제 표준 - 컴플라이언스 (Compliance) : 법규를 지키는 행위로 강제 (안할 시 벌금) - 거버넌스 (Governance) : 효율적 운영을 위함이나, 강제성은 없음 (단, 제대로 하지 않을 시 비효율 초래) * 정보보호 거버넌스 프로세스 프로세스 내용 평가 (Evaluate) 목표 달성을 위해 조정이 필요한 부분을 계획, 변경 지시 (Direct) 보안 목적 및 전략 달성에 필요한 사항을 제시 모니터 (Monitor) 보안활동 진단, 요구사항 반영, 성과 지표를 관리 의사소통 (Communicate) 보안 내용에 대한 공유 정..
반응형

티스토리툴바