2020.11.09 ISO/IEC 27701

ISO/IEC 27701 
 -  27001 + 27002 + PII 로 구성
PIMS에서 27001과 관련된 것
- 일반, 조직의상황,리더십,계획,지원,운영,평가수행,개선
PIMS에서 27002와 관련된 것
- 암호화, 접근통제, 보호정책, 자산, 보안
27002 - PII 컨트롤러를 위한 추가 지침
29100 - 개인정보보호를 위한 추가지침

Plan-Do-Check-Act : PDCA(계획,구성,모니터링,개선)

PCI DSS : Data의 결재 정보

PCI DSS 인증레벨 
 - 레벨 1 : 연간 거래 600만이상,카드정보 유출사고,매입사 요구 : 연 1회 QSA-심사원- 현장 심사, 분기별 ASV 스캔
- 레벨 2 : 연간 100만건 이상 : 연 1회 자가 질의서, 분기별 ASV 스캔
- 레벨 3 : 연간ㄴ 2만건 이상 : 연 1회 자가 질의서, 분기별 ASV 스캔
- 레벨 4 : 연간 2만건 미만

PCI 인증 구조
PCI PTS (Pin Transaction Security) : h/w 설계자가 주의해할 내용
PCI PA-DSS : s/w 개발 준수 내용
PCI DSS : 민감정보를 취급하는 모든 자들이 주의해야할 내용(통제 관련 - DSS 기술의 인프라에 해당하는 기술은 암호화 - )
P2PE : 종단간 암호화(신용카드 단말기에서 신용카드 회사 서버까지의 암호화)

미국의 FFIEC 는 금감원과 같은 기관
영국의 민간 공인인증체계는 최상위 인증 기관인 Root CA없이 t스킴의 승인을 얻은 인증기관(CA)을 통해서 서비스르 제공

클라우드 컴퓨팅 : 클라우드 사용 7일전에 금감원장에게 보고
자체 보안성 심의 : 금융감독권보고 보안성 심의 후 7주일이내
전자금융기반시설 취약점 분석 평가 : 금융감독원 연1회 (홈페이지 반기 1회) 점검후 1개월이내  금융감독원 보고
침해사고대응복구 훈련 : 금융보안원 연1회이상 1개월내 보고
정보보호교육 : 3(6),6,9,12 - 임원(CISO),직원,기술직원,보안지원 
비상대응훈련 : 금융위원회 연1회 훈련완료 후 1개월이내
정보보안점검 : 매월 금융회사, 정보호호의날 지정
전자금융사고 : 금융감독원 지체없이
정보기술부문계획서 : 사업년도 초 3개월이내 매년 최고경영자 승인 후 금융위원회 제출

==========================================================

금융보안 거버넌스 개념
 - 최고 경영층의 의사 결정 권한과 책임, 비즈니스와의 전략적 연계, 컴플라이언스 보장을 위해 지켜야할 원칙과 수행해야할 활동 및 과제를 정의한 문서로 그개념과 원칙

목표 : 책임성, 비지니스 연계성, 준거성
    - 책임성 : 정보자산에 대한 책임추적성을 부여
    - 비지니스 연계성 : 최고경영층과 정보보호 관려 이해 관계자들에게 정보보호의 비니지스가치를 전달하는것
    - 준거성 : 정보보호 관련 위험이 조직 내 적절한 수준으로 관리되고 있음을 보장

관리체계
 - 인력,프로세스,기술의 성숙도

=================================================
ISO/IEC 27014
  정보보호 거버넌스란 : 기업의 정보보호 활동을 지시하고 통제하기 위한 시스템 또는 체계
                                    ------  관찰 ------
                                    |                   |
   이해관계자 ---  소통  --- 평가    -----   실행 조직    
                                    |                   |
                                    ------  지시------

   실행조직 - 관찰 - 평가 - 지시   === 이전 전체에 권고하고 의뢰를 받는 것은 보증

=========================================================

금융 거버넌스 주요 이슈
   정책 : 사후 점검 및 점검강화
   보안영역 : 방어, 탐지, 회복이 동일
   관리 : 위험관리는 투자
   보호대상 : 비지니스 전체
   참여자 : 전 부서
   신뢰 시스템 : 시장(소비자 선택)

금융보안원 금융보안 거버넌스 7대 원칙
  - 정보보호 활동을 위한 명확한 역할 정의, 권한 및 책임 확립
  - 올바른 의사결정을 위한 보고체계 수립
  - 위험 감소 및 완화를 위한 전사적인 위험관리 체계확임
  - 정보봅호 활동의 현재와 미래에 대한 최고경영층등의 이해를 돕기위한 방법제시
  - 원활한 정보보호 활동을 위한 최고경영층 등의 소통강화
  - 안정적인 정보보호 활동을 위한 정보보호 예산 수립, 진행 및 전담 인력 배치
  - 선순화 구조를 위한 정보보호 문화 확립

  금융보안 거너번스의 주요 이슈
  - 최고경쳥층 및 CISO의 역할과 책임이 명확하게 정의되어 있지 않으며 직책에 맞는 권한도 부족
  - 보고체계에 따라 정보보호와 관련한 보보가 최고경영자에게 누락되는 경우가 발생
  - 디지털 금융 확산등으로 정보보호의 중요성이 더욱 강조되고 있으나 정보보호 투자에 대한 실질 예산 집행이 쉽지 않음
   - 위험관리가 전사적으로ㅗ 이뤄지지 않고 특정 영역에 대해서만 관리되고 있는 경우가 존재
   - 최고경영층 간의 소통이 활발하지 않아 업무 진행시 어려움 발생
   - 법규 및 내규가 관리되고 있으나 실질적으로 임직원이 인지하지 못함
   - 법규에서 규정하고 있는 정보보호 활동만 수행하려는 경향이 여전



========================================================
금융보안 거버넌스 전략
  CEO : 정보보호 거버넌스 , 정보보호 관리, 정보보호 인증, 정보보호 대책 구현 및 운영,정보보호 비상 대응 및 대비의 책임이 있음

 외부 환경 분석
  - 국제표준 , 국가적 정책,  국내의 동종산업, 최근사회적 이슈를 분석

정보보호의 요구사상
  책임성, 비지니스 연계성, 준거성

 정보보호 아키턱처의 개념
  - 정보자산의 기밀성,무결성,가용성을 강화 하기위하여 관리 물리기술적 정보보호 영역의 구성요소와 관계를 구체화한 것
  - 정보보호를 위한 관리적 물리적 기술적 차원에서의 통제 프로세스를 구성하고 조직 구성원들의 역할과 책임을 명세하 하기위한 아키턱처를 전사적 정보보호 아키턱처라한다
  - 정보호호 아키턱처 수립절차
     = 요구사항 수집, GAP 분석, 미래정보보호 아키턱처 수립평가, 표준 수립 및 정책 개발, 조직 수립 및 역할 정의, 아키턱처의 지속적인 관리 및 평가 개선

=========================================================

위험의 개념
  - 위험 :  예상하지 못한 사건(위협 : Threat)이 자산의 약점(취약성 , Vulnerability)을 이용하여 자산(Asset)에 부정적이 영향을 미칠 가능성을 말한다

  위험 : 발생 가능성 * 손실의 정도
          발생 가능성 *  심각성
          자산의 중요도 * 위협의 크기 * 취약성의 심각도


위험 : 자산의 취약한 부분에 위협요소가 발생하여 자산의 손실 손상 등을 유발할 잠재성, 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성
위협 : 조직, 조직의 자산, 네트워크, 시스템등에 피해를 줄 수 있는 잠재적인 요소 
        자산에 손실을 줄수 있는 원치 않는 사건의 잠재적인 원인 또는 행위자
취약성 : 위협이 가해일 수 있는 자산의 약점 ( 보안패치 미적용, 백신 업데이트 미흡, 쉬운 패스워드 사용)
자산  : 조직내에서 가치를 가진 모든 것
          조직이 보호해야 할 대상

보호 대책 : 위험을 줄이기 위한 대책
잔여 위험 : 보호대책을 적용한 후에도 남아 있는 위험

==============================================

위험 색별 대상
  자산 식별, 위협 식별, 기존 통제 식별, 취약성 식별, 결과 식별

위험처리 
   위험수용,위험감소,위험회피,위험공유(제 3자에게 이전하거나 할당)

=============================================

위험평가 방법론
  베이스라인 접근법 (check list 중요-터널비전문제-), 비정형 접근법 (경험자 지식을활용), 상세위험분석(잘 정립된 모델 사용),복합 접근법 (고위험 영역을 식별하며 가장많이 사용)

  위험도 계산 방식
   정량적 방식 : 손실 기대치(ALE) = SLE * ARO , 정량화, 화폐단위(Top 5에 든것을 분석)
   정성적 방식 : 분석자 경험치 , 델파이 시나리오 순위결정법 등이용, 분석시간이 짧고 쉬운용어

  정보자산 분류기준에 따라 자산이 식별되면 침해사고 발생에 따른 영향을 기밀성, 무결성,가용성, 법적 준거성의 측면에서 파악하여 자산의 가치를 평가

위험도 분석 : 위험의 크기 및 추세를 비교 분석 할 수 있도록 하여야 한다
위험도가 계산되면 수용가능한 위험수준을 결정하고 최과하는 위험을 식별

==================================================

정보보호대책이 선정되면 효과성, 시급성, 구현 용이성등이 따라 우선순위를 설정하고 이행 로드맵을 수립할 필요가 있음

금융회사 침해사고대응모델
  계획 준비(예방활동), 식별(식별,보고), 대응(초기대응,수집,분석), 복구(복구,분석-사후-), 사후관리(보고, 공포)


침해사고 준비도 (예방활동) 
  = 금융회사는 침해사고가 발생 했을때 사고확산을 최소화하기위해 신속한 초기 대응을 위해 초기대응 후 정확한 원인 파악을 할 수 있는 절차와 방안을 사전에 마련
     사고확산최소화,침해사고 조사에 필요한 시간과 비용최소화,법적분쟁대비,정보보호 신뢰성 향상, IT규제의 효과적 준수

사이버킬체인
  = 침해 위협의 가능성이 있는 의심 징후가 발견되었을 경우에는 단계별 공격 징후 탐지 절차를 고려하여 침해 위협에 대한 추적을 할 수 있는것

위기대응 : 보안 사고 지원 - 금융보안원,KISA dlsxjspt clagoeodmdtpxj

위기 사항 대응반 구성 및 역할

위기사항 대응 반장 : 최고 의사 결정
정보보호 최고 책임자 : 침해사고 대응 현황, 피해상황 공유, 보고및신고
정보관리책임자 : 침해사고로 인한 시스템복구공유
위기관리 책임자 : 침해사고로 인한 회사 위험 측정과 공유
재무관리 책임자 : 손실
법률책임자: 법률 검토 및 대고객 안내문 검토
준법감시인: 침해사고 대응 절차 준수 확인 공유
커뮤니케이션 책임자 : 대고객 안내문 공유. 콜센터에 내용공유
갱인 정보 보호 책임자 : 갱인정보유출건 파악

===============================
침해사고 훈련결과는 한달이내 보고를 권고

===============================
비상 계획
   업무연속성 계획 = 조직의 생존을 위한 것
   재해복구 : 재해로 인한 정보기술 서비스 재개
   재해복구계획: 빠를 복구를 통해 업무에 대한 영향을 최소화 하기위한 제반 계획
   재해복구시스템 : 재해복구계획의 원활한 수행을 위한 인적 물적 자원


미리링 사이트 : 2시간
hot 사이트 : 24시간
warm 사이트 : 1-2일
Cool 사이트 :  장기간

문서.rtf

0.03MB