PIMS, 위험관리, CC

결함보고서의 구조: 인증심사 결과를 보고서로 작성에 있어서 어떠한 구조를 가져야 하는가?

 

1, 심사 구분

인증심사 : 최초로 인증을 받는 경우

갱신심사 : 유효기간 만료시 연장

재심사 : 사업 범위의 변경 등, 중대한 인증에 변화

사후관리 : 지속적으로 받고있다고 1년에 한번씩

 

2. 문제점

중결함 : 정보보호 관리체계 중대한 영향

ex) 정책에 명시된 내용 불이행, 대책이 부적절

결함 : 정보보호 관리체계 중대한 영향 x, but 인증 받을수 없음.

ex) 정책 내용 적절히 수행 x, 문서, 행동 불일치

권고 : 결함이 아니지만 결함으로 넘어 갈 가능성 존재

ex) 도움이 될만한 내용

3. 대상 부서

결함이 존재하는 부서

교정에 책임이 있는 부서

--> 문제가 있는 부서라고 생각

4. 관련 조항

인증심사 기준의 관련 조항

--> 어떠한 조항으로 지켜져야 한다.

5. 문제점

요구사항

실제 문제점

--> 어떠한 조항을 어긴[문제점]을 위해서 필요한 개선[요구]

6. 근거 목록

관련 문서의 제목, 항목 제시

--> 팩트 폭행, 촌철 살인?.

위 6개를 명시하며 구체적, 명확성, 확인 가능성을 고려하여 결함보고서를 작성 한다.

 

 

PIMS 인증 제도

: 기업이 체계적이고 지속적인 개인정보보호 활동을 할 수있는 방법론을 제공

--> 어ᄄᅠᇂ게 개인정보를 보호하는지에 대한 가이드라인 제공[HOW, WHAT]

: 인증을 부여하여 국민들이 믿을 수있는 근거를 제시

 

필요성 : 법을 지켜야한다.

국내 법과 OECD,APEC 국제적 개인벙보보호 원칙 준수!

정보통신 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률

: 통신비밀보호법

: 정보통신기반보호법

--> 정보통신 쪽으로는 위와 같은 법을 지켜야함

 

구성 : 어떠한 구성으로 PIMS가 구성되어 있나.

Layout을 제공하는 느낌이다. 큰 틀을 제시하고 내용을 구체적으로

만들어가는 느낌일 것이다.

해당 부분은 큰 Layout이다

 

관리과정 : 개인정보보호 활동을 체계적, 지속적으로 진행하는지?

 

보호대책 : 보호 활동을 하는 관리적, 기술적, 물리적 조치 옳은가?

 

생명주기 : 법률에 명시되어 있는 개인정보 CYCLE 요구 사항 만족?

 

개인정보 보호는 위 3개를 구축, 유지하는것

PIMS에서 확인하는 요소가 크게 나누면 위의 세가지라는 것이다.

운용하는지 [관리과정]

옳바르게 운용하는지[보호대책]

개인정보이기 때문에 생명주기 동안 보호하는지[개인정보 특성 관련?]

[구성]

계락적으로 크게 4단계로 나누어서 보고 Detail하게 알아본다.

 

인증이 어떠한 절차로 이루어지는 지 알아보는 것이다.

--> 인증기관의 관점이 강하다.

 

인증절차 : 준비, 심사, 인증, 사후 관리 4단계

인증기관이 어떠한 단계를 거쳐서 기업을 인증을 할 것인가

1. 준비단계

인증 심사 요청

 

2. 심사 단계

문서 심사 : 신청기관 PIMS 관련 문서 적절성

기술 심사 : 문서 심사 결과를 기반으로 옳바르게 진짜 하는지

3. 인증단계

결과보고서를 근거로 2/3 찬성

 

4. 사후관리 단계

사후관리 심사 : 1년 1회 이상

갱신 심사 : 3년 지나고 연장

 

인증을 받기위한 준비를 어떻게 하는가?

--> 기업 입장에서 어떻게 준비 할까 인증을 받기위해서

 

해당 내용은 6단계로 구분 되어질 수 있다.

대기업 : 6개월 이상 소요

중소기업 : 3개월 이상소요

 

1. 인증범위 설정

1-1, 기업에서 어떠한 개인정보를 취급하는지 파악

보호해야할 개인정보 뿐만 아니라 취급하는 시스템, 사람도 포함

 

1-2 개인정보관리체계 전담 부서 필수적 구축, 참여

필수는 아니여도, 관련된 조직도 참여

 

1-3 [1-1], [1-2] 내용을 기반으로 인증 범위서 작성

쉽게 생각하면 개인정보, 관련 조직, 시스템 관련 내용을 문서화

주요 내용으로는 조직도[책임과 역할], 개인정보 WHAT, People,system

 

2. 개인정보보호 관리체계 구축

관리 체계 구축이 특별한 것이 아니라,

인증 심사 기준에 맞게 기업이 개인정보를 취급하도록 하도록

 

2-1, 정책/지침 검토 및 보완

가장 우선시 되어지는 정책/지침이 인증 기준에 맞나?

 

2-3 개인정보 흐름표 작성

개인정보 CYCLE동안 사용, 분석을 용이하게 하기 위해서

--> 개인정보를 보호하는것이니까 두번째로 중요

 

2-4 업무 흐름 도출

개인정보 흐름을 파악했으니, 어떤 업무에서 개인정보를

사용하는지 파악

 

2-5 개인정보 위험 도출

개인정보가 어ᄄᅠᇂ게 사용되고, 어떠한 업무에서 사용되었는지

파악 했기 때문에, 어디서 취약한지 분류

미흡/유출/오남용/법률 준거성 위배 4가지 취약분류

 

3. 이행계획 작성 및 교육

 

3-1 이행계획[과제] 수립

앞서 설정한 정책, 위험등을 관리하기 위해서

우리기업은 이러한 계획을 세워서 관리하겠다.

이를 위해서 이행 계획서를 작성함에 있어서

담당자와 이행증거 확보 내용을 추가

 

3-2 교육 실시

아무것도 모르는고 “왜?” 우리가 저 이행 계획을 하게 하면

효율성 x, 그러니까 관련 내용을 교육시켜야 한다.

교육 내용은 정책[큰 틀], PIMS 관련 내용, 이행 계획

 

 

4. 이행준수 기록 확보

이행 계획만 세우면 무슨 쓸모가 있는가, 수행하고 이를 기록으로 남겨 야한다. 이를 위해서 전담 담당자를 배치하여 현황과 수행여부 감독

--> 옳바르게 하고있다는 내용을 기술하는 서기와 같다.

 

 

5. 개인정보보호 감사 및 점검

Check하는 단계로서, 정책과 계획되로 하는지 감사하는 내용이다.

이를 바탕으로 수정할 부분은 수정하고 계선한다

--> 감사 및 점검 -> 시정 및 조치 -> 개선활동

 

 

6. 심사단계

문서심사와 현장 심사 두단계로 이루어진다.

문서심사 : 문서에 대한 인증기준 만족 여부

현장심사 : 문서 심사 기준으로 결과 확인하고, 이행 준수기록 확인

--> 결함 발생시 30일이내로 보완 확인 필요함

 

위의 문서심사, 현장심사 내용은 관리과정, 보호대책, 생명주기에 대한

내용이 잘 지켜지는지 확인하는 것

 

 

 

 

 

 

 

 

 

 

 

 

위험관리와 보호대책 선택

 

위험에 관해서 알아보기 전에 용어와 관계를 이해한다.

위험 = 영향 + F(자산, 위협, 취약성)

위와 같은 개념이 그려진다.

 

위험[Risk] : 원하는 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성

 

자산[Asset] : 조직이 보호해야 할 대상

 

위협[Threats] : 자산에 손실을 초래할 수 있는 원치 않는 사건의

잠재적 원인

EX] 내부 정보 유출자

 

취약성[Vuln] : 자산의 잠재적 속성으로서 위협의 이용대상

EX] strcpy funcion

 

위험관리[Risk Management]

조직의 자산에 대한 위험을 수용할 수 있는 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로 부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련 하는 일련의 과정

위험 평가 4단계

 

단계1

1-1. 정보자산 식별

주요 자산을 유형별로 분류하여 목록을 작성

1-2, 자산 가치 평가

목록은 자산의 CIA에 따라서 가치를 평가

 

단계2

2-1. 자산에 가해지는 위협과 가능성을 예측

2-2, 위협에 사용 가능한 취약성을 자산별로 확인하여 그 정도를 결정

 

 

단계3

3-1. 기업의 이미지, 물리적, 정보의 손실로 인해 기업에 얼마나

사업적 영향을 주는지 평가 [Business Impact Analysis]

 

단계4

4-1. 앞서 3단계를 거쳐서, 잠재적 손실의 규모를 평가 함

4-2. 회사에서 수용가능한 위험수준[Degree of assurance]을 설정, 해결 해야하는 우선순위

 

 

잔존 위험 (Residual Risk) : 적절한 보호대책을 선택한 후에도 항상 존재하는 최소한의 위험

 

CC

정보 보호 시스템에대한 선진 각국들이 서로 다른 평가 기준을 가지고 평가를 시행하여 초래되는 시간과 비용 낭비 등 기타 제반 문제점을 없애기 위해 개발하기 시작

 

 IT Security를 표현하기 위한 국제적으로 동의한 체계

 IT 보안 평가 결과를 상호인정 할 수 있는 수단

 ISO 15408 (3개 부분의 표준으로 구성)

 보안기능과 보증요구사항의 표준분류를 제공

 

공통평가기준의 개발 목적

 국가별 상이한 평가기준 적용으로 평가결과 호환성 결여 문제 해결

 평가시간·비용 절감으로 제품가격 인하

 신제품 개발 가속화

 

PP

보안 문제를 해결하기 위한 ex) net

보안 요구 사항 ex) ids, ips

을 국제 공통 평가 기준(CC)내에서 선택 ) ids select

하여 작성한 제품/시스템군의 ids

보안기능/보안요구사항. vpn사용

-->CC에서 네트워크 보완 하려면 IDS,IPS 등을 구성 해야 한다고 정의 했으며 해당 제품[IDS,IPS 등]은 VPN 기능, 자동 업데이트 기능등 필요하다고

설명 해놓은 문서

 

보안 목표 명세서, Security Target (ST)

 평가를 신청하려는 정보보호시스템에 해당하는 PP(보호 프로파일)의 보안요구사항을 기초로 시스템 사용환경, 보안환경, 보안요구사항,

보안기능 명세 등을 서술한 문서

 

--> Ahnlab 제품을 만드는데 PP 기능을 만족하는데, 어떠한 조건에서 만족한다. 등 해당 제품을 디테일하게 설명 한것.

 

 평가 목표에 대한 보안 요구사항을 기술한 명세서

 ToE의 범위와 세부 사항을 정의

 

 

CCRA(Common Criteria Recognition Arrangement)

회원국의 공통 평가 기준(CC) 인증서를 획득한 정보 보호 제품은 타 회원국에서도 인정하는 CC 기반의 국제 상호 인정 협정.

 

 이 협정의 회원국은 자국에서 직접 인증서를 발행할 수 있는 인증서 발행국 (CAP:Certificate authorizing participants) 과 타국의 인증서를 인정(recognition)만 할 수 있는 인증서 수용국 (CCP:Certificate consuming participants) 으로 나뉨

 

 공통평가기준(CC) 및 평가방법론(CEM)에 의한 평가수행

 EAL4까지 상호인정

 

CCRA 목적

 CC 평가결과의 일관성 확보 및 보안기술 향상

 국가별 기준에 의한 반복평가 방지

 평가인증절차 정형화로 비용 대비 효과 및 효율성 향상

 글로벌 시장형성 촉진으로 인증제품 활용 촉진

 

[위험평가 참고 자료]

 

 

 

 

인증_기말_ver3.hwp