디플로이먼트 모델 배치 모델
범주
공동보안책임모델
관리적인 영역
보안목표
기밀성, 무결성, 가용성
관리 보안 영역
내부 관리계획 헌법 비슷한느낌
전체의 보안 시스템을 구현 할거냐
보안 고려 사항
(기술적 보안 영역)
루팅/탈옥 탐지
보안 장비
회사 메일은 DMZ에 있음
웹서버에 메일서버도 같이 존재
솔루션은 프로그램
장치에다가 프로그램이 올라간 경우 : 접근제어시스템
프린트를 출력했던 파일들을 다가지고 있는 경우가 있음 : 출력물 보안
허용된 USB만 사용할수 있게 하는 : 이동저장매체보안
PC보안 정책 : 화면보호기,윈도우 비밀번호
유해사이트 차단 : 도박사이트등 유해한 사이트를 접속할때 사용하는 솔루션
웹 방화벽 wapple 많이 사용
msp (Managed Service Provider) : 시스템 구성을 해주는 회사들
보안 컨설팅
인증지원 해주는 분야
취약점진단 해주는 분야
관리체계
개인정보
관,물,기
규정이나 규칙을 만들어주는 것 마스터플랜
기술적인 부분을 컨설팅을 해준다
취약점 진단 컨설팅
- 웹/모바일 애플리케이션 취약점 분석 평가
- 모의해킹도
- 소스코드 보안약점 진단
웹해킹 하는것처럼 테스트를 해봄
이것은 블랙박스임
소스코드를 다 받아서 한줄 한줄 분석하고 약점을 찾는것임
화이트박스
모의해킹 : 블랙박스, 동적방식
소스코드 : 블랙박스, 정적방식
소스코드를 받아서 툴을 사용한다
툴의 문제점이 나올 수 있음
정보보호 인증지원 컨설팅
ISMS를 받아야하는데 컨설팅 업체에 의뢰하는 경우가 있음
개인정보보호 컨설팅
개인정보보호법에 기하여 위반한 사항이 없는지 확인하다.
인증을 취득할 수 있게 도와준다.
보안 컨설팅 개요
클라우드 전환 TF -> 요구사항 정의 -> 서비스 제공자 검토 -> 이전, 운영
현황분석 및 목표수립
AS-IS : 현황을 파악하는 것 TO-BE : 우리가 가야할 방향
GAP 분석
개선과제 이행계획 수립
이전, 운영 실행
클라우드 환경에서의 적용
사용자 인증
1.IAM 사용자 또는 역할에서 세션 타임아웃을 설정하여 특정 시간 동안만 권한이 유지되도록 할 수 있습니다.
2.MFA
3.
Amazon CloudWatch 및 AWS CloudTrailCloudTrail을 통해 로그인 시도 기록을 수집하고, CloudWatch Alarms를 설정해 비정상적인 로그인 시도를 감지 및 알림 가능.예시: 등록되지 않은 IP에서의 로그인 시도 감지
클라우드 환경에서의 적용
암호정책 적용
클라우드 환경에서의 적용
로그 및 접속기록 관리
개인정보보호법의 개요
<정보가 지칭하는 대상>
사망,실종,선고 등 사망한 것으로 간주되는자에 관한 정보는 개인정보로 볼 수 없다.
다만, 사망자의 정보라고 하더라도 유족과의 관계를 알 수 있는 정보는 유족의 개인 정보에 해당한다.
수기작성,허위정보도 개인정보가 될 수 있음
개인정보의 모호성이 있어서 현실적으로도 많이 헷갈리고 있음
ex) 테이블에 ~~정보가 있는데 개인정보입니까라고 물어보는 경우 보통에는 개인정보에 해당하는 경우가 태반임
결합에 가능성에 대한 식별도 개인정보다
국내 법 체계와 개인정보보호법
법률 : 개인정보보호법(일반법)
시행령(대통령령): 개인정보보호법 시행령
법령 : 법이랑 시행령 포함
주요 용어
접근통제
택배사는 제3자 이름 주소 전화번호 를 주게 되었을때 이때는 처리 위탁에 해당한다
제3자 제공 동의를 받고 줘야함
처리위탁에 경우 동의를 안받아도됨
제 3자임에도 불구하고 쇼핑몰이 책임을 져야함
개인정보의 수집 이용 단계
개인정보를 수집할 수 있는 경우
개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며
그 수집 목적의 범위에서 이용할 수 있다.
개인정보보호법 관련 조항 (15조)
1호 정보주체의 동의를 받은 경우
2호 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3호 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4호 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필 요한 경우
5호 명백히 정보주체 또는 제3자의 급박한 생명, 신체 , 재산의 이익을 위하여 필요하다고 인정되는 경우
6호 개인정보처리자의 정당한 이익을 달성 이하 생략...
7호 공중위생 등 공공의 안전과 안녕을 이하 생략... 코로나에 등장
고유식별정보 : 여권,신분증,운전면허증,외국인등록증
개인정보의 파기 단계
개인정보보호법 관련 조항
파기(21조)
키워드 : 다른 법령에 따라 보존
상거래에 관한 5년정도 보존을 해야한다면 보존을 해야한다.
만약 파기를 하지않고 보존을 해야한다면 다른 테이블로 가지고 있어야 한다.
개인정보처리시스템의 범위
- 개인정보처리자
- "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관,단체 및 개인 등을 말함
- 개인정보책임자
- 개인정보처리 처리에 관한 업무를 총관해서 책임지거나 업무처리를 최종적으로 결정하는 자
안전한 관리 기준 관련 조항
- (안전성 확보조치 기준)
- 기술적 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
개인정보의 안전성 확보조치 기준
- 내부 관리계획을 수립 시행
개인정보를 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독을 어떻게 할 것이냐?
접속기록의 보관 및 점검
개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년이상 보관 관리
개정의 변동사항에 대한것이 3년
로그인 기록 등이 1년 보관