국제/국가 표준 지침 PRESENTATION 10090601 정윤필 10111035 추혜숙

INDEX 01 OECD 정보보호 가이드라인 : 인식, 책임, 대응, 윤리, 민주성 02 국가공통 평가기준 03 BS7799 PRESENTATION 01 OECD 정보보호 가이드라인 : 인식, 책임, 대응, 윤리, 민주성 02 국가공통 평가기준 03 BS7799 04 컴퓨터보안평가지침서 (TCSEC) 05 정보기술 보안평가지침서(ITSEC) 06 정보보호 관리체계 ISMS 07 QnA

PART PRESENTATION 1 - OECD 정보보호 가이드라인 : 인식, 책임, 대응, 윤리, 민주성

(ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT ) 01 OECD 정보보호 가이드라인 : 인식, 책임, 대응, 윤리, 민주성 ▶ OECD (ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT ) 개인정보보호와 관련된 법과 제도들은 국내외를 막론하고 OECD가 제정한 8가지 원칙(인식, 책임, 대응, 윤리, 민주성, 위험평가, 정보보호의 설계와 이행, 정보보호관리)에 기초하고 있음. 1970년대 이후, 국가간의 경제적 협력이 증가하면서 OECD는 국제적으로 유통되는 정보에 관심을 갖게 됨. => 특히 전자상거래가 국제적인 관심사로 부각되고 있었지만 개인정보의 유출에 대한 우려가 전자상거래 발전에 커다란 장애가 될 것이라고 판단한 OECD는 각 나라가 합의하는 통일된 개인정보보호지침의 제정을 준비하였고, 채택된 원칙이 「프라이버시 보호와 개인데이터의 국제유통에 대한 가이드라인에 관한 이사회 권고안, 1980」이다.  - 이 원칙은 OECD 회원국 뿐만 아니라 우리나라, 일본을 비롯한 세계 각국의 개인정보보호법 제정에 중요한 모델이 됨. ※ 출처 : 케이핌(K-PIM) (개인정보보호컨설팅) http://www.kpim.co.kr/insiter.php?design_file=40898.php&article_num=21&OTSKIN=layout_ptr.php&PB_1306394218=4 PRESENTATION

01 OECD 정보보호 가이드라인 : 인식, 책임, 대응, 윤리, 민주성 1) 인 식 참여자들은 정보시스템과 네트워크 보호의 필요성과 그 안전성을 향상시키기 위하여 취할 수 있는 사항을 알고 있어야 한다. 2) 책 임 모든 참여자들은 정보시스템과 네트워크의 보호에 책임이 있다. 3) 대 응 참여자들은 정보보호사고를 예방, 탐지, 대응하기 위해서 적기에 협력해서 행동 해야 한다. 4) 윤 리 참여자들은 타인의 적법한 이익을 존중해야 한다 5) 민주성 정보시스템과 네트워크의 보호는 민주주의사회의 근본적인 가치들에 부합하여 야 한다. 6) 위험평가 참여자들은 위험평가를 시행해야 한다 7) 정보보호의 설계와 이행 참여자들은 정보보호를 정보시스템과 네트워크의 핵심 요소로 수용하여야 한다 8) 정보보호 관리 참여자들은 정보보호관리에 대해 포괄적인 접근방식을 채택해야 한다. PRESENTATION

PART PRESENTATION 2 - 국가공통 평가기준

02 국가공통 평가기준 - 국제 정보기술의 발달과 정보화의 확대로 인하여 정당한 사용자에 의한 정보의 공유에 대한 보장과 중요 자산으로서 정보보호가 중요한 문제가 됨. 1999년6월 ISO/IEC에서 버전 2.1을 국제표준(ISO/IEC15408)으로 제정됨. 국제 공통 평가기준은 현재 대부분의 선진국에서 시행되고 있는 정보보호시스템 보안성 평가·인증제도에 적용되고 있으며, 이에 근거한 평가결과에 대한 상호인정협정(CCRA :Common Criteria Recognition Arrangement)에 미국, 영국, 프랑스, 독일, 캐나다, 호주, 뉴질랜드, 네덜란드, 이탈리아, 그리스, 핀란드, 노르웨이, 스페인,이스라엘, 스웨덴, 오스트리아 등 16개국이 가입되어있음. PRESENTATION

02 국가공통 평가기준 - 국내 국내에서는 1998년 침입차단시스템 평가기준과 평가·인증지침서를 근거로 보안성 평가를 시행 함. 2000년 침입탐지시스템 평가기준을 고시하고, 정보보호시스템 평가·인증 지침을 개정하여 평가대상 제품을 확대하기 시작하게 됨. 향후 CCRA 가입 등을 고려하여 국제 공통 평가기준의 도입을 추진하여 CC 버전 2.1을 2001년 12월 국제 공통 평가기준(TTAE.CC-99.03)으로 제정하였고, 2002년 8월 한글화된 정보보호시스템 공통 평가기준(정보통신부 고시 제2002-40)을 국내 정보보호시스템 평가기준으로 고시함. 공통 평가기준의 평가를 시행할 수 있도록 평가·인증지침 개정안을 고시하여 향후 모든 제품에 대한 평가시행을 확대할 수 있는 제도의 근거를 마련하게 됨. PRESENTATION ※ 출처 : 한국정보통신기술협회

PART PRESENTATION 3 BS7799

03 BS7799 배경 정보보안에 대한 인증이 필요한 조직들의 요청에 의해 지난 98년2월15일에 정보보호 관리체계 인증규격인 BS7799 제정.    BS7799는 현재 정보보호를 위한 유일한 국가표준으로 최상의 실행을 위한 포괄적인 일련의 관리방법에 대해 요건별로 해석해 놓은 산업체를 위한 규격이며, 향후 ISO17799로 발전해 나갈 전망이며, 이미 ISO/IEC JTC 1/SC27 에 작업반이 구성됨. * 정보보안 대상: 문서화된 것, 말해진 것 및 컴퓨터 정보에 대한 모든 것  - 표준의 발전 1993.1.        산업관련 검토그룹 결성 1993.9.         실행지침 발행 1995.2.         BS7799 Part One 발간 1998.2.         BS7799 Part Two 발간 1999.4.         BS7799 Part One/Two 발간(개정) - 국내의 경우도 현재 정보통신부장관이 인증하는 정보보호 관리체계 인증제도를 도입하고자 BS7799를 기반으로 연구, 검토를 진행하였으며, 현재는 은행 등의 금융권과 증권, 보험사와 같이 고객정보가 자산의 핵심인 사업을 중심으로 BS7799인증이 시작되었고, 지속적으로 제조분야 및 광범위한 서비스분야로 인증의 폭이 넓혀지고 있음. - 이러한 인증을 받는다는 것은 정보보호를 제대로 하고 있다는 것을 국제적인 기관으로부터 인정받게 되는 것이므로 신뢰도와 경쟁력을 제고할 수 있음. PRESENTATION

1. BS7799 Part1 : 정보보안 관리에 대한 실행지침 참조문서로 사용할 수 있음. - 정보 보안 관리에 대한 포괄적인 세트 제공. - 현 사용중인 최상의 정보보안 실행지침10개의 section으로 구성심사 및 인증으로의 사용은 불가. 2. BS7799 Part2: 정보보안 관리시스템에 대한규격 (ISMS: Information Security Management System).  정보보안 관리시스템 문서화 수립실행에 대한 요구사항규정. 정보보안 관리에 대한 포괄적인 세트제공 현 사용중인 최상의 정보보안 실행지침. - 10개의 section으로 구성심사 및 인증으로의 사용은 불가. - BS7799는 10개의 관리항목으로 구성되어 있으며, 기밀성, 무결성 및 가용성에 대한 자료유지에 초점을 맞추고 있음. 1) 보안방침정보보안에 대한 경영방침과 지원사항을 제공하기 위함 2) 보안조직조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 배정. 3) 자산분류 및 관리조직의 자산에 대한 적절한 보호책 유지. 4) 직원의 보안사람에 의한 실수, 절도, 부정수단이나 설비의 잘못 사용으로 인한 위험을 감소. 5) 물리적 및 주변환경에 대한 보안 비인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위함. 6) 의사소통 및 운영관리정보처리 설비의 정확하고 안전한 운영을 보장하기 위함. 7) 접근통제정보에 대한 접근통제를 하기 위함. 8) 시스템개발 및 유지정보 시스템내에 보안이 수립되었음을 보장하기 위함4.9 9) 사업지속성 관리사업활동에 방해요소를 완화시키며 주요실패 및 재해의 영향으로부터 주요 사업활동을 보호하기 위함 10) 부합성범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피하기 위함 PRESENTATION ※ 출처 : eq21.net http://eq21.net/cgi-bin/technote/read.cgi?board=BS7799&y_number=3

PART PRESENTATION 4 - 컴퓨터보안평가지침서(TCSEC)

04 컴퓨터보안평가지침서(TCSEC) PRESENTATION ▶ TCSEC (Trusted Computer System Evaluation Criteria) 컴퓨터보안평가지침서(TCSEC)란 1986년 개발된 평가기준으로써 통칭 오렌지북(Orange Book)으로 불리우며,  1985년 미국 국방성의 정보보호평가 표준 (DoDSTD 5200.28)으로 제정되었음. - 효과적인 정보보호시스템 평가기준 개발과 이러한 기준에 맞게 개발된 제품들을 평가하는데 초점을 두고 있음. ※ TCSEC의 보안 요구 사항   1) 보안정책 (Security Policy) - 시스템별로 보안정책이 분명하게 잘 정의되어야 함 2) 표시(Marking) - 접근통제 라벨은 객체와 관련 있는 것이어야 함 - 책임 추적성 3) 식별(Identification) - 주체는 모두 식별 가능하여야 함 4) 책임추적성(Accountability) - 보안에 관련한 행위들이 책임 있는 자들에 의해 추적이 가능하 여야 하고 감사정보가 유지, 보호되어야 함 5) 보증(Assurance) - 보안정책을 수행하는 시스템은 충분한 보증을 제공하는지 평 가를 위하여 독립적인 소프트웨어와 하드웨어 메커니즘을 포 함해야 함. 6) 연속성(Continuous protection) - 보안정책을 수행하는 메커니즘은 권한 없는 변경에 대하여 지 속적으로 보호되어야 함.  ※ K Series 1) 우리나라의 정보 보호 평가 기준으로 K0~K7등급으로 구성됨. 2) 1996년 8월 제정된 정보화 촉진 기본법 제 15조 및 동법 시행령 제 15, 16조를 근거 로 1998년 2월 정보통신망 침입차단시스템 평가기준 및 평가지침서를 제정, 고시하여 한국정보보호센터에서 침입차단/탐지시스템에 대한 평가를 시행해 오고 있음 PRESENTATION

04 컴퓨터보안평가지침서(TCSEC) PRESENTATION ※ 출처 : 1) 보안정책(Security Policy) 명백하고 잘 정의된 보안정책 존재 2) 표시(Marking) 객체의 보안등급을 나타내는 “레이블”지님 3) 식별(Identification) 접근주체의 식별 및 관련인증정보의 안전관리 4) 기록성(Accountability) 보안에 영향을 주는 동작에 대한 기록유지 보안문제 발생시 추적가능 5) 보증(Assurance) 보안정책,표시,식별,기록성에 대한 요건 충족 6) 지속적인 보호(Continuous Protection) 비인가자에 의한 수정이나 변경으로부터 지속적 보호    ※ 출처 : http://blog.naver.com/sunspace93?Redirect=Log&logNo=120009415861 PRESENTATION

PART PRESENTATION 5 - 정보기술 보안평가지침서(ITSEC)

05 정보기술 보안평가지침서(ITSEC) ▶ ITSEC (Information Technology Security Evaluation Criteria) - 1991년 독일, 프랑스, 네델란드, 영국 등 유럽 4개국이 평가제품의 상호 인정 및 평가기준이 상이함에 따른 불합리함을 보완하기 위하여 작성한 것임. 각각 자국의 정보보호시스템 평가기준을 제정하여 운용하던 영국, 독일, 프랑스 및 네덜란드 4개국이, 정보보호 제품의 평가에 소요되는 인적, 시간적 소요비용을 절감하기 위하여 “Harmonized Criteria"를 작성하기로 합의하여 1991년에 ITSEC v1.2를 제정한 것이 시초이다. - 평가등급은 최하위 레벨의 신뢰도를 요구하는 E0(부적합판정)부터 최상위레벨의 신뢰도를 요구하는 E6까지 7등급으로 구분함. ITSEC 평가기준은 기술적인 문제 보다는 조직적, 관리적 통제와 보안제품의 기능성 등 비기술적인 측면을 중시함. 1995년 4월 EU에 의해 표준으로 채택되었으며, ITSEM은 ITSEC 사용에 대한 안내서이다. PRESENTATION

05 정보기술 보안평가지침서(ITSEC) ※ ITSEC의 보안등급 - ITSEC의 보안기능은 TCSEC, ZSIEC에서 미리정의한 보안 기능을 사용토록 하였으며 제품에 대한 평가는 보증(Certification) 부분만 가지고 수행하게 됨. 보증 등급은 E1에서 E6의 6등급으로 나뉘어 지며, E1이 가장 낮고 점차 올라가며, E0 등급은 부적합 판정을 의미함. ITSEC은 TCSEC은 가지고 있지 않은 네트워킹을 포함한 IN(무결성), AV(가용성), DI(전송데이터 무결성), DC(비밀성) 및 DX(전송데이터 비밀성)의 새로운 기능성 등급을 정의하며, 독일의 ZSIEC의 보안기능과 대응함. IN : 데이타 & 프로그램에 대한 높은 무결성이 요구되는 시스템을 위한 것이다. AV : 높은 가용성 기능을 가지는 시스템을 위한 것이다. DI : 데이타 전송에 대해 높은 무결성이 요구되는 시스템을 위한 것이다. DC : 데이타 전송에 대해 높은 기밀성이 요구되는 시스템을 위한 것이다. DX : 데이타 전송에 대해 높은 무결성 & 기밀성이 요구되는 시스템을 위한 것이다. - ITSECITSEC에서 제안하는 보안 요구사항의 분석 1) 책임추적성 Accountability 2) 식별 및 인증 Identification & Authentication 3) 감사 Audit, 객체 재사용 Object Reuse 4) 접근통제 Access Control 5) 정확성 Accuracy 6) 데이타 교환 Data Exchange 7) 서비스 신뢰성 Reliability of Service PRESENTATION

PART PRESENTATION 6 - 정보보호관리체계 ISMS

06 정보보호 관리체계 ISMS - 인증제도 정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 관리ㆍ운영하는 시스템. 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도. PRESENTATION

06 정보보호 관리체계 ISMS PRESENTATION - 목적 1) 정보자산의 안전, 신뢰성 향상 2) 정보보호관리에 대한 인식 제고 3) 국제적 신뢰도 향상 4) 정보보호서비스 산업의 활성화 - 법적근거 1) “정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조 2)“정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호) ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있도록 하 는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함 인증대상 PRESENTATION

06 정보보호 관리체계 ISMS - 인증심사 종류 인증심사의 종류는 최초심사, 재심사, 사후관리, 갱신심사로 구분함. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년 에 1회 이상 사후심사를 받아야 함. 최초심사 : 정보보호관리체계 인증 취득을 위한 심사 사후관리 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상) 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사. ※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 다시 받음. - 인증제도의 특징 1) 국내 실정에 적합한 정보보호관리 모델 제시 2) 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증 3) 국내 최고의 분야별 전문가들에 의한 인증 심사 4) 국내 정보보호관련 법제도 반영 PRESENTATION

Q&A PRESENTATION

Q01. ITSEC (Information Technology Security Evaluation Criteria)의 07 QnA Q01. ITSEC (Information Technology Security Evaluation Criteria)의 평가 레벨중 옳지 않은 것은? 1. E0 : 부적절한 보증 2. E1F-C1: 비정형적 기본설계 3. E3F-B1: 소스코드와 하드웨어 도면 제공 4. E4F-B2: 정형적 기능명세서 상세설계 5. E5F-B3: 보안요소 상호관계  ※ · E0: 부적절한 보증 · E1F-C1: 비정형적 기본설계 · E2F-C2: 비정형적 기본설계 · E3F-B1: 소스코드와 하드웨어 도면 제공 · E4F-B2: 준정형적 기능명세서 기본 설계 상세설계 · E5F-B3: 보안요소 상호관계 · E6F-B3: 정형적 기능명세서 상세설계 PRESENTATION

Q01. BS7799의 보안통제항목중 틀린 것은? 1. 네트워크 망분리 2. 자산 분류와 통제 3. 인적 보안 07 QnA Q01. BS7799의 보안통제항목중 틀린 것은? 1. 네트워크 망분리 2. 자산 분류와 통제 3. 인적 보안 4. 물리적 및 환경적 보안 5. 시스템 개발 및 유지 보수 ※ BS7799의 보안통제항목 01) 보안 정책 02) 보안 조직 03) 자산 분류와 통제 04) 인적 보안 05) 물리적 및 환경적 보안 06) 전산기 및 네트워크 관리 07) 시스템 접근 통제 08) 시스템 개발 및 유지 보수 09) 업무 지속성 계획 10) 준수 PRESENTATION

Q01.OECD 정보보호 가이드라인에 속하지 않는것은? 1.대응 2.인식 3.독립성 4.민주성 07 QnA Q01.OECD 정보보호 가이드라인에 속하지 않는것은? 1.대응 2.인식 3.독립성 4.민주성 ※ BS7799의 보안통제항목 01) 보안 정책 02) 보안 조직 03) 자산 분류와 통제 04) 인적 보안 05) 물리적 및 환경적 보안 06) 전산기 및 네트워크 관리 07) 시스템 접근 통제 08) 시스템 개발 및 유지 보수 09) 업무 지속성 계획 10) 준수 PRESENTATION

Thank PRESENTATION