| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- 정보보호관리체계
- 중소기업
- KISA
- 주요정보통신기반시설
- 위협대응보고서
- 취약점
- 개인정보
- EDR
- 박나룡
- 정보보호
- CVE
- 개인정보보호
- 보안
- 랜섬웨어
- IoT
- 뉴스클리핑
- 취약점 점검 법률
- 코로나
- 클라우드
- 정보보안
- Privarcy
- Ai
- 데이터3법
- 박나룡 칼럼
- 아파치재단
- 프라이버시
- log4shell
- isms
- log4j
- 취약점 법률
- Today
- Total
컴맹에서 정보보호 전문가로 성장하기
취약점 점검 및 법률에 관한 이해 본문
해당 게시물은 2020년 초 기준으로 작성하였으니 참고 바랍니다.
조만간 2021년 기준으로 업데이트 하겠습니다.
문의사항은 heaven200910@gmail.com 으로 연락바랍니다.
취약점 점검이 필요한 이유
정보보안 및 침해 사고 방지를 위해 우리는 법적인 규제를 통해 정보자산에 대한 위험관리를 해야만 한다. 이것을 이해하려면 아래와 같은 선행지식이 필요하다.
- 취약점 : 정보자산의 약점, 결함, 허점
- 위협 : 취약점을 통해 피해를 줄 수 있는 능동적인 공격들
- 위험 : 위 두 가지의 결과
자산(가치) * 취약점(영향) * 위협(빈도) = 위험
즉 컨설팅의 목적은 위험 관리이다. 위험을 관리하는 활동, 리스크 관리, 이 위험으로부터 자산을 지키기 위한 활동으로 취약점 분석 등을 통하여 위험도를 산출한 후 이 위험도를 낮추며 보안 수준을 높이는 정보보안 활동을 말한다.
자산, 취약점, 위협 중 단 1가지라도 0이면 그에 따른 위험도 0이다. (수식을 생각해보면 됨) 또한 자산의 가치가 높을수록 또는 취약점이 많을수록 위협 또한 많아지는 상호관계를 가지고 있다.
어떤 위협이 있을까? 정보보안 3대 요소로 기밀성, 가용성, 무결성이 있다. 인가받은 사람만을 허용해야 하고 정상적인 서비스를 제공해야 하고 정보의 변조, 손실이 없어야 한다. 우리는 이러한 위협으로부터 자산을 지켜야 하고 그것을 규제하기 위하여 법률이 있는 것이다.
취약점 점검의 근거(법률)
정보통신기반보호법
▷제9조(취약점의 분석ㆍ평가) ①관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다.
정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)
▷제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다. <개정 2016. 3. 22.>
▷제47조의4(이용자의 정보보호) ① 정부는 이용자의 정보보호에 필요한 기준을 정하여 이용자에게 권고하고, 침해사고 의 예방 및 확산 방지를 위하여 취약점 점검, 기술 지원 등 필요한 조치를 할 수 있다.
전자금융거래법
▷제21조(안전성의 확보의무) ①금융회사ㆍ전자금융업자 및 전자금융보조업자(이하 "금융회사등"이라 한다)는 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의를 다하여야 한다. <개정 2013. 5. 22.>
개인정보보호법
▷제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
ISO/IEC 27001
ISMS&ISMS-P
정보보호 및 개인정보보호 관리체계
정보통신기반보호법
▷제9조(취약점의 분석ㆍ평가) ①관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다.
위 법령에서 정의한 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검 항목에 대한 취약여부를 점검하고 모의해킹, 침투 테스트 등을 수행하는 종합적인 위험 진단이다. 이 중에 기술적 점검 항목 313개를 뽑아 상세 내용을 설명한 것이 [주요정보통신기반시설 기술적 취약점 분석평가 방법 상세 가이드]이다.
주요정보통신기반시설 기술적 취약점 분석평가 방법 상세 가이드
[주요정보통신기반시설 기술적 취약점 분석평가 방법 상세 가이드]에는 Server(UNIX, WINDOWS), 보안장비, 네트워크, 제어시스템, PC, DBMS, 웹(WEB)에 대한 기술 취약점 점검목적, 점검방법, 조치방법이 있고 웹(WEB) 취약점 진단으로는 국제 보안 단체에서 대표적으로 2-3년마다 발표하는 OWASP Top 10이라는 항목이 있다. (OWASP Top 10에 대한 내용은 따로 포스팅하였다. (https://heavensecuritygirl.tistory.com/29)
즉 보안 컨설턴트는 법률에 의거한 관리적, 물리적, 기술적 취약점 점검을 통해 요구 수준에 따라 위험도 평가, 대책 수립, 위험 평가, 마스터플랜 수립 등을 이행한다. 이 중에서 기술적 취약점 점검만을 하는 것을 기술 컨설팅 또는 취약점 진단, 웹을 대상으로 하는 침투 테스트(웹 취약점 진단)를 통상 모의해킹이라고 한다.
취약점 점검에 대해 규정하는 법률
취약점 점검에 대해 규정하는 법률 및 국내/외 제도 안녕하세요. 본 포스팅에서는 '취약점 점검’에 대해 ...
blog.naver.com
https://jeongchul.tistory.com/438
정보 보안 실무 04-2 취약점 분석
정보 보안 실무 04-2 취약점 분석 취약점 진단 1. 취약점의 정의 취약점 진단 취약점이 무엇인지 그 정의부터 알아보겠습니다. 취약점이란 위협이 발생하는 전제 조건으로, 자산이 가지고 있는 보안상의 결점 또는..
jeongchul.tistory.com
'정보보호전문가 > 법규·Compliance' 카테고리의 다른 글
| 비즈니스(business) 용어 정리 (0) | 2020.01.15 |
|---|---|
| 보안 관제 서비스 시장 Keword (0) | 2020.01.07 |
