대마왕's 인덕원 클래스161

올해의 큰 이슈는 chatGPT의 도입이며, 이에 따라 보안쟁이들은 아군인지 적군인지 애매한 것 같다. 마침 인터넷진흥원에서 보고서가 나와서 공유한다.

첨부파일 다운로드기간 ( 2023-05-15 ~ 2023-05-30 ) [신청서식] (개인)정보보호컴플라이언스 전문가 양성과정 14기.docx 24.26 KB [신청서식] (개인)정보보호컴플라이언스 전문가 양성과정 14기.hwp 19.50 KB 안녕하세요. 한국침해사고대응팀협의회(CONCERT) 사무국 입니다. 여러분들은 혹시 '법 읽는 법'을 아십니까? 헌법과 법률, 명령과 규칙. 그리고 그 각 계위의 단계마다 등장하는 단어와 문장들이 낯설고 혼란스럽지는 않으십니까? 기존 열세 차례의 성공적인 운영으로 그 유용함을 이미 증명한 교육이 열네 번째의 교육을 시작합니다. 👉 (개인)정보보호 컴플라이언스 담당자를 위한 최초의 '법 읽는 법' 강의! 👉 아래 eDM을 확인하고 지금 바로 신청하세요! 사진 삭제 ..

이번 주는 공공기관 심사를 왔다. 항상 공공기관은 실망을 주지 않는다. 매체제어와 문서보안이 설치되어 있지만 USB 부팅을 통해 정보 유출이 가능하다고 하니 CMOS 비밀번호는 직원만 안다고 한다. 그리고 직원은 내부 직원이니 믿을만 한다고 한다. 그럼 믿는 직원이 있는데 보안 제품은 왜 필요하지? 배신은 항상 믿는 사람이 하고 나를 미는 사람은 항상 내 등 뒤에 있다. 동료를 믿지 못하는 것이 보안이 아닐까... 얄밉게 떠난 님아 얄밉게 떠난 님아 내 청춘 내 순정을 뺏어 버리고 얄밉게 떠난 님아 더벅머리 사나이에 상처를 주고 너 혼자 미련 없이 떠날 수가 있을까 배신자여 배신자여 사랑의 배신자여 얄밉게 떠난 님아 얄밉게 떠난 님아 내 청춘 내 행복을 짓밟아 놓고 얄밉게 떠난 님아 더벅머리 사나이에 상..

어제 술자리에서 들은 이야기... 요즘 DevOps가 뜨고 있는데 ISMS-P 심사에는 항상 결함이네요. 글쎄... CISA, CISSP 미국 놈 자격증 공부할때 개발과 운영이 분리되어야 좋은 거다고 할때는 언제고 이제와서는 개발과 운영을 함께해야 좋은 거라고 하네.. 개발과 운영을 분리하는 것은 책임과 권한을 명확히 하는 것을 의미한다. 개발자가 몰래 운영 환경에 와서 소스 코드를 변경하지 않도록 통제하는 것이다.(미국은 그런 일들이 비일비재했었나보다. SOX 법까지 만들 정도면...) DevOps는 개발자가 개발하고 운영하고 모니터링하는 환경인데... 예를 들면 추적성을 명확히 식별할 수 있다면 문제가 없지 않을까? 개발과 운영을 명확히 분리하는 이유가 책임 추적성을 위한 것이라면 DevOps도 동일..

우리가 주로 하는 위험 분석은 자산 기반 분석법이다. 자산을 식별해서 위험을 도출하고 대책을 마련하는 방식인데 전통적인 위험분석 방법이다. 이러한 방식에서는 자산 식별이 되지 않거나 망분리와 같은 위험은 도출되기 힘들다. 그래서 ISO27001:2018..인가 컨텍스트 기반 위험 분석을 도입한다.(연도는 맞나 모르겠다,) 개인정보흐름도도 이러한 이유에도 도입된 것으로 알고 있다...아님 말고.. 개인정보흐름도도 현황 분석을 위한 필수 산출물이다. 그런데 개인정보흐름표가 없다고 결함인가? 이게 결함인 이유는 어설픈 PIA 전문인력 때문이다. PIA에서는 개인정보흐름표를 근간으로 개인정보흐름도를 작성한다. 그런데 그건 PIA에서의 방법론이고 ISMS-P 에서는 강제하고 있지 않다. 따라서 필수 산출물도 아니..

조직 규모가 크거나 다양한 사업을 수행하다 보면, 혹은 정치적인 이유로.. CPO가 다수인 경우가 있다. M&A를 다수 하는 경우에도 서비스마다 특성에 따라 CPO를 두는 경우가 있다. CPO가 1명이여야 한다고 어떤 고집 센 심사원은 결함을 주려고 한다. 하지만 법령에도 CPO가 1명이여야 한다는 규정은 없다. 고집 센 심사원은 생활법률 FAQ에서 공공기관을 대상으로 한 문답을 가지고 근거로 하는데... 일단 공공기관도 아니고, 생활법률도 유권 해석을 하는 기관도 아니다. 따라서 하나의 의견일 뿐이다. 심사가 자기가 보기에 문제가 있어 보아는 것을 결함으로 해서는 안된다. 법적 근거가 있거나, 인증 기준에 위배되거나, 내부 규정을 위반한 것이 결함이다. 주관적인 의견을 가지고 결함 보고서 쓰는 것은 올..

결 함 보 고 서 기록일자 년 월 일 기업명 인증범위 구분 결함유형 인증범위명 기관확인자 ISMS 결함 심사원명 홍길동 (인) 관계부서 ◇ 관련조항 (관리체계) 1,2,1 위험평가 관련 근거 ◇ (인증기준) ◇ (법령) ◇ (내부규정) 운영현황 및 결함내역 ◇ (운영현황) o - ◇ (결함내역) o - ◇ (조치사항) o - 근거목록 o

요청대상 행위 □서버접속통제 솔루션을 경유하여 서버에 접속하는 단말기를 중요 단말기로 지정하지 않을 수 있는지 판단 □아래 내용을 확인하시기 바랍니다. 판단이유 □금융회사는 외부반출, 인터넷 접속, 그룹웨어 접속 금지 등 강화된 보호대책이 적용되는 중요 단말기를 지정하여야 하며(전자금융감독규정 제12조 제3호), ◦전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리하여야 합니다.(전자금융감독규정 제15조 제1항 제5호) □ 회사는 단말기의 용도 및 취급 자료의 종류, 위험 수준을 고려하여 자체적으로 중요 단말기를 지정할 수 있습니다. ◦ 「전자금융감독규정 해설서」(’17.5월)에 따르면 중요단말..

요청대상 행위 □데이터베이스 내 정보를 조회하는 업무용 단말기를 ‘중요단말기’로 지정하여야 하는지 판단 □ 중요 단말기 지정 여부는 회사가 자율적으로 정할 수 있습니다. 판단이유 □금융회사는 단말기 보호를 위해 외부반출, 인터넷 접속, 그룹웨어 접속의 금지 등 강화된 보호대책이 적용되는 중요 단말기를 지정하여야 합니다. (｢전자금융감독규정｣ 제12조제3호) ◦2017년 5월에 발간된 ‘전자금융감독규정 해설서’에서는 중요단말기를 ‘정보처리시스템 또는 DB에 직접 접근이 가능한 권한이 부여되는 단말기’로 설명하고 있으나, 이는 이해를 돕기 위한 예시이며 규정에서 중요단말기의 범위를 별도로 정하고 있지 않습니다. □따라서 중요단말기의 범위는 처리되는 업무 및 데이터의 종류에 따라 회사가 자율적으로 지정하실 수..