SlideShare a Scribd company logo

Talk IT_ IBM_나병준_111025_Session2

Cana Ko
Cana Ko
Education
1 of 28
Download to read offline
IBM 보안 프레임워크 기반의 개인정보 안젂조치 대응 IBM Korea SWG, 나병준 차장(CISSP) 2011.10.25 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 1 © 2011 IBM Corporation
Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 2 © 2011 IBM Corporation
보안과 비즈니스 “보앆은 IT 서비스 운영의 가시성 (Visibility), 통제성 (Control), 자동화 (Automation) 를 확보하여 비용젃감, 위험관리, 규제 준수, 비즈니스 개선의 도구로 자리매김하여야 함.” IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 3 © 2011 IBM Corporation
보안과 비즈니스 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 4 © 2011 IBM Corporation
지속적인 보안 관리를 IBM 보안 프레임워크 지속적인 보안 관리 보고 위험 검토 분석 모니터링 통제 실행 거버넌스 솔루션+서비스 조직 프로세스 컴플라이언스 … template … … … IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 5 © 2011 IBM Corporation
GRC 거버넌스, 리스크 관리와 컴플라이언스 1 보안 젂략 설계 2 모의해킹과 취약점 평가 정보 보앆관리 영역 보앆 보앆관리 체계 (서버 짂단 예) 목표 계정/패스워드 구성 보앆 정책 보앆 조직 보앆정책 기밀성 취약점 짂단 취약점 평가 커뮤니케이션 불필요한 인사 보앆 무결성 및 COMMON 짂단 대책 보앆 원칙 서비스 짂단 운영 관리 가용성 자산 파일 퍼미션/ 보앆 준수 분류 모의해킹 소유권 취약점 짂단 및 통제 참조 보앆 지침 시스템 보앆 패치 물리 홖경 시스템 개발 보앆 및 취약점 짂단 유지 보수 점검 체크리스트 업무 연속성 Technology Process 백도어 취약점 짂단 접근 제어 계획 관리 보앆 마스터플랜 수립 3 보안 컴플라이언스 평가 4 보안 사고 대응 법 / 규제 변화 모니터링 법/규제 변화 정보보호 짂단 수행시 취약점 점검 장애 처리 모니터링 정책에 반영 점검 젂사 정보보호 짂단 체계 실시간 침입 Reporting 1. 짂단계획 수립  짂단 내용 결정  짂단 부서 및 평가 대상 결정 차단/탐지 서비스  부서별 자체 짂단 2.  기본 체크리스트 점검 유해 트래픽 짂단 수행 Help Desk  물리적 보앆 홖경 점검 및 시스템 보앆 취약점 점검 차단 3.  짂단 결과 분석 짂단 결과 보고  보고 및 결과 공유 4.  개선 계획 수립 통합 이벤트  개선 짂단 사후 조치  개선 결과 모니터링 모니터링 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 6 © 2011 IBM Corporation
개인정보보호를 위한 IBM의 보안 서비스 단기적 목표 A B C Short Term 개인정보 보호법 대응 Assessment Remediation Re-validation Objectives & (단기 목표) (현황 짂단) (개선 홗동) (재평가) 보안 취약점 파악 장기적 목표 D E Long Term 보안 관리 수준 향상 Strategy Dev. Project Implementation Objectives & (장기 목표) (보안젂략 개발) (구현 프로젝트 수행) 미래 보안 사고 방지 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 7 © 2011 IBM Corporation
Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 8 © 2011 IBM Corporation
개인정보의 안젂성 확보조치 기준 (2011.9) IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 9 © 2011 IBM Corporation
접근 권한 및 비밀번호의 관리 제4조(접근 권한의 관리) -개인정보처리시스템에 대한 접근권한을 업무에 맞도록 최소한으로 부여 -인사이동에 대한 접근권한의 변경/말소 -권한 부여/변경/말소 기록의 3년 보관 -1인 1계정 사용을 통한 책임추적성 확보 제5조(비밀번호 관리) - 비밀번호 작성규칙의 수립, 적용을 통한 앆젂한 비밀번호 설정 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 10 © 2011 IBM Corporation
접근 권한 및 비밀번호의 관리 신청 신청 수작업에 의한 Miss, 지연 신청 미비, 부정 가능성 인사 이동 현황 파악 어려움 Workflow 승인 승인 IAM시스템 승인 승인 승인 등록 Log 등록 요원의 증가 Provisioning 같은 작업의 반복 Miss, 부정 가능성 감사 Log의 소실 IAM시스템의 목표  정책 적용의 자동화 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 11 © 2011 IBM Corporation
접근 권한 및 비밀번호의 관리 계정관리 시스템 Tivoli Identity and 계정관리 계정관리 정책 관리 1인 1계정 Access Manager 정책 접근권한의 계정 싞청/승인 관리 차등부여 계정 현황 및 이력관리 사용자 정보 인사DB 동기화 본인 정보 및 패스워드 관리 패스워드 정책 인사DB 계정 변경 내역 감사 및 보고서 관리 계정관리 로그 인사시스템 자동 보관 자동연동 정책설정 계정 생성/삭제/변경 계정관리 대상 서버 계정 데이터베이스 계정 어플리케이션 계정 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 12 © 2011 IBM Corporation
접근 권한 및 비밀번호의 관리 Production Traffic InfoSphere Guardium Application SQL Servers Oracle, 특권 DB2, 사용자 MySQL, Sybase, Issue SQL etc. S-GATE Hold SQL DB취약점 평가 정책 위반 Outsourced DBA 정책 판단 사용자 권한에 따른 정책 위반: Database접근 제어 연결 끊음 Session Terminated IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 13 © 2011 IBM Corporation
접근 통제 시스템 설치 및 운영 제6조(접근통제 시스템 설치 및 운영) -접근 및 침해사고 방지를 위한 침입차단/침입방지 시스템 설치. 운영 -외부에서의 개인정보처리시스템 접속을 위한 앆젂한 접속수단 적용 -인터넷 홈페이지등을 통한 개인정보 유출 방지 조치 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 14 © 2011 IBM Corporation
접근 통제 시스템 설치 및 운영 젂년 대비 27%증가 출현한 공격 대부분이 O day 2010년 젂체 취약점 중 44% - No patch!!! 2010년 젂체 취약점 49%가 Client 공격 대부분은 브라우저, 웹 어플리케이션 취약점 멀티미디어 공격 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 15 © 2011 IBM Corporation
접근 통제 시스템 설치 및 운영 SQL 인젝션은 지속적으로 공격자들이 가장 즐겨 사용하는 기법 - IBM X-Force 2011 상반기 보고서  공격자들이 악용할 수 있는 SQL 인젝션 취약점을 찾기 위해 웹 어플리케이션을 분석합니다.  취약한 웹 어플리케이션이 발견되는 즉시, 공격자는 대상 사이트의 공격 프로세스를 자동화하기 위해 검색 엔짂을 사용합니다. IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 16 © 2011 IBM Corporation
접근 통제 시스템 설치 및 운영 개인정보처리 시스템에 대한 접속권한을 IP주소 등으로 제한, 인 IBM Security 가 받지 않은 접근제한 Network Intrusion Prevention System 개인정보처리 시스템에 접속한 IP주소 • 연구결과 기반의 위험 감소 등을 분석하여 불법적인 개인정보 • 성능 저하 없는 방어 제공 • IBM X-Force R&D의 선제적 유출 시도를 탐지 방어 제공 • GX7800: True 10Gbps IPS/IDS IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 17 © 2011 IBM Corporation
접근 통제 시스템 설치 및 운영 IBM Rational AppScan SDLC or 보안 엔지니어링 Coding Build QA Security 잠재적인 취약성 AppScan AppScan AppScan Source Source for AppScan Tester Automation Standard Bug Bug Bug Bug Bug Bug Bug 개발자 Bug Bug Bug 빌드 담당자 테스터 보앆 감사자 Bug Bug Bug Bug Bug Bug 인터넷 홈페이지를 통한 Bug Bug Bug Bug 개인정보 유출 방지 초반에 문제점을 찾아 보다 복잡한 해결 문제에 집중 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 18 © 2011 IBM Corporation
개인정보의 암호화 제7조(개인정보의 암호화) -암호화하여야 하는 개인정보: 고유식별정보, 비밀번호 및 바이오정보 -비밀번호를 저장하는 경우 복호화되지 않도록 일방향 암호화 저장 -적용 기간: 시행일로부터 3개월 이내 암호화 계획 수립, 계획 수립일로부터 12개월 이내에 암호화 적용(최장 2012.12) -업무용 컴퓨터에 고유식별정보를 저장/관리하는 경우 암호화 저장 * 고유식별정보: 주민등록번호, 여권번호, 면허번호, 외국인등록번호 (개인정보보호법 시행령) * 바이오정보: 지문, 얼굴, 홍채, 정맥, 음성, 필적 등의 싞체/행동적 특징에 대한 정보 및 그로부터 가공되거나 생성된 정보 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 19 © 2011 IBM Corporation
접속기록의 보관 및 위.변조 방지 제8조(접속기록의 보관 및 위.변조 방지) -개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관.관리 -접속 기록의 위.변조 및 도난, 분실로부터 앆젂하게 보호 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 20 © 2011 IBM Corporation
접속기록의 보관 및 위.변조 방지 로그데이터는 지속적으로 조직에 공급되지만 이를 관리하는 조직의 리소스는 제한되어 있음 로그는 너무 복잡함(많은 로그 소스, 로그 내용의 다양성, 다양한 포맷, 타임 스탬프…) 로그는 시간이 지날수록 계속적으로 크기가 증가함 로그의 기밀성, 무결성, 가용을 보장하여야 함 관리자가 주기적으로 로그 데이터 분석을 수행하여야 함 how, where, what to log IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 21 © 2011 IBM Corporation
접속기록의 보관 및 위.변조 방지 개인정보처리시스템 접속 기록 최소 6개월 이상 보관/관리 Tivoli Security Information and Event Manager 원본로그의 저장 로그의 정규화 로그 인덱싱 삭제/편집방 지 TSIEM Network 정기 백업 Log Depot WORM Storage(예: IBM DR550) 접속 기록의 위변조 방지 및 압축,암호화된 로그(Chunk log) 관리자가 정한 기간 동안 도난,분실되지 않도록 보관 로그의 기밀성, 무결성, 가용성 보장 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 22 © 2011 IBM Corporation
보안프로그램 설치 및 운영 제9조(보앆프로그램 설치 및 운영) -보앆 프로그램 설치.운영 -보앆 프로그램의 자동 업데이트 기능을 사용 또는 일 1회 이상 업데이트 실시 -응용프로그램 또는 운영체제 S/W 벤더의 보앆 업데이트 공지 시, 즉시 업데이트 실시 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 23 © 2011 IBM Corporation
보안프로그램 설치 및 운영  보안 관리를 위해 필수 패치가 정해짂 시간 내에 적용되었다는 것을 확신할 수 있습니까?  업데이트 및 패치 필요시 언제, 어디서나, 네트워크 홖경에 구애 받지 않고 적용이 가능합니까?  다양한 엔드포인트 O/S 및 플랫폼에 대한 한 개의 Tool 사용으로 효율성을 높일 수 있습니까? IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 24 © 2011 IBM Corporation
보안프로그램 설치 및 운영 보안 업데이트 공지 시 Tivoli Endpoint Manager 패치 젂원 컴플라이언스 앆티멀웨어 즉시 업데이트 실시 Internet S/W 분배 SW 자산 OS 설치 기타... Content Sites 보안 프로그램 자동 업데이트/ 일 1회 이상 업데이트 보안 프로그램 설치/운영 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 25 © 2011 IBM Corporation
Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 26 © 2011 IBM Corporation
IBM과 함께 하는 개인정보보호 “Secure by Design” IBM Research Projects 보안 기술 Know-How Corporate Business Policy 보안 정책 Standards Guideline Security Security Security 보안 가이드 Policy 보안 표준 IBM Corporate Instructions IBM Corporate Policies 검증된 보안 프레임워크 젂세계 IBM이 사용하고 있는 보안정책 고객 가치 제안 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 27 © 2011 IBM Corporation
감사합니다! http://www-01.ibm.com/software/kr/security IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 28 © 2011 IBM Corporation

Recommended

MDL ebplus
MDL ebplusMDL ebplus
MDL ebplussilverfox2580
 
Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503silverfox2580
 
security framework2.20
security framework2.20security framework2.20
security framework2.20skccsocial
 
security framework2.20
security framework2.20security framework2.20
security framework2.20skccsocial
 
3A1P, 통합 계정 관리(IAM:Identity Access Management)-DHan-Kim-2012-11-6
3A1P, 통합 계정 관리(IAM:Identity Access Management)-DHan-Kim-2012-11-63A1P, 통합 계정 관리(IAM:Identity Access Management)-DHan-Kim-2012-11-6
3A1P, 통합 계정 관리(IAM:Identity Access Management)-DHan-Kim-2012-11-6Donghan Kim
 
02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입InGuen Hwang
 
IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처InGuen Hwang
 
Talk IT_ CA_조상원_110930
Talk IT_ CA_조상원_110930Talk IT_ CA_조상원_110930
Talk IT_ CA_조상원_110930Cana Ko
 

Recommended

MDL ebplus
MDL ebplusMDL ebplus
MDL ebplussilverfox2580
 
Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503silverfox2580
 
security framework2.20
security framework2.20security framework2.20
security framework2.20skccsocial
 
security framework2.20
security framework2.20security framework2.20
security framework2.20skccsocial
 
3A1P, 통합 계정 관리(IAM:Identity Access Management)-DHan-Kim-2012-11-6
3A1P, 통합 계정 관리(IAM:Identity Access Management)-DHan-Kim-2012-11-63A1P, 통합 계정 관리(IAM:Identity Access Management)-DHan-Kim-2012-11-6
3A1P, 통합 계정 관리(IAM:Identity Access Management)-DHan-Kim-2012-11-6Donghan Kim
 
02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입InGuen Hwang
 
IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처InGuen Hwang
 
Talk IT_ CA_조상원_110930
Talk IT_ CA_조상원_110930Talk IT_ CA_조상원_110930
Talk IT_ CA_조상원_110930Cana Ko
 
StarUML NS - 4.star rail 변경관리
StarUML NS - 4.star rail 변경관리StarUML NS - 4.star rail 변경관리
StarUML NS - 4.star rail 변경관리태욱 양
 
StarUML NS - Example
StarUML NS - ExampleStarUML NS - Example
StarUML NS - Example태욱 양
 
StarUML NS - 2.star rail 요구사항 도출 표준
StarUML NS - 2.star rail 요구사항 도출 표준StarUML NS - 2.star rail 요구사항 도출 표준
StarUML NS - 2.star rail 요구사항 도출 표준태욱 양
 
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)Suji Lee
 
요구사항과 테스트 설계
요구사항과 테스트 설계요구사항과 테스트 설계
요구사항과 테스트 설계kimjoohyuk
 
StarUML NS - 1.star rail 요구사항 방법론
StarUML NS - 1.star rail 요구사항 방법론StarUML NS - 1.star rail 요구사항 방법론
StarUML NS - 1.star rail 요구사항 방법론태욱 양
 
System Management Reference Seminar(Nh Bank)
System Management Reference Seminar(Nh Bank)System Management Reference Seminar(Nh Bank)
System Management Reference Seminar(Nh Bank)xpert13
 
Talk IT_IBM_공은정_110722
Talk IT_IBM_공은정_110722Talk IT_IBM_공은정_110722
Talk IT_IBM_공은정_110722Cana Ko
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalLee Chanwoo
 
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018 클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018 Amazon Web Services Korea
 
포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안TJ Seo
 
01. it정보화전략-it 기술기반 도입 계획
01. it정보화전략-it 기술기반 도입 계획01. it정보화전략-it 기술기반 도입 계획
01. it정보화전략-it 기술기반 도입 계획InGuen Hwang
 
Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30SAMUEL SJ Cheon
 
[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략Ji-Woong Choi
 
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진eungjin cho
 
110527 CA
110527 CA110527 CA
110527 CACana Ko
 
Business process approach and the future of bpm - Social BPM and PaaS for Bus...
Business process approach and the future of bpm - Social BPM and PaaS for Bus...Business process approach and the future of bpm - Social BPM and PaaS for Bus...
Business process approach and the future of bpm - Social BPM and PaaS for Bus...uEngine Solutions
 
Cloud_Talent_Management
Cloud_Talent_ManagementCloud_Talent_Management
Cloud_Talent_ManagementAdam Park
 
Sap grc 10 webinar 2012 (한글번역 샘플)
Sap grc 10 webinar 2012 (한글번역 샘플)Sap grc 10 webinar 2012 (한글번역 샘플)
Sap grc 10 webinar 2012 (한글번역 샘플)ProtivitiSeoul
 
ITOM (IT operations management)
ITOM (IT operations management)ITOM (IT operations management)
ITOM (IT operations management)에스티이지 (STEG)
 
Lg Cns System Management Improvement(Summary)
Lg Cns System Management Improvement(Summary)Lg Cns System Management Improvement(Summary)
Lg Cns System Management Improvement(Summary)xpert13
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 [Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 Oracle Korea
 

More Related Content

Viewers also liked

StarUML NS - 4.star rail 변경관리
StarUML NS - 4.star rail 변경관리StarUML NS - 4.star rail 변경관리
StarUML NS - 4.star rail 변경관리태욱 양
 
StarUML NS - Example
StarUML NS - ExampleStarUML NS - Example
StarUML NS - Example태욱 양
 
StarUML NS - 2.star rail 요구사항 도출 표준
StarUML NS - 2.star rail 요구사항 도출 표준StarUML NS - 2.star rail 요구사항 도출 표준
StarUML NS - 2.star rail 요구사항 도출 표준태욱 양
 
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)Suji Lee
 
요구사항과 테스트 설계
요구사항과 테스트 설계요구사항과 테스트 설계
요구사항과 테스트 설계kimjoohyuk
 
StarUML NS - 1.star rail 요구사항 방법론
StarUML NS - 1.star rail 요구사항 방법론StarUML NS - 1.star rail 요구사항 방법론
StarUML NS - 1.star rail 요구사항 방법론태욱 양
 

Viewers also liked (6)

StarUML NS - 4.star rail 변경관리
StarUML NS - 4.star rail 변경관리StarUML NS - 4.star rail 변경관리
StarUML NS - 4.star rail 변경관리
 
StarUML NS - Example
StarUML NS - ExampleStarUML NS - Example
StarUML NS - Example
 
StarUML NS - 2.star rail 요구사항 도출 표준
StarUML NS - 2.star rail 요구사항 도출 표준StarUML NS - 2.star rail 요구사항 도출 표준
StarUML NS - 2.star rail 요구사항 도출 표준
 
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)
2015 SINVAS DAY-SINVAS REQ(요구사항의 효율적 관리 방안)
 
요구사항과 테스트 설계
요구사항과 테스트 설계요구사항과 테스트 설계
요구사항과 테스트 설계
 
StarUML NS - 1.star rail 요구사항 방법론
StarUML NS - 1.star rail 요구사항 방법론StarUML NS - 1.star rail 요구사항 방법론
StarUML NS - 1.star rail 요구사항 방법론
 

Similar to Talk IT_ IBM_나병준_111025_Session2

System Management Reference Seminar(Nh Bank)
System Management Reference Seminar(Nh Bank)System Management Reference Seminar(Nh Bank)
System Management Reference Seminar(Nh Bank)xpert13
 
Talk IT_IBM_공은정_110722
Talk IT_IBM_공은정_110722Talk IT_IBM_공은정_110722
Talk IT_IBM_공은정_110722Cana Ko
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalLee Chanwoo
 
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018 클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018 Amazon Web Services Korea
 
포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안TJ Seo
 
01. it정보화전략-it 기술기반 도입 계획
01. it정보화전략-it 기술기반 도입 계획01. it정보화전략-it 기술기반 도입 계획
01. it정보화전략-it 기술기반 도입 계획InGuen Hwang
 
Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30SAMUEL SJ Cheon
 
[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략Ji-Woong Choi
 
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진eungjin cho
 
110527 CA
110527 CA110527 CA
110527 CACana Ko
 
Business process approach and the future of bpm - Social BPM and PaaS for Bus...
Business process approach and the future of bpm - Social BPM and PaaS for Bus...Business process approach and the future of bpm - Social BPM and PaaS for Bus...
Business process approach and the future of bpm - Social BPM and PaaS for Bus...uEngine Solutions
 
Cloud_Talent_Management
Cloud_Talent_ManagementCloud_Talent_Management
Cloud_Talent_ManagementAdam Park
 
Sap grc 10 webinar 2012 (한글번역 샘플)
Sap grc 10 webinar 2012 (한글번역 샘플)Sap grc 10 webinar 2012 (한글번역 샘플)
Sap grc 10 webinar 2012 (한글번역 샘플)ProtivitiSeoul
 
Lg Cns System Management Improvement(Summary)
Lg Cns System Management Improvement(Summary)Lg Cns System Management Improvement(Summary)
Lg Cns System Management Improvement(Summary)xpert13
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 [Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 Oracle Korea
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930eungjin cho
 
소프트웨어인라이프의 CSB
소프트웨어인라이프의 CSB소프트웨어인라이프의 CSB
소프트웨어인라이프의 CSBSoftware in Life
 
120515 security framework2.20
120515 security framework2.20120515 security framework2.20
120515 security framework2.20skccsocial
 
프로젝트에서 Sw아키텍트의 역할 20140717
프로젝트에서 Sw아키텍트의 역할 20140717프로젝트에서 Sw아키텍트의 역할 20140717
프로젝트에서 Sw아키텍트의 역할 20140717Young On Kim
 

Similar to Talk IT_ IBM_나병준_111025_Session2 (20)

System Management Reference Seminar(Nh Bank)
System Management Reference Seminar(Nh Bank)System Management Reference Seminar(Nh Bank)
System Management Reference Seminar(Nh Bank)
 
Talk IT_IBM_공은정_110722
Talk IT_IBM_공은정_110722Talk IT_IBM_공은정_110722
Talk IT_IBM_공은정_110722
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
 
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018 클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018
클라우드 환경에서 비즈니스 애플리케이션의 성능 통합 모니터링 방안::류길현::AWS Summit Seoul 2018
 
포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안
 
01. it정보화전략-it 기술기반 도입 계획
01. it정보화전략-it 기술기반 도입 계획01. it정보화전략-it 기술기반 도입 계획
01. it정보화전략-it 기술기반 도입 계획
 
Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30Observability customer presentation samuel-2021-03-30
Observability customer presentation samuel-2021-03-30
 
[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략[오픈소스컨설팅]소프트웨어테스팅전략
[오픈소스컨설팅]소프트웨어테스팅전략
 
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진
리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진
 
110527 CA
110527 CA110527 CA
110527 CA
 
Business process approach and the future of bpm - Social BPM and PaaS for Bus...
Business process approach and the future of bpm - Social BPM and PaaS for Bus...Business process approach and the future of bpm - Social BPM and PaaS for Bus...
Business process approach and the future of bpm - Social BPM and PaaS for Bus...
 
Cloud_Talent_Management
Cloud_Talent_ManagementCloud_Talent_Management
Cloud_Talent_Management
 
Sap grc 10 webinar 2012 (한글번역 샘플)
Sap grc 10 webinar 2012 (한글번역 샘플)Sap grc 10 webinar 2012 (한글번역 샘플)
Sap grc 10 webinar 2012 (한글번역 샘플)
 
ITOM (IT operations management)
ITOM (IT operations management)ITOM (IT operations management)
ITOM (IT operations management)
 
Lg Cns System Management Improvement(Summary)
Lg Cns System Management Improvement(Summary)Lg Cns System Management Improvement(Summary)
Lg Cns System Management Improvement(Summary)
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 [Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
 
소프트웨어인라이프의 CSB
소프트웨어인라이프의 CSB소프트웨어인라이프의 CSB
소프트웨어인라이프의 CSB
 
120515 security framework2.20
120515 security framework2.20120515 security framework2.20
120515 security framework2.20
 
프로젝트에서 Sw아키텍트의 역할 20140717
프로젝트에서 Sw아키텍트의 역할 20140717프로젝트에서 Sw아키텍트의 역할 20140717
프로젝트에서 Sw아키텍트의 역할 20140717
 

More from Cana Ko

북Tv365_쓰고 상상하고 실행하라_문준호_111207
북Tv365_쓰고 상상하고 실행하라_문준호_111207북Tv365_쓰고 상상하고 실행하라_문준호_111207
북Tv365_쓰고 상상하고 실행하라_문준호_111207Cana Ko
 
북Tv365 나는 영화가 좋다 이창세_111130
북Tv365 나는 영화가 좋다 이창세_111130북Tv365 나는 영화가 좋다 이창세_111130
북Tv365 나는 영화가 좋다 이창세_111130Cana Ko
 
북Tv365_10년의 기다림 김창수_111123
북Tv365_10년의 기다림 김창수_111123북Tv365_10년의 기다림 김창수_111123
북Tv365_10년의 기다림 김창수_111123Cana Ko
 
북Tv365 서른 life 사전 이재은_111116
북Tv365 서른 life 사전 이재은_111116북Tv365 서른 life 사전 이재은_111116
북Tv365 서른 life 사전 이재은_111116Cana Ko
 
북Tv365_책에 미친 청춘_김애리_111102
북Tv365_책에 미친 청춘_김애리_111102북Tv365_책에 미친 청춘_김애리_111102
북Tv365_책에 미친 청춘_김애리_111102Cana Ko
 
북Tv365 책에 미친 청춘 김애리_111102
북Tv365 책에 미친 청춘 김애리_111102북Tv365 책에 미친 청춘 김애리_111102
북Tv365 책에 미친 청춘 김애리_111102Cana Ko
 
북Tv365 책에 미친 청춘 김애리_111102
북Tv365 책에 미친 청춘 김애리_111102북Tv365 책에 미친 청춘 김애리_111102
북Tv365 책에 미친 청춘 김애리_111102Cana Ko
 
Talk IT_Oracle AP_이진호 부장_111102
Talk IT_Oracle AP_이진호 부장_111102 Talk IT_Oracle AP_이진호 부장_111102
Talk IT_Oracle AP_이진호 부장_111102 Cana Ko
 
Talk IT_CA_정성엽_111028
Talk IT_CA_정성엽_111028Talk IT_CA_정성엽_111028
Talk IT_CA_정성엽_111028Cana Ko
 
북포럼 227회 재즈스타일 전진용 111026
북포럼 227회 재즈스타일 전진용 111026북포럼 227회 재즈스타일 전진용 111026
북포럼 227회 재즈스타일 전진용 111026Cana Ko
 
111025 session 1
111025 session 1111025 session 1
111025 session 1Cana Ko
 
Talk IT_ Oracle_정봉기_111025
Talk IT_ Oracle_정봉기_111025Talk IT_ Oracle_정봉기_111025
Talk IT_ Oracle_정봉기_111025Cana Ko
 
북포럼_화난 원숭이들은 모두 어디로 갔을까_ 송인혁_ 111019
북포럼_화난 원숭이들은 모두 어디로 갔을까_ 송인혁_ 111019북포럼_화난 원숭이들은 모두 어디로 갔을까_ 송인혁_ 111019
북포럼_화난 원숭이들은 모두 어디로 갔을까_ 송인혁_ 111019Cana Ko
 
북포럼_고민이 없다면 20대가 아니다_고영혁_111012
북포럼_고민이 없다면 20대가 아니다_고영혁_111012북포럼_고민이 없다면 20대가 아니다_고영혁_111012
북포럼_고민이 없다면 20대가 아니다_고영혁_111012Cana Ko
 
Talk IT_ Oracle_최대진_111012
Talk IT_ Oracle_최대진_111012Talk IT_ Oracle_최대진_111012
Talk IT_ Oracle_최대진_111012Cana Ko
 
Talk IT_ Oracle_전태준_111012
Talk IT_ Oracle_전태준_111012Talk IT_ Oracle_전태준_111012
Talk IT_ Oracle_전태준_111012Cana Ko
 
Talk IT_ Agilent_최석근_111007
Talk IT_ Agilent_최석근_111007Talk IT_ Agilent_최석근_111007
Talk IT_ Agilent_최석근_111007Cana Ko
 
북포럼_1초에 가슴을 울려라_ 최병광_111005
북포럼_1초에 가슴을 울려라_ 최병광_111005북포럼_1초에 가슴을 울려라_ 최병광_111005
북포럼_1초에 가슴을 울려라_ 최병광_111005Cana Ko
 
북포럼_f 커머스_ 김영한_110928
북포럼_f 커머스_ 김영한_110928북포럼_f 커머스_ 김영한_110928
북포럼_f 커머스_ 김영한_110928Cana Ko
 
Talk IT_ Oracle_정병선_110928
Talk IT_ Oracle_정병선_110928Talk IT_ Oracle_정병선_110928
Talk IT_ Oracle_정병선_110928Cana Ko
 

More from Cana Ko (20)

북Tv365_쓰고 상상하고 실행하라_문준호_111207
북Tv365_쓰고 상상하고 실행하라_문준호_111207북Tv365_쓰고 상상하고 실행하라_문준호_111207
북Tv365_쓰고 상상하고 실행하라_문준호_111207
 
북Tv365 나는 영화가 좋다 이창세_111130
북Tv365 나는 영화가 좋다 이창세_111130북Tv365 나는 영화가 좋다 이창세_111130
북Tv365 나는 영화가 좋다 이창세_111130
 
북Tv365_10년의 기다림 김창수_111123
북Tv365_10년의 기다림 김창수_111123북Tv365_10년의 기다림 김창수_111123
북Tv365_10년의 기다림 김창수_111123
 
북Tv365 서른 life 사전 이재은_111116
북Tv365 서른 life 사전 이재은_111116북Tv365 서른 life 사전 이재은_111116
북Tv365 서른 life 사전 이재은_111116
 
북Tv365_책에 미친 청춘_김애리_111102
북Tv365_책에 미친 청춘_김애리_111102북Tv365_책에 미친 청춘_김애리_111102
북Tv365_책에 미친 청춘_김애리_111102
 
북Tv365 책에 미친 청춘 김애리_111102
북Tv365 책에 미친 청춘 김애리_111102북Tv365 책에 미친 청춘 김애리_111102
북Tv365 책에 미친 청춘 김애리_111102
 
북Tv365 책에 미친 청춘 김애리_111102
북Tv365 책에 미친 청춘 김애리_111102북Tv365 책에 미친 청춘 김애리_111102
북Tv365 책에 미친 청춘 김애리_111102
 
Talk IT_Oracle AP_이진호 부장_111102
Talk IT_Oracle AP_이진호 부장_111102 Talk IT_Oracle AP_이진호 부장_111102
Talk IT_Oracle AP_이진호 부장_111102
 
Talk IT_CA_정성엽_111028
Talk IT_CA_정성엽_111028Talk IT_CA_정성엽_111028
Talk IT_CA_정성엽_111028
 
북포럼 227회 재즈스타일 전진용 111026
북포럼 227회 재즈스타일 전진용 111026북포럼 227회 재즈스타일 전진용 111026
북포럼 227회 재즈스타일 전진용 111026
 
111025 session 1
111025 session 1111025 session 1
111025 session 1
 
Talk IT_ Oracle_정봉기_111025
Talk IT_ Oracle_정봉기_111025Talk IT_ Oracle_정봉기_111025
Talk IT_ Oracle_정봉기_111025
 
북포럼_화난 원숭이들은 모두 어디로 갔을까_ 송인혁_ 111019
북포럼_화난 원숭이들은 모두 어디로 갔을까_ 송인혁_ 111019북포럼_화난 원숭이들은 모두 어디로 갔을까_ 송인혁_ 111019
북포럼_화난 원숭이들은 모두 어디로 갔을까_ 송인혁_ 111019
 
북포럼_고민이 없다면 20대가 아니다_고영혁_111012
북포럼_고민이 없다면 20대가 아니다_고영혁_111012북포럼_고민이 없다면 20대가 아니다_고영혁_111012
북포럼_고민이 없다면 20대가 아니다_고영혁_111012
 
Talk IT_ Oracle_최대진_111012
Talk IT_ Oracle_최대진_111012Talk IT_ Oracle_최대진_111012
Talk IT_ Oracle_최대진_111012
 
Talk IT_ Oracle_전태준_111012
Talk IT_ Oracle_전태준_111012Talk IT_ Oracle_전태준_111012
Talk IT_ Oracle_전태준_111012
 
Talk IT_ Agilent_최석근_111007
Talk IT_ Agilent_최석근_111007Talk IT_ Agilent_최석근_111007
Talk IT_ Agilent_최석근_111007
 
북포럼_1초에 가슴을 울려라_ 최병광_111005
북포럼_1초에 가슴을 울려라_ 최병광_111005북포럼_1초에 가슴을 울려라_ 최병광_111005
북포럼_1초에 가슴을 울려라_ 최병광_111005
 
북포럼_f 커머스_ 김영한_110928
북포럼_f 커머스_ 김영한_110928북포럼_f 커머스_ 김영한_110928
북포럼_f 커머스_ 김영한_110928
 
Talk IT_ Oracle_정병선_110928
Talk IT_ Oracle_정병선_110928Talk IT_ Oracle_정병선_110928
Talk IT_ Oracle_정병선_110928
 

Talk IT_ IBM_나병준_111025_Session2

  • 1. IBM 보안 프레임워크 기반의 개인정보 안젂조치 대응 IBM Korea SWG, 나병준 차장(CISSP) 2011.10.25 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 1 © 2011 IBM Corporation
  • 2. Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 2 © 2011 IBM Corporation
  • 3. 보안과 비즈니스 “보앆은 IT 서비스 운영의 가시성 (Visibility), 통제성 (Control), 자동화 (Automation) 를 확보하여 비용젃감, 위험관리, 규제 준수, 비즈니스 개선의 도구로 자리매김하여야 함.” IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 3 © 2011 IBM Corporation
  • 4. 보안과 비즈니스 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 4 © 2011 IBM Corporation
  • 5. 지속적인 보안 관리를 IBM 보안 프레임워크 지속적인 보안 관리 보고 위험 검토 분석 모니터링 통제 실행 거버넌스 솔루션+서비스 조직 프로세스 컴플라이언스 … template … … … IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 5 © 2011 IBM Corporation
  • 6. GRC 거버넌스, 리스크 관리와 컴플라이언스 1 보안 젂략 설계 2 모의해킹과 취약점 평가 정보 보앆관리 영역 보앆 보앆관리 체계 (서버 짂단 예) 목표 계정/패스워드 구성 보앆 정책 보앆 조직 보앆정책 기밀성 취약점 짂단 취약점 평가 커뮤니케이션 불필요한 인사 보앆 무결성 및 COMMON 짂단 대책 보앆 원칙 서비스 짂단 운영 관리 가용성 자산 파일 퍼미션/ 보앆 준수 분류 모의해킹 소유권 취약점 짂단 및 통제 참조 보앆 지침 시스템 보앆 패치 물리 홖경 시스템 개발 보앆 및 취약점 짂단 유지 보수 점검 체크리스트 업무 연속성 Technology Process 백도어 취약점 짂단 접근 제어 계획 관리 보앆 마스터플랜 수립 3 보안 컴플라이언스 평가 4 보안 사고 대응 법 / 규제 변화 모니터링 법/규제 변화 정보보호 짂단 수행시 취약점 점검 장애 처리 모니터링 정책에 반영 점검 젂사 정보보호 짂단 체계 실시간 침입 Reporting 1. 짂단계획 수립  짂단 내용 결정  짂단 부서 및 평가 대상 결정 차단/탐지 서비스  부서별 자체 짂단 2.  기본 체크리스트 점검 유해 트래픽 짂단 수행 Help Desk  물리적 보앆 홖경 점검 및 시스템 보앆 취약점 점검 차단 3.  짂단 결과 분석 짂단 결과 보고  보고 및 결과 공유 4.  개선 계획 수립 통합 이벤트  개선 짂단 사후 조치  개선 결과 모니터링 모니터링 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 6 © 2011 IBM Corporation
  • 7. 개인정보보호를 위한 IBM의 보안 서비스 단기적 목표 A B C Short Term 개인정보 보호법 대응 Assessment Remediation Re-validation Objectives & (단기 목표) (현황 짂단) (개선 홗동) (재평가) 보안 취약점 파악 장기적 목표 D E Long Term 보안 관리 수준 향상 Strategy Dev. Project Implementation Objectives & (장기 목표) (보안젂략 개발) (구현 프로젝트 수행) 미래 보안 사고 방지 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 7 © 2011 IBM Corporation
  • 8. Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 8 © 2011 IBM Corporation
  • 9. 개인정보의 안젂성 확보조치 기준 (2011.9) IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 9 © 2011 IBM Corporation
  • 10. 접근 권한 및 비밀번호의 관리 제4조(접근 권한의 관리) -개인정보처리시스템에 대한 접근권한을 업무에 맞도록 최소한으로 부여 -인사이동에 대한 접근권한의 변경/말소 -권한 부여/변경/말소 기록의 3년 보관 -1인 1계정 사용을 통한 책임추적성 확보 제5조(비밀번호 관리) - 비밀번호 작성규칙의 수립, 적용을 통한 앆젂한 비밀번호 설정 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 10 © 2011 IBM Corporation
  • 11. 접근 권한 및 비밀번호의 관리 신청 신청 수작업에 의한 Miss, 지연 신청 미비, 부정 가능성 인사 이동 현황 파악 어려움 Workflow 승인 승인 IAM시스템 승인 승인 승인 등록 Log 등록 요원의 증가 Provisioning 같은 작업의 반복 Miss, 부정 가능성 감사 Log의 소실 IAM시스템의 목표  정책 적용의 자동화 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 11 © 2011 IBM Corporation
  • 12. 접근 권한 및 비밀번호의 관리 계정관리 시스템 Tivoli Identity and 계정관리 계정관리 정책 관리 1인 1계정 Access Manager 정책 접근권한의 계정 싞청/승인 관리 차등부여 계정 현황 및 이력관리 사용자 정보 인사DB 동기화 본인 정보 및 패스워드 관리 패스워드 정책 인사DB 계정 변경 내역 감사 및 보고서 관리 계정관리 로그 인사시스템 자동 보관 자동연동 정책설정 계정 생성/삭제/변경 계정관리 대상 서버 계정 데이터베이스 계정 어플리케이션 계정 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 12 © 2011 IBM Corporation
  • 13. 접근 권한 및 비밀번호의 관리 Production Traffic InfoSphere Guardium Application SQL Servers Oracle, 특권 DB2, 사용자 MySQL, Sybase, Issue SQL etc. S-GATE Hold SQL DB취약점 평가 정책 위반 Outsourced DBA 정책 판단 사용자 권한에 따른 정책 위반: Database접근 제어 연결 끊음 Session Terminated IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 13 © 2011 IBM Corporation
  • 14. 접근 통제 시스템 설치 및 운영 제6조(접근통제 시스템 설치 및 운영) -접근 및 침해사고 방지를 위한 침입차단/침입방지 시스템 설치. 운영 -외부에서의 개인정보처리시스템 접속을 위한 앆젂한 접속수단 적용 -인터넷 홈페이지등을 통한 개인정보 유출 방지 조치 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 14 © 2011 IBM Corporation
  • 15. 접근 통제 시스템 설치 및 운영 젂년 대비 27%증가 출현한 공격 대부분이 O day 2010년 젂체 취약점 중 44% - No patch!!! 2010년 젂체 취약점 49%가 Client 공격 대부분은 브라우저, 웹 어플리케이션 취약점 멀티미디어 공격 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 15 © 2011 IBM Corporation
  • 16. 접근 통제 시스템 설치 및 운영 SQL 인젝션은 지속적으로 공격자들이 가장 즐겨 사용하는 기법 - IBM X-Force 2011 상반기 보고서  공격자들이 악용할 수 있는 SQL 인젝션 취약점을 찾기 위해 웹 어플리케이션을 분석합니다.  취약한 웹 어플리케이션이 발견되는 즉시, 공격자는 대상 사이트의 공격 프로세스를 자동화하기 위해 검색 엔짂을 사용합니다. IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 16 © 2011 IBM Corporation
  • 17. 접근 통제 시스템 설치 및 운영 개인정보처리 시스템에 대한 접속권한을 IP주소 등으로 제한, 인 IBM Security 가 받지 않은 접근제한 Network Intrusion Prevention System 개인정보처리 시스템에 접속한 IP주소 • 연구결과 기반의 위험 감소 등을 분석하여 불법적인 개인정보 • 성능 저하 없는 방어 제공 • IBM X-Force R&D의 선제적 유출 시도를 탐지 방어 제공 • GX7800: True 10Gbps IPS/IDS IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 17 © 2011 IBM Corporation
  • 18. 접근 통제 시스템 설치 및 운영 IBM Rational AppScan SDLC or 보안 엔지니어링 Coding Build QA Security 잠재적인 취약성 AppScan AppScan AppScan Source Source for AppScan Tester Automation Standard Bug Bug Bug Bug Bug Bug Bug 개발자 Bug Bug Bug 빌드 담당자 테스터 보앆 감사자 Bug Bug Bug Bug Bug Bug 인터넷 홈페이지를 통한 Bug Bug Bug Bug 개인정보 유출 방지 초반에 문제점을 찾아 보다 복잡한 해결 문제에 집중 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 18 © 2011 IBM Corporation
  • 19. 개인정보의 암호화 제7조(개인정보의 암호화) -암호화하여야 하는 개인정보: 고유식별정보, 비밀번호 및 바이오정보 -비밀번호를 저장하는 경우 복호화되지 않도록 일방향 암호화 저장 -적용 기간: 시행일로부터 3개월 이내 암호화 계획 수립, 계획 수립일로부터 12개월 이내에 암호화 적용(최장 2012.12) -업무용 컴퓨터에 고유식별정보를 저장/관리하는 경우 암호화 저장 * 고유식별정보: 주민등록번호, 여권번호, 면허번호, 외국인등록번호 (개인정보보호법 시행령) * 바이오정보: 지문, 얼굴, 홍채, 정맥, 음성, 필적 등의 싞체/행동적 특징에 대한 정보 및 그로부터 가공되거나 생성된 정보 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 19 © 2011 IBM Corporation
  • 20. 접속기록의 보관 및 위.변조 방지 제8조(접속기록의 보관 및 위.변조 방지) -개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관.관리 -접속 기록의 위.변조 및 도난, 분실로부터 앆젂하게 보호 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 20 © 2011 IBM Corporation
  • 21. 접속기록의 보관 및 위.변조 방지 로그데이터는 지속적으로 조직에 공급되지만 이를 관리하는 조직의 리소스는 제한되어 있음 로그는 너무 복잡함(많은 로그 소스, 로그 내용의 다양성, 다양한 포맷, 타임 스탬프…) 로그는 시간이 지날수록 계속적으로 크기가 증가함 로그의 기밀성, 무결성, 가용을 보장하여야 함 관리자가 주기적으로 로그 데이터 분석을 수행하여야 함 how, where, what to log IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 21 © 2011 IBM Corporation
  • 22. 접속기록의 보관 및 위.변조 방지 개인정보처리시스템 접속 기록 최소 6개월 이상 보관/관리 Tivoli Security Information and Event Manager 원본로그의 저장 로그의 정규화 로그 인덱싱 삭제/편집방 지 TSIEM Network 정기 백업 Log Depot WORM Storage(예: IBM DR550) 접속 기록의 위변조 방지 및 압축,암호화된 로그(Chunk log) 관리자가 정한 기간 동안 도난,분실되지 않도록 보관 로그의 기밀성, 무결성, 가용성 보장 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 22 © 2011 IBM Corporation
  • 23. 보안프로그램 설치 및 운영 제9조(보앆프로그램 설치 및 운영) -보앆 프로그램 설치.운영 -보앆 프로그램의 자동 업데이트 기능을 사용 또는 일 1회 이상 업데이트 실시 -응용프로그램 또는 운영체제 S/W 벤더의 보앆 업데이트 공지 시, 즉시 업데이트 실시 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 23 © 2011 IBM Corporation
  • 24. 보안프로그램 설치 및 운영  보안 관리를 위해 필수 패치가 정해짂 시간 내에 적용되었다는 것을 확신할 수 있습니까?  업데이트 및 패치 필요시 언제, 어디서나, 네트워크 홖경에 구애 받지 않고 적용이 가능합니까?  다양한 엔드포인트 O/S 및 플랫폼에 대한 한 개의 Tool 사용으로 효율성을 높일 수 있습니까? IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 24 © 2011 IBM Corporation
  • 25. 보안프로그램 설치 및 운영 보안 업데이트 공지 시 Tivoli Endpoint Manager 패치 젂원 컴플라이언스 앆티멀웨어 즉시 업데이트 실시 Internet S/W 분배 SW 자산 OS 설치 기타... Content Sites 보안 프로그램 자동 업데이트/ 일 1회 이상 업데이트 보안 프로그램 설치/운영 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 25 © 2011 IBM Corporation
  • 26. Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 26 © 2011 IBM Corporation
  • 27. IBM과 함께 하는 개인정보보호 “Secure by Design” IBM Research Projects 보안 기술 Know-How Corporate Business Policy 보안 정책 Standards Guideline Security Security Security 보안 가이드 Policy 보안 표준 IBM Corporate Instructions IBM Corporate Policies 검증된 보안 프레임워크 젂세계 IBM이 사용하고 있는 보안정책 고객 가치 제안 IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 27 © 2011 IBM Corporation
  • 28. 감사합니다! http://www-01.ibm.com/software/kr/security IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 28 © 2011 IBM Corporation