Honey buns

A Reference Model of Information Assurance & Security

• RMIAS based on IAS - Information Assurance and Security
  • integration of Information Security (Information Assurance
• RMIAS 4차원 
  • Information Systems Security Lifecycle (정보시스템 보안 수명 주기)  
    • 정보시스템(솔루션) 생성, 배포, 측정, 개선부터 폐기까지의 일시적인 측면과 적용 
  • Information taxonomy (정보 분류)
    • 정보 생성부터 파기까지의 수명 주기 
    • 형태, 상태, 민감도, 위치 등 고려 
  • Security Goals (보안 목표)
    • 조직 또는 시스템에 적용할 목표 정의
    • CIA Traid 확장 개념 (IAS octave이 되도록)
    • 위험 분석 프로세스를 통해 보안 목표의 우선순위 지정, 보안대책 설정 
  • Security countermeasures (보안 대책)
    • 보안목표를 달성하는데 사용되는 기술 또는 프로세스 
    •  

관련 논문 링크

- September 2013

https://www.researchgate.net/publication/261338307_A_Reference_Model_of_Information_Assurance_Security

[(PDF) A Reference Model of Information Assurance & Security

PDF | Information Assurance & Security (IAS) is a dynamic domain which changes continuously in response to the evolution of society, business needs and... | Find, read and cite all the research you need on ResearchGate

www.researchgate.net](https://www.researchgate.net/publication/261338307_A_Reference_Model_of_Information_Assurance_Security)

https://www.techrepublic.com/article/the-cia-triad/

Resources and bibliography:

Here we provide links to background information and specifically some articles or sources used in these sessions to introduce information/cyber security. You may find these useful to further explore the subject.

The CIA Triad is discussed on the Wikipedia page on Information Security. It refers to a short article The CIA Triad by Chad Perrin published in TechRepublic in IT Security, which is a useful security resource.

A brief outline of the RMIAS model is available on Wikipedia. The complete paper reference is:

Y. Cherdantseva and J. Hilton, "A Reference Model of Information Assurance & Security," Availability, Reliability and Security (ARES), 2013 Eighth International Conference on , vol., no., pp.546-555, IEEE, doi: 10.1109/ARES.2013.72, 2–6 September 2013.

The paper can be downloaded from researchgate.net.

출처 :

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7045#LINK 

안전조치 기준 적용 유형

https://www.ncsc.go.kr:4018/PageLink.do

2.8 정보시스템 도입 및 개발보안 

2.8.1 보안 요구사항 정의 

인증기준 : 정보시스템의 도입 ․ 개발 ․ 변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.

주요확인사항 :  정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립 ․ 이행하고 있는가?
 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 법적 요구사항, 최신 취약점등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가?
 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?

세부설명

 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립 ․ 이행하여야 한다.
▶ 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획을 수립
 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석
 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건
 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준 고시 포함), 정보통신망법(개인정보의 기술적 ․ 관리적 보호조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수
▶ 정보보호 및 개인정보보호 측면의 요구사항을 제안요청서(RFP)에 반영하고 업체 또는 제품 선정 시 기준으로 활용
▶ 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준을 수립
 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립
 시스템 도입 과정에서 인수기준을 준수하도록 구매계약서 등에 반영
 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하여야 한다.
▶ 개인정보보호 관련 법적 요구사항 : 접근권한, 접근통제, 암호화, 접속기록 등
▶ 상위 기관 및 내부 규정에 따른 정보보호 및 개인정보보호 요구사항
▶ 정보보호 관련 기술적 요구사항 : 인증, 개발보안 등
▶ 최신 보안취약점 등
 정보시스템의 안전한 구현을 위한 코딩 표준을 마련하고 적용하여야 한다.
▶ 알려진 기술적 보안 취약점으로 인한 위협을 최소화하기 위하여 안전한 코딩 표준 및 규약 마련
▶ Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 및 환경을 모두 포함
▶ 안전한 코딩 표준 및 규약에 대하여 개발자 대상 교육 수행

원문 : https://www.boannews.com/media/view.asp?idx=87223

코로나 확진자의 정보는 개인정보인가?

- 이름 - 김** , 거주지역 (동까지), 이동 경로, 이동목적, 동행 등 정보들을 통해 확진자를 조금이라도 아는 사람이라면 충분히 확진자를 '특정'할 수 있는데, 이와같이 다른 정보와 결합했을 때 누군지 알 수 있는 정보는 '개인정보'라고 할 수 있다.

- 공개된 정보를 조합했을 때 누구인지 알아볼 수 있는지가 쟁점이다.

- 현재까지 나온 정보를 현행법상 '개인정보'라고 일률적으로 단정하기 어렵다는 것이 법조계의 해석.

- 개인정보보호법 개정안(2020.08.05 시행)상 '가명정보'에 해당한다고 함. 가명정보는 그 자체로는 개인을 알아보기 어렵지만 해당 개인과 1:1 대응되는 '연결정보'를 가진 정보인다. 이번 확진자 번호가 개인별 고유번호라는 점에서 '연결정보'에 해당함.

- 가명정보도 개인정보의 일종이지만, 연결정보가 법률상 또는 계약상 비밀로 유지된다는 전제 하에 정보주체의 동의 없는 활용이 특별히 허용된다. 다만, 확진자 번호와 해당 환자의 신상정보 간 연결정보는 정부만 가지고 있어야 하고, 이것이 민간에 새어나가지 않도록 비밀로 유지해야만 확진자 정보공개가 적법할 수 있다.

감염병 환자의 이동경로 등 정보공개 범위

코로나19 확진자의 정보가 공개될 수 있는 것은 '재난 및 안전관리 기본법' 때문이다. 재난피해자등의 '성명, 주민등록번호, 주소 및 전화번호, 재난피해자등의 이동경로(CCTV, 교통카드 사용 명세, 신용카드 직불카드 선불카드 사용정보, 진료기록부 정보, 전기통신사업자 및 위치정보사업자에 요청)등 확보가 가능.

그 밖에

한편, 그동안 역학조사관이 일일이 수작업으로 조사했던 확진자 동선파악이 앞으로 자동화되어 하루 이상 소요되던 시간이 10분 이내로 줄어들 전망이다. 국토교통부는 과기정통부와 질병관리본부와 함께 ‘코로나19 역학조사 지원시스템’을 26일부터 정식 운영한다고 밝혔다. 코로나19 역학조사 지원시스템은 ‘감염병 예방 및 관리에 관한 법률’에 따른 역학조사 절차를 자동화하는 시스템으로, 대규모 도시데이터를 수집·처리하는 스마트시티 연구개발 기술을 활용한 시스템이다.<

국가에서 특정인에 대한 이동경로 파악이 10분밖에 안걸린다는 것은 편리하면서도 두려운 기능..

출처: : 금융위원회 보도자료 페이지
(https://www.fsc.go.kr/info/ntc_news_view.jsp?menu=7210100&bbsid=BBS0030&no=31755)

1. 암호기술 활용 배경

• 법규 준수
  • 전자금융거래법 및 시행령 제21조 (안전성 확보의무)
  • 전자금융감독규정 제15조 (해킹 등 방지대책)
  • 전자금융감독규정 제31조 암호프로그램 및 키 관리통제
  • 전자금융감독규정 제34조 (전자금융거래 시 준수사항)
  • 전자금융감독규정 제37조 (공인인증서 사용 기준)
  • 전자금융감독규정 시행령 제7조 (인증방법의 안전성 평가 등)
  • 개인정보보호법 제24조 (고유식별정보 처리의 제한)
  • 개인정보보호법 제29조 (안전조치의무)
  • 신용정보업감독규정 제20조 (기술적.물리적.관리적 보안대책)
  • 개인정보 안전성 확보조치 기준 제7조 (개인정보의 암호화)

2. 용어 정의 및 암호 알고리즘 특징

• 양방향 알고리즘: 평문(Plain Text)에 대해 암호화/복호화 모두 수행할 수 있는 알고리즘
• 단방향 알고리즘: 평문(Plain Text)에 대해 암호화만 수행 가능하며, 복호화가 불가능한 알고리즘
• 대칭키 알고리즘: 평문(Plain Text)을 암복호화 할 시, 서로 동일한 키가 사용됨. 그래서 키를 비공개 한다.
• 공개키 알고리즘: 평문(Plain Text)을 암호화화 할 시, 서로 다른 키가 사용됨. 하나는 공개키로 사용
• 해시 알고리즘: 임의의 크기를 가진 평문(Plain Text)을 크기가 고정된 길이의 데이터로 변환시키며, 변환된 값으로 원래 평문의 값을 유추할 수 없음.
• 블록 암호 알고리즘: 암호문을 어느 특정 비트 수 단위로 묶어서 처리하는 암호 알고리즘
• 스트림 암호 알고리즘: 데이터 흐름(스트림)을 순차적으로 처리해가는 알고리즘

* 금융위 가이드인 ‘금융부문 암호기술 활용 가이드’ [표11 알고리즘의 종류 및 특징] 참고

3.     암호 알고리즘 사용 가이드

* KISA 가이드인 ‘암호 알고리즘 및 키 길이 이용 안내서’ 참고
** 보안강도는 상기 가이드 내 <표6> 보안강도별 암호 알고리즘 비교표 참고
*** 키 유효기간은 상기 가이드 내 <표7> 암호키 사용 유효기간 참고