ISMS 에 대한 자세한 내용은 아래 페이지에서 볼 수 있습니다
http://pims.kisa.or.kr/kor/intro/intro01.jsp
ISMS
ISMS(Information Security Management System)란 정보통신망의 안전성 확보를 위하여
수립하는 기술적, 물리적, 관리적 보호조치 등 종합적인 정보보호 관리체계에 대한
인증 제도입니다.
이는 제 3의 인증기관이 객관적, 독립적으로 관리체계를 평가하여, 관련 기준에 대한 적합 여부를 보증합니다.
ISMS인증과 관련하여 정책기관은 미래창조과학부, 인증기관은 한국인터넷진흥원으로 관련 업무를 주관하고
있습니다.
ISMS 인증제도 특징
- 국내 실정에 적합한 정보보호 관리 모델 제시
- 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증
- 국내 최고의 분야별 전문가들에 의한 인증 심사
- 국내 정보보호관련 법제도 반영
인증제도
정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도
목적
? 정보자산의 안전, 신뢰성 향상
? 정보보호관리에 대한 인식 제고
? 국제적 신뢰도 향상
? 정보보호서비스 산업의 활성화
법적근거
? “정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
? “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
? 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호)
※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있도록 하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함
인증대상
<의무대상자> (※ 관련 근거 : 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제2항)
1. 기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자
2. 집적정보통신시설 사업자(IDC)
- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자
- 집적정보통신시설 일부를 임대하여 집적된 정보통신시설 사업을 하는 자는 ‘연간 매출액 또는 이용자수’ 기준 적용
3. 정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자
※ 집적정보통신시설사업자 : 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자
※ 오프라인 중심으로 온라인 물품판매를 병행할 경우, 정보통신망을 이용한 서비스에서 발생된 매출을 기준으로 대상자 선정
<자율신청기업>
- 의무대상자 외 기업이 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증 심사가 가능하다.
인증제도의 특징
? 국내 실정에 적합한 정보보호관리 모델 제시
? 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증
? 국내 최고의 분야별 전문가들에 의한 인증 심사
? 국내 정보보호관련 법제도 반영
정보보호 관리체계(ISMS) 인증 취득기업 혜택
구분 | 시행기관 | 혜택내용 |
가산점 | 지식경제부 | 보안관제 전문업체 "업무수행능력 평가기준"의 신뢰도 항목에서 정보보호 인증기업에 5점 만점 부여 ※ 보안관제 전문업체 지정 등에 관한 공고(지식경제부 공고 제2010-478호) |
공공부문 정보시스템 기획?구축?운영 사업자, SW개발사업자 선정 시 평가항목 | ||
KISA | 정보보호대상, 입찰, 과제선정 평가 시 가점 부여 | |
신용평가 기관 | 한국신용평가정보의 기업신용평가 시 가점 부여 | |
한국기업지배 | 상장기업 ESG(환경, 사회, 지배구조) 평가 시, | |
요금할인 | 보험사 | 정보보호관련 보험(배상책임보험 등) 가입 시 할인(AIG, LIG, 그린손해보험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재) |
권고 | 교육과학 | 원격교육설비기준에 ISMS 인증 취득 권고 |
국토해양부 | 유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고 | |
ISMS인증 | KISA | 정보보호 大賞 수상 기업의 경우 할인(대상?우수상?특별상, 100~50%) |
소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%) |
추진체계
인증심사 종류
인증심사의 종류는 최초심사, 재심사, 사후관리, 갱신심사로 구분한다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년 에 1회 이상 사후심사를 받아야 한다.
? 최초심사 : 정보보호관리체계 인증 취득을 위한 심사
? 사후관리 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
? 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사
※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 다시 받음
인증심사 수수료
인증 수수료는 「엔지니어링산업 진흥법」 제31조제2항에 따른 엔지니어링 사업의 대가 기준 및 한국소프트웨어산업협회가 제공하는 「SW사업 대가 산정가이드」의 정보보안 컨설팅비 기준을 준용
심사일 수는 종업원 수 및 서버 수에 따라 산정
인증 수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료 |
1. DNSSEC (Domain Name System Security Extension) 등장배경
DNS는 ‘도메인’을 ‘IP주소’로 변환하는 인터넷의 전화번호부 같은 역할을 합니다. 인터넷 초기에 개발된 DNS는 설계당시 보안성을 충분히 고려하지 못해, DNS정보의 위-변조가 가능하다는 문제가 있어왔습니다. 즉, 악의적인 공격에 의해 도메인네임에 대한 IP주소가 악성 사이트 등으로 위/변조 된다면, 이 DNS를 이용하는 인터넷 이용자들은 의도치 않은 IP주소로 연결되어 피해가 발생할 수 있습니다. "파밍(pharming)"은 ISP의 캐시 DNS서버나 사용자 PC에 특정 도메인네임에 대해 위-변조된 IP주소가 설정되도록 하는 공격방식입니다. 이 공격이 성공하면 사용자는 분명히 올바른 웹 사이트 주소를 입력하였음에도 불구하고(예: 인터넷뱅킹, 쇼핑몰 등), 공격자가 만들어놓은 가짜 사이트로 유도되는 상황이 발생합니다. 가짜 사이트는 원래 사이트와 동일한 모습으로 꾸며져 있기에 사용자는 아무런 의심도 하지 않고 자신의 로그인 정보와 계좌정보 등을 가짜 사이트에 입력해 피해가 발생하게 됩니다.
ISP나 기관이 운영하는 캐시 DNS서버를 대상으로 "파밍(pharming)" 공격이 성공하는 경우, 이 캐시 DNS서버를 사용하고 있는 모든 인터넷 사용자에 대해 대규모의 피해가 발생할 수 있습니다. 캐시 DNS서버는 한번 파악한 DNS 정보는 자신의 캐시 메모리에 저장하여 일정시간이 경과하기 전까지 이 정보를 반복 사용하여 사용자 호스트의 DNS 질의에 응답하기 때문입니다. 이와 같이 캐시 DNS서버의 캐시 메모리에 가짜 데이터를 저장하여 사용하도록 유도하는 방식의 파밍(pharming) 공격을 특히 "DNS 캐시 포이즈닝(cache poisoning) 공격"이라고 부릅니다.
DNSSEC(DNS Security Extensions)은 이와 같은 "데이터 위-변조 침해공격"에 취약한 DNS의 문제점을 근본적으로 보완 개선하기 위해 국제인터넷표준화기구인 IETF에서 1990년대 후반부터 논의를 시작, 2005년경 완성된 국제표준기술로, 다양한 시험을 거쳐 2010년에는 전세계 최상위 DNS인 ‘루트DNS’에도 적용되면서, 전세계적으로 적용이 확대되고 있습니다. 우리나라도 2012년 말 본격 서비스를 목표로 2011년부터 .kr, .한국 등 총31개 국가 도메인 영역에 대해 순차적으로 적용중에 있습니다. DNSSEC은 DNS를 대체하는 것이 아니라, 기존의 DNS에 공개키 암호화 방식의 보안기능을 추가 부여하여 DNS의 보안성을 대폭 강화하는 역할을 합니다.
2. DNSSEC의 개념
DNSSEC(DNS Security Extensions)은 DNS 데이터 대상의 "데이터 위조-변조 공격"을 방지하기 위한 인터넷 표준기술입니다. DNS 데이터의 위조-변조 가능성을 원천적으로 차단하기 위해, DNSSEC은 공개키 암호화방식(Public Key Cryptography)의 전자서명 기술을 DNS 체계에 도입 적용하였습니다. 공개키 암호화방식의 전자서명 메커니즘은 금융권 등에서 널리 사용하는 공인인증서가 사용하고 있는 기술이기도 합니다.
1) 보안침해 공격에 대한 DNSSEC이 제공하는 보안성 범위
DNSSEC은 인터넷 상의 도메인에 대한 DNS 질의응답 절차 가운데 발생할 수 있는 "DNS 데이터 위-변조" 공격에 대응할 수 있는 보안기술입니다. 권한 DNS서버 간 존 데이터 전송 또는 동적업데이트와 같은 네임서버 관리영역의 동작에 대해서는 별도의 공유키 암호화 방식인 TSIG 기술을 사용하여 보호체계를 적용할 수 있습니다.
참고사이트 : http://dns.kisa.or.kr/jsp/dns/dnssecInfo/dnssecInfo.jsp |
2) DNS 구성체계 중 DNSSEC이 제공하는 보안 안정성 범위
'기술자료 > 기술운영자료' 카테고리의 다른 글
| SNMP 프로토콜의 구성과 네트웍관리 (0) | 2016.03.21 |
|---|---|
| 인터네트워킹이란? (0) | 2016.03.21 |
| 소프트웨어 RAID와 하드웨어 RAID의 차이점 (0) | 2016.03.21 |
| 종합적인 정보보호 관리체계에 대한 인증 ISMS 안내 (0) | 2016.03.21 |
| [IT이야기] 샌드박스(Sandbox) 란? (0) | 2016.03.21 |
