NAIC 보험 데이터 보안 모델법 준수

테스트

2017년 4분기에 채택된 NAIC(National Association of Insurance Commissioners, 미국 보험감독관협회) 데이터 보안 모델법(모델법) 1에 따르면, 보험사와 주(州) 보험 부서에서 허가한 기타 기관은 정보 보안 프로그램을 개발·구현·유지하고, 사이버 보안 이벤트를 조사하며, 이러한 이벤트를 주(州) 보험 감독관에게 알려야 합니다.

주 정부는 현재 이 법안을 채택하고 통과시키기 위해 노력하고 있으며, 주 정부 차원에서 5년 이내에 이 법안이 채택되지 않을 경우, 미국 재무부가 모델법을 결의할 것으로 보입니다.

탈레스는 Insurance Data Security Model Law(보험 데이터 보안 모델법)의 요건을 준수하는 데 필요한 많은 솔루션을 제공합니다.

규정
규정 준수

규정 개요

모델법 2항에 따르면,

이 법의 목적과 의도는 3항에 정의된 바와 같이 데이터 보안 표준, 라이선스 보유자에게 적용되는 사이버 보안 이벤트의 조사 표준, 감독관에게 통보하기 위한 표준을 수립하는 것입니다.

3항은 ‘라이선스 보유자’를 다음과 같이 정의합니다.

‘라이선스’란 해당 주의 보험법에 따라 라이선스를 받았거나, 운용할 권한이 있거나, 등록되었거나, 라이선스·권한 부여 또는 등록이 필요한 사람을 의미합니다.

3항에 이어 명시된 내용은 다음과 같습니다.

‘사이버 보안 이벤트’는 정보 시스템 또는 해당 정보 시스템에 저장된 정보에 대한 무단 액세스, 지장, 또는 오용을 초래하는 이벤트를 의미합니다.

‘사이버 보안 이벤트’라는 용어는 암호화, 프로세스, 키 또한 승인 없이 획득·유통·사용되지 않은 경우, 암호화된 비공개 정보의 무단 획득을 제외합니다.

탈레스가 지원합니다

아래는 모델법의 특정 조항에서 발췌한 내용으로, 탈레스는 조직이 이 규정을 준수하도록 지원할 수 있습니다.

4항. 정보 보안 프로그램

D. 위험 관리

위험 평가에 따라 라이선스 보유자는 다음과 같은 조치를 취해야 합니다.

(2) 아래 나열된 보안 조치가 적절한지 결정하고 이러한 보안 조치를 구현합니다.

(a) 비공개 정보의 무단 획득을 방지하기 위해 권한 있는 개인에게만 액세스를 인증하고 허용하는 제어 조치를 포함하여, 정보 시스템에 대한 액세스 제어 조치를 시행합니다.

(d) 외부 네트워크를 통해 전송되는 동안, 노트북 컴퓨터 또는 기타 휴대용 컴퓨팅 또는 저장 장치 또는 미디어에 저장된 모든 비공개 정보를 암호화 또는 기타 적절한 수단을 이용해 보호합니다.

(e) 라이선스 보유자가 사용하는 자체 개발 응용 프로그램에 보안 개발 관행을 도입합니다.

(g) 비공개 정보에 액세스하는 개인에 대한 효과적인 제어 조치를 활용합니다. 이 제어 조치에는 다중 인증 절차를 포함할 수 있습니다.

(i) 사이버 보안 이벤트를 감지하고 대응하도록 설계된 정보 보안 프로그램에 감사 이력을 포함합니다.

(k) 모든 형식의 비공개 정보를 안전하게 폐기하는 절차를 개발, 구현 및 유지합니다.

5항. 사이버 보안 이벤트 조사

사이버 보안 이벤트가 발생했거나 발생했을 가능성에 대해 라이선스 보유자가 알게 되면, 라이선스 보유자 또는 라이선스 보유자를 대리하도록 지정된 외부 공급업체 및/또는 서비스 제공업체는 즉시 조사에 착수해야 합니다.

https://content.naic.org/sites/default/files/inline-files/MDL-668.pdf?39

규정 준수 개요

탈레스는 모델법의 대다수 규정 준수 요건을 다음과 같이 충족하도록 지원할 수 있습니다.

4항 D 2 (a) 및 (g) 정보 시스템에 대한 액세스 제어 시행

탈레스의 CipherTrust Manager를 이용하는 조직은 비공개 정보를 포함하는 정보 시스템의 사용자 액세스를 제한할 수 있습니다.

4항 D 2 (d) 암호화 또는 기타 적절한 수단으로 모든 비공개 정보 보호

탈레스의 CipherTrust Transparent Encryption은 애플리케이션, 데이터베이스 또는 인프라를 재설계하지 않고도 파일·볼륨 수준의 저장 데이터 암호화, 액세스 제어, 데이터 액세스 감사 로깅을 통해 데이터를 보호합니다. 투명한 파일 암호화 소프트웨어는 간단하고 확장 가능하며 빠르게 배포할 수 있으며, 서버나 가상 컴퓨터의 파일 시스템 위에 에이전트를 설치하여 데이터 보안 및 규정 준수 정책을 시행합니다. 정책 및 암호키 관리는 CipherTrust Manager로 제공합니다.

CipherTrust Tokenization을 사용하면 관리자가 전체 필드를 토큰화하거나 필드 일부를 동적으로 마스킹하는 정책을 설정할 수 있습니다. 이 솔루션의 형태 보존 토큰화 기능을 사용하는 관리자는 민감한 자산에 대한 액세스를 제한하는 동시에 사용자가 작업을 수행할 수 있는 방식으로 보호하는 데이터의 형태를 지정할 수 있습니다.

4항 D 2 (e) 자체 개발 응용 프로그램에 보안 개발 관행 도입

모든 규모의 소프트웨어 공급업체와 자체 코드를 개발하는 기업을 위해 고안된 탈레스 코드 서명 솔루션을 이용하면 고보증성·고효율성 코드 서명 프로세스를 구현하여 소프트웨어 변조를 방지하고 소프트웨어 퍼블리싱 관행에 적절한 거버넌스를 제공할 수 있습니다.

4항 D 2 (i) 감사 이력 포함 및 5항. 사이버 보안 이벤트 조사

CipherTrust 데이터 보안 플랫폼은 정상적인 기업 운영의 중대한 부분을 심각하게 해칠 가능성이 있는 사이버 보안 이벤트를 감지하고 이에 대응하도록 설계된 감사 이력을 생성하는 보안 인텔리전스 로그를 포함합니다. 이 로그로도 사이버 보안 이벤트를 조사할 수 있습니다.

4항 D 2 (k) 모든 형식의 비공개 정보를 안전하게 폐기하는 절차를 개발, 구현 및 유지합니다.

모든 탈레스 암호화 솔루션과 토큰화 솔루션은 암호키를 사용하여 데이터를 암호화하고 복호화합니다. 즉, 해당 데이터의 암호키를 간단히 파기함으로써 데이터를 선택적으로 ‘파기’할 수 있습니다.

귀사와의 협업

탈레스는 귀사, 귀사의 외부 서비스 제공업체와 협력하여 보안이 귀사의 엄격한 표준을 충족하도록 지원할 수 있습니다. 또한, 클라우드나 SaaS, 기타 제3자 서비스를 사용하는 기업을 위한 전문 사이버 보안 제품과 서비스를 보유하고 있습니다. 여기에는 중앙 집중식 키·액세스 제어 관리 기능을 더한 다중 클라우드 암호화, 클라우드 키 관리 및 보호가 있습니다.