방글라데시에서 데이터 보안 지침에 따른
ICT 보안 규정 준수

규정 개요

ICT 보안 지침은 은행, 비은행 금융기관(NBFI), 모바일 금융 서비스 제공업체(MFSP), 결제 서비스 제공업체(PSP), 결제 시스템 운영업체(PSO), 화이트 라벨 ATM 및 가맹점 매입업체(WLAMA) 및 방글라데시 은행이 규제하는 기타 금융 서비스 제공업체에 적용됩니다.

개정된 ICT 지침은 각 조직이 준수해야 하는 최소한의 통제 요건을 정의합니다. 이 지침의 주요 목표는 다음과 같습니다.

1. 금융 부문의 ICT 거버넌스 구축
2. 조직이 자체 ICT 보안 정책을 개발하도록 지원
3. 표준 ICT 보안 관리 접근 방식 수립
4. 조직의 안전하고 신뢰할 수 있는 ICT 인프라 개발 지원
5. 데이터 처리를 위한 안전한 환경 구축
6. ICT 위험 관리에 대한 총체적 접근 방식 수립
7. ICT 리스크 관리와 연계한 비즈니스 영향 분석 절차 수립
8. 정보 보호를 위한 이해관계자의 역할과 책임에 대한 인식 제고
9. 완화해야 하는 정보 및 ICT 시스템과 관련 위험의 우선순위 지정
10. ICT 프로젝트에 적합한 프로젝트 관리 접근 방식 수립
11. 기술 사용에 대한 모범 사례(업계 표준) 보장
12. 운영 및 정보 보안 사고를 시기적절하고 효과적으로 처리하기 위한 프레임워크 개발
13. 비즈니스 활동의 중단 완화, 정보 시스템의 중대한 장애 또는 재해의 영향으로부터 중요한 비즈니스 프로세스 보호, 적시에 재개 보장
14. 통신 네트워크를 통해 전송되는 데이터를 보호하는 데 필요한 제어 정의
15. 정보 시스템 획득, 개발 및 유지 관리의 수명 주기 전반에 걸쳐 보안이 통합되도록 보장
16. ATM 및 POS 기기, 결제 카드, 인터넷 뱅킹, 모바일 금융 서비스 등 전자 뱅킹 인프라의 보안 위험 최소화
17. 비즈니스 목표 달성을 위한 ICT 활동과 관련된 인식 구축 및 사용자 교육
18. 새로운 기술을 안전하게 사용할 수 있도록 지원

자세한 요건은 13개 장에 걸쳐 설명되어 있습니다.

탈레스는 방글라데시의 은행과 금융 기관이 ICT 보안 지침의 다음 6개 장을 준수할 수 있도록 지원합니다.

4장: ICT 서비스 제공 관리

• CipherTrust Cloud Key Management는 조직이 클라우드에 저장된 데이터에서 키를 분리하여 클라우드 서비스 제공업체의 무단 데이터 액세스를 방지하는 HYOK(Hold-Your-Own-Key) 기술을 사용하여 암호키 액세스를 제어함으로써 데이터의 완전한 제어 및 소유권을 유지할 수 있게 해줍니다.
• 저장 중 데이터 보호: CipherTrust Data Security Platform은 파일, 볼륨, 데이터베이스에 저장 중인 데이터를 보호하기 위한 다양한 기능을 제공합니다. 특히: CipherTrust Transparent Encryption 및 CipherTrust Tokenization.
• 이동 중 데이터 보호: 탈레스 고속 네트워크 암호 생성기(HSE) 솔루션은 네트워크에 의존하지 않는 전송/이동 중 데이터 암호화(계층 2, 3, 4)를 제공하여, 사이트 간 데이터 이동 시 또는 온프레미스에서 클라우드로 데이터를 이동할 때 데이터를 안전하게 보호합니다.

5장: 인프라 보안 관리

• 조직은 CipherTrust Data Discovery and Classification을 통해 주요 글로벌 및 지역 규정 준수 요건에 따라 여러 데이터 소스에서 구조적 및 비구조적 규제 데이터를 효율적으로 찾고 분류할 수 있습니다.
• 탈레스 고속 네트워크 암호 생성기(HSE) 솔루션은 네트워크에 의존하지 않는 전송/이동 중 데이터 암호화(계층 2, 3, 4)를 제공하여, 사이트 간 데이터 이동 시 또는 온프레미스에서 클라우드로 데이터를 이동할 때 데이터를 안전하게 보호합니다.
• CipherTrust Transparent Encryption은 중앙 집중식 키 관리, 권한 있는 사용자 액세스 제어, 상세한 데이터 액세스 감사 로깅을 통해 데이터베이스에 구애받지 않는 미사용 데이터 암호화를 제공하여 조직이 데이터 보호를 위한 규정 준수 및 모범 사례 요건을 충족할 수 있도록 지원합니다.
• 하드웨어 보안 모듈(HSM)은 암호키를 보호하고 안전한 암호화 처리, 키 생성 및 보호, 암호화 등을 위한 FIPS 140-2 레벨 3의 강화된 변조 방지 환경을 제공합니다. Luna HSM은 온프레미스, 서비스형 클라우드, 하이브리드 환경 전반에서 사용할 수 있으며, FIPS 140-2 레벨 3을 준수하는 백업 HSM에 키를 백업할 수 있습니다.
• 탈레스 키 관리 제품은 클라우드 환경과 엔터프라이즈 환경에서 다양한 사용 사례에 대한 키 관리 작업을 간소화하고 강화합니다. FIPS 140-2 준수 가상·하드웨어 장치를 활용하는 탈레스 키 관리 도구와 솔루션은 민감한 환경에 수준 높은 보안을 제공하고 자체 암호화, 타사 애플리케이션의 키 관리를 일원화합니다.

9장: 비즈니스 연속성 관리

• 테이프나 디스크에 있는 민감한 정보는 데이터를 저장하고 전송하기 전에 암호화하는 CipherTrust Data Security Platform으로 보호할 수 있습니다. 탈레스 키 관리는 주요 백업 솔루션 공급업체와 통합되어 백업 암호키를 관리하고 키에서 데이터를 분리합니다. 또한 데이터를 백업하여 이동식 미디어에 저장하기 전에 데이터를 보호합니다.

10장: 정보 시스템의 획득 및 개발

• CipherTrust Secrets Management(CSM)는 Akeyless로 구동되는 최첨단 키 관리 솔루션으로, 키, 자격 증명, 인증서, API 키, 토큰을 비롯한 데브옵스 도구와 클라우드 워크로드 전반에서 미션 크리티컬한 키에 대한 액세스를 보호하고 자동화합니다.
• CipherTrust Data Protection Gateway는 REST API를 활용하는 모든 RESTful 웹서비스 또는 마이크로서비스에 투명한 데이터 보호를 제공합니다.

11장: 디지털 결제 보안

• PayShield 10k HSM은 서비스 제공업체, 인수자, 처리업체, 결제 네트워크가 글로벌 결제 생태계 전반에서 광범위하게 사용하는 결제 하드웨어 보안 모듈(HSM)입니다. 대면 결제와 디지털 원격 결제 모두에서 결제 자격증명 발급, 사용자 인증, 카드 인증 및 민감한 데이터 보호 프로세스를 보호하는 데 기본적인 보안 역할을 합니다.

14장: 신흥 기술 관리

• 탈레스 Luna Network HSM은 트랜잭션 전체에 블록체인 구성원이 서명하기 위해 사용하는 개인 키를 FIPS 140-2 레벨 3 전용 암호화 프로세서에 저장하도록 설계되었습니다. 키는 수명 주기 동안 저장되며, 승인되지 않은 장치나 사람이 암호키에 액세스, 수정 또는 사용할 수 없도록 합니다.