NCUA 규정 준수
NCUA(National Credit Union Administration, 미 신용 조합 감독청)는 미국 연방 보험에 가입한 신용 조합이 고객 기록·정보의 프라이버시, 개인정보 보호를 해결하는 보안 프로그램을 구축하도록 요구하는 독립적인 연방 기관입니다. NCUA는 FFIEC(Federal Financial Institutions Examination Council, 연방 금융기관 검사 협의회)에서 정한 원칙과 기준에 따라 신용 조합 감사를 시행합니다. FFIEC 표준은 데이터 액세스 제어, 암호화 및 키 관리, 보안 모니터링을 포함한 다양한 보안 제어 조치를 요구합니다.
탈레스 솔루션은 다음과 같은 FFIEC 표준에 대응하도록 지원합니다.
- 데이터 암호화 및 키 관리
- 액세스 제어
- 보안 인텔리전스
- 규정
- 규정 준수
액세스 권한 관리
FFIEC에 따르면,
금융 기관은 효과적인 액세스 권한 관리 프로세스를 갖춰야 합니다. 프로세스는 다음과 같은 조치를 포함해야 합니다.
- 필요한 기능을 수행하는 데 필요한 액세스 권한만 사용자와 장치에 할당
- 직원이나 시스템 변경에 따라 액세스 권한 업데이트
- 애플리케이션 또는 시스템에 대한 위험에 따라 적절한 주기로 정기적인 사용자 액세스 권한 검토 등
암호화 및 키 관리
FFIEC는 또한 다음과 같이 명시합니다.
- 암호화
금융 기관은 정보 공개가 중대한 위협이 되지 않을 때까지 정보 공개를 방지할 수 있는 충분한 암호화 강도를 적용해야 합니다. …. 암호화할 데이터와 데이터를 암호화할 지점에 대한 결정은 일반적으로 공개 위험을 기반으로 합니다....암호화는 저장소 데이터를 보호하는 데도 사용될 수 있습니다. 구현 조치는 파일, 디렉토리, 볼륨 또는 디스크를 암호화할 수 있습니다. - 암호키 관리
보안의 기반은 주로 암호키이므로 효과적인 키 관리가 중요합니다. 효과적인 키 관리 시스템은 합의된 표준, 절차, 다루는 보안 방법을 기반으로 합니다. 출처: ISO 17799, 10.3.5.2
보안 모니터링
또한 FFIEC는 보안 모니터링 가이드라인을 제공합니다.
금융 기관은 다음과 같이 위험 완화 전략과 구현 조치의 적절성을 보장해야 합니다.
- 네트워크·호스트 활동을 모니터링하여 정책 위반 및 비정상적인 행동을 식별합니다.
- 침입이나 기타 보안 이벤트의 위험을 높이는 무단 구성과 기타 조건을 식별하기 위해 호스트와 네트워크 상태를 모니터링합니다.
- 모니터링 결과를 분석하여 보안 이벤트에 대한 대응을 정확하고 신속하게 식별, 분류, 공론화, 보고, 안내합니다.
- 침입이나 기타 보안 이벤트, 약점에 대응하여 기관과 고객에 대한 위험을 적절히 완화하고 기관의 시스템을 복원합니다.
업무상 데이터를 확인해야 하는 사람으로 액세스 제한
탈레스의 Vormetric 데이터 보안 플랫폼과 SafeNet 다중 인증은 최첨단 사용자 액세스 제어를 제공합니다.
- 액세스 권한이 있는 사용자와 민감한 사용자 데이터의 분리.Vormetric 데이터 보안 플랫폼을 이용하는 관리자는 액세스 권한이 있는 관리자와 데이터 소유자 간의 강력한 직무 분리를 만들어낼 수 있습니다. Vometric 데이터 보안 플랫폼은 메타 데이터를 안전하게 유지하면서 파일을 암호화합니다. 이에 따라, 하이퍼바이저나 클라우드, 저장소, 서버 관리자를 포함한 IT 관리자는 자신이 관리하는 시스템 내 민감한 데이터에 대한 권한 계정 액세스 없이도 시스템 관리 작업을 이행할 수 있습니다.
- 행정 업무 분리. 강력한 직무 분리 정책을 적용하여, 단일 관리자가 데이터 보안 활동이나 암호키, 관리 업무를 혼자 완전히 통제하는 것을 막을 수 있습니다. Vormetric Data Security Manager는 또한 관리용 액세스를 위한 2단계 인증을 지원합니다.
- 세분화된 권한 계정 액세스 제어.이 탈레스 솔루션은 세분화 수준이 매우 높은 최소 권한 사용자 액세스 관리 정책을 시행하여, 권한 있는 사용자와 APT 공격으로 인한 데이터 오용에서 데이터를 보호할 수 있습니다. 세분화된 권한 사용자 액세스 관리 정책은 사용자, 프로세스, 파일 유형, 시간, 기타 매개 변수별로 적용할 수 있습니다. 적용 옵션의 세분화 수준은 매우 높습니다. 일반 텍스트 데이터에 액세스하는 권한뿐만 아니라, 사용자가 사용할 수 있는 파일 시스템 명령을 제어할 수 있습니다.
- 탈레스의 SafeNet 다중 인증은 기업 네트워크에 대한 접근과 사용자의 신원을 보호하며, 사용자 본인의 신원을 확인합니다.
저장 데이터 보호
탈레스는 저장 데이터의 통합 키 관리를 이용한 Vormetric Transparent Encryption, 애플리케이션 암호화, Tokenization with Dynamic Masking 등을 통해 데이터 자체를 보호합니다. 이 기술들은 데이터 해독 도구 없이는 데이터를 무의미하고 쓸모없게 만듭니다.
이동 데이터 보호
탈레스의 SafeNet FIPS 인증 네트워크 암호화 기기는 실시간 동영상과 음성을 포함하여 이동 중인 민감한 데이터를 대상으로, 입증받은 고보증성 네트워크 보안을 제공합니다.
데이터 액세스 모니터링
탈레스와 함께하는 신용 조합은 이상 데이터 액세스를 모니터링하고 식별할 수 있습니다.Vormetric 보안 인텔리전스는 보호받는 데이터에 액세스한 프로세스와 사용자를 특정하는 상세한 관리 로그를 제공합니다. 자세한 관리 로그는 사용자와 데이터 액세스 시간, 정책에 따라 액세스 요청이 허용 또는 거부되었는지를 상세히 나타냅니다. 관리 로그는 권한 있는 사용자가 다른 사용자의 자격 증명을 모방하고 잠재적으로 악용하고자 ‘사용자 전환’과 같은 명령을 입력하는 경우도 드러냅니다.
이러한 로그를 보안 정보 이벤트 관리(SIEM) 플랫폼과 공유하면 프로세스·사용자 액세스에서 비정상적인 패턴을 발견하고 추가 조사로 이어지도록 지원할 수 있습니다. 예를 들어, 관리자나 프로세스가 갑자기 평소보다 훨씬 많은 데이터에 액세스하거나 무단 파일 다운로드를 시도하는 경우가 있을 수 있습니다. 이러한 이벤트는 APT 공격 또는 악의적인 내부자 활동을 의미할 수 있습니다.
기타 주요 데이터 보호 및 보안 지침
GDPR
규제
활성화하기
아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.
PCI DSS
규정
활성화하기
신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.
데이터 침해 통지법
규제
활성화하기
개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.
