Data Security Compliance and Regulations - eBook
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
영국 국방부(MOD)의 DEFCON 658은 사이버 위협으로부터 국방 공급망을 보호하는 것을 목표로 하며 MOD 식별 정보(MODII)를 처리하는 계약에서 MOD를 공급하거나 공급하기를 원하는 조직에 적용됩니다.
탈레스 솔루션은 다음을 포함하여 DEFCON 658을 준수하는 데 도움이 되는 도구를 제공합니다.
DEFCON 658은 사이버 보안에 대한 조달 프로토콜입니다. MODII 이전이 필요한 새로운 계약에 입찰하는 영국 국방부의 모든 공급업체는 DEFCON 658을 준수하고 DEFSTAN 05-138에서 요구하는 표준을 충족해야 합니다. 특히 DEFCON 658 준수는 공급업체 자체의 공급망(하도급업체)까지 확대 적용됩니다.
DEFCON 658은 MODII가 관련된 경우 MOD 공급망 전체의 모든 공급업체에 적용되며 요구 사항을 준수하지 않는 조직은 MOD 계약에 참여할 수 없습니다.
계약에 수반되는 것으로 평가될 수 있는 사이버 위험의 5가지 수준 각각에서 달성해야 하는 조치를 지정하는 DEF STAN 05-138에는 아래에 요약된 바와 같이 민감한 정보 보호와 관련된 몇 가지 통제가 포함됩니다.
탈레스는 이러한 제어를 해결하는 데 도움이 되는 데이터 보안 솔루션을 제시된 바와 같이 제공합니다. 통제는 계약과 관련된 위험(낮음, 중간 또는 높음)을 기반으로 정의되지만 탈레스의 솔루션은 유사한 제어에 동시에 적용되므로 아래 각 항에 통합됩니다.
L.07 정보 및 정보 처리 시설에 대한 액세스를 제어하는 정책을 정의하고 구현합니다.
M.06 조직이 자산 소유자를 식별하고 자산 소유자가 자산에 대한 액세스를 제어하는지 확인합니다.
L.12 사용자 계정의 접근 권한을 관리하기 위한 정책을 정의하고 구현합니다.
탈레스는 다음을 포함하여 저장, 이동 및 사용 중 데이터를 보호해야 하는 모든 영역에서 조직이 DEFCON 658을 준비하고 준수하는 데 도움이 되는 포괄적인 솔루션 세트를 보유하고 있습니다.
민감 데이터를 보호하는 첫 번째 단계는 조직 내 어디에서든 데이터를 찾아 민감한 것으로 분류하고 입력하여(예: PII, 재무, IP, HHI, 고객 기밀 등) 가장 적절한 데이터 보호 기술을 적용할 수 있도록 하는 것입니다. 새로운 데이터가 간과되지 않고 조직이 규정 준수에서 벗어나지 않도록 데이터를 정기적으로 모니터링하고 평가하는 것도 중요합니다.
탈레스 CipherTrust Data Discovery and Classification은 온프레미스 및 클라우드에서 구조화 및 비구조화된 민감 데이터를 효율적으로 식별합니다. 에이전트 없는 배포 모델과 에이전트 기반 배포 모델을 모두 지원하는 이 솔루션은 규제 대상 데이터를 신속하게 식별하고 보안 위험을 강조하며 규정 준수 격차를 해소하는 데 도움이 되는 기본 제공 템플릿을 제공합니다. 간소화된 워크플로는 보안 사각지대를 찾아내고 해결 시간을 단축합니다. 상세한 보고서 기능은 규정 준수 프로그램을 지원하고 경영진의 커뮤니케이션을 촉진합니다.
CipherTrust 데이터 보안 플랫폼을 이용하는 관리자는 액세스 권한이 있는 관리자와 데이터 소유자 간의 강력한 직무 분리를 만들어낼 수 있습니다. CipherTrust Transparent Encryption은 메타 데이터를 안전하게 유지하면서 파일을 암호화합니다. 이에 따라, 하이퍼바이저나 클라우드, 저장소, 서버 관리자를 포함한 IT 관리자는 자신이 관리하는 시스템 내 민감 데이터에 대한 권한 계정 액세스 없이도 시스템 관리 작업을 이행할 수 있습니다.
강력한 직무 분리 정책을 적용하여, 단일 관리자가 데이터 보안 활동이나 암호키, 관리 업무를 혼자 완전히 통제하는 것을 막을 수 있습니다. CipherTrust Manager는 또한 관리용 액세스를 위한 2단계 인증을 지원합니다.
CipherTrust Data Security Platform 솔루션은 세분화 수준이 매우 높은 최소 권한 사용자 액세스 관리 정책을 시행하여, 권한 있는 사용자와 APT 공격으로 인한 데이터 오용으로부터 데이터를 보호할 수 있습니다. 세분화된 권한 사용자 액세스 관리 정책은 사용자, 프로세스, 파일 유형, 시간, 기타 매개 변수별로 적용할 수 있습니다. 적용 옵션으로는 일반 텍스트 데이터에 액세스하는 권한뿐만 아니라, 사용자가 사용할 수 있는 파일 시스템 명령을 제어할 수 있습니다.
탈레스가 제공하는 액세스 관리 및 인증 솔루션은 조직이 데이터 보안 규정을 준수하는 데 필요한 보안 메커니즘과 보고 기능을 모두 제공합니다. 사용자가 민감 데이터를 저장하는 애플리케이션에 로그인할 때 적절한 접근 제어를 시행하여 민감 데이터를 보호하는 솔루션입니다. 광범위한 인증 방법, 정책 및 역할 기반 액세스를 지원하는 탈레스 솔루션은 기업이 자격 증명의 손상이나 도난, 내부자의 자격 증명 남용으로 인한 데이터 유출 위험을 완화하도록 지원합니다.
스마트 SSO(싱글 사인 온) 및 단계별 인증 지원을 통해 기업이 최종 사용자의 편의를 최적화하여 필요할 때만 인증하도록 할 수 있습니다. 광범위한 보고서 기능을 통해 모든 액세스 및 인증 이벤트에 자세한 감사 이력을 생성하여 광범위한 규제 준수를 입증할 수 있습니다.
L.10 정보 보안 정책, 관련 프로세스 및 절차를 정의하고 구현합니다.
M.04 민감한 정보를 안전하게 저장, 액세스 및 처리하기 위한 정책을 정의하고 구현합니다.
세부 보안 정책. CipherTrust Data Security Platform은 모든 정형 및 비정형 데이터에 대한 암호화, 액세스 정책 및 보안 인텔리전스를 일관되고 반복적으로 관리할 수 있는 중앙 집중식 제어 기능을 제공합니다. FIPS 140-2 및 Common Criteria 인증 가상/물리적 어플라이언스로 제공됩니다.
확장성. 확장 가능한 인프라를 기반으로 구축된 CipherTrust Data Security Platform의 구성 요소는 개별적으로 배포할 수 있으며 동시에 효율적인 중앙 집중식 키 및 정책 관리를 제공할 수 있습니다.
민감 데이터에 대한 강력한 보안. 탈레스는 저장 데이터의 통합 키 관리를 이용한 CipherTrust Transparent Encryption, 애플리케이션 데이터 보호, 동적 마스킹 토큰화 등을 통해 데이터를 보호합니다. 이 기술들은 암호 키 없이는 데이터를 무의미하고 쓸모없게 만듭니다.
L.16 탐지, 해결 및 복구를 포함해야 하는 사고 관리 정책을 정의하고 구현합니다.
보안 인텔리전스. CipherTrust Data Security Platform은 어떤 프로세스와 사용자가 보호된 데이터에 액세스했는지, 어떤 정책에 따라 액세스 요청이 허용 또는 거부되었는지를 지정하는 보안 인텔리전스 로그를 제공합니다. 관리 로그는 권한 있는 사용자가 다른 사용자의 자격 증명을 모방하고 잠재적으로 악용하고자 ‘사용자 전환’과 같은 명령을 입력하는 경우도 드러냅니다. 이러한 로그를 보안 정보 이벤트 관리(SIEM) 플랫폼과 공유하면 프로세스·사용자 액세스에서 비정상적인 패턴을 발견하고 추가 조사로 이어지도록 지원할 수 있습니다. 예를 들어, 관리자나 프로세스가 갑자기 평소보다 훨씬 많은 데이터에 액세스하거나 무단 파일 다운로드를 시도하는 경우가 있을 수 있습니다. 이러한 이벤트는 APT 공격 또는 악의적인 내부자 활동을 의미할 수 있습니다.
M.16 조직에서 개인의 고용이 중단되었을 때 조직 자산을 보호하기 위한 정책을 정의하고 구현합니다.
권한 있는 액세스 제어 및 인텔리전스 로그. CipherTrust Data Security Platform의 세분화된 액세스 관리 정책은 사용자가 적용할 수 있으며 조직을 떠난 개인에 대해 액세스를 취소할 수 있습니다. 민감한 데이터에 대한 액세스 시도가 거부되면 CipherTrust의 보안 인텔리전스 로그에 캡처됩니다.
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...
More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...
Authentication solutions need to be frictionless. Adopting methods with a higher Authentication Assurance Level and Stronger authentication, can effectively reduce the risk of attacks. Explore authentication technologies to learn: • Selecting authentication methods •...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
사용중인 데이터베이스와 파일을 데이터 센터에서 보호하는 것만으로는 민감 데이터를 지킬 수 없습니다. 오늘날 대부분의 기업은 50가지 이상의 SaaS 애플리케이션과 빅데이터 환경, 컨테이너 기술, 그리고 온프레미스 가상 환경 및 프라이빗 클라우드와 더불어, 3개 이상의 IaaS 또는 PaaS 제공업체를 이용하고 있습니다.
전통적으로 조직은 주로 경계 방어에 IT 보안을 집중했기 때문에 벽을 세워 외부 위협이 네트워크에 진입하는 것을 차단했습니다. 경계 방어는 여전히 중요하지만 충분하지는 않습니다. 사이버 범죄는 주기적으로 경계 방어를 뚫고 있으며 데이터는 클라우드 방어 경계 외부 어딘가에 있는 경우가 많으므로, 조직은 데이터가 어디에 있든 데이터를 보호하는 데이터 중심 보안 전략을 적용해야 합니다. 오늘날 급증하는데이터, 진화하는 글로벌 및 지역 개인정보 보호 규제, 클라우드 채택의 증가, 지속적인 지능형...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy. IT security teams are...
아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.
신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.
개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.