DEFCON 658 준수

요약

DEFCON 658은 사이버 보안에 대한 조달 프로토콜입니다. MODII 이전이 필요한 새로운 계약에 입찰하는 영국 국방부의 모든 공급업체는 DEFCON 658을 준수하고 DEFSTAN 05-138에서 요구하는 표준을 충족해야 합니다. 특히 DEFCON 658 준수는 공급업체 자체의 공급망(하도급업체)까지 확대 적용됩니다.

비준수

DEFCON 658은 MODII가 관련된 경우 MOD 공급망 전체의 모든 공급업체에 적용되며 요구 사항을 준수하지 않는 조직은 MOD 계약에 참여할 수 없습니다.

규정 준수 개요

계약에 수반되는 것으로 평가될 수 있는 사이버 위험의 5가지 수준 각각에서 달성해야 하는 조치를 지정하는 DEF STAN 05-138에는 아래에 요약된 바와 같이 민감한 정보 보호와 관련된 몇 가지 통제가 포함됩니다.

탈레스는 이러한 제어를 해결하는 데 도움이 되는 데이터 보안 솔루션을 제시된 바와 같이 제공합니다. 통제는 계약과 관련된 위험(낮음, 중간 또는 높음)을 기반으로 정의되지만 탈레스의 솔루션은 유사한 제어에 동시에 적용되므로 아래 각 항에 통합됩니다.

제어 수단

L.07 정보 및 정보 처리 시설에 대한 액세스를 제어하는 정책을 정의하고 구현합니다.
M.06 조직이 자산 소유자를 식별하고 자산 소유자가 자산에 대한 액세스를 제어하는지 확인합니다.
L.12 사용자 계정의 접근 권한을 관리하기 위한 정책을 정의하고 구현합니다.

탈레스 솔루션

탈레스는 다음을 포함하여 저장, 이동 및 사용 중 데이터를 보호해야 하는 모든 영역에서 조직이 DEFCON 658을 준비하고 준수하는 데 도움이 되는 포괄적인 솔루션 세트를 보유하고 있습니다.

• 민감한 데이터 검색 및 분류
• 액세스 관리 및 인증
• 저장 데이터 및 이동 데이터 암호화
• 인증 받은 암호 키 보호
• 동적 데이터 마스킹을 포함한 토큰화

민감 데이터 검색 및 분류

민감 데이터를 보호하는 첫 번째 단계는 조직 내 어디에서든 데이터를 찾아 민감한 것으로 분류하고 입력하여(예: PII, 재무, IP, HHI, 고객 기밀 등) 가장 적절한 데이터 보호 기술을 적용할 수 있도록 하는 것입니다. 새로운 데이터가 간과되지 않고 조직이 규정 준수에서 벗어나지 않도록 데이터를 정기적으로 모니터링하고 평가하는 것도 중요합니다.

탈레스 CipherTrust Data Discovery and Classification은 온프레미스 및 클라우드에서 구조화 및 비구조화된 민감 데이터를 효율적으로 식별합니다. 에이전트 없는 배포 모델과 에이전트 기반 배포 모델을 모두 지원하는 이 솔루션은 규제 대상 데이터를 신속하게 식별하고 보안 위험을 강조하며 규정 준수 격차를 해소하는 데 도움이 되는 기본 제공 템플릿을 제공합니다. 간소화된 워크플로는 보안 사각지대를 찾아내고 해결 시간을 단축합니다. 상세한 보고서 기능은 규정 준수 프로그램을 지원하고 경영진의 커뮤니케이션을 촉진합니다.

저장되어 있는 민감 데이터 보호

액세스 권한이 있는 사용자와 민감한 사용자 데이터의 분리

CipherTrust 데이터 보안 플랫폼을 이용하는 관리자는 액세스 권한이 있는 관리자와 데이터 소유자 간의 강력한 직무 분리를 만들어낼 수 있습니다. CipherTrust Transparent Encryption은 메타 데이터를 안전하게 유지하면서 파일을 암호화합니다. 이에 따라, 하이퍼바이저나 클라우드, 저장소, 서버 관리자를 포함한 IT 관리자는 자신이 관리하는 시스템 내 민감 데이터에 대한 권한 계정 액세스 없이도 시스템 관리 작업을 이행할 수 있습니다.

관리자 직무 분리

강력한 직무 분리 정책을 적용하여, 단일 관리자가 데이터 보안 활동이나 암호키, 관리 업무를 혼자 완전히 통제하는 것을 막을 수 있습니다. CipherTrust Manager는 또한 관리용 액세스를 위한 2단계 인증을 지원합니다.

세분화된 특권 권한 액세스 제어

CipherTrust Data Security Platform 솔루션은 세분화 수준이 매우 높은 최소 권한 사용자 액세스 관리 정책을 시행하여, 권한 있는 사용자와 APT 공격으로 인한 데이터 오용으로부터 데이터를 보호할 수 있습니다. 세분화된 권한 사용자 액세스 관리 정책은 사용자, 프로세스, 파일 유형, 시간, 기타 매개 변수별로 적용할 수 있습니다. 적용 옵션으로는 일반 텍스트 데이터에 액세스하는 권한뿐만 아니라, 사용자가 사용할 수 있는 파일 시스템 명령을 제어할 수 있습니다.

강력한 액세스 관리 및 인증

탈레스가 제공하는 액세스 관리 및 인증 솔루션은 조직이 데이터 보안 규정을 준수하는 데 필요한 보안 메커니즘과 보고 기능을 모두 제공합니다. 사용자가 민감 데이터를 저장하는 애플리케이션에 로그인할 때 적절한 접근 제어를 시행하여 민감 데이터를 보호하는 솔루션입니다. 광범위한 인증 방법, 정책 및 역할 기반 액세스를 지원하는 탈레스 솔루션은 기업이 자격 증명의 손상이나 도난, 내부자의 자격 증명 남용으로 인한 데이터 유출 위험을 완화하도록 지원합니다.

스마트 SSO(싱글 사인 온) 및 단계별 인증 지원을 통해 기업이 최종 사용자의 편의를 최적화하여 필요할 때만 인증하도록 할 수 있습니다. 광범위한 보고서 기능을 통해 모든 액세스 및 인증 이벤트에 자세한 감사 이력을 생성하여 광범위한 규제 준수를 입증할 수 있습니다.

제어 수단

L.10 정보 보안 정책, 관련 프로세스 및 절차를 정의하고 구현합니다.
M.04 민감한 정보를 안전하게 저장, 액세스 및 처리하기 위한 정책을 정의하고 구현합니다.

탈레스 솔루션

세부 보안 정책. CipherTrust Data Security Platform은 모든 정형 및 비정형 데이터에 대한 암호화, 액세스 정책 및 보안 인텔리전스를 일관되고 반복적으로 관리할 수 있는 중앙 집중식 제어 기능을 제공합니다. FIPS 140-2 및 Common Criteria 인증 가상/물리적 어플라이언스로 제공됩니다.

확장성. 확장 가능한 인프라를 기반으로 구축된 CipherTrust Data Security Platform의 구성 요소는 개별적으로 배포할 수 있으며 동시에 효율적인 중앙 집중식 키 및 정책 관리를 제공할 수 있습니다.

민감 데이터에 대한 강력한 보안. 탈레스는 저장 데이터의 통합 키 관리를 이용한 CipherTrust Transparent Encryption, 애플리케이션 데이터 보호, 동적 마스킹 토큰화 등을 통해 데이터를 보호합니다. 이 기술들은 암호 키 없이는 데이터를 무의미하고 쓸모없게 만듭니다.

제어 수단

L.16 탐지, 해결 및 복구를 포함해야 하는 사고 관리 정책을 정의하고 구현합니다.

탈레스 솔루션

보안 인텔리전스. CipherTrust Data Security Platform은 어떤 프로세스와 사용자가 보호된 데이터에 액세스했는지, 어떤 정책에 따라 액세스 요청이 허용 또는 거부되었는지를 지정하는 보안 인텔리전스 로그를 제공합니다. 관리 로그는 권한 있는 사용자가 다른 사용자의 자격 증명을 모방하고 잠재적으로 악용하고자 ‘사용자 전환’과 같은 명령을 입력하는 경우도 드러냅니다. 이러한 로그를 보안 정보 이벤트 관리(SIEM) 플랫폼과 공유하면 프로세스·사용자 액세스에서 비정상적인 패턴을 발견하고 추가 조사로 이어지도록 지원할 수 있습니다. 예를 들어, 관리자나 프로세스가 갑자기 평소보다 훨씬 많은 데이터에 액세스하거나 무단 파일 다운로드를 시도하는 경우가 있을 수 있습니다. 이러한 이벤트는 APT 공격 또는 악의적인 내부자 활동을 의미할 수 있습니다.

제어 수단

M.16 조직에서 개인의 고용이 중단되었을 때 조직 자산을 보호하기 위한 정책을 정의하고 구현합니다.

탈레스 솔루션

권한 있는 액세스 제어 및 인텔리전스 로그. CipherTrust Data Security Platform의 세분화된 액세스 관리 정책은 사용자가 적용할 수 있으며 조직을 떠난 개인에 대해 액세스를 취소할 수 있습니다. 민감한 데이터에 대한 액세스 시도가 거부되면 CipherTrust의 보안 인텔리전스 로그에 캡처됩니다.