본문 바로가기

분류 전체보기348

[Day 328] KISA ISMS 인증심사기간 내 일정(최초,사후) *본 일정은 인증기관/심사팀장/인증대상기업 특성에 따라 다를 수 있음 최초/갱신 심사일 경우 월 화 수 목 금 (오전) 10:30 착수회의 및 상견례 신청기관의 현황 및 인증범위 상세소개 신청기관 담당자 및 심사원 인사 (오후) 네트워크 및 주요시스템 현황 소개 네트워크 구성도,시스템구성도 등 인증범위내 관리자 페이지(시스템) 시연 개인정보처리시스템 관리, 기술, 물리 영역에 대한 현장 인터뷰 및 실사 진행 1. 조직/정책/자산 관리/법적 요구사항 준수 현황 등 2. 인프라 접근통제 적용현황 등 3. 개발보안 및 암호관리 현황 등 4. 보안솔루션 운영현황 등 5. 침해사고 및 재해복구관리 현황 등 6. 물리적 보안관리 현황 등 -IDC 방문 (오전) 추가 인터뷰 및 실사 진행 (오후) 인증심사팀 회의 및.. 2022. 1. 10.

[Day 327] 외부자 계약 시 보안 요구사항 정보처리 업무 위탁 또는 외부 서비스 이용 시, 계약에 포함되어야 하는 보안 요구사항 정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행 업무수행 관련 취득한 중요정보 유출 방지 대책 외부자 인터넷 접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신 설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의 보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무.. 2021. 7. 2.

[Day 326] ALPACA 취약점 ALPACA 취약점 뜻 Application Layer Protocol Analyzing and mitigating Cracks in TLS Authentication ALPACA 취약점 설명 TLS 프로토콜을 이용한 취약점 TLS 프로토콜을 이용하여 통신할 때는 검증된 기관에서 발급한 인증서를 사용하여 서버가 신뢰할 수 있는 곳인지 확인하며, 이 때 인증서에 기록된 주소를 참고함 ALPACA 취약점은 TLS 연결 시, 연결할 서버의 주소만 확인하고, 대상 서비스는 확인하지 않는다는 것을 악용하여 공격함 예를 들어 *.bank.com을 인증서에 사용할 경우, 도메인이 동일한 다른 서비스(ftp.bank.com 등)와 TLS 연결이 가능하므로, 공격자는 중간자 공격을 통해 연결 요청 서버가 아닌 중요서버가.. 2021. 7. 1.

[Day 325] TPM(Trust Platform Module, 신뢰 플랫폼 모듈) TPM(Trust Platform Module, 신뢰 플랫폼 모듈) TPM은 컴퓨터의 보안을 유지하는 기능을 가진 하드웨어 부품으로, 대개 컴퓨터의 중요 부품인 메인보드에 장착된 작은 컴퓨터 칩(집적회로)의 형태를 하고 있음 안티바이러스는 컴퓨터의 두뇌인 CPU에서 실행되는 프로그램(소프트웨어)인 반면 TPM은 컴퓨터 CPU와 나눠져 있으며 기계(하드웨어)의 일부분이란 점에서 차이가 있음 프로그램은 해커들이 해킹하여 우회하거나 무력화시키는 것이 비교적 용이하지만, TPM은 CPU와 별도로 작동하므로 이런 식으로 해킹하는 것이 어려움 TPM 2.0은 암호화 알고리즘 엔진과 암호화키 생성기(RSA, ECC), 대칭키 암호화 알고리즘(AES), 해쉬 엔진(SHA-1, SHA-2, SHA-256), 난수생성기등.. 2021. 6. 30.

이전 1 2 3 4 5 6 7 8 ··· 87 다음

티스토리툴바