정보보호제품 평가 인증제도(CC인증, 보안적합성 검증)의 변경 충분히 안전한가요? 2011년 새해 들어 정보보호제품 평가/인증제도가 변경되었습니다 보안적합성 검증필 목록이 부활하고, CC(Common Criteria)인증 대상 정보보호제품군을 목록화하고, 보안적합성 검증 부분이 완화되었습니다. 작년까지 CC인증의 범위가 전 IT제품이었다가, 이번에 다시 기존처럼 한정했다고 하기도 합니다만, 사실 국내의 평가스킴에 따르면 평가를 받기 위해서는 해당 제품이 보안기능을 가진 '보안제품' 으로 인정되는 제품이어야 한다는 조건이 있었습니다. 그래서 한정됐다기 보다 정리하였다고 보는게 맞지 않나 싶습니다. 작년 한 해 동안 KISA가 주관하여, 설명회나 기타 여러가지 수단을 통하여 보안업체의 의견을 수렴한 것으로 알고 있습니다. 다양한 의견들을 종합하여 기존 정책을 운영하면서.. 더보기 MS Visio를 사용한 3D 네트워크 구성도 (3D Network Diagram) / 네트워크 상에서의 정보보호제품 구성 일을 하다 보면, 다양한 지식이 필요합니다. 그 중에 하나가 네트워크에 대한 지식입니다. 통합로그관리시스템에서 중요한 부분 중에 하나가 책임추적성(Accountability)인데, 이를 위하서는 네트워크에서 IP가 어떻게 변환이 되는지를 알고 있어야 하거든요. 그리고 네트워크를 구성하는 네트워크 장치는 물론, 각 보안솔루션들이 어디에 위치하는지를 알고 있을 필요가 있습니다. 각 각의 네트워크 장치가 어떤 계층에서 무슨 목적을 가지고 동작하는지, 각 각의 보안솔루션이 어떻게 구성이 되고, 어떤 보안목표를 가지고, 어떤 보안기능을 제공하는지를 알아야 하구요 :) 통합로그관리솔루션을 설계하고 구축하려면 관련된 모든 시스템에 대한 정보를 알고 있어야 합니다. 글이 도움이 되신다면 위의 손가락 한방 꾹! 눌러주세.. 더보기 효과적인 방어를 위한 스무가지의 주요 통제 SANS 연구소에서 업데이트 하고 있는 연구 자료 중에 유용하다고 생각하는 자료가 있어서 포스팅을 해봅니다. 영문 제목은 "Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines" 입니다. 현재 버전은 2.3 이군요 URL: http://www.sans.org/critical-security-controls/ 외부, 내부로부터의 위협을 통제하기 위하여 중요한 통제항목들이 무엇인지 고민하고 있을 때에 참고 할만한 자료라고 생각합니다. 물론 ISO 27001이나 ISMS 등의 정보보호관리체계를 참고하여 전반적인 보안체계를 갖추는 것이 기본이 되겠지만, 여기에서 이야기하는 통제활동들은 가능한 자동화하고, .. 더보기 이전 1 ··· 43 44 45 46 47 48 49 ··· 56 다음
