개요
미 연방거래위원회(Federal Trade Commission)는 기업이 건전한 데이터 보안 보호 및 절차를 구현하는 데 필요한 새로운 지침서를 발표
주요내용
미 연방거래위원회(Federal Trade Commission)는 기업이 건전한 데이터 보안 보호 및 절차를 구현하는 데 필요한 새로운 지침서를 발표
(1) 보안과 함께 시작 : 모든 부서의 의사 결정 과정에 정보보호 고려사항을 포함되도록 비즈니스 프로세스를 구축하여야 함. (연방거래위원회는 개인 데이터 수집 및 보존을 최소화 할 것을 권장)
(2) 제어 정보 접근 : “Need to Know“ 기반으로 민감한 데이터에 대한 직원 및 관리자의 접근을 제한.
(3) 인증 : 암호의 복잡도를 유지하고 고유암호 사용하여야 되면, 안전하게 암호를 저장하여야 함.
(연방거래위원회는 암호정책에 대한 여러 지침을 제공)
(4) 민감한 데이터 보호 : 저장 및 전송 중에 기밀 자료를 보호하기 위해 강력한 암호화를 사용하여야 함.
(5) 네트워크 보호 : 침입 탐지 시스템을 사용하고 네트워크를 세분화하여 모니터링을 수행하여야 함.
(6) 엔드포인트 보호 : 원격에서 시스템에 접근하는 엔드포인트에 대한 보안을 수행하여야 함.
(7) 서비스 제공 업체 보안 : 연방거래위원회는 공급 업체 계약의 일부로 보안 고려사항을 포함하여 공급업체가 보안을 독립적으로 수행 할 것을 제안 함.
(8) 유지보수 : 발생 할 수 있는 취약점을 해결하고 현재 보안 상태를 유지할 수 있는 프로세스를 마련하여야 함.
(9) 물리적 보안 : 종이, 물리적 매체 및 장치의 물리적 보안 문제를 해결하고, 민감한 데이터를 안전하게 폐기하여야 함.
가이드에서는 데이터 보안 계획은 5가지 핵심 원칙(데이터에 대한 식별, 축소, 보호, 폐기, 사고대응)을 기반으로 작성됨.
- 또한, 가이드라인은 연방거래위원회가 조사를 통해 얻은 경험을 바탕으로 질문에 대한 대답 형식을 제공하여 이용자의 쉽게 이해할 수 있도록 제공하고 있음
연방거래위원회는 이번 가이드 외에 그동안 연방거래위원회는 조사를 통해 얻은 교훈과 비즈니스 관련 질문에 초점을 맞춘 정기적으로 정보호호 관련 가이드를 블로그 시리즈를 통해 제공*하기로 함.
* https://www.ftc.gov/news-events/blogs/business-blog
시사점
다양한 인터넷 및 보안 환경에서 사이버위협에 대응하기 위해서는 그동안 축적한 경험을 기반으로 한 국내 환경에 맞은 정보보호 관련 가이드라인 배포가 필요함.
[출처]
1. jdsupra.com, “FTC Updates Data Security Guidance for Businesses”, 2017.08.03.
2. ftc.gov, “PROTECTING PERSONAL INFORMATION”, 2017.06.21.
'Security_News > 해외보안소식' 카테고리의 다른 글
| DolphinAttack으로 Voice Assistants를 해킹가능 (0) | 2017.09.12 |
|---|---|
| 안드로이드 사용자, 심각도가 높은 오버레이 공격에 취약 (0) | 2017.09.12 |
| 미라이 용의자 인도 소식 (0) | 2017.09.10 |
| Dragonfly : 서부 에너지 분야를 겨냥한 공격 그룹 (0) | 2017.09.08 |
| NIST 랜섬웨어 복구를 처리하기 위한 가이드라인 개발 (0) | 2017.09.08 |