CISSP IT보안이론 요약: 법률, 규정, 준수

1. 법률의 범주

형법

• 컴퓨터사기 및 남용, 전자통신 개인정보 침해, 개인 정보도용과 관련된 법

민법

• 법률 전체의 대부분.
• 범죄가 아닌 일을 다루는 것

행정법

• 정부의 기능을 효과적으로 보장하기 위한 것

 

2. 법률

컴퓨터 범죄

• 초기에는 억지스럽다는 판단에 많이 기각 됨.

컴퓨터 사기 및 남용 방지법 (CFAA, 1984)

• 연방 시스템의 분류된 정보나 금융정보에 인가·권한이 없는 접속
• 인가없이 연방정부가 독점적으로 사용하는 컴퓨터에 접속
• 연방컴퓨터를 사용해 사기
• 연방컴퓨터에 1000달러를 초과하는 손상을 초래
• 개인의 컴퓨터 의료기록을 수정
• 주(State) 사이의 통상에 영향을 끼치거나 컴퓨터 암호를 포함한 연방컴퓨터 시스템을 밀거래

1986년 개정(범위확대)

• 미국정부에 의해 독점 사용되는 모든 컴퓨터
• 금융기관에 의해 독점 사용되는 모든 컴퓨터
• 정부 또는 금융기관의 역량을 방해하는 공격이 있을 때, 정보 또는 금융기관이 사용하는 모든 컴퓨터
• 모두 같은 주(State)에 있지 않고 범죄에 사용되는 모든 컴퓨터의 조합

1994년 개정(컴퓨터 남용방지 개정법)

• 컴퓨터시스템에 손상을 줄 수 있는 모든 유형의 악성코드 생성금지
• 연방 컴퓨터 대신 주(State) 사이 통상에서 사용되는 모든 컴퓨터를 커버하는 것으로 수정
• 실제 손상을 입힐 의도에 관계없이 범죄자 구금 허용
• 금지명령 구제·손상에 대한 보상을 위해 민사소송을 제기하는 컴퓨터 범죄 피해자를 위한 법적 권한 제공.

컴퓨터 보안법(CSA, 1987)

• 연방 컴퓨터시스템을 위한 표준과 가이드라인 개발을 위한 NIST(국가표준기술연구원)책임 부여. NIST는 NSA(국가안보국)의 기술적 조언과 지원에 의지
• 표준과 가이드라인 제정을 위한 지원
• 민감정보를 보유하는 연방 컴퓨터시스템의 모든 운영자에 의한 보안계획 수립 요청
• 민감정보를 보유하는 연방 컴퓨터시스템의 관리,유지,운영을 하는 모든 사람을 위한 강제적·주기적인 교육 요구

- NSA: 기밀등급에 따른 시스템에 대한 권한 유지(민감한 정보)
- NIST: 다른 모든 연방정부 시스템보안을 위한 책임(민감하지 않은 정보)

연방처벌 가이드라인

• 가이드라인은 신중한 사람의 원칙을 형식화 한다.
• 조직과 임원들이 정보보호에 상당히 주의함을 보여줌으로써 위법에 대한 처벌을 최소화 한다.
• 부주의에 대한 입증의 세가지 부담:
  1. 법적인정 의무 가짐
  2. 인식기준준수 실패
  3. 부주의 : 후속손해 행위 사이에 인과관계

국가정보기반 보호법(1996)

• 확장된 CFAA에서 각 주(State)의 통상에서 사용되는 시스템 외에 국제통상에서 사용되는 시스템을 커버한다.
• 컴퓨팅시스템 이외의 국가기간 인프라 일부에 유사한 보호를 확장
• 중범죄로 국가기반의 중요한 일부에 손상을 일으키는 행위를 취급

서류감소법(1995)

• 공공에서 정보를 요청하기 전에 기관이 관리하거나 예산국의 승인을 필요로 함.

정부정보보호 개선법(GISRA,2000, 서류감소법 개정)

• 연방운영과 자산을 지원하는 정보자원에 대한 통제를 위한 포괄적인 틀.
• 연방 컴퓨팅환경과 개선된 보안관리측정의 이행에서 높은 네트워크 상 특성을 인식하기 위함.
• 정부 전체, 시민, 국가안보, 법집행 커뮤니티 전체의 정보보안에 대한 노력의 조정
• 연방정보, 정보시스템 보호를 위한 최소제어의 개발과 유지보수에 대한 제공
• 연방기관정보 보안 프로그램의 감시를 위해 개선된 메커니즘을 제공

 

지적재산권

저작권과 디지털 밀레니엄 저작권법

• 저작권법은 SW의 고유한 표현(소스코드)만 보호하고, SW의 아이디어나 과정은 보호하지 않는다.
• 저작권의 소유는 창작자에게 있다. 고용에 의한 작품일 경우는 예외이다.
• 작가들에 의한 작품은 마지막 생존 작가의 사후 70년까지 보호
• 고용에 의한 작품과 익명 작품은 첫 발행일로 부터 95년 또는 생성일로 부터 120년 중 더 짧은 것
• DMCA(디지털 밀레니엄 저작권법)
  • 저작권 보호 메커니즘을 우회하려는 시도의 금지
  • 인터넷망이 저작권법을 위반하는 범죄에 사용 될 경우 ISP의 책임을 제한 할 수 있다.

상표

• 지적재산권 보호와 시장의 혼란을 피하는 목적
• 공개활동 과정에서 상표를 사용 한다면, 자동으로 관련된 모든 상표법에 의해 보호된다. ™심볼을 사용하여 보호하는 것을 보여줄 수 있다.
• 공식등록이 필요하지는 않지만 미국 특허청(USPTO)에 등록할 수 있다. 전체 절차는 약 1년이 걸리고 ®심볼을 사용할 수 있다. 이미 사용 중이 아니더라도 상표를 등록 할 수 있다.
• 요구사항
  • 다른상표와의 유사성으로 혼란을 주면 안된다.
  • 상표는 제공할 상품과 서비스의 설명이 되면 안된다.
• 최초 10년 동안 인정되고, 10년 기간 단위로 무제한 갱신 가능.

특허

• 발명가들의 지적재산권 보호.
• 20년간 권한이 인정되고 이후로는 누구든 사용이 가능하다.
• 요구사항
  • 새로워야 한다.
  • 유용해야 한다. 실제로 작동하고 어느정도의 품질이 달성 되어야 한다.
  • 뻔한 것은 안된다.

영업비밀

• 저작권·특허의 단점
  • 세부사항 공개요청이 있다. 경쟁자가 법을 어기고 자산을 복제 할 수 있다.
  • 법적 보호기간이 만료되면 다른 집단에서 사용 가능
• 영업비밀은 등록하지 않고 스스로 지켜내는 것이다. 인가된 사람만 접근이 가능하게 조직 내에서 적절히 제어해야 한다.
• 접근이 가능한 사람을 통제하고 계약위반시 처벌을 제공하는 비공개 계약서(NDA)가 필요함.

라이선싱

• 유형
  • SW공급업체와 고객사이의 계약서(라이선스 계약)
  • SW포장의 외부에 기록(수축포장 라이선스 계약)
  • SW상자나 설명서에 쓰여 있고, 설치과정에 계약을 읽고 동의를 클릭하는 것(클릭 랩 라이선스)

 

수입/수출

컴퓨터 수출 통제

• 상무부에 의해 지정된 국가에 대한 예외가 존재
• 0.75가중 테라플롭스를 초과해 작동하는 컴퓨터의 수출은 상무부의 사전승인을 받아야 한다.
• 4개의 목록에 있는 국가(북한,쿠바,이란,시리아)로는 고성능 컴퓨터의 수출이 금지됨.

 

암호화 수출통제

• 현재는 상무부의 검토 이후에 수출이 가능하다.

 

프라이버시, 개인정보보호

미국 프라이버시 법

• 프라이버시 법(1974): 연방정부가 시민들의 개인정보를 다루는 방법을 제한하는 법
• 전자통신 프라이버시법(ECPA): 개인의 전자적 프라이버시를 침해하는 범죄를 막는 법. 예: 휴대폰 모니터링
• 법 집행을 위한 통신지원 법(CALEA): 법 집행을 위한 도청을 가능하게 만드는 법
• 경제 및 독접 정보보호법: 정보의 도난에 경제정보독점을 포함
• 건강보험 양도 및 책임에 대한 법률(HIPPA): 개인의 의료정보를 다루는 것에 대한 엄격한 보안조치
• 아동 온라인 프라이버시 보호법(COPPA): 아동이 사용하거나 고의로 아동정보를 수집하는 웹사이트에 대한 요구사항
• 금융서비스 현대화법(Gramm-Leach-Bliley Act): 금융기관들은 서로 제공할 수 있는 정보에 대한 엄격한 제한이 있었다. GLBA는 각 조직이 제공 할 수 있는 규정을 다소 완화 했다.
• 미국 애국법(USA Patriot Act): 9.11테러에 대한 대응으로 통과된 법안.
  전자통신 모니터링 등 여러분야에서 법집행기관 보다 정보기관의 권한을 크게 확대 했다.
  ISP는 자발적으로 정보의 큰 범위를 정부에 제공한다.
• 연방교육법(FERPA): 연방정부로 부터 자금지원을 받는 교육기관에서 학생의 개인정보를 다루는 법안
• 신분도용 및 가정 억지법: 범죄인이 신분을 도용하는 것을 막고, 위법시 엄격한 형사상 처벌을 제공.

유럽연합 프라이버시법과 개인정보보호법(GDPR)

• 정보주체의 권리
  • 정보를 제공받을 권리
  • 정보주체의 열람권
  • 정정권
  • 삭제권
  • 처리제한권
  • 개인정보 이동권
  • 반대권
  • 프로파일링을 포함한 자동화된 의사결정
• 기업의 책임성
  • DPO(Data Protection Officer)지정
  • 개인정보영향평가
  • DPbD: Data Protection by Design and by Default
  • 처리활동의 기록
  • 기술적 관리적 보호조치
• 개인정보 역외 이전

 

3. 준수

• 조직은 복잡한 규정준수 요구사항에 대응하기 위해 담당직원을 고용할 수 있다.
• 규정을 준수하는 것은 감사대상이 될 수 있다.
• 조직은 조직의 다수 이해관계자에게 규정준수를 보고해야 한다.

 

4. 계약과 조달

• 클라우드 서비스와 기타 외부공급업체 사용증가는 계약과 조달 프로세스에서 보안제어를 검토하게 끔 되었다.
• 검토사항
  • 처리되는 민감한 정보의 유형
  • 조직의 정보보호에 어떤 통제가 사용되는지
  • 조직의 정보가 다른 고객의 정보와 어떻게 분리되는지
  • 암호화 알고리즘 종류, 키길이, 키관리 방식
  • 보안감사의 종류, 고객이 감사에 접근하는 법
  • 테이터가 처리되는 장소. 해외에 있을 경우 고려사항.
  • 데이터의 무결성, 신뢰성 지속을 보장하기 위한 곳에 어떤 조항이 있는가?

 

* 추가 내용 보강

신중한 사람의 원칙

• 보통의 신중한 개인이 동일한 상황에서 '적절한 주의'(Due Care)를 수행하는 것을 보장함. 이에 대해서 고위경영진의 책임을 요구함.
• 이 원칙은 원래 재정적인 원칙에 적용이 되었지만, 1991년에 연방 선고 지침(Federal Sentencing Guidelines)에서 정보보안 문제에도 적용이 되었다.

 

경제스파이 법

• 미국 기업의 영업비밀을 훔친 혐의를 받는 사람에게 벌금과 징역형을 부과한다.  그것은 영업 비밀 소유자의 지적 재산권에 진정한 치아를 제공합니다

Lanham 법

• 상표 보호 사건에 적용되는 법

Glass-steagall 법

• 은행 개혁법