오늘날의 사이버 위협 환경은 빠르게 변화하고 있습니다. 이에 맞춰 정보 보안의 체계적인 보호를 지속적으로 최신 상태로 유지하고 현대적이고 광범위하며 유연한 최신 정보 보안 조치 카탈로그를 통해 정보 보안을 더욱 발전시키는 것이 필수적입니다. 새로운 ISO/IEC 27001:2022는 이 목표를 정확하게 지원하고 11개의 새로운 제어 기능을 제공합니다. 그 중 3개는 아래에서 자세히 살펴볼 것이며 공격을 예방하고 탐지하는 데 효과적입니다.
Loading...
사이버 공격은 너무 오랫동안 감지되지 않습니다
21세기 비즈니스 세계에서 정보와 데이터의 탁월한 가치로 인해 기업과 조직은 점점 더 정보 보안에 집중하고 디지털 자산의 체계적인 보호에 투자해야 합니다. 왜? 역동적인 위협 환경에서 공격자의 전술은 점점 더 정교해지고 다층화되어 영향을 받는 회사의 이미지와 평판에 심각한 손상을 입히고 전 세계적으로 연간 수십억 달러의 경제적 손실을 초래합니다.
전문가들은 불확실성이라는 인적 요인 때문에 사이버 공격에 대한 완전한 보호가 더 이상 존재하지 않는다는 데 동의합니다. 이로 인해 기업 네트워크에서 측면 벡터를 제한하고 손상 가능한 시스템의 수를 가능한 한 적게 유지하기 위해 잠재적 공격과 실제 공격을 조기에 탐지하는 것이 더욱 중요해졌습니다. 하지만 이 분야에서는 아직 따라잡아야 할 일이 엄청나게 많습니다. IBM의 "2022년 데이터 침해 비용" 연구의 일환으로 수행된 연구에 따르면 2022년에 공격을 탐지하고 억제하는 데 평균 277일이 걸렸습니다.
신규 ISO 27001:2022
정보 보안 관리 시스템을 위한 현대적이고 표준화된 프레임워크를 갖춘 기업과 조직을 지원하기 위해 ISO는 2022년 10월 25일에 새로운 ISMS 표준 ISO/IEC 27001:2022를 발표했습니다. 부록 A는 기업별 상황에 사용할 수 있는 통제/조치를 제공합니다. 정보 보안 위험을 해결하기 위한 기반입니다.
Loading...
지금 확인하세요: 새로운 ISO/IEC 27001:2022의 변화
최신 정보 위험에 맞게 조정된 ISO/IEC 27001의 새 버전이 2022년 10월 25일에 게시되었습니다. 이는 표준 사용자에게 무엇을 의미하나요? 무료 웹 세미나 녹화를 통해 다음 내용을 알아보세요.
- ISO/IEC 27001:2022의 새로운 기능 - 프레임워크 및 부록 A
- ISO/IEC 27002:2022-02 - 구조, 콘텐츠, 속성 및 해시태그
- 전환 일정 및 다음 단계
현재 버전에서 Annex A의 조치 구현은 이미 2월에 업데이트된 ISO/IEC 27002:2022의 동일하게 구조화된 구현 지침에 의해 지원됩니다. 전략적 공격 방지 및 보다 빠른 탐지를 위한 일반 제어 기능이 새로 포함되었습니다.
탐지 및 예방을 위한 세 가지 새로운 컨트롤
ISO/IEC 27001:2022의 Annex A에 있는 현재 93개 조치는 업데이트에 따라 4개 주제로 재구성되었습니다.
- 조직적 조치
- 개인적인 조치
- 물리적 조치
- 기술적 조치
새로 도입된 11개의 정보 보안 통제 중 3개는 사이버 공격의 예방 및 적시 탐지와 관련이 있습니다. 이 세 가지 컨트롤은
- 5.7 위협 인텔리전스(조직)
- 8.16 모니터링 활동(기술적)
- 8.23 웹 필터링(기술적)
아래에서는 이 3가지 새로운 컨트롤에 대해 자세히 살펴보겠습니다.
위협 인텔리전스
조직 통제 5.7은 관련 위협에 대한 정보의 체계적인 수집 및 분석을 다룹니다. 이 조치의 목적은 조직이 자체 위협 상황을 인식하여 이후에 위험을 완화하기 위한 적절한 조치를 취할 수 있도록 하는 것입니다. 위협 데이터는 전략, 전술, 운영의 세 가지 측면에 따라 구조화된 방식으로 분석되어야 합니다.
전략적 위협 분석은 공격 유형 및 행위자(예: 국가 동기의 행위자, 사이버 범죄자, 계약 공격자, 핵티비스트)와 같은 변화하는 위협 환경에 대한 통찰력을 제공합니다. 국내 및 국제 정부 기관(예: BSI - 독일 연방 정보 보안국, enisa - 유럽 연합 사이버 보안국, 미국 국토 안보부 또는 NIST - 국립 표준 기술 연구소), 비영리 조직 및 관련 포럼에서는 모든 산업과 중요 인프라에 걸쳐 잘 연구된 위협 인텔리전스를 제공합니다.
Loading...
ISO 27001 위한 DQS 심사 가이드라인
노하우 공유
당사의 감사 가이드 ISO 27001 - Annex A는 선도적인 전문가에 의해 실용적인 구현 가이드로 작성되었으며 선택된 표준 요구 사항을 더 잘 이해할 수 있는 훌륭한 방법입니다. 이 가이드에서는 아직 ISO 27001의 2022년 10월 개정 버전을 언급하지 않습니다.
전술적 위협 인텔리전스 및 평가는 공격자의 방법, 도구 및 기술에 대한 평가를 제공합니다.
특정 위협에 대한 운영 평가는 기술적 지표(예: 현재 랜섬웨어 및 그 변종에 의한 사이버 공격이 2022년에 극도로 증가할 것임)를 포함하여 특정 공격에 대한 자세한 정보를 제공합니다.
위협 분석은 다음과 같은 방법으로 지원을 제공할 수 있습니다.
- 위협 데이터를 위험 관리 프로세스에 절차적으로 통합하기 위해,
- 기술적으로 예방 및 탐지. 방화벽 규칙, 침입 탐지 시스템(IDS), 맬웨어 방지 솔루션을 업데이트하여
- 정보 보안에 대한 특정 테스트 절차 및 테스트 기술에 대한 입력 정보가 포함되어 있습니다.
위협 상황을 결정하고 분석하기 위한 조직 제어 5.7의 데이터 품질은 ISO/IEC 27002에 새로 추가된 아래 설명된 활동 모니터링(8.16) 및 웹 필터링(8.23)에 대한 두 가지 기술 제어에 직접적인 영향을 미칩니다.
모니터링 활동
활동의 기술적 모니터링에 관한 탐지 및 교정 정보 보안 통제 8.16은 위협을 방지하는 방법으로서의 이상 탐지에 중점을 둡니다. 네트워크, 시스템 및 애플리케이션은 데이터 처리량, 프로토콜, 메시지 등과 같은 예상 패턴에 따라 작동합니다. 이러한 예상 패턴의 변화나 이탈은 이상으로 감지됩니다.
Loading...
ISO 27001에 따른 인증
ISO 27001에 따라 ISMS 인증을 받으려면 어떤 노력을 해야 합니까? 무료로, 의무 없이 정보를 얻으세요.
우리는 당신과의 대화를 기대합니다.
이러한 비정상적인 행동을 탐지하려면 비즈니스 및 정보 보안 요구 사항에 따라 관련 활동을 모니터링해야 하며, 무엇보다도 모든 예외 사항을 기존 위협 데이터와 비교해야 합니다(위의 요구 사항 5.7 참조). 모니터링 시스템과 관련된 측면은 다음과 같습니다.
- 인바운드 및 아웃바운드 네트워크, 시스템 및 애플리케이션 트래픽,
시스템, 서버, 네트워크 장비, 모니터링 시스템, 중요 애플리케이션 등에 대한 액세스 - 관리 또는 업무상 중요한 수준의 시스템 및 네트워크 구성 파일
- 보안 도구 로그[예: 바이러스 백신, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 웹 필터, 방화벽, 데이터 유출 방지]
- 시스템 및 네트워크 활동과 관련된 이벤트 로그
- 시스템의 실행 코드에 무결성과 권한이 있는지 확인하고
- 리소스 사용량(예: 프로세서 성능, 디스크 용량, 메모리 사용량, 대역폭)
활동 모니터링 기능을 위한 기본 요구 사항은 깔끔하고 투명하게 구성된 IT/OT 인프라와 적절하게 작동하는 IT/OT 네트워크입니다. 이 기본 상태에 대한 모든 변경 사항은 기능에 대한 잠재적인 위협으로 감지되어 이상 현상으로 간주됩니다. 인프라의 복잡성에 따라 관련 공급업체 솔루션에도 불구하고 이 조치를 구현하는 것은 주요 과제입니다. 이상 탐지를 위한 시스템의 중요성은 소위 중요 인프라 운영자에 대한 ISO/IEC 27002:2022 요구 사항 8.16과 거의 동시에 인식되었습니다. 따라서 관련 법률 규정의 국가 범위 내에서 기한 내에 공격 탐지를 위한 소위 시스템을 효과적으로 적용할 의무가 있습니다.
Web 필터링
인터넷은 축복이자 저주입니다. 의심스러운 웹사이트에 대한 액세스는 계속해서 악성 콘텐츠와 악성 코드의 관문이 되고 있습니다. 정보 보안 통제 8.23 웹 필터링은 악성 코드 침입으로부터 조직의 시스템을 보호하고 승인되지 않은 웹 리소스에 대한 접근을 방지하는 예방 목적을 가지고 있습니다. 조직은 이러한 목적을 위해 온라인 리소스를 안전하고 적절하게 사용하기 위한 규칙을 수립해야 합니다. 여기에는 원치 않거나 부적절한 웹 사이트 및 웹 기반 애플리케이션에 대한 필수 액세스 제한이 포함됩니다. 조직에서는 다음 유형의 웹사이트에 대한 액세스를 차단해야 합니다.
- 업로드 기능이 있는 웹사이트 - 적법한 사업상 이유로 필요한 경우는 제외
- 악성 웹사이트로 알려졌거나 의심되는 웹사이트
- 명령 및 제어 서버
- 위협 데이터에서 식별된 악성 웹사이트(측정 5.7 참조)
- 불법 콘텐츠가 포함된 웹사이트
웹 필터링 조치는 온라인 리소스의 안전하고 적절한 사용을 충분히 인식하고 있는 훈련된 직원에게만 실제로 작동합니다.
기술 측면에서의 결론
여기에 설명된 새로운 탐지 및 예방 제어 기능은 조직화된 사이버 범죄를 방어하는 데 중요한 역할을 하며 ISO/IEC 27001 및 ISO/IEC 27002의 최신 버전에 올바르게 적용되었습니다. 위협 정보, 자체 IT 인프라의 광범위한 활동 모니터링, 의심스러운 웹 사이트로부터 자체 시스템 보호 등을 통해 기업은 위험한 악성 코드의 침입에 대한 보호를 지속적으로 강화하고 있습니다. 또한 초기 단계에서 적절한 대응 조치를 시작할 수 있는 위치에 놓이게 됩니다.
기업과 조직은 이제 제시된 세 가지 통제/조치를 적절하게 구현하고 이를 ISMS에 일관되게 통합하여 향후 인증 감사 요구 사항을 충족해야 합니다. DQS는 공정한 감사 및 인증 분야에서 35년 이상의 포괄적인 전문 지식을 보유하고 있으며 ISO/IEC 27001:2022에 따라 정보 보안 관리 시스템의 변경 관리를 지원하게 되어 기쁘게 생각합니다.
업데이트가 고객님의 인증에 어떤 의미를 갖나요?
ISO/IEC 27001:2022는 2022년 10월 25일에 게시되었습니다. 이에 따라 사용자가 전환할 수 있는 기한과 기간은 다음과 같습니다.
- 2023년 11월부터 ISO/IEC 27001:2022 인증 준비가 완료될 예정입니다(인증 기관 DAkkS, Deutsche Akkreditierungsstelle GmbH의 적용을 받음).
- "이전" ISO 27001:2013에 따른 최초/재인증 심사의 마지막 날짜는 2023년 10월 31일입니다. 2023년 10월 31일 이후 DQS는 새로운 ISO/IEC 27001:2022 표준에 따라서만 최초 및 재인증 심사를 수행합니다.
- "이전" ISO/IEC 27001:2013에 따른 모든 기존 인증서를 새로운 ISO/IEC 27001:2022로 전환: 2022년 10월 31일부터 3년의 전환 기간이 적용됩니다. ISO/IEC 27001에 따라 발급된 인증서: 2013 또는 DIN EN ISO/IEC 27001:2017은 늦어도 2025년 10월 31일까지 유효하거나 이 날짜에 철회되어야 합니다.
DQS의 전문성을 갖춘 최첨단 ISMS
ISO/IEC 27001의 새 버전으로 전환할 때 조직에는 아직 시간이 있습니다. 이전 표준을 기반으로 하는 현재 인증서는 2025년 10월 31일에 유효성이 상실됩니다. 그럼에도 불구하고 초기 단계에서 변경된 ISMS 요구 사항을 처리하고 적절한 변경 프로세스를 시작하고 이에 따라 구현하는 것이 좋습니다.
30년 이상의 경험을 갖춘 심사 및 인증 전문가로서 당사는 귀하가 새로운 표준을 구현하도록 지원합니다. 경험이 풍부한 당사의 수많은 감사자들로부터 가장 중요한 변화와 귀하의 조직에 대한 관련성에 대해 알아보고 당사의 전문 지식을 신뢰하십시오. 우리는 귀하가 새로운 인증서를 받을 때까지 귀하의 개선 가능성에 대해 함께 논의하고 지원해 드릴 것입니다. 우리는 귀하의 의견을 기다리겠습니다.
Loading...
DQS 뉴스레터
최신 정보를 확인하고 뉴스레터를 구독하세요!
저자
Markus Jegelka
독일 에너지 산업법(EnWG)의 11.1a항에 따른 ISO 9001, ISO/IEC 27001 및 IT 보안 카탈로그를 위한 ISMS DQS 전문가이자 장기 심사위원
Loading...