NIST 컴퓨터 보안 원칙
1. 컴퓨터 보안은 조직의 임무를 지원해야 한다.(Computer security supports the mission of the organization)
2. 컴퓨터 보안은 견고한 관리를 위한 필수요소이다.(Computer security is an integral element of sound management)
3. 컴퓨터 보안은 비용대 효과가 고려되어야 한다.(Computer security should consider cost-effective)
4. 컴퓨터 보안에 대한 책임과 책임추적성이 분명해야 한다.(Computer security responsibilities and accountability should be made explicit)
5. 시스템 소유자들은 그들의 조직 외부에 대해서도 보안 책임을 갖는다.(System owner have security responsibilities outside their own organization )
6. 컴퓨터 보안은 포괄적이고 통합된 접근방법을 필요로 한다.(Computer security requires a comprehensive and integrated approach)
7. 컴퓨터 보안은 정기적으로 재평가되어야 한다.(Computer security should by periodically reassessed)
8. 컴퓨터 보안은 사회적인 요인에 의해 제약된다.(Computer security is constrained by societal factor)
OECD의 정보보 보호 원칙
1. 책임추적성(Accountability) : 정보시스템의 소유자, 공급자, 사용자 및 기타 관련자들의 책임과 책임추적성이 명확해야 한다.
2. 인식성(Awareness) : 소유자, 공급자, 사용자, 그리고 그 밖의 관련자들은 현존하고 있는 정보시스템 보안에 대하여 적절한 지식을 습득할 수 있어야 한다.
3. 윤리성(Ethics) : 정보시스템과 정보시스템의 보호는 모든 사람의 권리를 기본적으로 존중하여야 한다.
4. 다중협력성(Multidisciplinary) : 정보시스템의 보안을 위한 대책, 실행, 절차 등에 있어서, 모든 관련된 사항을 고려하여야 한다.
5. 균형성(Proportionality) : 보호 수준, 비용, 방책, 실행수단 절차 등은 정보 시스템에 의존하는 가치와 잠재적인 손해의 심각성 및 발생가능성 등에 적합하고 균형 있게 이루어져야 한다.
6. 통합성(Integration) : 정보시스템 보안을 위한 대책, 실행, 절차는 보안의 일관성과 통합성을 위하여 서로 조화를 이루어야 하며 조직의 다른 대책, 실행, 절차를 포함하도록 설계되어야 한다.
7. 적시성(Timeliness) : 국가적, 국제적 차원에서 공공 부분과 민간 부분은 정보 시스템 침해 사고를 사전에 방지하고 대응할 수 있도록 적절한 협조 하에 대처하여야 한다.
8. 재평가(Reassessment) : 정보시스템 보안은 주기적으로 재 평가되어야 하고, 변화하는 보안 요구사항에 맞추어 개선되어야 한다.
9. 민주주의(Democracy) : 정보시스템 보안은 민주사회에 있어서, 정보 및 데이터의 흐름과 사용에 대하여 법, 규정에 부합되어야 한다.
CASSP의 정보보호원칙보편적 원칙(Pervasive Principles)
1. 책임추적성의 원칙(Accountability Principle)
인식의 원칙(Awareness Principle)
윤리원칙(Ethics Principle)
다중협력의 원칙(Multidisciplinary Principle)
균형성의 원칙(Proportionality Principle)
통합성의 원칙(Integrated Principle)
적시성의 원칙(Timeliness Principle)
재평가의 원칙(Reassessment Principle)
공정성의 원칙(Equity Principle)
2. 광범위한 기능적 원칙(Broad Functional Principles)
정보보호 정책(Policy)
보안 인식(Awareness)
책임추적성(Accountability)
정보관리(Information Management)
환경관리(Environment Management)
인력의 자격(Qualifications)
무결성(Integrity)
3. 상세원칙(Detailed Security Principle)
Need to know 원칙
Need to go 원칙
Need to do 원칙
최소권한의 원칙(Least Privilege Principle)
임무분리의 원칙(Separation of Duty)
임무순환 원칙(Rotation of Duty)
2인조 근무의 원칙(Two-man Principle)
'Information Security > Security Information' 카테고리의 다른 글
공격자들이 자주 이용하는 레지스트라(registrar) (0) | 2013.06.05 |
---|---|
Javocalypse (0) | 2013.04.11 |
3월 20일 한국 사이버 공격 총망라 #3 (0) | 2013.03.25 |
3월 20일 한국 사이버 공격 총망라 #2 (0) | 2013.03.24 |
3월 20일 한국 사이버 공격 총망라 #1 (0) | 2013.03.23 |