KGPstudio
Published 2023. 8. 9. 14:03
CSAP(클라우드 컴퓨팅 보안인증제도) 인증
반응형

클라우드컴퓨팅

  • 필요할때마다 연결해 쓴다.
  • 인터넷을 통해 필요한 만큼 임대하여 사용하고, 사용한 만큼 요금을 지불하는 서비스

보안위협

  • 다중임차로 인한 자원 공유 이슈
    • 인가 없이 타 이용자의 정보 접근 위험
  • 다양한 접속 단말로 인한 위협 증가
    • 공격 노출 포인트 증가
    • ID 유출, 도용 위험
    • 도청에 의한 정보 노출
  • 정보의 집중화로 인한 서비스 장애 확산
    • 빠른 원인 파악 어려움
    • DDos 공격 대상이 되기 쉬움

클라우드컴퓨팅서비스 정보보호에 관한 기준 고시 제정

  • 법률
  • 관리적, 기술적, 물리적, 공공기관용 추가 보호조치
  • 고시 제7조
    • 보안인증제 시행을 위해 클라우드컴퓨팅서비스 제공자가 그 서비스가 이 기준을 준수하는지 확인을 요청한 경우에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 52조에 따른 한국인터넷 진흥원의 장이 그 서비스를 조사 또는 시험 평가하여 인증 할 수 있다.

클라우드 보안인증제도 개요

  • 목적 : 공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
  • 근거 : 클라우드컴퓨팅서비스 정보보호에 관한 기준 고시 중 제 7조 정보보호 기준의 준수 여부 확인
  • 기준 : 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치 총 14개 부문 117개 통제항목으로 구성
    • IaaS 117개, SaaS 표준 78개, SaaS 간편 30개 DaaS 110개 항목 평가
  • 평가방법 : 서면/현장 평가 + 취약점 점검(CCE,CVE,소스코드) + 모의침투 테스트

인증대상

  • IaaS : 컴퓨팅 자원(CPU), 스토리지 등 정보시스템의 인프라를 제공하는 서비스
  • SaaS : 인프라(IaaS) 외에 각종 응용프로그램(소프트웨어)을 제공하는 서비스
  • PaaS : 클라우드 관련 서비스를 개발하는 환경(플랫폼) 제공
  • DaaS : 가상 PC 제공을 위한 서비스(※행정·공공기관 인터넷망 PC 대체를 위해 도입하는 가상 PC)

SaaS 등급 유형으로 표준, 간편이 존재하는데,

표준 : 중요데이터 다루는 SaaS(전자결제, 인사, 회계, 보안서비스 등)

간편 : 그 외 SaaS

 

SaaS 인증 준비 시 주의사항

이용자 데이터를 분리해야 한다.

이용자 데이터 : 데이터의 소유권, 통제권을 가진 사람(또는 기관)

 

평가절차

최초 > 사후 > 사후 > 갱신 으로 이루어지는데 각 1년마다 이루어짐

  • 최초평가 : 클라우드서비스 보안인증을 처음 취득하기 위한 평가(중요한 변경사항 발생시 상시평가 실시)
  • 사후평가 : 인증 취득 후에도 지속적으로 클라우드서비스 보안 평가·인증 기준을 준수하고 있는 확인하기 위한 평가(연 1회이상)
  • 갱신평가 : 유효기간(3년~5년) 만료일 이전에 유효기간 연장을 목적으로 하는 평가

 

각 구분 및 주요 역할

정책기관(과학기술정보통신부)

  • 평가·인증 관련 법제도 개선 및 정책 수립
  • 평가/인증기관의 지정 및 감독

평가·인증기관(한국인터넷진흥원)

  • 평가·인증 신청접수
  • 평가·인증기준 지침 개발
  • 평가를 통한 인증업무 수행
  • 인증서 발급 및 인증된 클라우드서비스 관리

인증위원회

  • 평과결과를 통한 인증 심의의결
  • 인증취소의 타당성 심의
  • 학계, 연구기관, 기술자문기관 등 클라우드 관련 전문가 5인 이상 10명 이내로 구성

기술자문기관(국가보안기술연구소)

  • 공공기관 민간 클라우드서비스 도입 보안기준 마련
  • 국가·공공 클라우드 안정성 강화 대책 수립

 

인증 절차

  1. 평가·인증 준비 : 공공기관용 클라우드 서비스 구축 및 인증 서류 준비
  2. 사전컨설팅 및 보안조치 : 공공기관용 클라우드 필수요건, 평가·인증 준비상태 및 운영여부 확인 후 보안조치
  3. 평가·인증 신청 및 접수 : 신청서류 공문접수(신청서, 동의서, 보안인증/운영 몇세서, 등기부 등본 등)
  4. 평가·인증 계약 체결 : 계약서 작성, 평가일정 확정, 수수료 납부
  5. 서면/현장평가 취약점 점검 및 테스트 : 제출문서의 검토 및 확인, 평가·인증기준(30개~117개)에 따른 보호대책 수립 및 구현 이행 여부 확인, 취약점 점검 및 외부 침투 테스트 수행
  6. 보안조치 : 평가 시 발견된 부적합 사항 및 취약점에 대한 보완조치(30일) ※60일 연장가능
  7. 보완조치 확인 : 보완조치 확인 및 잽완
  8. 평가보고서 작성 : 평가결과보고서(심의안건) 작성
  9. 인증위원회 심의·의결 : 인증위원회의 심사결과 검토·심의
  10. 인증서 발급·취즉 : 인증서 유효기간 (3년~5년)
  11. 사후평가 : 보안 평가·인증 준수여부 확인(매년 1회)
  12. 상시평가 및 갱신평가 : 최초심사 후 인증범위 등에 변경이 있는 경우 or 유효기간 만료 시

1~4 까지는 준비단게로 보통 30일~60일 소요

5~7 까지는 평가단계로 보통 30일~120일 소요

8~10 까지는 인증단계로 보통 15일 소요

이후는 사후 관리 단계

 

추가적인 사안은 다음에 정리하겠습니다,,ㅎㅎ

 

반응형
저작자표시

'인증' 카테고리의 다른 글

ISMS-P 인증제도  (0) 2023.08.09
profile

KGPstudio

@KGP-Admin

포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!

티스토리툴바