프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.08.21- NYCRR 500 미금융 데이터중심 보안체계 강화

목록

금융서비스업규제인Title 23 Financial Service의NYCRR 500 은뉴욕금융서비스국(NY Department of Financial Services)장이공포한규정으로2017년3월1일시행, 뉴욕주의모든금융기관에적용되는사이버보안규정 • 기존의금융IT보안규제와달리데이터중심보안체계구축을위한조항(유출통제, 파기,접근통제, 암호화등)들이포함되어있어그동안정보보안투자대부분을차지해온네트워크보안과달리데이터및데이터가포함된정보시스템보안을강조 • 전세계금융의메카인뉴욕에적용, 전세계금융기관의향후보안전략수립에새로운영향을끼칠것으로예상 Nonpublic Information (NPI): 비공개정보-개인정보(Personal Information) 보다더광범위 – NPI를주기적으로안전하게파기(500.13):사업상에필요한기간이지나거나,법규정에의해보유하여야하는경우를제외하고NPI는주기적으로안전하게파기하여야함 – NPI 접근기록무단조회, 유출통제구축(500.14):인가된사용자의활동에대한모니터링뿐만아니라비인가자의NPI무단접근을탐지하기위한정책, 절차수립, 통제구축 – 보유NPI 암호화, 전송NPI 암호화, 불가한경우대체방안수립(500.15):보유또는전송하는NPI의보호를위한암호화조치필요외부네트워크를통해전송또는보유대기중인NPI의암호화가불가능할경우CISO 승인하에보호가능한대체방안수립이가능 접근권한통제(500.07): NPI에접근가능한정보시스템접근권한을설정하고주기적으로접근권한검토 – 외부접근에대한인증방법강화(500.12):NPI 또는정보시스템에비인가접근방지를위해다중요소인증또는위험기반인증필요외부네트워크에서내부네트워크로접속하는모든사용자에는다중요소인증필수 제3자서비스제공자(Third Party Service Provider)관리필수(500.11): 제3자서비스제공자가접근, 보유할수있는정보시스템및NPI의보안을위해정책및절차를마련.여기에는제3자서비스제공자식별, 위험평가, 최소보안요구사항이행에대한내용과NPI 및정보시스템접속시다중요소인증, 전송시암호화, NPI 및정보시스템에영향을줄수있는사건보고등이포함되어야함 – 응용프로그램보안(500.08):사내에서안전한응용프로그램개발을위한절차, 가이드라인, 표준등을마련.외부에서개발된응용프로그램에대한보안평가, 테스트절차를마련해야함 – 위험평가(500.05):정보시스템에대해주기적으로위험평가를수행, 위험요소를도출하고이를완화시킬수있는요구사항마련 – 보안사고/이벤트기록유지(500.06): 금융거래내역최소5년이상, 사이버보안사건(Event)은최소3년이상보관,감사기록을안전하게보관할수있는시스템필요 분류 항목 NYCRR 500 신용정보법 일반 적용시기 2017년3월시행 2016년10월개정(법)시행 적용대상 뉴욕주의금융기관 대한민국내신용정보를이용·제공하는금융기관,신용정보회사, 신용정보집중기관 보호대상데이터 NPI (비공개정보): 개인정보(PII, 바이오정보포함),금융정보, 사업기밀, 건강정보등 신용정보, 개인신용정보(개인정보포함) 주요특징 NPI 데이터중심의보호조치 기존금융기관이적용받던개인정보보호법, 망법등유사규제를신용정보법으로일원화 제3자제공업체관리감독기준강화 응용프로그램의보호 형사처벌및징계에대한수위가높음 NPI데이터암호화혹은암호화에준하는보호조치인정 위반시징계 미국의특성상유출사고발생시집단소송으로충분히기관을징계할수있기에, 과징금, 형사처벌등에대한규정이없음 과태료,과징금, 형사처벌,업무정지등 기술적보호조치 데이터보유제한 NPI자산식별, 보유기간통제, 파기강제 신용정보자산식별, 보유기간통제, 파기 데이터암호화 NPI저장및전송시암호화불가피할경우에는대체수단강구 개인신용정보암호화보관,전송시암호화송수신 데이터모니터링 NPI 접근통제, 과다조회및유출통제를위한모니터링강화 개인신용정보신용정보유출통제, 과다조회통제를위한모니터링강화(출력, 복사, 보조저장매체,이메일등) 응용프로그램보안 사내개발, 외부개발응용프로그램에대한보호조치 상대적으로강조가덜되어있음 인증 다중요소인증등강화된인증(외부에서내부접속시필수) (감독규정*) 중요정보처리시스템접근시ID/PW 이외의추가인증(2-Factor) 접근통제 NPI접속시접근통제강화,접근권한주기적검토 주요데이터접속시접근통제강화,접근권한최소화및주기적검토 항목 기술적보호조치 소만사대응솔루션 Data Asset Assessment(NPI식별과파기) PC, DBMS, Server, Cloud에서의[NPI] 식별및보유기간경과데이터파기 Privacy-i,Server-i AccessControl(NPI 접근통제) [NPI] 접근통제, 과다조회통제, 접속기록관리, 조회시스템 DB-i,WAS-i, App-i Monitoring/ DLP(NPI 유출통제) [NPI] USB Copy, 출력, 인터넷, 웹메일, Monitoring 및유출통제 [EndpointDLP] Privacy-i[Network DLP] Mail-i Encryption(NPI 암호화) PC, DBMS, Server, Cloud 에서[NPI]식별및암호화 Privacy-i,Server-i Authentication(NPI접근시인증) (외부) Application 등을통해[NPI] 를포함한정보시스템접속시Multi-Factor인증 8 500.02 사이버보안프로그램 위험평가(Risk Assessment)를통해해당기관정보시스템(IS)의기밀성, 무결성, 가용성을보장하는보안프로그램확립 500.03 사이버보안정책 기관이보유하고있는비공개정보(NPI) 및정보시스템보호를위한정책수립 500.04 정보보호책임자임명및역할 사이버보안프로그램/정책을주도할자격을갖춘CISO 임명, 역할이행 500.05 모의침투테스트및취약성평가 위험평가에서도출된위험요소를기반으로연간모의침투테스트실시, 2년마다취약성평가실시 500.06 감사추적 금융거래내역최소5년이상,사이버보안사건(Event)은최소3년이상보관 500.07 접근권한 NPI에접근가능한정보시스템접근권한설정, 주기적으로접근권한검토 500.08 응용프로그램보안 사내에서안전한응용프로그램개발을위한절차, 지침등마련,보안평가등 500.09 위험평가 절차에따라주기적위험평가수행(NPI,정보시스템변경시등) 500.10 사이버보안요원및지능 사이버보안위험에대응할수있는보안전문인력확보, 위험대응교육제공 500.11 제3자서비스제공자보안정책 제3자서비스제공자가접근, 보유하고있는정보시스템및NPI의보호를위한정책및절차수립(식별, 위험평가, NPI 전송시암호화등) 500.12 다중요소인증 NPI또는정보시스템비인가접근통제를위한다중요소/위험기반인증도입,외부에서내부네트워크접근시필수(CISO가동등한기술조치시대체가능) 500.13 데이터보유제한 불필요한NPI를주기적으로파기할의무 500.14 교육과모니터링 인가된사용자활동감시및비인가자의NPI무단접근에대한내부통제구축,보안의식제고를위한임직원교육 500.15 비공개정보암호화 기관에서보유또는전송하는NPI에대해암호화조치 500.16 침해사고대응계획 침해사고에서대응및신속한복구를위한계획수립 500.17 감독기관보고 보안사건발생시72간내감독기관신고, 규정컴플라이언스여부연간보고