해당 글은 아래의 블로그를 참조하여 작성하였습니다.
[보안]'CSAP' 란 무엇인가? (tistory.com)
[보안]'CSAP' 란 무엇인가?
csap(cloud security assurance program) 클라우드서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여
jjang-joon.tistory.com
처음 CSAP를 접하고 일을 시작했을 때 모두 같은 것이라고 생각했기에 보고서를 잘못 작성하였습니다. 따라서 이를 바로잡기 위해서 위의 블로그를 참조하였습니다.
어떤 대상을 전달 받았을 때 "표준","간편" 이런 기준에서 가장 많이 헷갈렸었습니다.
그래서 직접 KISA(한국인터넷진흥원) 사이트에 이에 대한 내용을 확인하였습니다.
일단 CSAP가 무엇인지 먼저 알아보겟습니다.
KISA 정보보호 및 개인정보보호관리체계 인증 클라우드 보안인증제 제도소개
CSAP란
인증제도
CSAP란 클라우드서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 보안인증을 수행하는 제도입니다.
보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2조제3항에 따라 보안인증을 받은 클라우드컴퓨팅서비스에 대해 표시할 수 있습니다.
보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행규칙」 제4조에 따라 표시도안의 크기를 용도에 맞게 같은 배율로 조정할 수 있으며, 알아보기 쉽게 표시하여야 합니다.
표시도안의 색상 및 글씨체는 임의로 변경할 수 없습니다.
목적 및 필요성
국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드서비스 공급
객관적이고 공정한 클라우드서비스 보안인증를 실시하여 이용자의 보안 우려를 해소하고, 클라우드서비스의 경쟁력 확보
추진근거
「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 의한 「제1차 클라우드컴퓨팅 기본계획」(2015)에 따른 클라우드서비스 보안인증제도 시행
「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증에 관한 업무 수행
보안인증체계
클라우드서비스 보안인증체계는 역할과 책임에 따라 정책기관, 인증/평가기관, 인증위원회, 기술자문기관, 인증신청인, 이용자로 구분합니다. 정책기관은 과학기술정보통신부, 인증기관은 한국인터넷진흥원, 평가기관은 한국인터넷진흥원 및 과학기술정보통신부에서 지정한 기관, 공공부문 기술자문기관은 국가보안기술연구소에서 그 역할을 수행하고 있습니다.
보안인증 유형 등
▶ 보안인증 유형
클라우드서비스 보안인증 유형은 IaaS, SaaS, DaaS가 있으며, 유효기간은 모두 5년입니다.
※ 기존 인증제도(IaaS, SaaS(표준등급, 간편등급), DaaS 등)는 상·중 등급 시행 전까지 인증 신청 가능
▶ 보안인증 등급
클라우드서비스 보안인증 등급은 상·중·하로 구분됩니다.
※ 하 등급은 고시에 반영되어 있으며, 상·중 등급은 추후 반영 예정
▶ 인증평가 종류
최초평가는 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가입니다.
※ 최초평가를 통해 인증을 취득하면, 5년의 유효기간을 부여
사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 보안인증 유효기간(5년) 안에 매년 시행됩니다.
갱신평가는 보안인증 유효기간(5년)이 만료되기 전에 클라우드서비스에 대한 보안인증의 연장을 원하는 경우에 실시하는 평가입니다.
※ 갱신평가를 통과하는 경우, 5년의 유효기간을 다시 부여
보안인증 범위
클라우드서비스 보안인증 범위는 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등을 모두 포함하여 설정합니다.
※ 클라우드서비스란 클라우드컴퓨팅법 시행령 제3조의 서비스를 의미
보안인증기준
▶ 기존 보안인증제도의 유형에 따른 보안인증기준은 다음과 같습니다.
IaaS 보안인증은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 분야 116개 통제항목으로 구성
SaaS 표준등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 13개 분야 79개 통제항목으로 구성
SaaS 간편등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 31개 통제항목으로 구성
DaaS 인증은 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성
▶ 등급제 시행에 따른 보안인증기준은 다음과 같습니다.
하등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 64개 통제항목으로 구성
하등급 SaaS 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 30개 통제항목으로 구성
KISA 정보보호 및 개인정보보호관리체계 인증 클라우드 보안인증제 보안인증절차
KISA 정보보호 및 개인정보보호관리체계 인증 클라우드 보안인증제 보안인증절차
> 클라우드 보안인증제 > 보안인증절차 안전한 클라우드 컴퓨팅 서비스 정보보호 관리체계를 만들어갑니다. 보안인증절차 준비단계 신청기관 : 시스템 및 서비스 구축 → 보안인증 신청 → 평가
isms.kisa.or.kr
▶ 기존 인증제
- IaaS, DaaS (총15일) : 서면/현장평가(5일)·취약점점검(5일) (동시진행) 5일 → 모의침투테스트 5일 → 이행점검 5일
- SaaS 표준등급 (총14일) : 서면/현장평가(5일)·취약점점검(5일) (동시진행) 5일 → 모의침투테스트 5일 → 이행점검 4일
- SaaS 간편등급 (총12일) : 서면/현장평가(4일)·취약점점검(4일) (동시진행) 4일 → 모의침투테스트 4일 → 이행점검 3일
▶ 등급제
- 하등급 (총14일) : 서면/현장평가(5일)·취약점점검(5일) (동시진행) 5일 → 모의침투테스트 5일 → 이행점검 4일
※ 서면/현장평가, 모의침투테스트, 이행점검 등 보안인증 단계별 소요일수는 클라우드서비스 자산 규모·서비스에 따라 일부 변동 될 수 있음
이와 같은 내용을 확인할 수 있었고, 이에 따라서 다르게 작성해야 한다는 것을 알게되었습니다.
해당 사업처는 KISA(한국인터넷진흥원), KAIT(한국정보통신진흥협회) 가 있습니다.
이상입니다~
'Penetration > WEB' 카테고리의 다른 글
| [주요정보통신기반시설] 11. 크로스사이트 스크립팅 (0) | 2023.10.24 |
|---|---|
| [주요정보통신기반시설] 10. 악성 콘텐츠 (0) | 2023.10.24 |
| 웹 해킹을 즐겁게해주는 wappalyzer (0) | 2023.10.16 |
| [주요정보통신기반시설] 1. 버퍼 오버플로우 (0) | 2023.10.12 |
| [주요정보통신기반시설] 9. 정보 누출 (0) | 2023.09.22 |
