EU 규정 준수 의무에 대한 이해

규정 준수, 규정 준수, 보안, 보안?이론적으로 우리와 함께 일하고 협력하는 산업을 관장하는 지침은 사이버 또는 기타 방식으로 적용 가능한 형태의 보안에 대해 가드레일을 배치하는 것을 목표로 하는 지침을 제공하고 프레임워크를 정의합니다.

이로 인해 서로 다른 견해, 해석에 대한 이분법, 또는 적어도 위임 세부 사항의 적용에 대한 논의가 생길 수 있습니다.어떤 식으로든 규정 준수를 언급할 때 누구나 “체크박스 연습”이라는 말을 들어봤을 것입니다. 아니 이를 활용하거나, 다양한 솔루션을 구현하기 위해 오랫동안 노력해 온 전문가들의 과장된 코멘트로 취급할 수도 있습니다. 규정 준수 의무 해당 산업 또는 지역에 적용되는 내용입니다.

필자는 위의 몇 가지 경험과 규정 준수 프레임워크를 검토하는 데 상당한 시간을 투자한 조직 및 개인과의 긴밀한 협력을 통해 형성된 개인적인 견해를 갖게 되었습니다.제가 알게 된 사실은 복잡한 기술적 세부 사항보다는 위임장의 “정신”에 따라 작업함으로써 규정 준수의 실제 적용이 더 쉽고, 더 간단하고, 덜 복잡하다는 것입니다.물론 세부 사항은 규정 준수 유형에 따라 다소 중요할 수도 있지만, 특정 컨트롤의 “의미”를 파악하기 위해 텍스트를 꼼꼼히 살펴보는 것이 중요한 경우가 많습니다. 규칙 이면의 의도와 그것이 보안 향상 또는 개선에 미치는 영향은 제가 이 문제를 해결하는 가장 좋은 방법입니다.

앞서 말씀드린 바와 같이, 규정 준수의 핵심은 바로 기준 수준의 보안, 즉 전반적인 상태 개선, 그리고 이러한 상태를 안정적으로 점검할 수 있는 능력을 제공하기 위한 것입니다.

이에 대한 주의할 점은 주어진 명령이 표현하는 구체적인 세부 사항에는 차이가 있다는 것입니다.예를 들어, 그림 DSS 로깅 및 파일 모니터링에 대한 구체적인 세부 정보를 제공하는 반면 NIS 지침 (EU에 따라 다름) 훨씬 더 광범위한 지침을 제공하고 국가별 현지 수준에서 더 많은 변형을 제공합니다.

마찬가지로, 감사인이나 감사 기관의 해석에 대한 필자의 경험도 종종 이에 필적할 수 있습니다. 훌륭한 감사인은 기술적 세부 사항뿐만 아니라 의도와 효능을 더 많이 고려한다는 점에서 그렇습니다.물론 이는 위임 사항이 얼마나 구체적인지와 직접 관련이 있으며 (위와 같이), 이는 제 개인적인 경험일 뿐입니다.

Illumio가 어디에 적합한지 스스로에게 물어볼 수도 있습니다.우리 기업과 위에서 언급한 정부 기관 간의 공통점은 모든 기관이 고부가가치 자산과 데이터를 보호한다는 공통의 목표를 공유하고 있다는 것입니다.데이터, 사이버 보안 관행 및 일부 중요 인프라에 적용되는 모든 규정 준수 의무의 핵심에는 공통된 추론이 있습니다.신용 카드 정보, 개인 식별 정보 (PII), 결제 기록, 자산 데이터 또는 이러한 데이터 및 타인에 대한 통제 시스템 등 데이터 또는 해당 데이터를 처리하고 전송하는 시스템을 보호하는 것은 모든 규정 준수 의무의 핵심입니다.그렇긴 하지만, 이러한 보호에는 항상 분리 또는 마이크로 세분화 측면이 수반됩니다.목표: 공격 대상 영역, 공격의 폭발 반경을 제한하거나, 완전한 공격을 시도하는 것 제로 트러스트 모델 어떤 형태로든 중요한 시스템과 데이터를 우선 순위가 낮거나 덜 중요한 영역에 접근하지 못하도록 하기 위한 액세스 및 연결

이를 위해 이 블로그 시리즈에서는 다양한 규정 준수 영역의 세부 사항을 중점적으로 설명하고, 특히 해당 분야의 경험이 풍부한 외부 전문가가 각 블로그 게시물에 대한 대조 자료를 제공합니다.이를 통해 필자의 의견을 명확히 설명하는 데 도움이 될 뿐만 아니라 정부 또는 제3자 차원에서 각 위임을 해석하고 감사하는 다양한 방식 (감사자의 의견 포함) 에 대한 구체적인 세부 정보도 얻을 수 있습니다.

기여해 주신 분들께 미리 감사드립니다!

EU/유럽 관련 규정 준수 의무는 미국의 규정 준수 의무와 크게 다를 수 있으므로 주로 초점을 맞출 것입니다.따라서 HIPAA, NIST, 사베인즈-옥슬리와 같은 의무에 대해서는 자세히 다루지는 않겠습니다.또한 앞서 말씀드린 것처럼 PCI DSS 측면의 문제도 그대로 두겠습니다. PCI 규정 준수에 관한 중요한 정보 이미 일루미오에 있어요.

이를 통해 이 시리즈에서 다루는 영역을 몇 가지 유사한 관리 영역으로 그룹화할 것입니다.

중요 인프라 — NIS 지침, LPM
이 블로그 게시물에서는 EU 국가에 적용되는 비교적 새로운 NIS 지침 (네트워크 및 정보 시스템 지침) 에 대해 설명합니다.이는 광범위한 권한, GDPR과의 관계, 비교적 개방적이고 지역적인 해석으로 볼 때 흥미로운 위임입니다.또한 이 게시물에는 NIS 지침의 보다 개방적인 성격에 대한 세부 정보도 포함되어 있습니다. 즉, 의무적 통제가 아닌 지침으로, 이 글의 앞부분에서 다루었던 내용과 관련이 있습니다. 의지 규정 준수 및 구현에 대해

프랑스 중요 정보 인프라 보호법 (LPM) 도 이와 관련되어 있어 NIS 지침의 제정에 영향을 미쳤습니다. 이 법률은 좀 더 성숙해진 중요 인프라스트럭처 관련 법안으로서 몇 가지 흥미로운 규제 사항을 포함하고 있습니다.

금융/결제 — 스위프트, ECB SIPS
여기서는 Illumio 플랫폼이 보호하는 데 사용된 최초의 금융 규정 중 하나인 SWIFT와 EU 고유의 ECB SIPS (유럽 중앙은행 — 체계적으로 중요한 결제 시스템) 규정 준수 지침을 다룰 것입니다.

데이터 처리 — ISO 27001, GDPR
이 게시물에서는 데이터 거버넌스 및 제어, PII 보호 및 호스팅 시스템에 대해 살펴보겠습니다.이 분야는 광범위한 잠재적 영향과 해석이 있는 또 다른 영역입니다.예를 들어 GDPR은 보다 구체적인 사이버 보안 표준과 밀접한 관련이 있는 동시에 NIS 지침과도 밀접하게 연관되어 있습니다.

규정 준수 전문가의 통찰력과 전문 지식을 공유하고 Illumio가 조직의 규정 준수 목표 달성을 어떻게 도울 수 있는지 설명해 드릴 수 있기를 기대합니다.

‍