Cyber Security ≠ 정보 보호
CyberSecurity를 위한 관리체계/통제지침 정비 필요성
일전에
ISMS와 CSMS의 간략한 비교 글과
ISO/IEC JTC1 SC27이 Information Security 중심임을 분석한 글에 이어서
이번에는
ISO표준체계 속에서의 ISMS와 CSMS를 살짝 더 들여다보면서
현재시점의 ISO27001&ISO27002가
CyberSecurity영역을 포괄할만한 상태인지 판별해 보겠습니다.
미국 국방 부문에서 국가의 InfraStructure 보안에 처음 사용하기 시작했지만,
ISO/IEC 27000:2018 Information security management systems — Overview and vocabulary
에 적시되어 있습니다.
"This document provides the overview of information security management systems (ISMS)"
ISO/IEC TS 27100:2020 Cybersecurity — Overview and concepts
이 해당하는데, 아직 IS(국제표준)까지는 아니고, TS(Technical Specification기술명세)입니다.
Cyber보안은 특정 조직 관할 범위를 넘어 상호 연결된 디지털 환경인 사이버 공간의 위험에 초점을 맞춥니다.
물리적인 사고가 살제로 발생하기 때문입니다.
본질은 Cyber스러운데, 실제 사고는 Real에서 벌어지는 경우가
정보보호사고로 인한 Real사고 상황보다 잦다는 말씀입니다.
Cyber Security는 그보다는 그 조직/시설의 주변까지 감안합니다.
ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements 가 위풍당당하게 존재합니다.
유사하게 적용 가능해 보이는 관리체계 표준도 없어서,
이 문서의 Scope입니다.
5.14 Information Transfer에서 전송을 아래 3가지로 분류했는데,
Physical storage media transfer
Verbal transfer
아래는 그중 CSMS에 관련이 갚은 "Electronic Transfer" 부분입니다.
8. Technological Controls의 대다수 통제가 CSMS에 적용은 가능합니다.
그러나,
ISO27001과 ISO27002는 위에서 제시한 Scope 정의문을 포함한 문서 전체의 맥락에서
Cyber Security를 "국제표준답게" 명시적으로 포괄하지 못했습니다.
이전 글에서 설명했듯이, ISO27000 4.2.2에서 '정보'를
종이, eMail, 구두대화 등으로 전달되는 '문서/파일'로 한정하듯
한 상태에서
작성된 27001과 27002이기 때문입니다.
ISO27000,27001,27002 등은
전형적인 정보(파일 단위)의 교신을 취급하지 않는 IT/ICS 시설/장비가 있음을 인식하지 않고 작성되어 있음이 분명합니다.
아래처럼 동일한 Information Security 영역에서는 27002를 응용하여
ISO/IEC 27011 : Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
ISO/IEC 27017 : Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ISO/IEC 27018 : Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
여러 활용이 가능하지만,
Cyber Security 영역으로 넘어오면 맥을 못 출 수밖에 없습니다.
에너지설비산업분야가 Cyber Security의 보호 대상에 포함됨을
그 누구도 부정하지 못할 것입니다.
(물론 어느 산업분야든지 Information
Security는 당연히 중요하게 관리되어야 하고요)
ISO27019가
ISO/IEC 27019:2017 Information technology — Security techniques — Information security controls for the energy utility industry
ISO27002를 에너지설비산업분야에 응용한 표준인데,
아직 CD(위원회검토안)단계이지만, 현재로서는 최신판인
ISO/IEC CD 27019 Revision of Information technology — Security techniques — Information security controls for the energy utility industry를 살펴보겠습니다.
일단, 제목에서부터
Information Security 영역입니다.
그런데, Background and context에서
'CyberSecurity'를
문서 전체에서 유일하게 단 한번 사용합니다.
이 문구는 현재 유효한 2017년판에도 동일하게 있습니다.
0.3 Information security requirements
제목에 이렇게 "Information security"를 표기했는데,
실제 내용에는 젼형적인 Cyber Security의 영역을 포함하고 있습니다. (녹색 밑줄 항목들)
Cyber Security에 관한
Requirements를 별도로 명시하지도 않았습니다.
이 27019는
27000,27001,27002만을 규범적으로 참조하면서
CyberSecurity의 개요와 용어표준을 담은 ISO/IEC TS 27100을 참조하지 않습니다.
Bibliography에도
Other references에도 없습니다.
5.9 Inventory of information and other
associated assets
에서는 장비 간 교신되는 'Signal'을
'Data'로 지칭하며 'information'에 포함했는데,
제 소견에는 이 것들이 ISO27000의 information 정의 범위에 완전히 포함되지 않았다고 판단합니다.
즉, 용어 정의 표준에 없는 영역까지 임의로 확장한
듯 보입니다.
8.37 Securing process control data
communication에서도
앞서의 'information'을 "process control data"로 지칭합니다.
(그런데, 이 표현으로는
장치에서 계측되어 나오는 data값은 제외됩니다)
위에 나열한 여러 근거로 판단해 볼때에,
저는 현재의 27001,27002가
CyberSecurity를 완전히 포용하지 못했다고 생각합니다.
27001 기반의
CyberSecurity 관리는 무리스럽고,
27002 기반의 CyberSecurity 통제도 흡족해 보이지 않습니다.
따라서,
이 표준들이 CyberSecurity영역을 충족하도록 모두 개정해야
할것 같습니다.
관련된 여러 다른 표준들의 연쇄적인 개정작업 촉발이
부담스럽다면,
CyberSecurity를 위한 관리체계와 실행지침을
아예 새로 제작하는 편이 나을지도 모르겠습니다.
기왕에 27100이 Overview
and concepts에 배정되어 있으니,
아직 비어있는 듯한 27101을
CSMS에 할당하면 좋겠군요.
27102에는 CyberSecurity
Control을 배정하면 참 좋겠는데,
ISO/IEC
27102:2019 Information security management — Guidelines for
cyber-insurance
에 할당되어 있습니다.
ISO에서 표준번호를 어떤
Logic으로 배정하는지 궁금해지네요.
27000 vs 27100 (현재 배정되어 사용중)
27001 vs 27101 (비어있으므로, 사용 가능)
27002 vs 27102 (선점되어, 사용 불가능)
여기부터는
위에 적은 내용과 관련은 있으나,
다른 내용입니다.
지난번 글
(Production(생산물품)을 위한 보안관리 필요성)에서도
피력했지만,
기업(조직)은
자신이 소유한 정보자산의 보호 이외에도,
생산하는 제품이나 Publishing/Supply하는 Service로 인해서 유발되는,
조직 외부를 향하는 피해상황까지 감안할 도의적 의무가 있다고 생각합니다.
시설 자체의 일반적인 사고로 인한 피해까지는
안전에 관한 다른 표준들에서 감당하지만,
보안으로 인한 사고만큼은
모든 경우의 수를 감안해서 종합적인 관리체계로 통제할 필요가 있다고 생각합니다.
ISO27002 정보보호 통제에
'물리적보안' 부분이 포함되어 있음이 당연하고 자연스럽다면,
저의 이런 생각 역시 '일리'는 있다고 봅니다.
환경, 사회적 책임을 감안하는
ESG경영 관점에서도 참 반가운 시도일 텐데요.
Cyber Security를 "국제표준답게" 명시적으로 포괄하지 못했습니다.
작성된 27001과 27002이기 때문입니다.
전형적인 정보(파일 단위)의 교신을 취급하지 않는 IT/ICS 시설/장비가 있음을 인식하지 않고 작성되어 있음이 분명합니다.
아래처럼 동일한 Information Security 영역에서는 27002를 응용하여
ISO/IEC 27011 : Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
ISO/IEC 27017 : Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ISO/IEC 27018 : Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
여러 활용이 가능하지만,
ISO/IEC 27019:2017 Information technology — Security techniques — Information security controls for the energy utility industry
ISO27002를 에너지설비산업분야에 응용한 표준인데,
ISO/IEC CD 27019 Revision of Information technology — Security techniques — Information security controls for the energy utility industry를 살펴보겠습니다.
'CyberSecurity'를
문서 전체에서 유일하게 단 한번 사용합니다.
제목에 이렇게 "Information security"를 표기했는데,
실제 내용에는 젼형적인 Cyber Security의 영역을 포함하고 있습니다. (녹색 밑줄 항목들)
CyberSecurity의 개요와 용어표준을 담은 ISO/IEC TS 27100을 참조하지 않습니다.
에서는 장비 간 교신되는 'Signal'을
'Data'로 지칭하며 'information'에 포함했는데,
앞서의 'information'을 "process control data"로 지칭합니다.
CyberSecurity를 완전히 포용하지 못했다고 생각합니다.
27002 기반의 CyberSecurity 통제도 흡족해 보이지 않습니다.
CyberSecurity를 위한 관리체계와 실행지침을
아예 새로 제작하는 편이 나을지도 모르겠습니다.
에 할당되어 있습니다.
위에 적은 내용과 관련은 있으나,
자신이 소유한 정보자산의 보호 이외에도,
생산하는 제품이나 Publishing/Supply하는 Service로 인해서 유발되는,
조직 외부를 향하는 피해상황까지 감안할 도의적 의무가 있다고 생각합니다.
안전에 관한 다른 표준들에서 감당하지만,
모든 경우의 수를 감안해서 종합적인 관리체계로 통제할 필요가 있다고 생각합니다.
'물리적보안' 부분이 포함되어 있음이 당연하고 자연스럽다면,
ESG경영 관점에서도 참 반가운 시도일 텐데요.