LogDirectory:Trends
From 컴플라이언스 & 클라우드컴퓨팅 기업 이너버스
[edit]
국내 법규 및 정책
- 전자금융거래법 (법률 제 9325호 일부개정 2008.12.31)
- 전자금융감독규정시행세칙 (전문개정 2006. 12. 28.)
- 전자거래기본법 (법률 제 9429호 일부개정 2009.2.6)
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (법률 제 9119호 일부개정 2008.6.13)
- 통신비밀보호법 (법률 제 8867호 일부개정 2008.2.29)
- 공공기관의 개인정보보호에 관한 법률 (법률 제8871호 일부개정 2008.2.29)
- 산업기술의 유출방지 및 보호에 관한 법률
- 1. 2005.04 국회 정보통신분과위원회 대정부 권고
- 현행 법률은 로그의 저장이 중심으로 되어 있는데, 저장된 로그의 분석이 중심이 되어야 함
- 개인정보 유출 및 침해사고 방지를 위해 로그분석을 통해 침해여부 파악 및 향후 보안대책을 수립함으로써 일반 사용자들의 개인정보보호에 활용
- 2. 2004.04 정보시스템 구축·운영기술 가이드라인
- 주요 시스템 및 장애에 대한 로그보관, 백업 및 분석지침 수립 및 최소 6개월 이상 로그 백업
- 주요 정보제공 시스템은 주1회 이상 로그를 분석하고, Firewall, IDS, VPN의 로그는 매일 분석로그는 비 인가된 자에 의해 수정될 수 없도록 관리되어야 함
- 3. 2004.01 정보통신망 이용촉진 및 정보보호에 관한 법률 제48조의 4
- 정보통신부장관이 정보통신서비스 제공자 및 집적정보통신시설 사업자에게 로그관리 등 침해
- 사고 관련자료 제출을 요구할 수 있도록 하여 침해사고 원인분석이 가능하도록 함
- 개인정보 접속기록의 위조 방지를 위한 조치(제28조 및 시행규칙 제3조 2항
[edit]
해외 법규 및 정책
- Sarbanes Oxley - pdf
- HIPAA - pdf
- FISMA - pdf
- PCI DSS (PCI Data Security Standard) : 10번 항목이 모두 로그에 관련된 부분
- 1. 2004.04
- 프랑스, 아일랜드, 스웨덴, 영국은 테러방지 등 범죄수사 공조와 협력을 위해 전자통신서비스 제공과 관련하여 처리·저장되는 데이터 또는 통신 네트워크상의 데이터를 최장 3년까지 보관 할 수 있도록 하는 법령 제정을 유럽에 촉구
- 2. 2002 프라이버시와 전자통신에 관한 지침(Directive 2002/58/EC) 」제15조
- EU는 국가안보, 국방, 공안, 범죄행위나 전자통신시스템 불법사용에 대한 예방, 수사 등을 위하여, 회원국들이 통신정보(로그파일 포함) 보관을 허가하는 법률을 제정할 수 있게 허용
- 3. 1994 CALEA :「Communications Assistance for Law Enforcement Act 1994
- 미국은 정부가 법집행 목적으로 통신사업자에게 통신사실확인자료에 용이하게 접근 가능한 시스템을 구축할 것을 의무화 할 수 있도록 함
|
국 가 명 |
법 률 명 |
보관기간 |
|
벨기에 |
Computer Crime Act |
12개월 |
|
덴마크 |
Administration of Justice Act |
12개월 |
|
핀란드 |
Act on the Protection of Privacy |
3개월~2년 |
|
프랑스 |
Law on Everyday Security |
12개월 |
|
네덜란드 |
Telecommunications Law |
3개월 |
|
스페인 |
Information Society Services and Electronic Commerce |
12개월 |
|
영국 |
Anti-Terrorism, Crime and Security Act |
12개월 |
|
아일랜드 |
Criminal Justice(Terrorist Offences) Act 2005 |
3년 미만 |
