NCCS 사이버 보안 표준 살펴보기

National Centre for Communication Security (NCCS)에서 시행하는 사이버 보안 표준을 알아보는 데 도움이 되도록 설계된 이 종합 가이드를 통해  Market Access 전문가들의 전문 지식을 활용하세요. GRL은 제조업체가 Indian Telecommunication Security Assurance Requirements(ITSAR)의 엄격한 가이드라인을 준수할 수 있도록 지원합니다.

통신 장비의 필수 테스트 인증(MTCTE) 규정에 따라 인도에서 통신 장비를 판매, 수입 또는 사용하려는 모든 주문자 상표 부착 생산업체(OEM) 또는 수입업체는 Telecommunication Engineering Center (TEC) 표준을 준수해야 합니다. 인증에 필요한 테스트는 장비가 관련 국내 및 국제 표준을 충족하는지 확인하는 것을 목표로 합니다. 여기에는 안전성을 검증하고, 무선 주파수 방출이 규정된 한도 내에 있는지 확인하고, 네트워크 성능을 저하시키지 않는지 확인하고, 국가 보안 요구 사항을 준수하는지 확인하는 것이 포함됩니다.

테스트 및 인증 프레임워크는 인도에 진출하는 모든 통신 장비가 아래의 필수 요건을 충족하도록 요구합니다:

(a) EMI/EMC 
(b) Safety
(c) Technical requirements 
(d) Other requirements and 
(e) Cybersecurity requirements 

NCCS의 역할

NCCS는 모든 통신 장비의 보안 인증을 위해 MTCTE가 의무화한 'Communication Security Certification Scheme'(ComSeC) 제도에 따라 보안 요구 사항을 설정하는 업무를 담당합니다. 이 제도는 크게 세 가지 활동으로 구성됩니다:

  • 모든 통신 장비에 대해 인도 통신 보안 보증 요건(ITSAR)이라는 국가별 보안 보증 표준을 개발
  • 지정된 요건을 충족하는 third-party Telecom Security Test Laboratories (TSTL) 지정. 지정된 TSTL은 ITSAR의 요구 사항에 따라 통신 장비의 보안 테스트를 수행할 책임
  • NCCS의 ITSAR에 대한 통신 장비 평가 및 인증

통신부(DoT)는 컴보안 체계를 개발, 운영 및 유지 관리할 때 다음과 같은 목표를 달성하는 것을 목표로 합니다:

  • 국가별 표준, 프로세스 및 사양을 개발합니다.
  • 테스트 및 인증 에코시스템 개발.
  • 통신 네트워크 요소가 보안 보증 요건을 충족하는지 확인합니다.
  • 보안 테스트와 관련된 규제 요건을 준수합니다.

인도 통신 보안 보증 요건 (ITSARs)

인도 통신 보안 보증 요건(ITSAR)은 NCCS에서 수립한 일련의 보안 지침 및 표준입니다. ITSAR은 인도 내 통신 네트워크의 보안과 무결성을 보장하며 인도의 모든 통신 서비스 제공업체에 적용됩니다. ITSAR의 적용 대상에는 네트워크 보안, 데이터 프라이버시, 합법적인 감청이 포함됩니다. 

여러 가지 이유로 ITSAR의 구현이 필수적이 되었습니다.

첫째, 인도 통신 네트워크의 보안과 복원력을 보장하고 사이버 공격, 데이터 침해 및 기타 보안 위협으로부터 보호하는 데 중요한 역할을 합니다. 이는 은행, 의료, 교통 등과 같은 중요한 서비스에 대한 통신 네트워크에 대한 의존도가 높아짐에 따라 가장 중요한 역할입니다.

ITSAR은 다음 기술 요구 사항을 광범위하게 다루는 TSDSI 3GPP에 따라 참조됩니다:

  1. Access and Authorization
  2. Authentication Attribute Management
  3. Software Security
  4. System Secure Execution Environment
  5. User Audit
  6. Data Protection
  7. Network Services
  8. Attack Prevention Mechanisms
  9. Vulnerability Testing Requirements
  10. Operating System
  11. Web Servers
  12. Other Security Requirements

또한 ITSAR은 통신 서비스 제공업체가 엄격한 보안 표준과 가이드라인을 준수하도록 함으로써 인도 통신 부문에 대한 신뢰와 믿음을 증진하는 데 도움이 됩니다. 이는 결국 투자를 유치하고 해당 부문의 혁신을 촉진하는 데 도움이 될 수 있습니다.

마지막으로, ITSAR은 인도 정부가 테러리즘 및 기타 형태의 범죄 행위에 맞서 싸우는 데 있어 중요한 도구입니다. ITSAR에 따라 제정된 지침과 표준은 정부가 필요한 경우 통신을 모니터링하고 감청할 수 있는 수단을 제공하는 동시에 시민의 사생활과 권리를 보호할 수 있도록 보장합니다.

NCCS는 다양한 장비에 대한 ITSAR을 단계적으로 개발하고 공개할 책임이 있습니다. 장비의 ITSAR이 공개되면 해당 장비는 시행 계획에 포함됩니다. 해당 장비에 대한 ITSAR은 별도로 통지된 날짜부터 효력이 발생합니다. 새로운 위협 및 요구 사항을 해결하기 위해 수정이 이루어지면 새로운 버전의 ITSAR이 발행되며, 새로운 버전에 명시된 적용 날짜부터 적용됩니다.

ITSAR은 국가별 보안 요구 사항, 국제 표준, OEM, TSTL, TSP, 학술 기관, 업계 및 정부 기관 등 다양한 이해관계자와의 협의를 바탕으로 작성됩니다.

ITSAR에 대한 보안 테스트는 지정된 TSTL에서 수행합니다. 장비 인증을 받으려는 신청자는 MTCTE에 등록합니다. 신청서를 성공적으로 평가한 후, 신청자는 해당 ITSAR에 대한 장비의 보안 테스트를 위해 지정된 TSTL을 선택할 수 있습니다. TSTL은 검증자의 감독 하에 필요한 테스트를 수행합니다. 테스트가 완료되면 TSTL에서 테스트 보고서를 제출합니다. 이 보고서는 보안 인증을 위해 평가됩니다. 평가가 성공적으로 완료되면 NCCS에서 보안 인증서를 발급합니다.

보안 인증 절차

Artboard 1

(자세한 내용을 보려면 이미지를 확대하거나 새 탭에서 열기)

 

보안 인증 프로세스는 크게 두 부분으로 구성됩니다;
1. 해당 ITSAR에 대한 테스트 
2. 요건 준수 여부를 확인하기 위한 테스트 결과 평가.

장비가 모든 해당 ITSAR을 준수하는 것으로 확인되면 해당 장비는 인증을 받게 됩니다.

이 제도에 따라 인증을 받으려는 신청자는 MTCTE 포털에서 온라인으로 신청할 수 있습니다. 신청자는 다음과 같은 관련 서류를 제출할 수 있습니다:
(i) 회사 등록
(ii) 신청자에게 관련 책임을 승인하는 회사에서 발행한 서신.
또한 외국 OEM의 경우, 인도 회사의 신청자는 다음을 제공해야 합니다.
다음을 뒷받침하는 문서
(iii) 인도 내 제품 판매 및 지원을 위한 외국 OEM과 인도 대리점(AIR) 간 MoU 체결
(iv) MTCTE 관련 책임에 대해 AIR에 권한을 부여합니다.

서류를 면밀히 검토하여 불일치하는 부분이 있으면 신청자에게 알려드립니다. 

신청자의 서류는 철저한 검토를 거치게 되며, 불일치하는 부분이 발견되면 신청자에게 통보됩니다. 필요한 수정이 완료되면 신청자의 등록이 승인됩니다.

신청자는 변형, 사용 가능한 인터페이스 및 관련 모델 정보를 포함하여 인증받을 제품을 선택해야 합니다. 또한 온라인 포털에 Bill of Materials(BoM) 파일을 업로드해야 합니다. 보안 인증을 받으려면 BoM에 운영 체제, 데이터베이스, 암호화 모듈의 소프트웨어 버전과 장비에 사용된 독점 또는 타사 소프트웨어가 포함되어야 합니다. 신청서를 제출하면 신청자에게 해당 ITSAR 및 관련 수수료가 통보됩니다.

해당 수수료를 지불한 후, 신청자는 지정된 TSTL 중 한 곳에서 관련 ITSAR에 따라 장비를 테스트해야 합니다. TSTL은 16주 이내에 테스트를 완료할 책임이 있으며, 여기에는 테스트 중에 발견된 비준수 문제를 해결하는 데 필요한 신청자의 추가 시간이 포함됩니다. NCCS는 TSTL에서 수행되는 테스트의 기술적 측면을 감독하기 위해 검증자를 지정할 수 있습니다.

테스트가 완료되면 TSTL은 테스트된 장비의 서명과 함께 테스트 보고서를 업로드합니다. 종합 테스트 보고서의 하드 카피본도 NCCS 부서에 제공됩니다. 테스트 보고서는 NCCS에서 평가하여 관련 ITSAR의 준수 여부를 결정합니다.

장비가 해당 ITSAR을 준수하는 것으로 확인되면 신청자에게 특정 장비 모델에 대한 인증서가 발급됩니다.

인증서는 일반적으로 장비의 복잡성에 따라 전체 테스트 결과를 제출한 날로부터 4~8주 이내에 발급됩니다.

 

참고: ITSAR이 개정되어 새 버전의 ITSAR이 출시되는 경우, 새 버전의 ITSAR에 명시된 예정된 날짜부터 적용될 것입니다. 그 전까지는 기존 ITSAR이 적용됩니다.