정보보안기사3-정보보호 관리 및 법규

한택승·2021년 8월 17일
0

정보보안기사

목록 보기
3/4

정보보호 거버넌스와 관리 체계 수립

1. 정보보호 거버넌스

거버넌스 : 공유된 목적에 의해 일어나는 활동

1) 등장배경

  • 정보보호 투자가 현업부서의 목적과 부합해야 한다는 요구 증가
  • 정보기술의 가시성에 대한 이사회 및 경영진의 요구 증대

2) 정보보호 거버넌스 프레임워크

정보보호 거버넌스는 비즈니스와의 전략적 연계, 관련법과 규정의 준수, 의사결정 권한과 책임의 할당을 위한 프로세스 및 실행체계
목표(ABC)

  • 책임성(Accountability)
  • 비즈니스 연계성(Business Alignment)
  • 준거성(Compliance)

4) 정보보호 거버넌스 구현 요건

  • 전략적 연계 : 정보보호 거버넌스는 비즈니스, IT 목표 및 정보 보안 전략이 서로 연계되어야 함. 최상위 정보보안 운영위원회의 역할과 책임을 명시
  • 위험 관리 : 정보보안 사고의 잠재적 위험을 줄이기 위해 조직에 적합한 위험 관리 체계 수립, 지속적으로 관리하여 수용가능한 수준으로 위험을 낮춰야 한다.
  • 자원 관리 : 효울적인 정보보안 지식과 자원을 관리하기 위해 중요 정보 자산과 인프라를 포함하는 전사적 정보보안 아키텍처를 확보해야 한다.
  • 성과 관리 : 모니터링, 보고 및 평가에 따른 성과 평가 체계 운영
  • 가치 전달 : 정보보안 투자를 최적화하기 위해 기업의 구성원에게 정보 보안의 중요성과 가치를 교육시켜야 한다

2. IT 보안 관리

(1) IT 보안 관리

ISO/IEC 시리즈

  • 27000 : 개관 및 용어
  • 27001 : ISMS 요구사항
  • 27002 : 정보보안관리를 위한 실행 규약
  • 27003 : ISMS 구현지침
  • 27004 : 정보보안관리 지표 및 지표 프레임워크를 위한 지침
  • 27005 : 정보보안 위험관리 지침
  • 27014 : 정보보호 거버넌스에 대한 개념과 원칙을 제공
  • 27017 : 클라우드 보안 통제항목을 설명
  • 27018 : 클라우드 서비스 사용자나 사용 기업의 개인식별정보에 대한 보안통제 설명

2) IT 보안관리 기능

  • 조직의 IT 보만의 목적, 전략 및 방침 결정
  • 조직의 IT 보안 요구 사항 결정
  • 조직 내 IT 자산에 대한 보안 위협 식별, 분석
  • 위험을 식별하고 분석
  • 적절한 대책 명시

3) IT 보안관리 프로세스

  • 계획(plan) : 보안 정책, 목적 프로세스 및 절차의 수립
  • 실행(do) : 위험 처리 계획의 이행
  • 점검(check) : 위험 처리 계획을 모니터링하고 유지보수
  • 처리(act) : 사건, 검토 또는 인지된 변화에 대응하여 정보보안 위협 관리를 유지보수하고 개선

3. 정보보호 정책, 절차, 표준, 지침, 기준선

(1) 정보보호 정책, 절차, 표준, 지침, 기준선

1) 정보보호 정책

  • 정보자산을 어떻게 관리하고 보호할 것인가에 대하여 문서로 기술해 놓은 것
  • 보안 정책은 조직안에서 보안이 어떤 종류의 역할을 수행하는지 규정하기 위해 최고경영진에 의해 마련된 일반적인 선언
    정보보호 정책의 역할
    임직원에게 책임 할당 및 책임추적성 제공. 기업 비밀 및 지적재산권 보호
    정보보호 정책의 수정
    위험분석 등 보안 관리의 과정을 통하여 얻어진 결과를 바탕으로 수정될 수 있어야 함
    정보보호 정책을 구현하기 위한 요건
    - 주로 관리자가 개발
    - 임직원이 이해 가능한 수준으로 작성되고 의사소통 되어야 함
    - 경영진에 의해 승인되어야 기업과 조직의 직원들 사이의 의사소통 수월
    - 포괄적, 일반적, 개괄적으로 기술되어야 함
    - 문서화되어야 하고, 임직원에 대한 교육을 충분히 행한 상태여야 법적 보호를 받게 된다

(2) 정보보호 정책을 구현하기 위한 요소

  1. 표준(Standard)
    • 요구사항을 정의
    • 의무적 활동, 행위 또는 규칙. 표준은 정책을 지원하고 방향 강화
  2. 기준선(Baseline)
    • 미래의 변경에 대한 비교로 사용되는 현재 시점. 일관되게 참조할 포인트
    • 필요한 최소 보호 수준을 정의하기 위해 사용
  3. 지침(Guidelines)
    • 특정한 표준이 적용되지 않는 사람들에 대한 권장 행동과 운영적 안내사항
  4. 절차(Procedure)
    • 특정한 목표를 성취하기 위해 수행되는 단계적인 작업을 자세하게 설명

(4) 정보보안 전문가의 역할

  • 정보보안 활동을 위한 예산 확보
  • 타 부서와 협력하여 정책, 절차, 기준선, 표준, 지침 개발
  • 보안인식 프로그램 개발 및 제공
  • 비즈니스 목적에 대한 이해
  • 최신의 위협/취약점에 대한 인지
  • 정부의 법/규정에 대한 컴플라이언스 여부 점검
  • 최신 기술 습득

3) 정보보호조직 구성원의 역할과 책임

  • 최고 경영자 : 정보보호 총괄책임
  • 정보시스템 정보보호 관리자 : 정책, 표준, 대책, 실무 절차를 설계, 구현, 관리, 조사 책임
  • 데이터 관리자 : 정보시스템에 저장된 데이터의 정확성과 무결성을 유지. 데이터 분류를 결정할 책임
  • 프로세스 관리자 : 조직의 정책에 따라 적절한 보안을 보증할 책임
  • 기술지원 인력 : 보안대책의 구현에 대하여 조언할 책임
  • 사용자 : 조직의 정보보호 정책에 따라 수립된 절차를 준수할 책임
  • 정보시스템 감사자 : 보안 목적이 적절하며 정보보호 정책, 표준, 대책, 실무 및 절차가 조직의 보안 목적에 따라 적절하게 이루어지고 있음을 독립적인 입장에서 관리자에게 보증할 책임

4. 인적 자원 보안

2) 고용기간 동안

보안 정책이 공정하고 일관되게 집행하는 것에 추가하여, 직원 보안을 지키기 위해 따라야할 원칙이 있다
- 최소 특권
- 직무 분할
- 핵심 직원에 대한 제한된 의존

직무순환
직무분리
강제휴가

3) 고용종료

우호적인 퇴직

  • 회사와 직원 모두 퇴직에 동의한 경우. HR부서는 퇴직 직원이 회사 자산 모두 반납했는지, 모든 접근권한이 제거되었는지 확인

적대적인 퇴직

  • 해고당한 경우. 해고사실을 알리기 전에 접근권한을 즉시 삭제

정보보호 위험 관리

1. 위험관리

조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정
1. 전략과 계획 수립
2. 위험을 구성하는 요소들을 분석
3. 위험 평가
4. 정보보호대책 선정
5. 구현 계획수립

3) 구성요소

구성요소

  • 위험
    • 사건 및 그로 인한 결과가 일어날 확률의 조합을 말하며, 자산에 손실을 끼칠 가능성
  • 자산
    • 위험 관리를 수행하는 가장 큰 목적은 조직의 자산 보호
  • 위협
    • 자산에 손실을 초래할 수 있는 사건의 잠재적 원인이나 행위자로 정의
  • 취약점
    • 자산의 잠재적 속성으로써 위협의 이용 대상이 되는 것.
  • 정보보호대책
    • 위험 분석 시 기존에 설치된 보호 대책을 식별하고 이러한 보호 대책의 정상적인 작동 여부를 반드시 확인. 새로운 대책이 기존 대책을 무효화시키지 않는지 검토

전체 위험 / 잔여 위험

  • 전체 위험 : 위협 X 취약점 X 자산
  • 잔여 위험 : (위협 X 취약점 X 자산) X 통제격차
    또는, 전체위험 - 대책

2. 위험분석

(1) 위험분석의 개요

  • 자산의 취약점을 식별하고 존재하는 위협을 분석하여 이들의 발생 가능성 및 위협이 미칠 수 있는 영향을 파악해서 보안위험의 내용과 정도를 결정하는 과정
  • 정보기술 보안관리를 수행하기 위해서 필수적인 과정. 위험 관리 중 80%이상 차지

3) 위험분석 방법론

방법특징장점단점
기준선 접근법
(Baseline)		- 모든 시스템에 대하여 표준화된 정보보호대책 시트 제공
- 체크리스트 형태
- 정보보호대책의 유무를 판단하여 없는 것을 구현		- 비용 및 시간 절약- 과보호 또는 부족한 보호가될 가능성
- 보안환경 변화 반영 미비
- 점수에 집착
비정형화된
접근법
(Informal)		- 모든 정보자산에 기업 이외의 전문가 지식 및 경험을 활용하는 방법- 비용 대비 효과가 우수
- 상세 위험 분석보다 빠름		- 누락하는 경우 발생
- 설정의 근거가 희박, 개인적 경험에 의존
- 측정의 완전도 낮음
상세 위험 분석
접근법
(Detailed risk)		- 모든 정보 자산에 대해 상세 위험 분석- 자산가치, 위협, 취약점의 평가에 기초한 위험은 산정하므로 경영상 허용수준까지 위험을 줄이는 근거가 명확
- 계량적 수치화 가능		- 상당한 시간, 노력 필요
복합 접근법
(combined)		- 기준선 접근법과 상세 위험 분석 조합- 비용 및 지원을 효과적으로 사용
- 고위험 영역을 빠르게 식별하고 처리		- 기준선 접근법이 부정확한 경우 상세위험 분석이 필요한 시스템이 누락
- 고위험 영역이 잘못 식별되었을 경우 비용 낭비 및 부적절한 대응

(2) 상세 위험 분석

시스템이 조직의 업무상 중요도가 높거나 자산 가치가 클 경우 적용

2) 자산분석

정량적 기준정성적 기준
- 자산도입 비용
- 자산복구 비용
- 자산교체 비용		- 업무 처리에 대한 자산의 기여도
- 자산이 영향을 미치는 조직과 작업의 수
- 시간(복구시간)

3) 위협분석

자산에 피해를 가할 수 있는 잠재적인 요소인 위협을 파악하고 발생 가능성 등을 분석하는 과정

4) 취약점 분석

자산의 속성과 중요도를 바탕으로 자산이 가지고 있는 취약점 식별하고 위험에 미칠 수 있는 영향을 분석

5) 대응책 분석

네트워크 및 시스템을 새로 구축하는 경우와 운영 중인 자산에 필요한 대응책 조사하여 이들 대응책들의 기본 기능 수행여부 파악

6) 위험 평가

  • 자산/취약점/위협/대응책 분석을 통하여 얻은 데이터와 분석 결과를 바탕으로 위험을 측정하고 평가한 후 대응책을 제시해주는 위험분석의 최종 단계
  • 정량적/정성적 위험평가 방법을 사용하여 위험을 나타내고, 위험이 낮은순으로 순위 결정

7) 잔류 위험 평가

  • 위험분석 결과에 대한 종합적인 평가를 하기 전에 추천한 대응책을 적용할 때 보안 정책에 명시되어 있는 허용 위험수준을 만족하는지 검증

(3) 위험처리 전략

1) 위험처리 절차

위험 식별 -> 위험 수용 -> 위험 감소 -> 위험 전가 -> 위험 회피

  • 위험 수용
    • 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것
  • 위험 감소
    • 위험 결과를 낮추는 대책과 위험 발생 가능성을 낮추는 대책으로 나눌 수 있다
    • 백업 프로세스 확립, 재난 복구 계획 개발
  • 위험 전가
    • 위험에 대한 책임을 제3자와 공유하는 것
  • 위험 회피
    • 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기

(4) 정량적 위험분석과 정성적 위험분석

1) 정량적 위험분석

  • 금전적 가치와 숫자값을 부여하는데 사용(객관적)
  • 각 요소는 정량화되고 공식에 입력되어 전체 및 잔여 위험을 판단

자동 위험 분석 방식

  • 위험 분석 공식에 입력하기 위해 필요한 모든 데이터를 수집하고 그 결과를 올바르게 해석하는 작업을 쉽고 정확하게 만들어주는 자동화 도구가 존재
  • 수집된 데이터는 다시 사용될 수 있어 분석 수행시간에 크게 줄어든다.

정량적 위험분석의 단계
1. 자산에 가치 부여하기
2. 각각의 위협에 대한 잠재적 손실 계산하기
- 노출계수 : 침해가 발생할 때 조직이 입게되는 손실 비율(%)
- SLE : 자산가치 X 노출계수
3. 위협 분석의 수행
- ARO 계산 : 연간 발생률.
4. 개별 위협마다 전체 손실 예상액 도출
- ALE 계산 : ARO X SLE
5. 위험 감소, 위험 전이, 위험 수용

2) 정성적 위험분석

  • 시나리오에 정성적 방법을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정한다
  • 판단, 직관, 경험을 포함
구분정량적 위험분석정성적 위험분석
장점- 객관적인 평가기준
- 가치가 논리적으로 평가되고 화폐로 표현되어 납득 잘됨
- 위험관리 성능평가가 용이
- 백분율, 확률 등으로 표현되어 이해하기 쉽다		- 계산에 대한 노력이 적게 든다
- 가치를 평가할 필요가 없다.
- 비용/이익을 평가할 필요가 없다
단점- 계산이 복잡하여 시간, 노력, 비용이 많이 든다
- 수작업의 어려움으로 자동화 도구를 사용할 시 신뢰도가 벤더에 의존		- 위험평가 과정과 측정기준이 지극히 주관적
- 측정결과를 화폐가치로 표현하기 어렵다
- 위험관리 성능을 추적할 수 없다
방법- 과거자료 분석법 : 과거 자료를 통해 위험발생 가능성 예측
- 수학공식 접근법 : 위협의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법
- 확률 분포법 : 미지의 사건을 추정하는데 사용하는 방법.
- 점수법 : 위험 발생 요인에 가중치를 두어 위험을 추정하는 방법		- 델파이법 : 전문적인 지식을 가진 전문가 집단이 위험을 분석 및 평가하여 다양한 위협과 취약점 토론
- 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 발생가능한 결과 추정
- 순위결정법 : 비교 우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방법
- 퍼지 행렬법 : 자산, 위험, 보안체계 등 위험분석 요소들을 정성적인 언어로 표현된 값을 사용하여 기대손실 평가하는 방법

BCP/DRP

1. BCP/DRP

(1) BPC/DRP 개요

1) 비즈니스 연속성 계획(BCP)의 개요

  • 재난 발생 시 비즈니스 연속성을 유지하려는 방법을 정의하는 문서
  • 재난에도 정상적인 운영이 가능하도록 데이터 백업 및 단순 복구뿐만 아니라 고객서비스 보장. 핵심 업무 기능 지속하는 환경 조성을 목적으로 한다

2) 재난복구게획(DRP)

  • 장기간에 걸친 재해나 재난으로 인해 피해 입은 시설의 접근거부와 같은 이벤트를 다룬다
  • 비상사태 후 대체 사이트에서 목표 시스템, 응용프로그램, 컴퓨터 설비의 운영 재개와 같은 IT중심의 계획

&비즈니스 연속성 관리(BCM)

  • DRP, BCP를 아우르는 전체론적 관리 프로세스.
    기획 단계 -> 운영단계 -> 검토 및 개선 단계

(2) 사업영향분석(BIA)

1) 비즈니스 영향 분석

비즈니스 영향 분석의 개요

  • 업무 중단이 미치는 영향에 대한 정성적, 정량적, 기능적 분석 실시
  • 발생 가능한 모든 재해를 고려하고 잠재적인 손실 추정. 재난을 분류하여 우선순위 부여하고 실행 가능한 대한 개발

BIA 주요 활동

  • 인터뷰나 문서로부터 데이터 수집
  • 프로세스 플로우 다이어그램 작성
  • 비즈니스 기능, 행위, 처리를 문서화 및 비즈니스 체계 개발
  • 자원 요구사항 식별
  • 최대 허용 중단 시간(MTD) 산정
  • 기능별로 분류 도표와 중요도 수준, 우선순위 결정

(3) 복구전략

1) 개요

BAI단계에서 식별된 위협에 대응하기 위해 구현되어야하는 가장 효율적이고, 비용효과적인 복구 매커니즘 개발

2) 2차 사이트 종류별 특징

  1. 미러 사이트
    • 주 센터와 동일한 수준의 정보 기술 자원을 원격지에 구축
    • 메인센터와 재해복구센터 모두 액티브 상태로 실시간 동시 서비스
    • 재해 발생시 복구까지 시간은 이론적으로 0
  2. 핫 사이트
    • 주 센터와 동일한 수준의 시스템을 대기상태로 둔다. 동기적/비동기적 방식의 실시간 복제로 최신 데이터 상태 유지. 재해 시 시스템을 액티브 상태로 전환
    • 수시간 내 복구
  3. 웜 사이트
    • 주 센터와 동일한 수준의 기술자원을 보유하는 대신 중요성이 높은 정보기술자원만 부분적으로 보유
    • 데이터의 백업 주기가 몇 시간에서 며칠. 핫 사이트보다 길다. 초기의 복구수준이 완전하지 않으며 완전한 복구까지 다소의 시일이 소요된다.
  4. 콜드 사이트
    • 데이터만 원격지에 보관하고 서비스를 위한 정보 자원은 확보하지 않거나 장소 등 최소한으로만 확보하고 있다가 재해 시에 데이터를 근간으로 필요한 정보자원을 조달하여 복구
    • 주 센터의 데이터는 일, 주 단위 주기로 원격지에 백업. 복구 소요시간이 매우 길고 신뢰성이 낮다
    • 수주~수개월

4) RAID(Redundacy array of inexpensive disks)

이중화 및 성능향상을 위한 기술. 몇 개의 물리적인 디스크를 묶고 이것들을 논리적 어레이로 정의하지만 실제 데이터는 여러 개의 물리적인 디스크에 저장된다.
목적

  • 저용량/성능/가용성인 디스크를 어레이 구조로 중복하여 구성함으로써 고용량/성능/가용성 디스크를 대체
  • 데이터의 중복 저장 및 오류 검증을 통해 결함 허용도는 향상

RAID의 종류 및 설명

  • Level 0(스트라이핑)
    • 하나의 데이터를 여러 드라이브에 분산 저장함으로써 빠른 입출력을 가능하게 함
  • Level 1(미러링)
    • 동일한 데이터가 두 개 이상의 디스크에 동시에 저장. 한 곳이 오류 발생해도 다른 드라이브에서 동일한 데이터 사용 가능
  • Level 2
    • 데이터 스트라이핑이 모든 드라이브에서 일어남
    • 패리티 데이터는 오류 식별을 위한 해밍코드와 함께 생성
  • Level 3
    • 0,1의 문제점 보완하는 방식으로 바이트 단위로 데이터를 분산 저장
    • 스트라이핑이 모든 드라이브에서 일어나고, 에러 체크 및 수정을 위해서 패리티 정보를 별도의 디스크에 따로 저장하는 구조
  • Level 4
    • RAID 3과 동일한 구조이나 데이터가 블록 단위로 분산 저장
    • 한 번의 작업으로 데이터를 읽기 때문에 성능 향상
  • Level 5
    • 데이터와 패리티가 모든 드라이브의 디스크 섹터 단위에 저장
  • Level 0 + 1 / 1 + 0
    • 0 + 1 : 0과 1조합
    • 1 + 0 : 0 + 1에서 디스크 하나가 고장났을 경우 스트라이프는 전부 접근 불가능하기 때문에 단점 보완

5) 데이터 백업

  • 완전 백업
    모든 데이터가 백업. 장시간 소요
  • 차등 백업
    완전 백업을 차등 백업과 같이 사용하는 방법. 가장 최근의 완전 백업이후에 수정된 파일만 백업하는 방식.
  • 증분 백업
    완전 백업을 증분 백업과 같이 사용. 마지막 완전 백업이나 증분 백업 이후에 변경된 파일을 백업하고 아카이브 비트를 0으로 설정

(4) 복구와 회복

1) BCP/DRP 단계

관련 용어

  • 복구 목표 시점(RPO)
    재해로 인하여 중단된 서비스를 복구하였을 때, 유실을 감내할 수 있는 데이터의 손실 허용시점
  • 복구 목표 시간(RTO)
    재해 후 시스템, 응용, 기능들이 반드시 복구 완료되어야 하는 시간
  • 작업 복구 시간(WRT)
    전체 MTD값의 나머지. 데이터 복구와 프로세스 시험 등의 목적을 위해 실행되는 모든 것

2) BCP/DRP 테스트

고려 사항

  • 반드시 사전에 공지
  • 핵심 인력을 포함한 전 직원의 참여가 필요
  • 업무 폭주 시간대는 피한다

정보보호 인증제도

1. 보안제품 평가방법 및 기준

(1) 개요

1) 평가방법

표준은 사용자에게 제공될 제품의 기능을 시험하고 측정하는 식별과 인증, 접근제어 등의 기능성과 보안요소의 신뢰수준 및 지속적으로 실행될 수 있는 능력, 효과성을 나타내는 보장성을 가져야 함
평가 종류

  • TCSEC
  • ITSEC
  • CC

(2) TCSEC

Orange Book이라고 불리는 Rainbow Series 문서 중 하나.
TCB, 참조모니터, 보안커널 등의 개념을 도입하였고 효과적인 정보보호시스템 평가기준 개발과 이러한 기준에 맞게 개발된 제품들을 평가하는데 초점을 둔다

2) TCSEC의 보증 수준과 범주

보증수준

  • A 검증된 보호
  • B 강제적 보호
  • C 임의적 보호
  • D 최소 보호

(3) ITSEC

독일, 프랑스, 네덜란드, 영국 등 유럽 4개국이 평가제품의 상호인정 및 평가기준이 상이함에 따라 불합리함을 보완하기 위하여 작성한 유럽형 보안기준
TCSEC vs ITSEC

  • ITSEC : 무결성 가용성, 기밀성 | TCSEC : 기밀성
  • ITSEC이 더 유연하다

(4) 공통 평가 기준(CC)

오렌지북과 레드북은 지나치게 엄격한 평가 체계를 제공.
효과적이고 유용한 평가 기준을 향한 시도가 CC기준

3) CC개요

  • 보안 요구조건을 명세화하고 평가기준을 정의하기 위한 ISO표준
  • IT 제품의 개발, 평가, 운영의 과정에서 공식적 행동을 통해 제품의 신뢰성을 향상시키는 것.
  • 적절한 신뢰 수준에서 특정 제품의 요구조건과 평가 방법을 자세히 설명.
  • 환경 변화 때문에 새 취약점이 생길 수 있는데 그러한 변화에 대응하는 과정과 제품의 재평가를 자세히 설명
  • 보호 프로파일을 기준으로 평가함으로써 보다 나은 유연성 제공
  • 평가 보증 수준(EAL)이 부여된다.

4) CC의 구성요소

  • 패키지
    • 부분적인 보안 목표를 만족하게 하기 위한 컴포넌트의 집합
    • 유용한 요구사항의 모음으로 재사용
  • EAL
    • 평가
    • 보증요구와 관련된 컴포넌트의 집합으로 구성된 패키지의 일종
    • CC의 체계화된 보증수준이 보증 등급을 형성
  • TOE
    • 평가 대상
  • PP
    • 보호 프로파일
    • 정보제품이 갖추어야할 공통적인 보안 요구사항을 모아 놓은 것
    • 패키지, EAL, 기능 및 보증요구 컴포넌트 등의 집합으로 구성
    • 인증의 대상이 되는 제품을 TOE라 한다
  • ST
    • 보안목표 명세서
    • 필요에 따라 CC에 정의되지 않은 보안요구 포함 가능
    • 벤더가 직접 작성
    • PP를 먼저 참조

(5) 정보시스템 평가 관련 표준화 현황

1) 국제상호 인정협정(CCRA)

  • CC기반의 국제상호인정협정을 의미. 정보보호제품의 국가 간 교역장벽을 낮추어 수출을 용이하게 하는 수단
  • 가입국 간에 평가/인증 받은 제품은 협정에 참여한 어떤 국가에서도 다시 평가를 거치지 않고 동일한 효력을 가질 수 있도록 하자는 것
  • CCMRA가 모체이지만 일원화된 체제에서 인증서 발행국과 수용국으로 이원화 되었다.

2) 국내 동향

  • 한국정보통신기술형횝가 정보통신단체 표준관려 업무 담당
  • 기술표준원과 협의해 국가표준으로 인정하도록 하고 있다
  • 국내 정보보호제품 평가기관은 KISA. 인증서 발행은 국정원

2. 정보보호관리체계 인증

(1) 개요

  • 정보보호관리체계 인증은 내부적인 평가만으로는 대외 신뢰도를 제고하기 어렵다는 문제를 해결하기 위해 개발

(2) BS7799(ISO/IEC 17799)

1) 개요

  • 1995년 영국에서 효율적인 정보보호 관리체계 구축에 대한 하나의 국제표준으로 제정
  • 정보보호관리체계 구축을 위한 하나의 지침뿐만 아니라, 한 조직이 정보보호관리체계를 제대로 운영하고 있는지를 평가하고 인증하는 표준으로 사용

3. 정보보호 및 개인정보보호 관리체계(ISMS-P)

(1) 개요

1) 기본개념

  • 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 KISA 또는 인증기관이 증명하는 제도
  • 정보통신망법 제47조, 개인정보보호법 제32조의2에 근거를 두고있다
  • 새롭게 개편된 102개 통합 인증기준 중 정보보호 관련 80개 인증항목으로 기본적인 ISMS인증을 받을 수 있고 개인정보 관련 22개 인증항목을 추가하면 ISMS-P인증을 받을 수 있다.

(2) 관리체계 수립 및 운영

1) 개요

  • Plan, Do, Check, Act 사이클에 따라 지속적이고 반복적으루 실행되어야 함
분야항목
관리쳬 기반 마련(6)경영진의 참여 최고책임자 지정, 조직 구성, 범위 설정, 정책 수립, 자원 할당
위험관리(4)정보자산 식별, 현황 및 흐름분석, 위험 평가, 보호대책 선정
관리체계 운영(3)보호대책 구현/공유, 운영현황 관리
관리체계 점검 및 개선(3)법적 요구사항 준수 검토, 관리체계 점검, 관리체계 개선

(3) 정보보호 보호대첵 요구사항

1) 개요

12개 분야 64개 인증기준으로 구성

분야항목
1. 정책, 조직, 자산 관리(3)정책의 유지관리, 조직의 유지관리, 정보자산 관리
2. 인적 보안(6)주요 직무자 지정 및 관리, 직무 분리, 보안 서약, 인식제고 및 교육훈련, 퇴직 및 직무 변경 관리, 보안 위반시 조치
3. 외부자 보안(4)외부자 현황 관리, 계약 시 보안, 보안 이행 관리, 계약 변경 및 만료시 보안
4. 물리 보안(7)보호구역 지정, 출입통제, 정보시스템 보호, 보호설비 운영, 보호구역 내 작업, 반출입 기기 통제, 업무환경 보안
5. 인증 및 권한관리(6)사용자 계정 관리, 사용자 식별/인증, 비밀번호 관리, 특수 계정 및 권한관리, 접근권한 검토
6. 접근통제(7)네트워크/정보시스템/응용프로그램/DB/무선 네트워크/원격 접근 통제
7. 암호화 적용(2)암호정책 적용, 암호키 관리
8. 정보시스템 도입 및 개발보안(6)보안 요구사항 정의, 검토 및 시험. 시험과 운영 환경 분리, 시험 데이터 보안, 소스 프로그램 관리, 운영환경 이관
9. 시스템 및 서비스 운영관리(7)변경관리, 성능 및 장애관리, 백업 및 복구관리, 로그 및 접속기록 관리, 로그 및 접속기록 점검, 시간 동기화, 정보자산의 재사용 및 폐기
10. 시스템 및 서비스 보안관리(9)보안시스템 운영, 클라우드 보안, 공개서버 보안, 전자거래 및 핀테크 보안, 정보전송 보안, 업무용 단말기기 보안, 보조저장매체 관리, 패치관리
11. 사고 예방 및 대응(5)사고 예방 및 대응체계 구축, 취약점 점검 및 조치, 이상행위 분석 및 모니터링, 사고 대응 훈련 및 개선, 사고 대응 및 복구
12. 재해복구(2)재해/재난 대비 안전조치, 재해 복구 시험 및 개선

4. 기타 정보보호 활동

OECD 정보보호 가이드라인 9개 원칙 제시
1. 인식 : 네트워크 보안의 필요 및 향상을 위해 무엇을 할 수 있는지 인지
2. 책임 : 책임이 있다
3. 대응 : 보안사고 탐지, 방지, 대응하는데 시기 적절하게 협력하여 행동
4. 윤리 : 적법한 이익을 존중
5. 민주주의 : 정보시스템과 네트워크의 보안은 민주사회에서 근본적인 가치들과 조화되어야 함
6. 위험평가 : 참여자들은 위험평가 시행해야 함
7. 보안설계와 이행 : 참여자들은 보안을 정보시스템과 네트워크 핵심요소로 포함시켜야 함
8. 보안관리 : 포괄적인 접근방식을 도입
9. 재평가

(2) 사이버 위기 경보

  • 심각
    - 국가적 차원에서 네트워크 및 정보시스템 사용 불가능
  • 경계
    - 복수 ISP망, 기간망의 장애 또는 마비
    -대규모 피해로 발전될 가능성
  • 주의
    - 일부 네트워크 및 정보시스템 장애
  • 관심
    - 웜/바이러스/해킹 등에 의한 피해발생 가능성 증가

정보보호 관련 법규

(필요한 것들만)
OECD 프라이버스 8원칙
1. 수집제한
2. 정보 정확성
3. 목적 명확화
4. 이용제한
5. 안전성 확보
6. 처리방침 공개
7. 정보주체 참여
8. 책임

profile
한택승
이전 포스트

정보보안기사2

다음 포스트

정보보안기사 핵심 요약

0개의 댓글