039 정보보호관리의 개념
◈ 정보보호관리
1) 개요
- 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단
2) 목표
- 기밀성(Confidentiality)
* 공격 : 스누핑, 트래픽 분석
- 무결성(Integity)
* 공격 : 변경, 가장, 재연, 부인
- 가용성(Availability)
* 공격 : 서비스 거부
3) 대책
- 기술적
- 물리적
- 관리적
040 정보보호 정책 및 조직
◈ 정보보호 정책
1) 개요
- 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것
2) 특징
- 정보보호에 대한 상위 수준의 목표 및 방향을 제시
- 조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지
- 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정
3) 표준, 지침, 절차
① 정보보호 표준
* 정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정
② 정보보호 지침
* 정보보호 정책 또는 표준처럼 강제적이지는 않지만 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항
③ 정보보호 절차
* 정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항
4) 일반 원칙
①개인적 측면
* 개인의 프라이버시가 침해되지 말아야 하며 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안 됨
② 사회적 측면
* 도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당하여야 함
③ 법률적인 측면
* 다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 함
041 위험 관리
◈ 위험 관리(Risk Management)
1) 개요
-위험을 인식하고 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정
2) 목적
- 위험을 수용 가능한 수준으로 감소
3) 과정
① 위험 관리 계획 수립
② 위험 식별
③ 정성적 위험분석 수행
④ 정량적 위험분석 수행
⑤ 위험 대응 계획 수립
⑥ 위험 감시 및 통제
4) 대응
- 위험 감소 : 보안 투자를 늘리는 등의 방법으로 위험이 발생할 확률을 줄임
- 위험 회피 : 위험이 동반되는 사업을 수행하지 않거나 완전 다른 방법을 사용한
- 위험 전가 : 위험한 사업을 외주로 전환하거나 보험에 들어 위험부담이나 책임을 이전시킴
- 위험 수용 : 위험부담을 그대로 감수하고 진행
042 BCP/DRP
◈ 비즈니스 연속성 계획(BCP; Business Continuity Planning)
1) 개요
- 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무 복구 및 재개, 비상계획 등의 비즈니스 연속성을 보장하는 계획
2) 필요성
① 외부 환경 측면
* 정부 규제 및 준거성 : 의무적 비상대응 계획 구축(전자금융거래법 등)
* 평판 리스크 : 시스템 중단시 발생하는 기업 이미지 실추
② 내부 환경 측면
* 비즈니스 복잡도 증가 : 복구 시간에 따른 급속한 비용 증가
* 역할 분배 필요성 : 재해발생 시 조직 및 개인의 업무 정의 필요
③ 정보 시스템 측면
* 정보 시스템에 대한 의존도 증가로 정보시스템 연속성 요구 증대
* 금융기관의 경우 BCP가 없는 경우 수익 감소율 25~50%
3) 수립 절차 5단계
① 프로젝트 계획 : 목표 및 범위 설정
② 업무 영향 분석(BIA) : RTO, RPO, 복구 우선순위 결정
③ 복구 전략 선정 : 전략별 비용 분석, 전략 도출
④ BCP 계획 개발 : BCP 조직 구성 및 조직별 계획 수립
⑤ 유지보수 : 교육, 모의훈련 및 유지보수 수행
4) 구성 요소
|
구성 |
세부 내용 |
|
재해 예방 |
- 업무 영향 분석(BIA) |
|
대응 및 복구 |
- 재해/재난으로 인한 인적/물적 자원 긴급 조치와 비즈니스 프로세스 복구 |
|
유지보수 |
- 재난 발생에 따른 피해 유형 분석, 지속적으로 영속성 있는 계획을 수립하기 위한 평간, 분석, 보완 |
|
모의훈련 |
- 비상계획에 따른 훈련과 학습 내용 평가 및 피드백 |
◈ 재난 복구 계획(DRP; Disaster Recovery Planning)
1) 개요
- 비상사태 발생 후 대체 사이트에서의 목표 시스템, 응용 프로그램, 컴퓨터 설비의 운영 재개와 같은 IT 중심의 계획
2) 필요성
- 업무의 IT 의존성 증가
- 필수적인 거래 데이터의 보호 필요
- IT 복구 실패 시 기업 존폐 및 사회적인 문제 발생
3) 복구 전략
① 미러 사이트(Mirror Site)
* 업무 환경과 거의 동일한 환경으로 동기화되고 있거나 함께 보조적으로 운영
* RTO : 0 또는 수분 이내
② 핫 사이트(Hot Site)
* 재난 발생으로 영향을 받는 업무 기능을 즉시 복구할 수 있도록 전산센터와 동일한 모든 설비와 자원을 보유
* RTO : 4시간 이내
* 재해복구센터에 주 센터와 동일한 수준의 시스템을 대기상태로 둠
* 실시간 데이터 복제를 통하여 최신의 데이터 상태를 유지
* 재해 시재해복구센터의 시스템을 활성화 상태로 전환하여 복구
③ 웜 사이트(Warm Site)
* 부분적으로 설비를 가지고 있는 백업 사이트로서 대개 디스크 드라이브, 테이프 드라이브와 같이 가격이 저렴한 주변기기를 가지고 있으나 주 컴퓨터는 가지고 있지 않음
* RTO : 수일 이내
④ 콜드 사이트(Cold Site)
* 재난 방생 시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해 둔 것으로서 전기, 냉방, 공간 정도만 마련되어 있으며 별다른 전산 장비는 가지고 있지 않음
* RTO : 수주 ~ 1개월
043 지적재산권과 침해사고대응
◈ 지적재산권 유형
1) 저작권
- 아이디어 자체가 아니라 구체적이고 고정된 아이디어의 표현물을 보호
2) 특허권
- 재산권이 발명자에게 주어지는 것
3) 상표권
- 단어, 이름, 심벌 또는 장치로서 상품과 같이 사용되며 해당 상품의 출처를 나타내고 다른 상품과 차별하는데 이용
◈ 해킹
1) 개요
- 어떠한 의도에 상관없이 다른 컴퓨터에 침입하는 모든 행위
- 전산망을 통하여 타인의 컴퓨터 시스템에 액세스 권한 없이 무단 침입하여 부당행위를 하는 것
2) 종류
- 악성 Bot
- 피싱
- 스미싱
- 악성 코드 유포
◈ 사고대응 절차
① 사고 전 준비 과정
② 사고 탐지
③ 초기 대응
④ 대응 전략 체계화
⑤ 사고 조사
⑥ 보고서 작성
⑦ 해결
◈ 증거 규칙
① 관련성(Relevant) : 관련 범죄의 실제적인 사실을 입증할 수 있어야 함
② 신뢰성(Reliable) : 손상이나 변형이 없어야 함
③ 충분성(Sufficient) : 반론이 불가해야 하며 설득력 있어야 함
④ 법적 허용성(Legally Permissible) : 합법적으로 수집
044 국제/국가 표준 및 인증체계
◈ TCSEC(Trusted Computer Security Evaluation Criteria)
1) 개요
- 1983년에 미국에서 제정
- 표지가 오렌지색이라 오렌지북이라 불림
- 보안등급은 크게는 A, B, C, D 4단계, 세부적으론 A1, B3, B2, B1, C2, C1, D 총 7단계로 나뉨
- 4가지 요구사항 : 정책(Security Policy), 책임성(Accountability), 보증(Assurance), 문서(Documentation)
- TNI, TDI, CSSI 등 시스템 분류에 따라 적용 기준이 다름
◈ TCSEC 단계별 보안 수준
1) D(최소한의 보호)
- 위 등급에 해당하지 않는 경우
- 제대로 된 보안 통제가 이루어지고 있지 않음
2) C1(임의적 정보보호)
- 일반적인 로그인 과정이 존재하는 시스템
- 사용자 간 침범이 차단되어 있고 모든 사용자가 자신이 생성한 파일에 대해 권한 설정 및 접근 통제 가능
- 초기의 유닉스 시스템이 이 등급에 해당
3) C2(통제된 접근보호)
- 각 계정별 로그인이 가능하며 그룹 ID에 따라 통제가 가능한 시스템
- 보안 감사가 가능하며 특정 사용자의 접근 거부 가능
- 윈도 NT 4.0과 현재 사용되는 대부분의 유닉스 시스템이 이 등급에 해당
4) B1(레이블 된 정보보호)
- 시스템 내의 보안 정책을 적용할 수 있고 각 데이터에 대해 보안 레벨 설정 가능
- 시스템 파일이나 시스템에 대한 권한 설정 가능
5) B2(계층 구조화된 정보보호)
- 시스템에 정형화된 보안 정책이 존재하며 B1 등급의 기능을 모두 포함
6) B3(보안 영역)
- 운영체제에서 보안에 불필요한 부분을 모두 제거하고 모듈에 따른 분석 및 테스트가 가능
- 또한 시스템 파일 및 디렉터리에 대한 접근 방식을 지정하고 위험 동작을 하는 사용자의 활동에 대해서는 자동 백업
- 현재까지 B3등급을 받은 시스템은 극히 일부
7) A1(검증된 보호)
- 수학적으로 완벽한 시스템
- 현재까지 A1 등급을 받은 시스템은 없으므로 사실상 이상적인 시스템
◈ ITSEC
- 독일, 프랑스, 네덜란드, 영국 등 유럽 4개국이 평가 제품의 상호인정 및 평가기준이 상이함에 따른 불합리함을 보완하기 위하여 작성한 유럽형 보안기준
- 기밀성, 무결성, 가용성을 다루고 있으며 기능성과 보증을 분리하여 평가
- TCSEC와 비교하면 TCSEC가 제한성이 너무 많은 반면 ITSEC는 지나치게 많은 융통성을 부여
◈ ITSEC 단계별 보안 수준
1) E0
- 부적절한 모습
2) E1
- 보안 목표를 만족하는지에 대한 기능적 테스트
3) E2
- 상세한 디자인의 기술
4) E3
- 소스코드와 하드웨어 도면 전면 제공
5) E4
- 기반이 되는 보안정책 모델
6) E5
- 상세 디자인, 하드웨어 도면과 소스코드 사이의 유사성
7) E6
- 보안정책과 모델 사이의 일관성
◈ CC(Common Criteria)
- 국가마다 서로 다른 정보보호 시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
- 정보보호 제품의 보증 수준을 정하기 위한 공통 평가기준에서 미리 정의된 보증등급
- EAL1, EAL2, EAL3, EAL4, EAL5, EAL6, EAL7의 7개의 등급으로 구분
- EAL1은 최저의 평가 보증등급, EAL7은 최고의 평가보증등급
- 기존의 평가 보증등급에 포함되지 않은 보증 컴포넌트나 계층적으로 더 높은 다른 보증 컴포넌트를 포함하여 제1항에 명시된 평가보증등급 외의 등급을 생성할 수 있음
◈ CC 단계별 보안 수준
1) EAL 1(기능 시험)
기능 명세서, 설명서
2) EAL 2(구조 시험)
기본설계서, 기능시험서
3) EAL 3(체계적 시험)
생명주기, 개발보안, 오용 분석
4) EAL 4(설계 시험/검토)
상세설계, 보안정책, 상세 시험
5) EAL 5(준정형화 설계/시험)
개발 문서, 보안 기능 전체 코드
6) EAL 6(준정형화 설계 검증)
전체 소스 코드
7) EAL 7(정형화 설계 검증)
개발 문서 정형화 기술
◈ 정보보호관리체계 인증(ISMS; Information Security Management System)
1) 개요
- 과학기술정보통신부와 한국인터넷진흥원에서 시행하는 보안성 인증제도
- 일부 큰 규모의 업체들은 의무적으로 받도록 되어 있고 그 외의 기업들에선 본인들의 보안성을 증명하고 홍보하기 위한 용도로 받음
2) 추진 체계
- 과학기술정보통신부
* 법, 제도 개선 및 정책 결정
* 인증기관 지정 및 관리
- 인증위원회
* 인증심사결과 심의 의결
- 인증심사원
* 인증심사 수행
- 인증 기관
* 인증
* 인증 심사
* 인증제도 운영
* 인증위원회 운영
* 인증심사원 양성 및 관리
3) 인증 심사 기관
- 한국인터넷진흥원(KISA)
* 인증
* 인증 심사
* 인증위원회 운영
* 인증제도 운영 지원
- 금융 보안원(FSI)[1]
* 인증
* 인증 심사
- 한국정보통신진흥협회(KAIT)
* 인증 심사
- 한국정보통신기술협회(TTA)
* 인증 심사
4) 인증 기준
|
구 분 |
통 제 분 야 |
항목수 |
|
정보보호 |
1. 정보보호정책 수립 및 범위 설정 |
2 |
|
2. 경영진 책임 및 조직 구성 |
2 |
|
|
3. 위험관리 |
3 |
|
|
4. 정보보호대책 구현 |
2 |
|
|
5. 사후관리 |
3 |
|
|
소계 |
12 |
|
|
정보보호 |
1. 정보보호 정책 |
6 |
|
2. 정보보호 조직 |
4 |
|
|
3. 외부자 보안 |
3 |
|
|
4. 정보자산 분류 |
3 |
|
|
5. 정보보호 교육 |
4 |
|
|
6. 인적 보안 |
5 |
|
|
7. 물리적 보안 |
9 |
|
|
8. 시스템 개발 보안 |
10 |
|
|
9. 암호 통제 |
2 |
|
|
10. 접근 통제 |
14 |
|
|
11. 운영 보안 |
22 |
|
|
12. 침해사고 관리 |
7 |
|
|
13. IT 재해복구 |
3 |
|
|
소계 |
92 |
|
|
총계 |
104 |
|
045 정보보호 관련 법규
◈ 개인정보 관련 법규
- 개인정보 보호법
* 개인정보 처리 과정상의 정보 주체와 개인정보 처리자의 권리, 의무 등 규정
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
* 정보통신망을 통하여 수집, 처리, 보관, 이용되는 개인정보의 보호에 관한 규정
- 신용정보의 이용 및 보호에 관한 법률
* 개인 신용정보의 취급 단계별 보호조치 및 의무사항에 관한 규정
- 위치정보의 보호 및 이용 등에 관한 법률
* 개인 위치정보 수집, 이용, 제공 파기 및 정보주체의 권리 등 규정
- 표준 개인정보보호 지침
* 개인정보취급자 및 처리자가 준수해야 하는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부사항 규정
- 개인정보의 안전성 확보 조치 기준
* 개인정보 처리자가 개인정보를 처리함에 있어서 분실, 도난, 유출, 변조, 훼손되지 아니하도록 안전성을 확보하기 위해 취해야 하는 세부적인 기준 규정
* 개인정보 위험도 분석기준 - 개인정보 처리 시스템의 보호 수준을 진단하여 암호화에 상응하는 조치 필요 여부를 판단할 수 있는 기준을 규정
- 개인정보 영향평가에 관한 기준
* 영향평가 수행을 위한 평가기관의 지정 및 영향평가의 절차 등에 관한 세부 기준 규정
'자격증 > 정보보안기사' 카테고리의 다른 글
| [4과목] 정보보안 일반 (0) | 2021.02.11 |
|---|---|
| [3과목] 어플리케이션 보안 (0) | 2021.02.11 |
| [2과목] 네트워크 보안 (0) | 2021.02.11 |
| [1과목] 시스템 보안 (0) | 2021.02.11 |
| 정보보안기사 필기 정리 (0) | 2021.02.11 |
댓글