--정보보호 정책
조직의 정보보호에 대한 방향과 전략근거를 제시하는 매우 중요한 문서. 조직의 정보자산에 접근할 모든 사람이 따를 규칙 등을 기술한 지침과 규약. 임직원의 가치판단 기준으로 경영진의 승인 필요. 정보보호정책 구현요소에는 표준, 기준선, 지침, 절차가 있음.
- 위험 관리
보안관리 활동의 핵심으로 위험을 수용 가능한 수준으로 유지하기 위해 자산 및 시스템의 위험을 평가하고 비용효과적인 대응책을 수립하는 일련의 과정
--위험분석 방법론
① 기준선 접근법: 보안 정책 등을 참고해 작성한 통제사항 체크리스트로 시간과 노력을 절약 가능하나, 체크리스트에 따라 보안 수준이 너무 높거나 너무 낮아져 과다비용/보안공백 등의 문제가 생길 수 있어 적절한 수준으로 조정 필요. 소규모 조직에 적합함.
② 상세 위험분석: 모든 위험에 대해 식별하고 시스템에 꼭 필요한 대책 구현 가능. 많은 시간과 비용 필요함.
③ 통합 접근법: 고위험군에 대해서는 상세 위험분석을 수행하고 나머지는 기준선 접근법을 활용하여 비용과 자원 효과적인 사용 가능. 고위험군에 대한 식별 잘못 되었을 경우 불필요한 비용 낭비가 생김.
④ 비정형접근법: 개인의 전문성 활용으로 신속하고 저렴하나 주관적일 수 있음
--정량적 분석
위험을 금액으로 산정 가능할 경우 사용하는 방법. 성능 평가가 용이하며 객관적 평가 기준 제공.
종류) 수학공식법, 과거자료분석법, 확률분포법, 점수법, 연간예상손실 등
**연간예상손실(ALE)= 단일예상손실(SLE)X연간발생률
**단일예상손실=자산가치X노출계수
--정성적 분석
자산의 화폐 가치 식별이 어려운 경우 경험이나 판단 등을 통해 위험도를 가중치로 표현
종류) 델파이법(전문가 그룹을 통해 시간과 비용 절약 가능. 노력이 적게 드나 주관적일 수 있음), 순위결정법(비교우위 순위결정표에 위험 항목들의 서술적 순위 결정. 분석 빠르나 위험추정의 정확도 낮음), 시나리오법(어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위험에 대해 발생 가능한 결과를 추정. 이론적 추측이므로 정확성 등이 낮음), 퍼지행렬법(자산 가치를 화폐로 표현해 위협 발생확률을 수학적으로 계산)
--위험 처리 전략
① 위험 회피: 위험이 동반되는 프로세스나 사업을 포기
② 위험 수용: 잠재적 손실비용 감수하고 수행
③ 위험 전가: 제3자에게 잠재비용을 이전하거나 할당. 보험, 외주 등
④ 위험 감소: 대책을 구현해 위험을 감소시킴
--업무연속성 계획(BCP)
장애 시 핵심 시스템의 가용성과 신뢰성 회복.
단계: [프로젝트 범위 및 설정/기획 > 사업영향평가(BIA) > 복구전략개발 > 복구계획수립 > 프로젝트 수행]
--재난복구계획(DRP)
재해, 재난 발생 시 취할 행동절차를 미리 수립해두어 정보시스템의 기밀성, 무결성, 가용성을 확보하기 위함.
① 중복(미러)사이트: 전산센터 중복 운영으로 최신 데이터 그대로 즉시 가동. 높은 비용
② 핫: 전산센터와 동일한 설비와 자원을 보유해 수 시간 내에 가동.
③ 웜: 디스크, 주변 기기 등 부분적 설비만 보유해 수일~수주 내에 가동
④ 콜드: 장소만 확보. 가장 저렴하나 데이터 손실 가능
⑤ 기타: 백업(제3의 장소에 데이터 백업), 상호백업(사고 시 유사 시스템 보유사 간 백업 지원)
--침해사고 대응 7단계
[ 사고 전 준비 – 사고 탐지 – 초기대응 – 대응전략체계화 – 사고조사 – 보고서 작성 – 해결 ]
--포렌식
기본원칙
① 무결성: 증거 이동 간 봉인, 해시값 확인 등으로 무결성 유지
② 정당성: 모든 증거는적법한 절차로 획득해야 함
③ 신속성: 신속하게 정보수집 이루어져야 함
④ 재현: 제출한 증거는 같은 환경에서 재현 가능
⑤ 연계보관성: 이송, 분석, 보관, 법정제출 등 일련의 과정이 명확해야 하며, 인수인계자 서명 등으로 증거 훼손 방지
--CC(Common Criteria) 보안제품 평가 기준
미국의 TCSEC과 유럽의 ITSEC이 통합된 ISO 표준 국제 공통평가기준.
우리나라의 평가 기관읜 KISA, 인증서 발행은 국가정보원이 수행.
EAL1~7로 나뉘며 0은 부적합
대표요소)
① PP(Protection file): 보안솔루션의 기능 및 보증과 관련된 공통 요구사항
② ST(Security Target): PP에서 정의된 요구사항이 실제제품으로 평가되기 위한 기능명세서 (벤더가 작성)
③ TOE(Target of evaluation): 평가대상이 되는 제품/시스템
--정보보호 및 개인정보보호 관리 체계(ISMS-P)
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도. 총 102개의 인증기준을 적용받음.
1) 관리체계 수립 및 운영(16개)
개인정보보호 관리체계를 운영하는 동안 PDCA(Plan-Do-Check-Act)의 사이클에 따라 지속적&반복적으로 이루어져야 함.
① 관리체계 기반 마련: 경영진의 참여, 최고책임자 지정, 조직 구성, 범위 설정, 정책 수립, 자원 할당
② 위험 관리: 정보자산 식별, 현황 및 흐름 분석, 위험 평가, 보호대책 선정
③ 관리체계 운영: 보호대책 구현, 보호대책 공유, 운영현황 관리
④ 관리체계 점검 및 개선: 법적 요구사항 준수 검토, 관리체계 점검, 관리체계 개선
2) 보호대책 요구사항(64개)
① 정책, 조직, 자산관리: 정책의 유지관리, 조직의 유지관리, 정보자산 관리
② 인적 보안: 주요 직무자 지정 및 관리, 직무 분리, 보안 서약, 인식재고 및 교육훈련, 퇴직 및 직무변경 관리
③ 외부자 보안: 외부자 현황 관리, 외부자 계약 시 보안, 외부자 보안 이행 관리, 외부자 계약 변경 및 만료 시 보안
④ 물리 보안: 보호구역 지정, 출입통제, 정보시스템 보호, 보호설비 운영, 보호구역 내 작업, 반출입 기기 통제, 업무환경 보안
⑤ 인증 및 권한 관리: 사용자 계정 관리, 사용자 식별, 사용자 인증, 비밀번호 관리, 특수 계정 및 권한관리, 접근권한 검토
⑥ 접근 통제: 네트워크 접근, 정보시스템 접근, 응용프로그램 접근, 데이터베이스 접근, 무선 네트워크 접근, 원격제어 접근, 인터넷 접근 통제
⑦ 암호화 적용: 암호정책 적용, 암호키 관리
⑧ 정보시스템 도입 및 개발 보안: 보안 요구사항 정의, 보안 요구사항 검토 및 시험, 시험과 운영 환경 분리, 시험 데이터 보안, 소스 프로그램 관리, 운영환경 이관
⑨ 시스템 및 서비스 운영 관리: 변경관리, 성능 및 장애관리, 백업 및 복구관리, 로그 및 접속기록 관리, 로그 및 접속기록 점검, 시간 동기화, 정보자산의 재사용 및 폐기
⑩ 시스템 및 서비스 보안 관리: 보안시스템 운영, 클라우드 보안, 공개서버 보안, 전자거래 및 핀테크 보안, 정보전송 보안, 업무용 단말기기 보안, 보조저장매체 관리, 패치 관리, 악성코드 통제
⑪ 사고 예방 및 대응: 사고 예방 및 대응체계 구축, 취약점 점검 및 조치, 이상행위 분석 및 모니터링, 사고 대응 훈련 및 개선, 사고 대응 및 복구
⑫ 재해 복구: 재해/재난 대비 안전조치, 재해 복구 시험 및 개선
3) 개인정보 처리 단계별 요구사항(22개)
① 개인정보 수집 시 보호조치: 개인정보 수집 제한, 개인정보의 수집 동의, 주민등록번호 처리 제한, 민감정보 및 고유식별정보의 처리 제한, 간접수집 보호조치, 영상정보처리기기의 설치 및 운영, 홍보 및 마케팅 목적 활용 시 조치
② 개인정보 보유 및 이용 시 보호조치: 개인정보 현황 관리, 개인정보 품질보장, 개인정보 표시제한 및 이용 시 보호조치, 이용자 단말 접근 보호, 개인정보 목적 외 이용 및 제공
③ 개인정보 제공 시 보호조치: 개인정보 제3자 제공, 업무 위탁에 따른 정보주체 고지, 영업의 양수 등에 따른 개인정보의 이전, 개인정보의 국외이전
④ 개인정보 파기 시 보호조치: 개인정보의 파기, 처리목적 달성 후 보유 시 조치, 휴면 이용자 관리
⑤ 정보주체 권리보호: 개인정보처리방침 공개, 정보주체 권리보장, 이용내역 통지