Gentle Breeze
[CISSP] Domain 2. 보안관리실무 본문
▶ 보안관리
- 조직이 경영 목적을 달성할 수 있도록 정보자산의 기밀성, 무결성, 가용성을 제공하여 안전하게 보호하는 것
- 위험관리 : 조직의 보안 위험에 관련된 손실을 식별, 측정하여 통제를 통해 위험 수준을 완화
▶ 위험의 구성요소
- 자산 (Asset) : 객체, 조직이 보호해야 할 대상
- 위협 (Threat) : 자산에 손실을 미칠 수 있는 잠재적 원인, 위협의 발생 빈도에 따라 크기를 산정
- 취약성 (Vulnerability) : 자산의 약점 또는 결점
- 위험 (Risk) : 위협이 취약성을 이용해 자산에 손실을 미칠 가능성 혹은 확률(%), 자산의 손실액까지 고려
- 보안대책 (Safeguard, Countermeasure Control) : 위험을 감소(mitigation)시키기 위한 관리
기술 및 물리적 대책
▶ 보안관리 프로세스
- ISO 13335 GMITS
* 위험 분석을 위한 전략
- Baseline Approach
- Informal Approach
- Detailed Risk Analysis
- Combined Approach
* 용어 (참고)
- Security Awareness Traning : 일반 직원들을 대상으로 하는 교육
- Security Awareness Education : 정보 시스템 부서 직원을 대상으로 하는 전문적인 교육
- BS 7799
- Part 1. 보안 관리 실무 규격 (ISO 17799 - CISSP)
- Part 2. 인증 업무를 위한 규격
▶ 위험분석
- 정보 자산에 손실을 입힐 수 있는 사건의 발생 가능성(확률)을 식별 및 평가
- Total Risk = 자산가치 * 위협 * 취약성
- 경영 목적 달성을 방해하는 주요 위험에 대한 대응(통제 : 위험에 대한 대응)이 필요한 분야를 식별
- 수용 가능한 위험 (Acceptable Risk) : 수용 가능한 위험
- 잔여 위험 (Residual Risk) : 보안대책 구현 후 남아있는 위험, 수용 가능한 위험과 같아질 가능성은 큼
(개념은 다름)
잔여 위험 = 전체 위험(Total Risk) * 통제 결함(Control Gap)
- 위험 분석의 종류
- 기준선 접근 : 위험분석 미수행, 전체 시스템에 대해 베이스라인을 정하고 아래로 떨어지지 않도록 관리
소규모 조직이거나 대규모 조직의 중요하지 않은 자산에 사용
- 비정형 접근 : 경험자의 지식을 이용해 위험 분석을 수행 (정성적 분석)
- 상세 위험 분석 : 위험의 크기를 구체적으로 산정
대규모 조직의 구체적 위험 분석에 사용 (정량적 분석)
- 혼합 접근 : 높은 위험은 정량화 된 분석, 나머지 위험에 대하여는 정성적 분석을 병행해 사용
- 위험 분석 단계
- 자산 식별 및 가치 부여 : 보안 대책에 대한 비용대비 효과를 분석하고 주요 위험 영역의 식별을 위해 수행
- 위협 평가 : 발생 가능한 위협을 식별하고 발생 가능성을 예측(%)
인적 위협, 물리적 환경 위협, SW 시스템 위협
위협의 발생 빈도를 고려하여 산정
가장 큰 위협은 내부직원의 고의 또는 실수, 우연에 의한 사고
- 취약성 평가 : 위협과 쌍을 이루어 고려하며 기존의 보안 대책도 고려
- 위험 평가 : 해당 위협으로 인해 발생 가능한 자산 손실의 크기(손실액)를 '위험 시나리오'를 이용해 평가
(정량, 정성적 방법 이용)
▶ 위험 분석 방법
- 자산가치의 평가
- 위협의 발생 가능성 산정
- 취약성의 정도를 고려하여 위험의 크기를 평가
- 기준선 접근방법 : 상세 위험 분석을 수행하지 않고 미리 정해진 표준에 따라 보안 대책 설치
- 정성적 위험 분석 : 위험의 우선순위 파악이 목적
- 정량적 위험 분석 : 구체화된 수치를 도출해 보안 대책에 대한 근거자료로 활용
ALE (연간 기대 손실) = SLE (단일 기대 손실) * ARO (연간 발생 비율)
SLE = AV (자산가치) * EF (노출요소)
ALE = SLE(AV * EF) * ARO
▶ 위험 처리 방법
- 위험 회피
- 위험 감소
- 비용 대비 효과 분석
- 오류 수용성 및 복구성
- 감사 및 책임 추적성
- 위험 이전
- 제 3자에게 위험에 따른 손실 비용을 전가
- 위험 수용
- 위험으로 인한 손실을 수용 하는 것
- 식별된 위험의 수준이 수용 가능한 위험의 수준보다 낮을 때
- 보안 대책의 비용이 위험으로 인한 손실보다 많을 때
▶ 데이터 분류체계
- 목적 : 데이터의 민감도에 따라 적절한 보안 대책을 사용
- 데이터 분류 기준
- 가치 : 가장 중요한 분류 기준
- 수명
- 유효기간
- 개인 관련
- 데이터 분류 등급 : 민감도에 따라 등급을 나누어 분류
- 데이터 분류 역할
- 소유자(Owner) - 관리자에게 책임 위임
최소 권한의 원칙에 의거 임의적 접근 통제로 사용자에게 데이터 접근 권한 승인
- 관리자
- 사용자
▶ 정책, 표준, 지침 및 절차
- 정보보호 정책
- 일반적이며, 개괄적이고 포괄적
- 정책은 문서화 되어야 하고 교육되어야 법률 문제시 인정 받음
- 고위 관리자의 정책에 대한 선언 : 정보보호에 대한 고위 관리자의 의지 천명, 동의, 지원 명시
- 분류 : 조직의 정보보호 정책, 이슈별 정보보호 정책, 시스템별 정보보호 정책
규제정책, 권고정책, 참고정책
- 표준
- 특정 기술 또는 시스템의 통일된 사용 방식을 지정
- 특정 기술에 종속적이므로 특정 기술이나 제품에 기반함
- 기준선의 정의(baseline approach)에 사용되기도 함
- 지침
- 권고, 제안 사항(suggest, recommand) : 강제되지 않음
- 절차
- 특정 업무 수행을 위해 따라야 하는 상세 단계
- 일반적으로 표준이 준수되어지도록 만들어짐
▶ 정보보호 조직의 구성
- IT 운영위원회 (Security Steering Committee) : 가장 중요
- IT 보안 포럼
- 경영진 : 정보보호 정책 및 정보보호 활동 비용 승인
- 보안 관리자(Security Officer / Chief Information Security Offecer)
: 조직 전반의 정보보호 설계, 구현, 관리, 검토
- 보안 위원회 : 정보 보호와 관련된 이견을 조정(steering)
- 보안 감사인 (Security Auditor) : 보안활동의 적절, 유효성을 독립적 평가하여 경영진에 보증(compliance)
- 보안사고 대응팀 (CERT)
▶ 보안 인식 제고, 훈련 및 교육
- 인식 제고 (Awareness) : 전 조직원 대상 정보보호 중요성 교육
- 훈련 (Training) : 업무별 담당자 대상 실무 교육
- 교육 (Education) : 보안 전문가 대상 전문 교육
▶ 인적관리
- 채용 실무
- 신원 조회 : 모든 조직원 + 계약직 + 임시직 + 용역 직원을 대상으로 함
중요 데이터 접근권한은 Security Label에 따른 등급별 cliearance를 가지고 있어야 하도록 제한
- 채용 서약
- 고용 실무
- 직무 분리(Segregation of Duties) : 가장 중요
- 순환 근무(Job Rotation)
- 강제 휴가(Mandatory Vacation)
- 퇴사 정책
- 퇴사 시 내부 정보에 접근할 수 있는 모든 권한을 회수
- 직원의 부정 가능성 파악을 위해 면담 실시
- 자발적 퇴사가 아닌 경우 회사 밖을 나갈 때 까지 escort
'⑨ 직무역량강화 > CISSP' 카테고리의 다른 글
[CISSP] Domain 5. 시스템 운영 보안 (0) | 2012.01.11 |
---|---|
[CISSP] Domain 4. 응용 시스템 및 시스템 개발 보안 (0) | 2012.01.11 |
[CISSP] Domain 3. 통신과 네트워크 보안 (II) (0) | 2012.01.10 |
[CISSP] Domain 3. 통신과 네트워크 보안 (I) (0) | 2012.01.09 |
[CISSP] Domain 1. 접근통제 (0) | 2012.01.09 |