Gentle Breeze

[CISSP] Domain 2. 보안관리실무 본문

⑨ 직무역량강화/CISSP

[CISSP] Domain 2. 보안관리실무

재령 2012. 1. 9. 14:07

▶ 보안관리
  - 조직이 경영 목적을 달성할 수 있도록 정보자산의 기밀성, 무결성, 가용성을 제공하여 안전하게 보호하는 것
  - 위험관리 : 조직의 보안 위험에 관련된 손실을 식별, 측정하여 통제를 통해 위험 수준을 완화

▶ 위험의 구성요소
  - 자산 (Asset) : 객체, 조직이 보호해야 할 대상
  - 위협 (Threat) : 자산에 손실을 미칠 수 있는 잠재적 원인, 위협의 발생 빈도에 따라 크기를 산정
  - 취약성 (Vulnerability) : 자산의 약점 또는 결점
  - 위험 (Risk) : 위협이 취약성을 이용해 자산에 손실을 미칠 가능성 혹은 확률(%), 자산의 손실액까지 고려
  - 보안대책 (Safeguard, Countermeasure Control) : 위험을 감소(mitigation)시키기 위한 관리
                                                                          기술 및 물리적 대책

▶ 보안관리 프로세스
  - ISO 13335 GMITS
    * 위험 분석을 위한 전략
      - Baseline Approach
      - Informal Approach
      - Detailed Risk Analysis
      - Combined Approach

* 용어 (참고)
  - Security Awareness Traning : 일반 직원들을 대상으로 하는 교육
  - Security Awareness Education : 정보 시스템 부서 직원을 대상으로 하는 전문적인 교육


  - BS 7799
      - Part 1. 보안 관리 실무 규격 (ISO 17799 - CISSP)
      - Part 2. 인증 업무를 위한 규격

▶ 위험분석
  - 정보 자산에 손실을 입힐 수 있는 사건의 발생 가능성(확률)을 식별 및 평가

  - Total Risk = 자산가치 * 위협 * 취약성

  - 경영 목적 달성을 방해하는 주요 위험에 대한 대응(통제 : 위험에 대한 대응)이 필요한 분야를 식별

  - 수용 가능한 위험 (Acceptable Risk) : 수용 가능한 위험

  - 잔여 위험 (Residual Risk) : 보안대책 구현 후 남아있는 위험, 수용 가능한 위험과 같아질 가능성은 큼
                                           (개념은 다름)

                                           잔여 위험 = 전체 위험(Total Risk) * 통제 결함(Control Gap)

  - 위험 분석의 종류
      - 기준선 접근 : 위험분석 미수행, 전체 시스템에 대해 베이스라인을 정하고 아래로 떨어지지 않도록 관리
                           소규모 조직이거나 대규모 조직의 중요하지 않은 자산에 사용
      - 비정형 접근 : 경험자의 지식을 이용해 위험 분석을 수행 (정성적 분석)
      - 상세 위험 분석 : 위험의 크기를 구체적으로 산정
                                대규모 조직의 구체적 위험 분석에 사용 (정량적 분석)
      - 혼합 접근 : 높은 위험은 정량화 된 분석, 나머지 위험에 대하여는 정성적 분석을 병행해 사용

  - 위험 분석 단계
       - 자산 식별 및 가치 부여 : 보안 대책에 대한 비용대비 효과를 분석하고 주요 위험 영역의 식별을 위해 수행
       - 위협 평가 : 발생 가능한 위협을 식별하고 발생 가능성을 예측(%)
                         인적 위협, 물리적 환경 위협, SW 시스템 위협
                         위협의 발생 빈도를 고려하여 산정
                         가장 큰 위협은 내부직원의 고의 또는 실수, 우연에 의한 사고
       - 취약성 평가 : 위협과 쌍을 이루어 고려하며 기존의 보안 대책도 고려
       - 위험 평가 : 해당 위협으로 인해 발생 가능한 자산 손실의 크기(손실액)를 '위험 시나리오'를 이용해 평가
                          (정량, 정성적 방법 이용)

▶ 위험 분석 방법
  - 자산가치의 평가
  - 위협의 발생 가능성 산정
  - 취약성의 정도를 고려하여 위험의 크기를 평가

  - 기준선 접근방법 : 상세 위험 분석을 수행하지 않고 미리 정해진 표준에 따라 보안 대책 설치

  - 정성적 위험 분석 : 위험의 우선순위 파악이 목적
  - 정량적 위험 분석 : 구체화된 수치를 도출해 보안 대책에 대한 근거자료로 활용
                               ALE (연간 기대 손실) = SLE (단일 기대 손실) * ARO (연간 발생 비율)
                               SLE = AV (자산가치) * EF (노출요소)

                               ALE = SLE(AV * EF) * ARO

▶ 위험 처리 방법
  - 위험 회피
  - 위험 감소
       - 비용 대비 효과 분석
       - 오류 수용성 및 복구성
       - 감사 및 책임 추적성
  - 위험 이전
       - 제 3자에게 위험에 따른 손실 비용을 전가
  - 위험 수용
        - 위험으로 인한 손실을 수용 하는 것
        - 식별된 위험의 수준이 수용 가능한 위험의 수준보다 낮을 때
        - 보안 대책의 비용이 위험으로 인한 손실보다 많을 때

▶ 데이터 분류체계
  - 목적 : 데이터의 민감도에 따라 적절한 보안 대책을 사용

  - 데이터 분류 기준
       - 가치 : 가장 중요한 분류 기준
       - 수명
       - 유효기간
       - 개인 관련

  - 데이터 분류 등급 : 민감도에 따라 등급을 나누어 분류

  - 데이터 분류 역할
        - 소유자(Owner) - 관리자에게 책임 위임
                                   최소 권한의 원칙에 의거 임의적 접근 통제로 사용자에게 데이터 접근 권한 승인
        - 관리자
        - 사용자

▶ 정책, 표준, 지침 및 절차
  - 정보보호 정책 
       - 일반적이며, 개괄적이고 포괄적
       - 정책은 문서화 되어야 하고 교육되어야 법률 문제시 인정 받음
       - 고위 관리자의 정책에 대한 선언 : 정보보호에 대한 고위 관리자의 의지 천명, 동의, 지원 명시

       - 분류 : 조직의 정보보호 정책, 이슈별 정보보호 정책, 시스템별 정보보호 정책
                   규제정책, 권고정책, 참고정책

  - 표준
       - 특정 기술 또는 시스템의 통일된 사용 방식을 지정
       - 특정 기술에 종속적이므로 특정 기술이나 제품에 기반함
       - 기준선의 정의(baseline approach)에 사용되기도 함

  - 지침
       - 권고, 제안 사항(suggest, recommand) : 강제되지 않음

  - 절차
       - 특정 업무 수행을 위해 따라야 하는 상세 단계
       - 일반적으로 표준이 준수되어지도록 만들어짐

▶ 정보보호 조직의 구성
  - IT 운영위원회 (Security Steering Committee) : 가장 중요
  - IT 보안 포럼

  - 경영진 : 정보보호 정책 및 정보보호 활동 비용 승인
  - 보안 관리자(Security Officer / Chief Information Security Offecer)
                      : 조직 전반의 정보보호 설계, 구현, 관리, 검토
  - 보안 위원회 : 정보 보호와 관련된 이견을 조정(steering)
  - 보안 감사인 (Security Auditor) : 보안활동의 적절, 유효성을 독립적 평가하여 경영진에 보증(compliance)
  - 보안사고 대응팀 (CERT)

▶ 보안 인식 제고, 훈련 및 교육
  - 인식 제고 (Awareness) : 전 조직원 대상 정보보호 중요성 교육
  - 훈련 (Training) : 업무별 담당자 대상 실무 교육
  - 교육 (Education) : 보안 전문가 대상 전문 교육

▶ 인적관리
  - 채용 실무
       - 신원 조회 : 모든 조직원 + 계약직 + 임시직 + 용역 직원을 대상으로 함
                       중요 데이터 접근권한은 Security Label에 따른 등급별 cliearance를 가지고 있어야 하도록 제한
       - 채용 서약

  - 고용 실무
       - 직무 분리(Segregation of Duties) : 가장 중요
       - 순환 근무(Job Rotation)
       - 강제 휴가(Mandatory Vacation)

  - 퇴사 정책
       - 퇴사 시 내부 정보에 접근할 수 있는 모든 권한을 회수
       - 직원의 부정 가능성 파악을 위해 면담 실시
       - 자발적 퇴사가 아닌 경우 회사 밖을 나갈 때 까지 escort

Comments