2017년 3월 16일 목요일

정보보안기사 필기 정리

정보보안기사 필기 정리 [정보보안 관리 및 법규]

1. 정보보호 관리

정보관리 개념

  • 정보보호의 정의: 정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보 훼손, 변조, 유출 등을 방지하기 위한 관리적/기술적 수단(정보보호시스템)을 마련하는 것을 의미

  • 정보보호와 정보보안은 다름

  • 정보보호의 목적 : 기밀성 / 무결성 / 가용성 / 인증 / 부인방지 / 신뢰성 등

  • 정보보호관리(Information Security Management) : 조직의 정보자산을 외부로 부터의 유출(노출)과 오용, 유실로 부터 방어하고 정보나 정보 시설을 방어하는데 관련된 모든 일련의 활동을 의미

  • 정보보호관리 6단계 활동
    • 정보보호 정책 및 조직 수립 -> 정보보호 범위 설정 -> 정보자산의 식별 -> 위험 관리 -> 구현 -> 사후관리
  • 정보보호관리체계(ISMS, Information Security Management)
    • 정보보호 솔루션을 만들고 끝나는 것이 아닌 비즈니스의 연속성과 함께 계속 지속되어야함
    • 정보보호관리를 지속적으로 하기위한 체계

정보보호 정책 및 조직

  • 정책(Policy) : 최고 경영진의 전략적인 사고를 문서화한 것
    • 하향식 유형(Top-Down): 상위 정책으로 부터 하위수준의 정책을 도출하는 방식
    • 상향식 유형(Bottom-Up): 기존의 정책들을 종합해 새로운 정책을 수립하는 방식
  • 정보보호 정책서의 구성
    • 정보보호 선언문: 보통 1장에 심플하게 작성 / 정보보호전반에 대한 경영자의 의지 및 실천을 다짐하는 선언문
    • 정책서 목적과 구성 / 기본 방침 / 정보보호계획 수립 / 보안에 대한 역할과 책임 / 정보자산의 보안 / 등
  • 위험의 요소
    • 자산(Assets): 조직이 보호해야할 대상
    • 위협(Threats): 원치 않은 사건의 잠재적인 원인이나 행위자
    • 취약성(Vulnerability): 자산의 잠재적인 속성으로, 위협의 이용대상
    • 정보보호대책(Safeguard): 위협에 대응하여, 자산을 지키기 위한 대책
  • 위험분석 접근법
    • 베이스라인 접근법(Baseline Approach)
      • 위험분석을 수행하지 않는 대신, 모든 시스템에 대해 표준화된 보호대책을 체크리스트형태로 제공
      • 소규모조직이나 대규모조직의 중요치 않은 일반 자산에 대하여 사용하는 접근법
    • 비정형 접근법(Informal Approach, 전문가 판단법)
      • 구조적인 방법론에 기반하지 않고, 전문가의 지식과 경험에 따라 위험을 분석
      • 작은 조직에서 효과적
    • 상세 위험분석(Detailed Risk Analysis)
      • 구조적인 방법론에 기반해서 위험을 분석
      • 많은 시간과 노력(돈)이 필요하며 비정형 접근법과 같이 고급인력이 필요한 분석 방법
      • 자산분석 -> 위협평가 -> 취약성평가 -> 정보보호 대책평가 -> 잔여 위협평가
    • 복합접근법(Combinded Approach)
      • 상세 위험분석을 수행하고, 그 외 다른 영역은 베이스라인 접근법만을 사용하는 방식
  • 위험분석 방법론의 선정
    • 정성적 분석방법(Qualitative): 위험을 매우 높음, 높음, 중간, 낮음 등으로 표현
      • 델파이법: 전문가 집단에서 설문조사를 실시해 의견을 정리하는 분석 방법
        • 짧은 시간에 도출할 수 있지만, 전문가의 추정이라 정확도는 낮음
      • 시나리오법: 특정 시나리오를 통해 발생 가능한 위협의 결과로 순위를 매겨 도출
        • 전반적인 가능성을 추론가능하지만, 발생 가능성의 이론적 추축에 불과해 정확성이 낮다.
      • 순위결정법: 비교우위 순위 결정표에 위험 항목의 서술적 순위를 결정하는 방식
        • 정확성이 낮음
    • 정량적 분석 방법(Quantitative): 위험을 손실액과 같은 숫자값으로 표현 / 주로 미국에서 사용하는 방식
      • 연간예상손실액(ALE) = 단일예상손실액(SLE) x 연갈 발생률(ARO)
        • 단일 예상손실액(SEL) = 자산의 가치(AV) x 노출계수(EF)
  • 위험처리 방법
    • 위험수용(Acceptance): 해당 위험의 잠재 손실 비용을 감수
    • 위험감소(Mitigation): 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것
    • 위험회피(Risk Avoidance): 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기
    • 위험전가(Risk Transfer): 보험이나 외주 등으로 잠재적 비용으 제3자에게 이전하거나 할당
  • 국제/국가 표준
    • OECD 정보보호 가이드라인
      • 인식/책임/대응/윤리/민주성/위험평가/정보보호의 설계와 이행/정보보호 관리/재평가
    • TCSEC(Trusted Computer System Evaluation Criterial)
      • 미국에서 1985년 최초로 만들어짐
      • 정보제품을 몇가지 요구사항을 만족하는 수준에 따라 보안등급을 매김(A1,B3, B2, B1, C2, C1)
    • ITSEC
      • 1991년에 미국의 TCSEC를 참조해서 만든 유럽 공통 평가기준
      • 기밀성 뿐만아니라 무결성, 가용성에 대한 평가기준으로 수용
    • 보안성평가(CC; Common Criterial)
      • TCSEC, ITSEC 같이 나라/지역별로 서로 다른 평가기준을 하나로 표준화한 결과
  • 보안성평가에 있어서 국내기관과 역할
    • 정책기관: 행정자치부
    • 인증기관: 미래창조과학부
    • 평가기관: 한국인터넷진흥원 + 기타 등등 기관들
작성자: 시간:
라벨:

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)