※용어정리
개인정보처리자 : 개인정보를 처리하는 공공기관이나 사업자, 단체 등을 의미
개인정보취급자 : 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인 정보처리자의 지휘,감독을 받아 개인정보를 처리하는 자를 지칭
감사(Audit) : 개발된 컴퓨터 시스템의 작동을 평가하는 작업
자산(Asset) : 조직이 보호해야할 대상(정보, 하드웨어, 소프트웨어 등을 말하며 인력, 기업 이미지 등의 무형자산도 포함)
위협(Threat) : 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합(보안에 해를 끼치는 행동이나 사건)
취약점(Vulnerability) : 자산의 잠재적 속성이나 처한 환경으로 위협의 이용대상으로 관리적, 물리적, 기술적 약점
위험평가 : 정보나 정보처리기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정
위험관리 : 위협을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정
위험관리계획 : 선택된 통제방안들을 누가, 언제, 어디서, 무엇에게, 어떻게 적용할 것인지 나와있는 문서
위험감소 : 취약점이 악용될 가능성을 줄이기 위해 적합한 통제를 이행함으로써 이루어짐 (위험을 처리하기 위해 전자서명, 암호화 등 수신자 부인방지 시스템, 보안 솔루션 등을 도입)
위험회피 : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것
위험전가 : 위험에 대한 책임을 제3자와 공유하는 것(운영하고 있는 다른 업체에 위탁하거나 문제 발생에 대비하여 배상책임 보험에 가입)
※보안법규
정보통신망법(개인정보의 기술적, 관리적 보호조치 기준)에 대한 접근권한과 접근기록에 관한 내용
- 정보통신서비스 제공자 등은 개인정보처리시스템 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년간 보관한다.
- 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인, 감독하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존, 관리 하여야 한다.
개인정보보호법(개인정보의 안전성 확보조치 기준)
제5조(접근 권한의 관리)
③ 개인정보처리자는 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 3년 간 보관 하여야 한다.
제8조(접속기록의 보관 및 점검)
①개인정보처리자는 개인 정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관, 관리하여야 한다.
②개인정보처리자는 개인정보의 유출,변조,훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검해야 한다.
보안의 3요소
- 기밀성 : 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근
- 무결성 : 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질
- 가용성 : 정당한 사용자가 정보시스템의 데이터 또는 자원을 필요할 때 지체 없이 원하는 객체 또는 자원에 접근하여 사용할 수 있는 성질
- 기술적 보호대책 : 네트워크 보안, 서버 보안, PC 보안 등으로 나눠진다. 정보 시스템, 통신망, 정보를 보호하기 위한 가장 기본적인 대책
- 물리적 보호대책 : 출입통제, 작업통제, 전원대책, 장비보안 등으로 나눠진다. 자연 재해대책, 물리적 보안대책으로 구분
- 관리적 보호대책 : 보안정책, 보안지침, 보안절차, 보안조직 등으로 나눠진다.
- 표준(standards) : 기업과 조직의 정책이 가져야할 미션과 비젼을 제시하는 무엇을 정의한다면, 표준은 요구사항을 정의한 것
- 절차(Procedure) : 절차는 정책이 어떻게(How) 구현되며, 누가(Who), 무엇을(What)하는지 기술한 것
- 기준선(Baseline) : 기업과 조직 전반에 걸쳐 보안패키지를 일관성 있게 구현하는 방법을 제공
- 지침(Guidelines) : 계획수립, 구현 등에 대한 권고사항을 말함
- 델파이법 : 전문가 그룹을 구성하여 특정 분야에 대한 의사결정에 이용하는 것을 말함. 전문가들의 노하우를 반영할 수 있으나, 주관적인 의견이 필요이상으로 들어갈 수 있다.
- 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정조건하에서 위협에 대한 발생가능한 결과들을 추정하는 방법 적은 정보를 가지고 전반적인 가능성을 추론할 수 있으나, 발생가능한 사건의 이론적인 추측에 불과하고 정확성, 완성도, 이용 기술 수준등이 낮다
- 순위결정법 : 비교 우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 법. 위험 분석에 소요되는 시간과 분석해야 하는 자원의 양이 적다는 장점이 있으나 위험 추정의 정확도가 낮다.
위험관리
- 단일예상 손실액(SLE) = 자산가치 X 노출계수
- 연간예샹 손실액(ALE) = 단일예상 손실액 X 연간 발생률
재해복구 시스템 복구 수준별 유형
- 미러 사이트 : 주 센터와 동일한 수준의 정보기술 자원을 원격지에 구축하고, 운영-운영 상태로 실시간 동시 서비스 제공
- 핫 사이트 : 주 센터와 동일한 수준의 정보기술 자원을 원격지에 구축하여 대기(stand-by)상태로 유지 하며 '운영-대기'상태로 서비스 제공. 주센터 재해시 원격지시스템을 운영(Active)상태로 전환
- 웜 사이트 : 중요성에 높은 정보기술 자원만 부분적으로 재해복구센터에 보유 (데이터 주기 수시간~1일 백업)
- 콜드 사이트 : 데이터만 원격지에 보관하고, 이의 서비스를 위한 정보자원은 확보하지 않거나 장소 등 최소한으로 확보. 재해시 데이터를 근간으로 필요한 정보자원을 조달하여 정보시스템의 복구 개시
'자격증 노트 > 정보보안기사' 카테고리의 다른 글
| [정보보안기사] 서비스 거부 공격(Dos : Denial of Service) (0) | 2018.05.19 |
|---|---|
| [정보보안기사] 포트스캐닝(Port Scanning) (0) | 2018.05.19 |
| [정보보안기사] UDP 프로토콜, 네트워크 명령어 (0) | 2018.05.19 |
| [정보보안기사] TCP 프로토콜 (0) | 2018.05.10 |
| [정보보안기사] ICMP 프로토콜(Internet Control Message Protocol) (0) | 2018.05.10 |
