[정보보안기사] 정보보안관리/법규

※용어정리

개인정보처리자 : 개인정보를 처리하는 공공기관이나 사업자, 단체 등을 의미

개인정보취급자 : 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인 정보처리자의 지휘,감독을 받아 개인정보를 처리하는 자를 지칭

감사(Audit) : 개발된 컴퓨터 시스템의 작동을 평가하는 작업

자산(Asset) : 조직이 보호해야할 대상(정보, 하드웨어, 소프트웨어 등을 말하며 인력, 기업 이미지 등의 무형자산도 포함)

위협(Threat) : 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합(보안에 해를 끼치는 행동이나 사건)

취약점(Vulnerability) : 자산의 잠재적 속성이나 처한 환경으로 위협의 이용대상으로 관리적, 물리적, 기술적 약점

위험평가 : 정보나 정보처리기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정

위험관리 : 위협을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정

위험관리계획 : 선택된 통제방안들을 누가, 언제, 어디서, 무엇에게, 어떻게 적용할 것인지 나와있는 문서

위험감소 : 취약점이 악용될 가능성을 줄이기 위해 적합한 통제를 이행함으로써 이루어짐 (위험을 처리하기 위해 전자서명, 암호화 등 수신자 부인방지 시스템, 보안 솔루션 등을 도입)

위험회피 : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것

위험전가 : 위험에 대한 책임을 제3자와 공유하는 것(운영하고 있는 다른 업체에 위탁하거나 문제 발생에 대비하여 배상책임 보험에 가입)

※보안법규

정보통신망법(개인정보의 기술적, 관리적 보호조치 기준)에 대한 접근권한과 접근기록에 관한 내용

1. 정보통신서비스 제공자 등은 개인정보처리시스템 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년간 보관한다.
2. 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인, 감독하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존, 관리 하여야 한다.

개인정보보호법(개인정보의 안전성 확보조치 기준)

제5조(접근 권한의 관리)

  ③ 개인정보처리자는 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 3년 간 보관 하여야 한다.

제8조(접속기록의 보관 및 점검)

  ①개인정보처리자는 개인 정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관, 관리하여야 한다.

  ②개인정보처리자는 개인정보의 유출,변조,훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검해야 한다.

보안의 3요소

• 기밀성 : 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근
• 무결성 : 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질
• 가용성 : 정당한 사용자가 정보시스템의 데이터 또는 자원을 필요할 때 지체 없이 원하는 객체 또는 자원에 접근하여 사용할 수 있는 성질

보호대책 종류

• 기술적 보호대책 : 네트워크 보안, 서버 보안, PC 보안 등으로 나눠진다. 정보 시스템, 통신망, 정보를 보호하기 위한 가장 기본적인 대책
• 물리적 보호대책 : 출입통제, 작업통제, 전원대책, 장비보안 등으로 나눠진다. 자연 재해대책, 물리적 보안대책으로 구분
• 관리적 보호대책 : 보안정책, 보안지침, 보안절차, 보안조직 등으로 나눠진다. 

정보보호 계획 수립 과정에서 조직의 보안목표 문서를 수집, 분석하게 되는데 조직의 보안목표를 정확히 하기 위해 수립된 최상위 문서를 '정보보호 정책'이라 부른다.

• 표준(standards) : 기업과 조직의 정책이 가져야할 미션과 비젼을 제시하는 무엇을 정의한다면, 표준은 요구사항을 정의한 것
• 절차(Procedure) : 절차는 정책이 어떻게(How) 구현되며, 누가(Who), 무엇을(What)하는지 기술한 것
• 기준선(Baseline) : 기업과 조직 전반에 걸쳐 보안패키지를 일관성 있게 구현하는 방법을 제공
• 지침(Guidelines) : 계획수립, 구현 등에 대한 권고사항을 말함

자산에 대한 중요도를 평가하기 위하여 먼저 자산목록을 만든다. 자산을 평가하고 관리하기 용이하게 재분류할 수 있도록 자산분석을 실시한다. 자산분석은 자신의 특성을 고려하여야 하며 특히 사용 용도, 피해규모, 사용환경 등을 포함하여 실시한다.

정성적 위험분석 방법론

• 델파이법 : 전문가 그룹을 구성하여 특정 분야에 대한 의사결정에 이용하는 것을 말함. 전문가들의 노하우를 반영할 수 있으나, 주관적인 의견이 필요이상으로 들어갈 수 있다.

• 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정조건하에서 위협에 대한 발생가능한 결과들을 추정하는 방법 적은 정보를 가지고 전반적인 가능성을 추론할 수 있으나, 발생가능한 사건의 이론적인 추측에 불과하고 정확성, 완성도, 이용 기술 수준등이 낮다

• 순위결정법 : 비교 우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 법. 위험 분석에 소요되는 시간과 분석해야 하는 자원의 양이 적다는 장점이 있으나 위험 추정의 정확도가 낮다.

위험관리

• 단일예상 손실액(SLE) = 자산가치 X 노출계수
• 연간예샹 손실액(ALE) = 단일예상 손실액 X 연간 발생률

재해복구 시스템 복구 수준별 유형

• 미러 사이트 : 주 센터와 동일한 수준의 정보기술 자원을 원격지에 구축하고, 운영-운영 상태로 실시간 동시 서비스 제공
• 핫 사이트 : 주 센터와 동일한 수준의 정보기술 자원을 원격지에 구축하여 대기(stand-by)상태로 유지 하며 '운영-대기'상태로 서비스 제공. 주센터 재해시 원격지시스템을 운영(Active)상태로 전환
• 웜 사이트 : 중요성에 높은 정보기술 자원만 부분적으로 재해복구센터에 보유 (데이터 주기 수시간~1일 백업)
• 콜드 사이트 : 데이터만 원격지에 보관하고, 이의 서비스를 위한 정보자원은 확보하지 않거나 장소 등 최소한으로 확보. 재해시 데이터를 근간으로 필요한 정보자원을 조달하여 정보시스템의 복구 개시