정보보호관리
1. 정보보호관리 개념
1. 정보보호의 목적 및 특성
정보보호?
•
정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적/기술적 수단(정보보호시스템)을 마련하는 것을 말한다(국가정보화 기본법)
정보보호 ≠ 정보보안
•
정보보안이 Site(공간)이라는 개념이 더 들어간, 넓은 개념이다.
정보보호의 목적
•
기밀성 / 무결성 / 가용성 / 인증/ 부인방지 / 신뢰성 등
2. 정보보호와 비즈니스
정보보호와 비즈니스
•
IT 인프라에 대한 정보보호는 비즈니스의 보호 뿐만이 아니라 비즈니스 가치의 증가로 이어진다.
◦
한 조직의 정보 자산 뿐만이 아니라 고객의 정보(개인정보)까지 보호해야할 법적인 의무도 있고, 고객의 신뢰로 이어지므로
◦
향후 조직의 비즈니스에 큰 도움이 될 것이 당연하기 때문
3. 정보보호관리의 개념
정보보호관리 (Information Security Management)
•
조직의 정보자산을 외부로부터의 유(노)출과 오용, 유실로부터 방어하고, 정보나 정보 시설을 방어하는데 관련된 모든 일련의 활동
정보보호관리를 위한 6단계 활동
•
정보보호 정책 및 조직 수립 → 정보보호 범위 설정 → 정보자산의 식별 → 위험관리 → 구현 → 사후관리
위의 활동들을 지속적으로 하기 위해 체계화해서 만든게 정보보호관리체계(ISMS: Information Security Management)
•
그냥 한번 정보보호 솔루션을 만들고 끝내는 것이 아니라, 비즈니스의 연속성과 함께 계속 지속되어야 된다.
•
최근에는 매출이 크거나 고객이 많은 조직은 법적으로 갖추어야 한다.
2. 정보보호 정책 및 조직
1. 정보보호 정책의 의미 및 유형
정책 : 최고 경영진의 전략적인 사고를 문서화한 것
•
정책 중 가장 핵심적인 걸 ‘정책서’라고 한다.
•
하향식 유형 (Top-Down)
◦
상위 정책으로부터 하위 수준의 정책을 도출하는 방식
•
상향식 유형 (Bottom-Up)
◦
기존의 정책들을 종합해 새로운 정책을 수립하는 방식
정책이 가지는 특징과 가져야할 특징
•
여러 다른 지침과 하위 수준간의 정책들이 일관성과 연관성이 필요하다.
•
최상위 정책은 전사적인 정책을 모두 포함해야 한다.
•
간결하고 명확해야 한다 / 정보보호의 목표와 회사의 비전을 포함해야 한다.
•
영향을 받는 임직원들에게 정책에 대한 설명을 해야한다 / 간단한 내용과 이해하기 쉬운 표현
정보보호 정책서의 구성
•
정보보호 선언문
◦
보통 1장에 심플하게 작성 / 정보보호전반에 대한 경영자의 의지 및 실천을 다짐하는 선언문
◦
정책서 목적과 구성 / 기본방침 / 정보보호계획수립 / 보안에 대한 역할과 책임 / 정보자산의 보안 등
2. 정보보호 정책수립 절차
정보보호 정책 수립 : 조직 전반에 걸친, 최상위 수준의 정보보호정책을 수립하고, 조직 내 책임을 설정
•
정보보호 정책서 안에 포함되는 개념
정보보호 정책 수립 과정
•
경영목표를 지원하는 법적/규제적인 요건을 파악
•
위험관리에 따른 전략적 정보보호 정책 수립
정보보호 정책서 작성 방안 (정보보호 정책 수립도 여기에 들어간다)
•
목적
◦
중요한 정보자산이 무엇인지 식별하여 선언
•
적용 범위
◦
정책이 적용되는 범위 (전사이냐, 특정 부서이냐)
•
정책 내용
◦
간단하고 명료하게
•
책임
◦
정책을 수행하기 전에, 기본적으로 책임사항을 정의해야한다 (경영진의 책임, 일반 직원의 책임 등)
•
문서 승인
◦
정보보호 정책의 승인은 최고 경영자가 이 정책을 승인하고 지원의지를 알리는 것(반드시 승인 받아야 한다)
•
정보보호위원회의 구성
◦
정보보호정책 수립의 이행을 위해 만든 위원회 (형식적인 위원회 구성이 아닌 실질적 운영을 위한)
3. 조직 체계와 역할 / 책임
정보보호 조직 : 정보보호 정책을 잘 수립하여 수행해 나갈 수 있는, 체계적인 역할과 책임을 가지는 조직
•
정보보호 정책서에 책임사항을 정의한 것이랑 연계해서 생각!
일반적인 정보보호 조직체계
•
정보보호 심의위원회 : 정보보호 활동 계획 및 예산 심의 / 정보보호 정책 및 규정의 최종승인
◦
위원장 : 대표이사
◦
위원 : 정보보호 책임자
◦
간사 : 정보보호 관리자
•
정보보호 책임자 : 정보보호 조직의 구성 및 운영 총괄 / 정보보호 방침 및 계획 실무지침 수립 및 승인
•
정보보호 관리자 : 정보보호 활동의 계획 및 관리 / 정보보호방침의 유지, 이행
•
정보보호 담당자
◦
정보보호 운영 담당자
◦
정보보호 대응 담당자
3. 위험관리
정보보호관리체계(ISMS)의 5단계에서 위험관리의 위치
•
[정보보호 정책 수립 → 관리체계 범위설정 → 위험관리 → 구현 → 사후관리] 를 계속 반복
•
위험관리 : 조직이 정보자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위해, 정보자산에 대한 위험을 분석하고 이에 대한 비용대비 효과적인 보호 대책을 마련하는 일련의 과정
•
위험관리과정 (5단계)
◦
위험관리전략 및 계획수립 → 위험분석 → 위험평가(처리) → 정보보호 대책수립 → 정보보호 계획수립
◦
위험관리전략 및 계획수립 → 위험분석 → 위험평가(처리) → 보호대책 선정 → 이행계획 수립
•
위험 (Risk)
◦
원하지 않는 사건이 발생해 손실 또는 부정적인 영향을 미칠 가능성
•
위험의 요소
◦
자산 (Assets) : 조직이 보호해야할 대상
◦
위협 (Threats) : 원치 않은 사건의 잠재적인 원인이나 행위자
◦
취약성 (Vulnerability) : 자산의 잠재적인 속성으로, 위협의 이용 대상
◦
정보보호대책 (safeguard) : 위협에 대응하여, 자산을 지키기 위한 대책
1. 위험관리 전략 및 계획 수립
•
위험분석 접근법
◦
베이스라인 접근법 (Baseline Approach)
▪
위험분석을 수행하지 않는 대신, 모든 시스템에 대해 표준화된 보호대책을 체크리스트 형태로 제공
▪
소규모 조직이나, 대규모 조직의 중요치 않은 일반 자산에 대하여 사용하는 접근법
◦
비정형 접근법 (Informal Approach : 전문가 판단법)
▪
구조적인 방법론에 기반하지 않고, 전문가의 지식과 경험에 따라 위험을 분석
▪
작은 조직에서는 효과적
◦
상세 위험분석 (Detail Risk Analysis)
▪
구조적인 방법론에 기반해서 위험을 분석하는것
▪
많은 시간(돈)과 노력(돈)이 필요하고 비정형 접근법과 같이 고급인력이 필요하다(돈)
▪
자산분석 → 위험평가 → 취약성평가 → 정보보호 대책평가 → 잔여 위협평가
◦
복합 접근법 (Combined Approach)
▪
상세 위험분석을 수행하고, 그 외 다른 영역은 베이스라인 접근법만을 사용하는 방식
•
위험분석 방법론의 선정
◦
정성적 분석방법 (Qualitative) : 위험을 매우 높은, 높은, 중간, 낮은 등으로 표현
▪
델파이법 : 전문가 집단에게 설문조사를 실시해 의견을 정리하는 분석방법
•
짧은 시간에 도출할 수 있지만, 전문가의 추정이라 정확도는 낮다.
▪
시나리오법 : 어떤 사실도 기대대로 발생되지 않는다고 가정하고, 특정 시나리오를 통해 발생 가능한 위협의 결과로 순위를 매겨 도출
•
전반적인 가능성을 추론 가능하지만, 발생 가능성의 이론적 추측에 불과해 정확성이 낮다.
▪
순위결정법 : 비교우위 순위 결정표에, 위험 항복의 서술적 순위를 결정하는 방식
•
이것도 정확도는 낮다.
◦
정량적 분석방법 (Quantitative) : 위험을 손실액과 같은 숫자값으로 표현 / 주로 미국에서 사용
▪
연간예상손실액(ALE) = 단일예상손실액(SEL) * 연간발생률(ARO)
•
단일 예상손실액(SEL) = 자산의가치(AV) * 노출계수(EF)
2. 위험분석
•
위험의 3요소인 자산 / 취약성 / 위협 을 분석(식별과 분류)
◦
어떻게 할것인지 방법론과 접근방법은 위에서 제시함
3. 정보보호 대책 선정 및 계획서 작성
•
위험관리의 마지막 순서로, 위험을 분석하고 순위를 매겼으니까 그에 대한 위험처리 방법을 선택하고 계획서를 구성하는 단계
•
위험처리 방법
◦
위험수용 (Acceptance)
▪
해당 위험의 잠재 손실 비용을 감수
◦
위험감소 (Mitigation)
▪
위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것
◦
위험회피 (Risk Avoidance)
▪
위험이 존재하는 프로세스나 사업을 수행하지 않고 포기
◦
위험전가 (Risk Transfer)
▪
보험이나 외주 등으로 잠재적 비용을 제 3자에게 이전하거나 할당
4. 대책구현 및 운영
1. 정보보호 대책 구현
•
정보보호 대책 : 위험을 감소시키기 위한 정보보호조치를 의미한다 (장치/절차/기법/행위 등을 포함)
2. 정보보호 교육 및 훈련
3. 컴퓨터/네트워크 보안운영
•
PC 보안 / 네트워크 보안 / 매체보안(데이터의 보관과 폐기)
5. 업무연속성 관리 (Business Continuity Management)
1. 업무지속성 관리체계
•
업무연속성 관리 : 재난이나 재해, 테러 같은 예기치 못한 위기 상황에서도 적시에 복구해 업무를 계속 수행할 수 있는 위기 관리 능력
•
업무연속성 관리 단계
◦
1단계(시작단계)
▪
업무연속성 관리에 대한 정책의 수립 및 범위 설정을 하는 단계
◦
2단계(전략수립단계)
▪
재해가 업무에 미치는 잠재적인 영향과 위험을 평가
▪
위험감소를 위한 사항들을 파악
▪
효과적인 전략 수립
◦
3단계(구현단계)
▪
업무가 지속적으로 이루어지기 위한 프로그램을 수립하는 단계 (설비 구현 / 계획 문서화)
◦
4단계(운영관리단계)
▪
수립된 업무연속성 전략 및 계획, 절차를 계속적으로 테스트 및 검토, 유지보수 / 이에 대한 교육, 훈련
2. 업무연속성 계획수립 (BCP: Business Continuity Plan)
•
업무연속성 계획 5단계 방법론
◦
1단계 : 프로젝트 범위 설정 및 계획
◦
2단계 : 사업 영향 평가 (BIA: Business Impact Assessment)
▪
각 사업 단위가 받게될 재정적 손실의 영향도를 파악해서 문서화
▪
주요 취지
•
핵심 우선 순위 결정(프로세스간 구별)
•
중단 시간 산정 (얼마만에 복구할지)
•
자원 요구사항 (어디에 얼마나 자원할당)
◦
3단계 : 복구 전략 개발
▪
사업 영향 평가에서 수집된 정보를 기반으로 어떻게 복구를 할 것인지 전략을 세움
◦
4단계 : 복구 계획 수립
▪
사업을 지속하기 위한 실제 복구 계획의 수립 단계
▪
문서화 필수
◦
5단계 : 프로젝트 수행 및 테스트
▪
유지보수 활동을 포함한 이후에 있을 테스트 절차 등을 수립
3. 업무연속성 유지관리
•
지속적으로 유지보수, 테스트
◦
체크리스트 / 구조적점검 / 시뮬레이션 / 병렬테스트 / 전체 중단테스트
4. 재난복구계획 (DRP: Disaster Recovery Plan)
BCP가 전사적인 복구 계획이라면, DRP는 기업의 세부 시스템 별 복구 계획
재난복구계획 프로세스
•
데이터 지속처리 계획(DPCP: Data Processing Continuity Planning) : 재해를 예측하고 그에 대처하기 위한 계획 수립
◦
가장 많이 사용되는 대체 처리 사이트(Site: 공간의개념) 방식
▪
Hot Site
•
모든 컴퓨터설비를 완전히 갖추고 있는 공간
•
실제로 운영되고 있는 환경과 동일한 상태로 관리
▪
Warm Site
•
Hot Site와 Cold Site의 절충안 (전원/컴퓨터 등은 갖춰져 있지만 애플리케이션이 설치되거나 구성되지 않음)
▪
Cold Site
•
비상시 장비를 가져올 준비만 할 뿐, 어떤 컴퓨터 하드웨어도 공간에 존재하지 않음
•
데이터 복구 계획 유지보수 (Data Recovery Plan Maintenance)
◦
계획이 항상 적적하게 최신 버전을 반영하도록 유지하는 프로세스
6. 관련 표준 / 지침
1. 국제/국가 표준
OECD 정보보호 가이드라인
•
인식 / 책임 / 대응 / 윤리 / 민주성 / 위험평가 / 정보보호의 설계와 이행 / 정보보호 관리 / 재평가
TCSEC (Trusted Computer System Evaluation Criteria)
•
미국에서 1985년 최초로 만들어졌고, 오렌지 북 이라고도 한다.
•
정보 제품을 몇 가지 요구사항을 만족하는 수준에 따라 보안등급을 매긴다 (A1, B3, B2, B1, C2, C1)
•
기밀성, 무결성, 가용성 중 기밀성을 중시한다
ITSEC
•
1991년에 미국의 TCSEC를 참조해서 만든 유럽 공통 평가기준
•
기밀성 뿐만 아니라 무결성, 가용성에 대한 평가 기준도 수용함
보안성평가(CC: Common Criteria)
•
TCSEC, ITSEC 같이 나라/지역별로 서로 다른 평가 기준을 하나로 표준화한 결과
•
CCRA (Common Criteria Recognition Arrangement)
◦
정보보호 제품의 안정성을 회원국가간에 상호인정하는 국제 협약
◦
CAP (인증서발행국)
▪
국내에서 발행한 정보보호시스템 평가 인증서가 해외에서도 인정받게됨
◦
CCP (인증서수용국)
▪
정보보호 평가 인증서를 발행은 안하고 수용만 하는 국가
•
우리나라는 CAP에 2006년에 가입함
•
CAP에 가입한 국가는 5년마다 재심사
