1. 정보 보호의 이해
기업및 조직 생존의 핵심적인 요소로 부각됨
• IS(Information System : it 계열의 전반적인 서비스들)가 비즈니스(=업무,기능)에 더 내재적으로 스며들어감
• 글로벌 사업영역의 확대로 인해 중요한 이슈로 부각
-> 글로벌 사업영역으로 확대 시 세계의 관련 법률이 다르기에 그에 맞춰 주어야 함
• 정보의 무결성, 서비스 지속성, 자산보호에 대한 중점적인 활동
• IT를 적극적으로 비즈니스에 적용, 업무 프로세스를 개선하는 경우 가장 중요한 요소
- 정보보안(안전성), 효과성 간에 균형이 중요
외부 환경적 요소
• 급변하는 비즈니스 환경 – 법률적, 기술적 …
• 지능적인 정보 범죄
• 반달리즘 (문화 제자체를 배척하는 것)
• 비효과적인 관료주의
- 정보시스템을 쫓아가지 못하는 정부
정보 보안 대한 이해
• 정보보호의 복잡성과 타당성에 대한 지지는 이사회 수준의 활동으로 제기되고 지원되어야함
• 정보를 생존을 위한 핵심 자산으로 이해
정보 보안의 문제와 현황
• 정보와 지원시스템에 대한 기업 비즈니스 의존성 증가
• 전혀 새롭게 나타나는 위험들
• 혼란스러운 법규와 더 높은 수준의 법적인 요구 사항들 – 개인정보, 보안 …
정보 보안 접근 방법
• 전통적인 접근법
- 정보 보호의 초점이 정보 취급, 처리, 저장방법에 주안점
- 현재 요구되는 전반적인 보안수준을 적용하기 불충분함
• 새로운 접근 방법
- 지식, 컨텐츠, 또는 정보 자체에 주안점을 둠
- 자산 식별 (자산 목록화 및 분류) : 자산별 위험을 정량화 하는 것이 목적
조직의 정보 보안은 정보 보안 거버넌스 수립으로 이루어진다.
• 정보보안 정책은 거버넌스가 지향하는 것을 문서화 한 것을 의미한다.
• 정보 보호의 시작 -> 정보 보안 정책
정보 보호 거버넌스의 5가지 성과
• 전략 연계 : 목표를 위해 사업 전략과 정보 보안은 연계되어야 한다.
- 보안 요건에 대한 기업의 요구사항
- 기업의 비즈니스 프로세스에 알맞은 보안 솔루션
- 위협, 취약점, 위험 프로파일에 기초한 보안 투자
>> 사업 전략은 결국 그 회사가 추구 하는 비전을 통해서 나오게 됨. 이러한 전략을 세우기 위해서는 전략을 세우기 위한 비전을 알아 내는 것이 중요함. 또한 비전 파악을 통해서 비전 일치 업무 / 비 일치 업무를 판별, 비전과 비 일치하는 업무는 아웃소싱형태로 처리 가능. 이러한 과정을 통해서 경영 목표 및 목표하는 비전에 더욱 가까워 지도록 함.
ISP(Information Strategy Planning)란?
- 기업의 현황 및 정보화 수준을 바탕으로 기업의 vision 과 전략에 부합하는 최적의 정보화(Information)를 추진할 중장기 전략(Strategic) 계획(Planning)의 수립으로 사용자 및 현업의 만족도 향상과 정보화 투자 비용 절감 문제를 해결할 수 있도록 기여합니다.
• 위험 관리 : 위험의 완화와 잠재적 영향의 감소를 위해 적합한 측정이 필요
- 위협, 취약점, 위험에 대한 이해
- 위험 완화 : 수용 가능한 단계까지 (완화, 수용, 감소....)
- 위험의 잠재적 결과의 이해와 이에 기반한 위험의 수용
> internal control
- 위험 완화를 위한 장치로, 기계실 조작원에 의한 사고나 지능적인 범죄 등을 예방하기 위해 미리 엄중한 감사 방법을 설정해 두는 것. 조작원이 직접 입력 데이터를 작성해 넣지 않도록 하는 것 등이 있다.
위험 확률 X 피해 예상 액수 => 위험 관리 비용으로 산정
ex ) 위험 확률이 10%이며 , 이 피해를 통해 입는 예상 피해액이 10억 일 때 예상 위험 관리 비용으로는 1억
초장기 위에 대한 비용 투자시 위험 감소율이 큼
위험 발생빈도가 줄어들수록 비용은 상승 => 0으로 만드는 법은 없음
위험 완화를 측정하는 방법은 결국 돈(성과, 결과)로 책정함
• 가치 제공 : 비용 효과적인 보안 투자의 최적화
- 보안 실무 표준
- 보안 영역에 대한 우선순위 배정과 자원의 적절한 분배
- 조직의 전 부분에 기반한 솔루션 (상품화된 표준화 기반의 솔루션 포함)
- 일회성 이벤트가 아니라 지속적인 개선
• 자원관리 : 효율적인 인프라와 자원 관리 달성
- 보안 실무와 프로세스 문서화
- 인프라 자원의 효율적인 활용과 정의를 위한 보안 아키텍쳐 개발
• 성과 관리 : 목표 달성을 위해 정보 보안 프로세스를 평가하고 모니터링 하며 보고되어야 한다.
- 이슈해결 과정에 대한 피드백과 결점을 식별하는 프로세스
- 외부 평가와 감사에 의해 제공되는 독립적인 보증
- 모니터링은 문제에 대한 책임자를 확립하기 위함이며 이는 책임추적성이라 함
좋은 성과를 받기 위한 방법
- 비전을 분석 및 세분화 하여 나에게 요구 하는 것이 무엇인지 판단 후 실적으로 만들어 나타내면 나의 성과가 됨.
• 프로세스 통합
- 기업 내에 다른 여러 조직간에 보안 프로세스는 각 조직의 서로 다른 보고 및 모니터링 체제 내에서도 통합되도록 노력해야 하고 이를 통해 보안 프로세스의 효과성이나 효율성을 개선할 수 있다.
정보 보안 거버넌스의 구성
• 사업 목적을 포함한 보안 전략
• 전략, 통제와 규정을 포함한 보안 정책
• 보안 정책을 위한 표준과 가이드라인
• 이해 당사자들간에 갈등이 없는 보안 조직
• 준거성 보장을 위한 모니터링 프로세스
- 준거성 : 통제 절차 준수를 테스트하는 목적으로 통제가 경영 정책과 절차에 준거하는 방법으로 적용되고 있는지를 판정하는 기법
정보보호의 세가지 요소
• 기밀성(Confidentiality)
• 무결성(Integrity)
• 가용성(Availability)
기밀성
• 의도되었거나 또는 의도되지 않은 노출을 방지하는 것 - 암호
• 인가되지 않은 사람이나 대상에게 노출되지 않는 것
• ↔ 폭로 (Disclosure)
무결성
• 인가되지 않은 주체에 의한 객체의 변경을 막는다.- 접근통제
• 인가된 주체의 불법적인 변경을 막는다.
• 내외부의 일관성을 유지하는다. (내외부 무결성)
• ↔ 변경(Altereation)
- DB에서 테이블에 제약 조건, 트리거 등을 주는 건 내부 무결성에 속하고, 외부 무결성은 감사/감리를 통해 적발해내는 것임.
가용성
• 자원의 적시 접근성을 보장한다.
• 원하는(인가된) 시간에 원하는 만큼(인가된 만큼) 자원을 사용할 수 있도록 보장한다.
• ↔ 파괴(Destruction)
- 백업장비 (redundent(: 이중화, 예비사용가능한 것)를 통해 보장)
-- 정보 보호의 요소들
식별(Identification) - 구별
• 시스템에 신원을 알려주는 것
• 시스템이 각자를 구별할 수 있는 것
인증(Authentication) - 증여
• 제공된 신원과 대상이 일치하는지 확인하는 것
책임추적성(Accountability)
• 책임을 이행할 의무 또는 작업이나 프로세스에 대한 책임 소재 식별성
허가(Authorization)
• 개인이나 컴퓨터에 부여된 권한의 범위
-- 보안 통제
조직이 위험을 수용 가능한 수준으로 낮추기 위한 인력, 조직, 업무, framework등 일련의 활동 (위험관리프로세서 라고 함)
• 정보보안 관리자가 구현하고 경영자에 의해 강제된다. – 정보보안 관리자의 주 업무
위험, 위협,취약성
• 위험
- 어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성(ISO의정의)을 말한다. 위험의 파급효과나 상대적 심각성은 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도에 의해서 비례적으로 결정된다.
• 위협
- 고의적이거나 우발적인 사건으로 발생시에 시스템의 손상을 일으켜 기밀성, 가용성, 무결성에 손상을 가져올 수 있다.
• 취약성
- 위협이 이용 가능한 시스템상의 약점(일상적인프로세스)을 의미한다.
예
무한 재입력이 가능한 보안 카드 정책(취약성)은 불법적인 계좌 이체(위협)을 용이
하게 하는데 실제 국내 은행에서 이로 인한 사고로 고객의 돈이 불법 이체(위험)된
사례가 있다.
보안 통제는 IS에 대한 내부 통제 중 하나로 모든 통제는 다음과 같은 과정에 따라 진행된다.
1. 자산 식별 (정보보안 자산식별)
2. 위험 분석 (해당하는 정보에 발생 할 수 있는 위험을 정량적으로 분석)
3. 통제 개발
4. 통제 적용
5. 통제 평가
-> 통제 개선
> 자산이 바뀔 때 마다 매번 다시 진행됨
통제의 한계
비용 효익을 초과 할 수 없다.
• 이를 위한 정량적인 위험 분석이 필수 이다.
>통제란 ?
- 위험을 용인 가능한 수준까지 낮추는 것
>통제의 한계는 거의 6개월 정도
> 정량적인 위험 분석이란 ?
- 위험 분석을 돈(금액)으로 수치화 한 분석
-> 정량적 분석 : 수치화를 돈(금액)으로 한 분석
> 효익이란?
- 위험 분석 때 정량화된 수치
통제의 운영
• 조직내의 모든 수준에서 운영 (하향식 통제 모델 개발이 필요)
• 모든 구성원이 해당 프로세스에 참여해야 한다.
• 이사회나 경영진의 책임
- 내부 통제 촉진을 위한 적절한 조직 문화 구축
- 내부 통제의 효과를 지속적으로 모니터링 – 실무적인 모니터링은 보안 관리자에게 위임 가능하지만 일차적인(법적인) 책임은 위임할 수 없다.
2. 보안을 위한 정보 분류
정보 분류는 정보보안의 가장 기본적인 과정인 정보자산 식별 과정의 구체적인 사례이다.
정보 보안 및 분류와 관련된 지침 및 권고
• 국제표준기구(ISO)
- ISO 17799 : 정보보안 관리의 통제 및 관리를 위한 실무 규격
• IT Governance institute
- COBIT : Control Objectives for Information and related Technology
- 비즈니스 지양적인 IT 통제에 관한 프레임워크
- 2006년 4.0까지 번역 출판됨 (필독서..)
목적
• 기밀성, 가용성, 무결성을 촉진한다.
• 정보에 대한 위험을 줄인다.
> 임의적 접근 제어는 유닉스, 강제적 접근 제어는 보안OS 를 통해서 통제
-- 효과
정보 자산에 대한 접근 통제 수준 정의
• 자원의 중요성이나 민감성에 대한 수중이나 등급을 부여, 등급별 보안 규칙을 수립
• 보안과 경영 목적을 연계시켜 보호의 미흡이나 과보호로 발생하는 위험과 비용을 줄여준다
• 단순한 등급 분류가 필요
• 부서의 관리자나 보안 운영자는 등급을 이용 자원에 대한 접근 여부를 결정
데이터의 등급은 IS의 핵심 자산으로 통제의 수단이 됨. (이 모든 것들은 문서화가 되야 함)
• 정보의 소유자
• 허용 퍼미션
• 접근 수준
• 접근 권한을 결정하는 책임자
• 접근에 대한 승인 내용
*- 무결성 정보 보안 -* - 등급은 정확도에 따라 분류 하게 됨
- 보안을 위한 정보 분류 - 등급(정부나 공공부분)
- 등급 분류는 강제적 제어 방법
- 상위 등급 사용자가 하위 등급 사용자가 작성한 문서를 읽어서는 안됨
- 상위 등급 사용자가 하위 등급 사용자가 읽을 수 있는 문서를 작성해도 안됨
- 보안을 위한 정보 분류 - 등급(민간 부분)
상업적인 분류 체계
• 기업 비밀
• 내부용
• 공개
- 보안을 위한 정보 분류 - 등급(ISO17799)
ISO17799 (정보보호관리시스템)
분류 등급은 조직이나 개인이 임의로 결정하는 것이고 여기 표기된 내용은 분류를 위한 등급 자체만 중요함
• 동일 형태의 정보라도 조직에 따라 전혀 다른 등급 가능성이 있음..
-- 기준
분류 기준
• 가치 (value)
: 정보 분류에 가장 먼저 사용되는 기준
• 기간 (passage of time)
: 대부분의 정보는 시간이 지남에 따라 가치가 줄어든다. 일반적인 정보 등급은 시간이 지남에 따라 자동으로 떨어지게 분류(15~30년 단위)된다.
-- 역할
자산 소유자
• 기업의 임원이나 이사 또는 최고 경영자
• 자산에 대한 근본적인 책임을 갖는다. : Due Care(법률적책임 – 선진국에서..)
• 실무적인 관리는 관리자에게 위임 가능하나 일차적인 책임까지 위임 할 수는 없다.
• 분류 등급과 라벨에 관한 결정
• 등급 완전성과 모니터링에 대한 책임
• 분류를 근간으로 한 접근 승인 책임을 갖는다.
> 자산 소유자가 기업의 임원이나 이사 또는 최고 경영자인 이유는 주주로 부터 책임과 권한을 위임 받기 때문 그래서 자산에 대한 근본적임 책임까지도 갖게됨
관리자
• 승인된 분류 목록을 구현하고 관리한다.
• 각 정보의 가용성 확보를 위한 실무적인 노력을 담당한다.
사용자
• 정보 보호 정책을 유지하기 위한 의무사항(Due Care)을 갖는다.
- 개방되거나 사적인 사용으로 인한 보안 침해를 예방해야 한다.
감사인
• 통제의 가치와 준거성, 효용성을 평가
- 준거성 : 통제 절차 준수를 테스트하는 목적으로 통제가 경영 정책과 절차에 준거하는 방법으로 적용되고 있는지를 판정하는 기법
무엇이건 구현하는 것은 그것을 평가하는 업무와는 절대 겸업 할 수 없다.
보안정책의 책임과 역할 참조
> 보안정책을 정보보안관리자가 구성 (한국에서 이것은 해당 업무 이사 등이 관여)
3. 보안 정책
조직이나 기업의 전략(비전, 장기 목표)에 부합하는 IS보안에 대한 문서화된 최고위명세를 보안 정책이라고 한다.
• 반드시 성취(achieve)되어야 한다.(달성 가능성이 중요)
• 정보보호를 위한 경영자의 방향과 지지를 제공 (전략)
• 정보보안 활동으루 위한 가이드라인을 제공한다.
• 기업내의 모든 조직에서 설립되고 실행되야 한다.
보안 정책
• 통제수준과 생산성에 균형이 중요
• 통제비용이 효과비용을 초과해서는 안 된다.
• 사업요구와 일치하는 정보보안 자원에 대한 보증을 제공
• 명백한 문서화된 보안 정책의 수립이 중요
정보 보안 정책서의 내용
• 정보 보안의 정의, 범위, 목표, 중요성등
• 경영 목적에 따라 정보 보안 원칙과 목표를 제시한다.
• 위험 관리와 위험 평가를 포함한 통제들로 구성된 프레임워크
• 정보 보안 관리의 책임과 정의
• 이외 여러 가지 참고자료 (정보 시스템 구성도, 사용자의 동의서 …)
• 보안 정책의 원칙과 표준, 법적인 준수 사항에 대한 설명
- 법적인 규제에 대한 준거성
- 계약상 요구에 대한 준거성
- 사업 연속성 관리
- 보안 정책 위반 시 벌칙과 행정 규제 내용
- 보안 교육, 훈련, 인식에 대한 계획과 수준
정보 보안 정책서 (정보보안 정책에 대해 문서화된 서류)
• 모든 직원과 열람이 허용된 외부 관계자들에게 배포되고 게시돼야 된다.
• 경영자의 승인이 필수 이다.
예
• 계정 정책
• 인증 정책
• 접속 정책
• 개발 정책
• …
• 정책 중에 cornerstone이 되는것은 acceptable user policy 이다.
정책 고위 관리 명세(Senior Management Statement of Policy)
• 가장 최고 레벨의 보안 명세
• 자원의 승인이나 표준, 가이드라인 등에 대한 허가 및 관리 관련 정책 문서
• 일반적인 형태의 보안 정책
> 정책은 회사의 방향성이 바뀔 때 바뀌게 됨
규제(Regulatory)
• 법적인 규제나 요구 조건을 구현하기 위한 조직의 보안 정책
• 목적
- 표준이나 철차가 속해있는 산업 표준에 부합한다는 보증을 제공
- 기업 내부에 산업 정책이 수용되었다는 확신을 제공
권고(Advisory)
• 반드시 강제적인 조항은 아니지만 강하게 권고되는 일련의 정책
• 많은 예외나 레벨를 가질 수 있으나 이에 따를 경우 대부분 법적인 보호를 받게 됨
• 전자 상거래에 대한 인증서 사용
정보제공(Informative)
• 단순히 그것을 읽는 사람에게 고지하기 위한 정책
• 공개적으로 알려져도 된다는 뜻은 아니지만 기밀성의 침해를 받지 않고도 외부조직에 배포해도 될만한 일반적인 사항이라는 뜻.
- 예 ) WOW 각 계정은 보안 카드, 모바일 인증기, 보안 토큰을 등록해서 사용해야 됩니다.
-- 표준, 가이드라인, 절차
표준 : 정책의 이념을 구현하기 위해 관련 정책에서 도출된 상세화된 문서
• 중간 관리자가 정책에 근거해 작성
• 경영의 주안점과 환경에 따라 변형된다.
• 정책보다 빈번히 검토되고 갱신되는 것이 필수이다.
• 대상자들이 철저히 주시하도록 저장, 배포, 관리에 자동화된 매커니즘이 필수
• 강제적인 규정으로 보안 기술이나 제품을 규정한다.
• 각 사용자의 I&A 정보(확인 및 인증)는 1년 단위로 무결성과 기밀성이 재 검토되어야 한다.
가이드라인 : 표준과 비슷하지만 강제적이지 않고 유연하다.
• ISO17799, ITSEC, …
• I&A의 암호 표준은 IDEA(International Data Encryption Algorithm)와 MD5를 각각 기밀문서 저장과 패스워드 저장에 사용한다.
> 가이드 라인은 강제적이지 않고 유연하기에 다르게 운영하여도 표준과 동일하다는 것만 입증이 된다면 꼭 지키지 않아도 됨.
- 가이드 라인은 표준으로 이르기 위한 지름길 혹은 방향성 제시
> MD5
- 해쉬코드 방식 암호 알고리즘
- 원문을 복호화할 필요가 없음 -> 이로 인해 속도가 빠름
- 무결성 확인시 주로 사용
절차
• 특정한 업무를 수행하기 위한 구체적 행동 요령이나 방법
• 정책이나 표준, 가이드라인이 수행되기 위한 자세한 단계를 기술한것
• 시스템 침해 사고 대응 방법, 보안 구역 침투 대응 절차 …
BaseLine
• 표준과 비슷함 (무조건적으로 지켜야 함, 최소한의 사항)
• 보안 등급을 위한 최소한의 사항을 의미하며 이를 통해 표준이 개발 될 수 있다.
• 개발부의 S/W는 최소한 B1 Level 이상을 가져야 한다.
> BaseLine 중 물리적 형태의 BaseLine이 중요하며 거의 물리적 형태로 정의함
-- 역할과 책임
이사회/최고경영진
• 법적인 수준의 정보보안 거버넌스의 제정과 이에 대한 활동, 모니터링에 대한 책임
• 정보보안 관리를 위한 책임 할당과 위임
• 본질적인 보안 요구 사항에 대한 보증
• 정보 보안 정책을 승인하고 전략적 보안 목적을 정의
경영자 (관리자)
• 정보 보안 거버넌스를 이행
정보 보안 책임자
• 정보보안 정책에 대한 실무적 개발과 보증을 담당
• 보안 자원에 대한 모니터링 실무를 담당
• C-Level
(CEO (cheif executive officer) : 최고 경영자
CIO (cheif infomation officer) : 최고 정보 책임자
CSO (cheif service officer) : 최고 서비스 책임자
CCO (cheif compliance officer) : 준법 감시인
CFO (cheif finance officer) : 최고 재정 관리 책임자…)
- E(eXecutive), F(finance), C(compliance), M(marketing)…
데이터 소유자
• 데이터의 민감도나 분류레벨에 대한 책임을 갖는다.
• 데이터의 무결성과 정확성을 유지하는 책임을 갖는다
사용자
• 보안 정책을 위해 작성된 절차를 따르는 책임을 갖는다.
4. 위험관리
위험 관리(Risk management)의 목적
경영 목적을 달성하기 위해 정보 자원에 대한 취약성과 위협을 식별하고 위험을 수용 가능한 수준으로 감소시키기 위한 대응방안을 결정한다.
> 취약성 ⊃ 고유 위험(개선 할 수 없는 위험)
> 위험을 수용 가능한 수준으로 감소시키기 위한 대응방안을 결정 -> 통제 하는 것
위험에 대한 조직의 선택
• 회피(avoid) : 프로세스 자체를 이행하지 않는다. > 위험도가 제로(0)인 영역
• 완화(reduction, mitigation) : 통제를 정의하고 구현한다.
> 비용 발생, 위험 없애는 것은 불가 -> 잔여 위험 ( 통제를 적용 한 뒤 남은 위험)
• 전가(transference) : 보험등의 방법으로 위험을 전가한다.
> 잔여 위험을 처리 하기 위함
• 수용(acceptance) : 공식적으로 위험의 존재를 인정하고 모니터한다.
통제 비용이 효익을 초과하는 경우, 일반적이지 않다.
• 제거(eliminate) : 위험의 원인을 제거하고 방지 한다.
• 위험을 무시하고 거부하는 것은 매우 위험하다.
-- 위험 관리 프로세스
위험 관리 프로세스
1. 정보 자산 식별과 가치 산정
2. 위험분석 (RA : Risk analysis)
3. 세이프가드 (Safeguard)
• 통제 및 대응책 수립
: 자산 평가시 특정 업종 관련 사람들의 다수의 의견을 통계로 수치화
- 사람이 적을 시 같은 질문을 형식을 다르게 하여 질의하여 나온 대답을 통해 평균 내어 수치화
정보자산 식별
• 자산의 예 : H/W, S/W, 데이터, 인력, 문서 …
• 자산에는 전통적인 사업자산 (건물, 재고…)뿐 아니라 현금, 영업권, 이미지 등의 무형의 자산도 포함된다.
> 여기서 자산이라 함은 정량적 측정이 가능하여 보호 할 만한 가치가 있는 것을 지칭함
자산 가치가 필요한 이유
• 비용대 효과를 분석하기 위해
• 적절한 세이프가드 결정을 위해
• 의무사항(Due care)을 충족하고 법적인 책임(responsibility)을 한계 짓는데 필요하다.
자산 가치를 결정하는 요소
• 자산을 구입하고 유지 보수하는데 필요한 초기 비용 및 지속적인 비용
• 운영, 연구, 개발이나 사업 모델의 생존 가능성에 대한 자산 가치
• 외부에 형성된 자산 가치, 영업 비밀, 특허, 저작권등 지적 자산에 대한 추정 가치
> 향후 미래에도 이득이 예상 되는 것을 예측하여 자산 범위내에 속하게 함
위험분석
• 정보 자산의 위협, 취약성, 발생 가능성 등을 평가하는것
• 일반적인 위협 : 오류, 사기, 절도, 고장
• 취약성 : 위협이 해를 끼치는데 활용할 수 있는 정보 자산의 특징
- 고유 위험의 일부
- 지식의 부족, 보안 기능 부족, 검증되지 않은 기술, 보안 없는 통신수단 …
• 위협과 취약성을 통해 위험을 분석한다. > 위험의 발생 가능성도 생각해야 함
위험의 측정
• 노출요소 (EF : Exposure Factor)
: 발생한 위협이 자산에 끼칠 수 있는 손실 정도 (% 로 표시된다.)
• 단일 손실 예상 (SLE : Single Loss Expectancy)
: 단일 위협으로 부터 발생한 손실 액수
: 자산 가치 * EF = SLE
: 기업의 영향 평가에서는 재해 평가를 설명하기 위해 이거 하나만 사용되기도 한다.
• 연간 발생 빈도 (ARO : Annual Rate of Occurrence)
: 년간 예상되는 위협의 발생 빈도
: 100년에 한번 일어날 가능성 있는 사건의 ARO – 0.01
: 100년에 한번 일어날 ARO 사건이 100년 후에 일어난 다는 보장은 없다!!!!
• 연간 손실 예상 (ALE : Annual Loss Expectancy)
: 위협으로 발생하는 조직의 년간 예상 금전적 손실
: SLE * ARO
: 정량 분석 기법 부분 참조
: ALE를 이용하는 경우 특정 통화나 자산의 중요성, 기간 등에 관한 좀 더 알기 쉬운 장부를 만들 수 있다.
(eX. ALE가 10만 달러라면 2만 5천 달러짜리 방화벽을 구입하여 가동하는 것은 이득이
지만, 40만 달러짜리 시스템을 구입하는 것은 낭비다.)
세이프가이드(통제) -- 일반 통제
• 취약성을 위험 허용 수준까지 감소시키기 위한 통제 수립
• 행위, 장치, 절차, 기법 등이 포함됨
• 통제의 강도는 효과성 측면에서 측정 되야 한다.
• 통제의 강도를 평가할 때 고려할 요소
- 통제 구분과 강도
• 세이프가드의 가치
원래 ALE – (세이프가드 이후 ALE + 년간 세이프가드 운영 비용) = 세이프가드의 가치 - ALE : 10억, 세이프가드 이후 ALE : 1억, 세이프가드 년간 운영비용 : 1억
세이프가드 가치 : 8억
• 통제를 적절히 구현하지 않아서 발생한 실재 위협으로 인한 손해비용이 세이프가드 구현비용보다 크다면 기업은 법적인 책임을 질 수 있다. (우리나라는 무관함)
> ARO를 평가 하는 법 : 자산 평가와 같이 여러 사람에게 물어 평균 값을 계산하여 정량적 평가함
위험 관리 수준
• 운영 수준에서 고려 사항 ( 가장 중요함 )
- IT 시스템과 지원 인프라의 비효율성
- 시스템 통제의 우회
- 핵심자원 손실 및 가용성
- 법규 미 준수
• 프로젝트 수준에서 고려 사항
- 프로젝트 복잡성
- 목표 미달성시 위험성
• 전략적 수준
- 비즈니스 전략과 IT역량의 연계성
- 경재 업체와의 IT역량
- 기술 변화로 인한 위협
• 새로운 프로젝트로 제공되는 IT인프라와 시스템은 새로운 운영상의 위험을 발생하는 등 사실 조직의 모든 구성은 상호간 위험을 조래하는 시발자가 될 수 있다.
위험관리 프로세스는 위협과 대책 사이에 비용적인 균형이 중요하다.
정성적 분석 기법
• 위험 가능성과 영향에 단어를 이용하는 방법
> 정성적 분석 기법에서 사용하는 단어로는 (상,중,하), (고,저)등 등급을 나타냄
• 높음, 낮음 등의 결과치를 도출하는 방법(등급으로 표현되기도 한다.)
• 분석 실무
- 델파이(Delphi) 기법, 브레인스토밍(brainstorming)
- 포커스 그룹(Focus groups)에 대한 인터뷰, 설문, 점검표 >> 정량적 기법에서도 사용
- 일대일 미팅이나 면접
> 브레인스토밍(brainstorming)기법
- 3인 이상의 사람이 모여서, 하나의 주제에 대해서 자유롭게 논의를 전개하는 것
> 한국 풍토상 서로 동등히 보지 못하므로 불가능함
정량적 분석 기법
• IS 구성과 손실에 대한 화폐적 가치를 부여하는것
• 다량의 정보와 복잡한 계산이 필요하며 자동화 될 수 있다.
> 자동화는 계산 기법이 미리 정의되어야 함
• 위험의 가능성과 영향을 수치로 환산하는 방법
• ALE
1. 자산 가치 결정
2. 잠재 손실 추정(Estimate Potential Loss)
• EF와 SLE를이용 금전적 가치를 계산
3. 잠재 위협 분석
• 위협과 취약성에 대한 ARO 계산
4. ALE 결정
예비 보안 검사 (PSE : Preliminary Security Examination)
• RA 이전에 수행
• RA 수행 시 필요한 요소들을 수집하는데 도움이 된다.
• 주요 검토 요소
- 위협관점에서 직원이나 환경 관련 위협 목록
- 현존하는 보안 측정 문서
• RA이전에 검토가 필요
NIST의 보안 TEST
• 워다이얼링
• 패스워드 클랙
• 바이러스탐지
---------------------------------------------------------------------------------------------------
NIST(National Institute of Standards and Technology)는 미국에서 정보보안을 보증하기 위한 표준을 정의할 책임과 권리를 갖는 기관으로 FIPS(Federal Information Processing Standards)라는 공식적인 표준을 공표한다.
이에 따라 NSA(national security agency) 와 같은 기관에서 구체적인 S/W가 개발된다.
---------------------------------------------------------------------------------------------------
보안 체인에서 가장 취약한 고리 : 사람
• 교육의 부재
• 보안에 대한 인식부재
• 사회공학적인 공격에 대상 (뚜렷한 방지법이 없다.)
보안 인식교육의 세가지 중심
• 인식
• 훈련
• 교육
인식
• 보안 통제의 중요성에 대한 직원들의 일반적이고 집단적인 의식
• 보안이 기업의 생존력에 어떤 영향을 끼치는지, 컴퓨터 자원에 대한 이해가 있을 때 보안의식을 가진다고 말할 수 있다.
• 보안 인식 장점
- 통제 효율성의 증가
- 자원의 오남용 감소
- 비허가된 돌발 행동 감소
훈련과 교육
• 기업내 채택된 정책 표준 가이드라인에 대해 철저한 교육이 필요
• 민감하거나 중요한 데이터를 취급하는 직원에게 특히 중요함
• 교육은 보안의 이유에 대해서 기업의 보안상의 환경을 이해시키는 것(why)이 목적이다.
• 훈련은 보안상의 여러 사건에 대해서 대처능력을 갖도록 하는 것(how)으로 기술을 숙련되도록 시간과 노력을 제공하는 것이다.
> 훈련과 교육은 책임의 한계가 어디까지인지 정확히 인지시켜야하며 그러한 책임의 한계가 어디인지를 알기 위해서는 기본적으로 업무 프로세스에 대해 각각 개인의 업무가 잘 세분화 되어 있어야 함.
효과 측정
• 인터뷰, 설문
• 보안 위반 건수의 측정
• 준거성 및 실증 test
> 훈련과 교육이 정상적으로 이루어 진다면 인터뷰 및 설문에서 보안 위반 건수 측정시 사례가 증가하여 측정됨.
정보 보호를 해야 하는 경우란 ?
- 업무 시스템에 정보시스템이 갖추어져 정보 보호 시스템이 필요한 경우
-> 기본적인 네트워크 구성 및 보안 장비가 필요함.
댓글 없음:
댓글 쓰기