CISA Domain 5 - 정보 보안의 개념 (1)

이 도메인은 정보 자산의 기밀성, 무결성, 가용성을 보장하는 핵심 요소를 다루고 있다.

 

위험을 타당할 정도로 감소시키기 위해서는 보안을 비즈니스의 목적과 연계할 필요가 있으며, 보안의 설계, 구현 및 모니터링 또한 비즈니스의 목표 및 목적과 연계되어야 한다.

즉, 정보보호의 목적은 정보가 생성되어 소멸되기 전까지 그 처리 및 유통의 생명주기 전반에 걸쳐 가용성, 무결성, 기밀성을 확보하는 데 있다.

 

 

✔ 보안의 목적

• 정보시스템의 지속적인 가용성을 보장
• 컴퓨터 시스템에 저장된 정보 및 전송 중인 정보의 무결성을 보장
• 저장 및 전송중인 데이터의 기밀성을 보장

 

 IS 감사인은 기존 통제를 식별하고 평가할 수 있고, 새로운 또는 추가적인 통제를 권고할 수 있도록 상기 목적을 기술적인 통제 및 보조적인 수작업 통제를 통해서 달성할 수 있는 방식을 알고 있어야 한다.

 

 

✔ IS 감사인의 인지사항

• 보안의 목적은 사업의 목적과 일치되어야 한다.
• 보안관련된 사항은 고위급 경영진 이상의 레벨에서 결정되어야 한다.
• 자산보호에 대한 명확한 책임소재가 정의되어야 한다. (→ 책임 추적성)
• 위험관리 과정은 반드시 진행되어야 한다. (→ 비즈니스 영향 분석(BIA))

 

정보란, 다른 중요한 비즈니스 자산과 같이 가치를 가진 자산을 말하며, 적절하게 보호되어야 한다.

1️⃣ 기밀성(Confidentiality) ↔ 노출(Disclosure)

• 데이터가 인가된 당사자에 의해서만 접근하는 것을 보장
• 위협 : 스니핑, Shoulder surfing, 암호화되지 않은 백업 데이터
• 침해사례 : 권한이 없는 사람, 프로세스, 프로그램에 의한 데이터 접근

2️⃣ 무결성(Integrity) ↔ 변경(Alteration)

• 자산이 인가된 당사자 또는 인가된 방법으로만 변경될 수 있도록 보장
• 무결성 = 정확성, 완전성, 일관성
• 위협 : 비인가된 프로그램(트로이 목마, 백도어, 바이러스)
• 통제 : 직무분리, 접근통제, 동시성 통제

📢 A라는 회사는 B라는 직원이 물품을 구매, 견적, 주문, 검수, 감사 등 모든 업무를 진행하고 있다.
→ 이처럼 직무분리가 되어있지 않으면 업무에 대한 정확성(부정행위)이 떨어지게 된다. 따라서 직무분리를 하여 업무를 정확하게 파악하여 무결성을 보장한다.

 

3️⃣ 가용성(Availability) ↔ 파괴(Destruction)

• 자산이 적절한 시간에 인가된 당사자에게 접근 가능해야하는 것을 보장
• 위협 : DoS Attack
• 통제 : 백업, 클러스터링(로드벨런싱), Fault Tolerant(내결함성)

💡 Fault Tolerant란? 

가용성을 보장하며 탐지와 교정 통제에 해당하지만, 예방 통제는 해당되지 않는다.

→ Single Point of Failure이 없도록 설계

 

 

정보보호 관리 프로그램의 성공적 수립과 지속을 위해서는 최고 경영진의 참여와 지원이 이루어져야 한다.

(Top - Down 원칙)

 

✔ 보안정책

• 경영진에 의해 생성된 High Level Statement로서 사내의 중요한 정보를 보호하고 관리하기 위한 조직의 고위 관리층이 생각하는 신념, 지향하는 목표 그리고 특정분야에 관하여 달성하고자 하는 내용의 성명서이다.
• 보안정책은 문서화되어야 하며 법과 규정 및 프라이버시 가이드라인과 연계됨을 준수하고, 데이터가 기밀성, 무결성, 가용성을 유지하는지를 증명해야 한다.
• 보안정책과 절차는 최신(무결성)으로 유지되고, 업무 목적 및 일반적으로 수용되는 보안 표준과 실무를 반영하여야 한다.

 

✔ 허용 가능한 사용 정책(AUP, Acceptable User Policy)

• 한 개 이상의 조직 자산에 접근할 수 있는 모든 직원을 대상으로 하는 보안 정책의 유형
• 허용 가능한 활동과 허용되지 않는 활동을 정의
• 명확하고 간결해야 하며 각 직원이 정책을 읽고 이해한 후 준수 여부에 대한 동의를 하고 서명해야 한다.

📢 효과적인 통제는 정보자산의 상세한 목록을 필요로 한다. 이러한 목록은 자산을 가능한 단순하며 분류레벨도 최소화하여 나누며, 각 자산에 제공될 보호 수준을 결정하기 위한 첫 단계이다. 경영진은 주요 정보 자산을 위한 책임 추적성을 수립하여야 하며, 소유권을 할당한다.

 

 

✔ 자산(Asset) 분류의 장점

• 민감성(기밀) / 중요성(가용)에 따라 등급을 부여하여 비용 효과적인 방법으로 보호하기 위함
• 테스트 데이터와 실행 데이터에 접근해야 하는지 결정할 때 중요
• 보안과 경영 목적을 연계시킴으로써 정보자원에 대한 과보호로 인한 위험과 비용을 줄여준다.

💡 자산 분류를 하는 이유? 

• 자산의 등급을 나눈 후 사용자의 역할에 따라 접근하게 하기 위함이며, 이는 최소권한의 원칙을 지켜준다.
• 알 필요성의 원칙

 

 

✔ 등급을 나누는 기준 (Data Value, Biz Loss)

• 비즈니스 손실에 따른 영향에 따라 등급을 나눈다. ⭕
• 데이터의 가치에 따라 나눈다. ⭕
• 비즈니스 영향에 따른 손실에 따라 등급을 나눈다. ❌

 

 

✔ 보안 인식 교육

정보보호의 목표, 전략, 정책, 필요성, 관련된 책임 등을 직원, 파트너 등에게 설명하기 위한 목적으로 행동의 변화와 좋은 보안정책의 실행을 강화할 수 있다.

또한, 보안 인식 교육은 조직의 목적과 일치해야 하며 개인의 보안 염려에 대해서도 다루어야 하며 다양한 범주의 사람들의 행위에 주목하고 관찰하며 평가해야 한다.

 

1️⃣ 보안 인식 교육의 장점

• 직원의 태도 개선
• 감소된 비의도적인 보안 위반
• 소셜 네트워킹 사이트 사용으로 인한 기밀 정보 유출 위험 완화
• 다국적 기업에서 보안 정책/절차를 잘 준수하게 하는데 도움

2️⃣ 보안 인식 교육의 효과 측정법

• 질문지 혹은 설문지 배포
• 보안 위반 사고 건수 체크
• Quiz, 행동관찰
• 밀고

📢 보안 인식 교육의 효과 측정법 중 "밀고 > 행동관찰, Quiz > 인터뷰" 순으로 높을수록 교육이 잘 되었다고 볼 수 있다.

 

 

✔ Dumpster Diving 예방책

• 분쇄기 사용(Shredding Machine)
• 문서 파기에 대한 정책
• 쓰레기통을 밝은 곳에 비치

가장 좋은 방법은 보안 인식 교육(프로그램)이다.

 

📒 요약_회사에서 보안을 하고자 할 때 필요한 4가지

• 고위 경영진의 지원
• 보안정책
• 정책의 역할 / 책임 명시 → 책임 추적성
• 보안 인식 교육(프로그램)