정보보안기사 - 정보보호 관리 및 법규(1)
목차
1. 정보보호 거버넌스
2. IT 보안관리
3. ISO 27001
4. 정보보호 정책
5. IT 보안계획
6. 인적자원 보안
1. 정보보호 거버넌스
1) 정의
기업 거버넌스의 일환으로 비즈니스와의 전략적 연계, 관렵법과 규정의 준수, 의사결정 권한 및 책임의 할당을 위한 프로세스 및 실행체계
2) 목표
책임성, 비즈니스의 연계성, 준거성
3) 기업 거버넌스
IT와 IT 프로세스의 수익과 위험사이의 균형을 맞추어 가치를 창출하면서 기업의 목적을 달성하기 위한 기업통제의 관계구조 및 프로세스
3) 정보보호 거버넌스의 구현요건
① 전략적 연계 : 비즈니스, IT 목표, 정보보호의 전략이 서로 연계되어야 한다.
② 위험관리 : 조직의 적합한 위험관리체계를 수립하고, 지속적으로 관리하여 위험을 수용가능한 수준으로 낮추는 과정
③ 성과관리
④ 자원관리
⑤ 가치전달 : 정보보안 투자를 최적화하기 위해 기업의 구성원에게 정보보안의 중요성과 가치를 교육시켜야 한다.
2. IT 보안관리
1) 정의
네트워크로 연결된 컴퓨터 시스템들에 대한 의존 및 연관된 위험의 증가에 대응하는 행위, ISO는 수많은 표준을 수정하여 ISO 27000 시리즈로 통합
2) ISO 시리즈
① ISO 27001
[정보보안관리체계 - 요구사항]에서는 정보보안 관리체계에 대한 문서의 수립, 이행, 운영, 모니터링, 검토, 유지보수를 위한 요구사항을 명시하고 있다.
② ISO 27002
[정보보안 관리]를 위한 실무규약에는 조직에서의 정보보안 관리를 위한 지침이 나와있으며, 정보통제를 위한 최선 실무에 대한 목록도 포함하고 있다.
③ ISO 27005
[정보보안 위험관리]에서는 정보보안 위험과리 프로세스에 대한 지침을 제공한다.
3) IT 보안관리의 기능
적절한 수준의 기밀성, 무결성, 가용성, 책임 추적성, 인증 및 신뢰성을 얻고 유지하기 위해 사용되는 프로세스로 조직의 모든 자산 및 비즈니스 프로세스에 대한 보다 더 폭넓은 위험 평가로 통합되어야 한다.
- 조직의 IT 보안의 목적, 전략 및 방침을 결정하기
- 조직의 IT 보안 요구사항을 결정하기
- 조직 내 IT 자산에 대한 보안위협을 식별하고 분석하기
- 위험을 식별하고 분석하기
- 적잘한 대책을 명시하기
IT 보안관리 프로세스의 반복되는 성질은 ISO 27001의 핵심으로 구체적으로 ISO 27005에 있는 보안위험 관리 프로세스에 적용된다.
- 계획(Plan) : 보안 정책, 목적 프로세스 및 절차의 수립
- 실행(Do) : 위험 처리 계획의 이행
- 점검(Check) : 위험 처리 계획의 모니터링 및 유지보수
- 처리(Act) : 인지된 변화에 대응하여 정보보안 위험관리를 개선 및 유지보수
3. ISO 27001
영국의 BSI에서 제정한 BS7799를 기반으로 구성되어 있는 일종의 보안 인증이자 보안 프레임워크이며, 어떤 조직이 ISO 27001 인증을 획득했다면 이는 ISO 27001에서 제시한 보안 프레임워크에 따라 회시 위험을 관리하고, 이를 개선해 나가는 체계를 갖추었다는 의미이다.
ISO 27001:2013은 조직의 상황, 리더십, 기획, 지원, 운영, 성과평가, 개선의 7개 관리과정으로 구성되어 있다.
- Plan : 조직의 상황, 리더십, 기획
- Do : 지원, 운영
- Check : 성과체크
- Act : 개선
1) ISO 27001:2013에서의 14가지 평가 항목
① 정보보호 정책 : 정보보호에 대한 경영방침과 지원사항을 제공하기 위함
② 정보보호 조직 : 조직내에서 보호를 효과적으로 관리하기 위해서 보호에 대한 책임을 배정
③ 인적자원 보안 : 사람에 의한 실수, 절도, 부정수단 등의 잘못된 사용으로 인한 위험 감소
④ 자산관리 : 조직의 자산에 대한 적절한 보호책 유지
⑤ 접근통제 : 정보에 대한 접근 통제
⑥ 암호화 : 기밀성, 인증 또는 정보의 무결성을 보호하기 위해 적절하고 효과적인 암호화 사용을 보장
⑦ 물리적 환경보안
⑧ 운영보안 : 정보처리 설비의 정확하고 안전한 운영을 보장하기 위함
⑨ 통신보안 : 네트워크 및 자원정보 처리시설의 안전한 통신을 보장하기 위함
⑩ 정보시스템 개발 유지보수
⑪ 공급자 관계
⑫ 정보보안 사고관리
⑬ 정보보호 측면 업무 연속성 관리
⑭ 컴플라이언스
또한, ISO 27001:2022는 평가항목을 4개의 그룹으로 통일했다.
① 조직(1 ~ 2)
② 사람(3 ~ 6)
③ 물리적(7 ~ 9)
④ 기술적(10 ~ 14)
4. 정보보호 정책
1) 정보보호 정책
- 조직의 내/외부 환경과 업무 성격에 맞는 효과적인 정보보호를 위하여 기본적으로 무엇이 수행되어야 하는가를 기술한 지침 및 규약
- 정보자산을 어떻게 관리하고 보호할 것인가에 대하여 문서로 기술해 놓은 것
- 정책은 기술 및 솔루션과는 독립적으로 만들어져야 하고 목적과 임무에 대한 윤곽을 기술해야 한다.
2) 정보보호 정책의 역할
- 임직원에게 책임 할당 및 책임 추적성을 제공하고 기업의 지적재산권을 보호하며 자원의 낭비를 방지한다.
- 임직원의 가치판단 기준이 되고 경영진의 목표를 직원들이 공유할 수 있도록 해준다.
3) 정보보호 정책의 수정
- 보안정책은 위험분석 등 보안관리의 과정을 통하여 얻어진 결과를 바탕으로 수정될 수 있다.
- 새로운 시스템의 추가 및 침해사고 발생 등의 사건으로 인하여 기존의 보안정책이 본래의 기능을 수행하지 못하여 문제점이 발생될 수 있기 때문이다.
4) 정보보호 정책을 구현하기 위한 요건
- 정책은 주로 정보보호 관리자가 개발한다.
- 정책은 모든 임직원이 이해 가능한 수준으로 작성되고 의사소통 되어야 한다.
- 경영진에 의해 승인되어야 한다.
- 포괄적, 일반적, 개괄적으로 기술되어야 한다.
- 정책은 문서화되어야 하고, 임직원에 대한 교육이 이루어져야 한다.
5) 정보보호 정책을 구현하기 위한 요소
① 표준(Standards)
- 요구사항을 정의한 것으로, 의무적 활동 또는 규칙이다.
- 정책을 지원하고 방향을 강화하며 강제성을 부여해 준다.
② 기준선(Baselines)
- 미래의 변경에 대한 비교로 사용되는 현재 시점을 나타내며 일관되게 참조할 수 있는 포인트이다.
- 표준보다 구체적이고 명시적으로 되어있다.
- 필요한 최소보호 수준을 정의하기 위해 사용한다.
③ 지침(Guidelines)
- 특정한 표준이 적용되지 않는 사람들에 대한 권장행동이며, 예측할 수 없거나 명확한 판단이 어려운 상황에 유연성을 제공하는 일반적인 접근이다.
④ 절차(Procedure)
- 각 단계적인 작업을 자세하게 설명한다.
- 정책사슬의 최저 수준으로 고려되며, 이는 절차가 컴퓨터와 사용자들에게 가장 근접하고 설정과 설치의 논점에 대한 상세한 단계를 제공하기 때문이다.
5. IT 보안계획
- 무엇이 이루어질 것인지, 어떤 자원이 필요한지, 누가 책임을 질 것인지에 관하여 자세히 기술한 문서
- 현업의 전략 및 정보 기술 목표와 연계되고 장기적(5년)인 관점에서 수립되어야 한다.
- 주기적으로 최소 1년에 한 번 검토해야 하며, 변화가 발생할 때마다 검토되어야 한다.
6. 인적자원 보안
1) 고용과정에서의 보안
- ISO 27002에서 직원, 계약직원 및 제3사용자들이 그들의 책임을 이해하고, 그들에게 적합한 역할을 고려하며 위험성을 줄이도록 보장하기 위함이다.
- 고용협정 : 계약서에는 기밀 및 비누설 동의가 포함되며, 직원과 맺은 기밀유지협약(NDA, Non-Disclosure Agreement)은 조직의 영업비밀, 지적재산권 보호의 내용을 담고 있다.
2) 고용기간에서의 보안
- 이해하기 쉬운 보안 정책 문서와 모든 피고용인들을 위한 지속적인 인식 및 훈련 프로그램이다.
① 최소권한 : 각 사람에서 작업을 수행하는데 필요한 최소한의 접근을 부여한다.
② 직무분할 : 한 사람이 특정 프로세스의 모든 단계를 수행할 권한이나 시스템 보안전반에 절대적인 권한을 가지지 않게 하기 위함이다. 소규모 조직의 경우 제 3자의 감사추적 검토를 통해 진행한다.
※ 감사추적 : 입력된 데이터가 어떤 변환과정을 거쳐 출력되는지의 과정을 기록하여 추적하는 방법
③ 직무순환 : 전임직원의 부정이나 실수를 후임직원이 발견할 수 있도록 하는 예방과 탐지 목적의 인적통제로 직원의 공모위험 감소
3) 고용종료
- ISO 27002에서는 계약직원 및 제3 사용자들은 질서 있게 조직을 나가거나 고용상태를 변경시켜야 하며, 모든 장비의 반납과 모든 접근권한의 제거가 완료되는 것을 보장한다.