1. 정보 보호 목표 설정하기
1-1. 정보 보호 목표 설정
1) 정보 보호 대상 자산유형
| 자산 유형 | 설명 |
| 데이터 | 전산화된 정보를 말하는 것으로 문서 파일, 데이터 파일 등이 해당된다. |
| 문서 | 종이로 작성된 정보를 말하는 것으로 각종 보고서, 계약서, 메뉴얼 등이 해당된다. |
| 소프트웨어 | 패키지 소프트웨어, 시스템 소프트웨아, 각종 애플리케이션 소프트웨어 등이 해당된다. |
| 서버 | 공용 자원을 가지고 여러 사용자에게 제공하는 컴퓨터 시스템을 말한다. |
| 네트워크 | 네트워크 장비, 통신 회선 등을 말한다. |
| 시설 | 건물, 사무실, 데이터 세터 등의 물리적 시설을 말한다. |
| 지원 시설 | 공조 시설, 전력 공급, 방재 시설 등 정보 시스템을 운영을 지원하기 위한 시설을 말한다. |
2) 정보 보호 정책 분석 항목 식별 방법
| 식별 대상 | 식별 절차 |
| 산출물 기준 | ① 정기적 보고서(일, 주 월, 년 등) 식별 ② 표준화 대상 여부 판단 ③ 산출물 작성 시 유의 사항, 작업 기준 등을 도출 |
| 문서(보고서 등) 기준 | ① 중요 보고 문서 및 품의문을 검색 ② 동 문서에서 정책 및 표중화 대상을 식별 |
| 규정/ 지침/ 업무 메뉴얼, 업무 방법서 기준 |
① 팀 내 관리하는 규정/지침, 업무 메뉴얼 확인 ② 업무 메뉴얼 체크리스트 조사 ③ 세부 내용을 중심으로 정책 항목 도출 |
| 외부 선진 보안 모델 기준 | ① 보안 관련 자료 수집 ② 회사 내에 응용되어 준수하여야 할 항목으로 변 |
- 조직의 정보보호 목표 설정을 위하여 정보 보호 정책과 정책 시행 문서를 수집하여 분석한다.
(1) 정보보호 목표 설정을 위한 정보보호 정책 분석 대상 식별을 위한 기준을 작성한다.
① 정보보호 목표 설정에 필요한 정보보호 정책 분석 대상 식별 대상을 선정한다.
② 정보보호 목표 설정 도출이 용이하도록 정책 분석 항목 식별 방법을 작성한다.
(2) 정보 보호 목표 설정을 위한 정보 보호 정책 분석 대상을 분석한다.
① 정보 보호 목표 설정에 필요한 정보 보호 정책서를 파악한다.
② 정보 보호 목표가 정확히 도출될 수 있도록 정보 보호 정책 분석 대상 식별 시 유의사항을 작성한다.
- 정보 보호 목표 설정을 위하여 정보 보호 관리 체계 내의 서비스, 업무, 조직, 정보 시스템, 설비를 파악하고 분석한다.
(1) 정보 보호 관리 체계 내의 자산 분석을 위한 서비스 대상을 파악한다.
① 조직의 업무와 연관된 정보 및 정보 시스템을 포함하는 정보 자산을 식별한다.
② 정보 자산 목록에는 정보 자산의 관리 책임자, 자산 형태, 업무상 가치를 포함하여 정보 보호 관리 체계 내의 서비스를 파악한다.
(2) 정보 보호 관리 체계 내의 업무와 인력을 파악한다.
(3) 정보 보호 관리 체계 내의 정보 시스템을 파악한다.
(4) 설비를 파악할 수 있는 시스템 구성도를 분석한다.
3) 정보 보호 정책 분석 유의사항
| 구분 | 유의 사항 |
| 범위 | 운영상, 보안상 영향을 미치는 모든 자원을 대상으로 한다. |
| 보안 업무 표준 | 업무 추진 시 일방적으로 준수하여야 할 원칙 (선언적 준칙 사항 포함) |
| 보안 기술 | 도입 및 운영할 내 · 외부 보안 시스템 기술의 요구 사항 |
| 보안 프로세스 | 보안 관리 프로세스 세부 활동의 완전성, 충분성 등을 갖추기 위한 정성적 · 정량적 조건 명세 |
4) 정보 보호 대상 시스템 구성도
2. 정보 보호 대상 범위 설정하기
2-1. 정보 보호 대상 범위 설정
1) 정보 보호 정책 분석 유의 사항
| 구분 | 역할 |
| 정보 자산 소유자 | 정보 자산의 신규 도입부터 폐기 시까지 각 파트에 소속된 정보 자신에 대한 총괄 관리 및 책임을 진다. |
| 정보 자산 관리자 | 정보 자산 소유자는 정보 자산을 관리하는 정보 자산 관리자를 지정하여 정보 자산 관리에 대한 실행 책임을 위임할 수 있으며, 정보 자산 관리자는 본 절차에서 제시하고 있는 ㅈ정보 자산 분류 체계에 따라 각 파트에서 관리되고 있는 정보 자산을 식별하고 각 정보 자산의 중요성에 대한 평가 업무를 수행하는 등 실무 업무를 담당한다. |
| 정보 자산 사용자 | 정보 자산의 사용은 소유자의 허가 아래 사용하여야 하고, 통제되지 않는 정보 자산을 포함하여 업무와 무관한 어떠한 정보 자산에도 접근을 시도해서는 안 된다. 또한 정보 자산 사용시 정보 자산의 유출 및 파손 사고가 발생하였을 경우 이에 대한 최종 책임은 사용자가 진다. |
2) 정보 보호 관리 체계 구성도
- 정보 보호 관리 체계의 개요
정보 보호 관리 체계는 정보 보호의 목적인 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립하여 지속적으로 관리・운영하는 체계로 Plan-Do-Check-Act 사이클을 통한 지속적인 정보 보호 체계의 관리가 정보 자산을 보호하는 성공하는 체계이다.
3) 영역별 정보 보호 관리 대상
| 구분 | 항목 | 세부 설명 |
| 관리적 | 조직/인원 | 시스템에 접근 가능한 조직 및 인력에 대한 접근 통제 |
| 문서 | 문서 관리 지침 준수, 대외비 문서 유출 금지 | |
| 물리적 | 하드웨어 | 하드웨어 장비에 대한 보호 대책과 관리적 절차 |
| 장소 | 출입 통제 및 우발적 사고, 화재 발생을 방지하기 위한 조치 | |
| 기술적 | 데이터 | 데이터의 변경, 파괴 및 노출 방지 |
| 소프트웨어 | 소프트웨어 변경 통제, 바이러스 침입 대책 | |
| 네트워크 | 비인가자에 대한 접근 통제 |
(1) 영역별 정보보호 관리 대상
- 정보 보호 대상 범위의 설정을 위하여 정보 보호 관리 체계 내의 서비스, 업무, 조직, 정보 시스템, 설비를 식별한다.
① 정보 보호 대상 범위 설정을 위한 서비스를 식별한다.
② 정보 보호 대상 범위 설정을 위한 업무를 식별한다.
③ 정보 보호 대상 범위 설정을 위한 조직을 식별한다.
④ 정보 자산 식별이 가능하도록 정보 자산 목록을 작성한다.
⑤ 정보 보호 목표 설정을 위한 정보 자산 목록을 작성한다.
- 식별된 정보 보호 관리 체계 내의 모든 유형, 무형 자산을 조직에 미치는 영향도에 따라 문서화한다.
① 정보 보호 목표 설정을 위한 정보 자산의 등급을 분류한다.
② 정보 보호 목표 설정을 위한 정보 자산의 평가 기준을 정의한다.
③ 정보 보호 목표 설정을 위한 정보 자산의 중요도를 문서화한다.
- 조직에 미치는 영향도에 따라 문서화된 정보 자산 목록에 의하여 정보 보호 대상의 경계와 그 범위를 설정할 수 있다.
① 정보 자산 목록에 의하여 정보 자산을 관리하는 정보 자산 관리자를 선정한다.
② 정보 보호 대상의 경계와 그 범위에 따라 정보 자산의 접근 권한을 부여한다.
③ 정보 보호 대상의 경계와 그 범위를 기준으로 보안 등급을 문서화한다.
3. 정보 보호 중장기 계획 수립하기
3-1. 정보 보호 중장기 계획 수립
1) 정보 보호 정책의 유형
| 보안 정책 | 보안 정책 정의 및 목적 | 관리 지침 |
| 정보 보호 정책 | 조직의 보안 최상위 규정으로서 해야할 사항을 정의한다. 사업 요구 사항과 관련 법규에 따라 경영 의사 결정을 돕고 정보보호를 지원하기 위함이다. | 정보 보안 업무 처리 지침 |
| 내부 조직 | 내 · 외부적인 상황에 따른 보안 활동을 수행할 정보 보호 조직에 관하여 정의한다. 조직 내의 정보 보안을 관리하기 위함이다. | 보안 업무 취급 규정 |
| 외부 | 제 3자에 대한 보안 관리 및 운영 등에 관한 사항을 정의한다., 외부 조직에 의해 관리되거나 접근되는 정보와 정보 처리 설비의 보안을 관리하기 위함이다. | 정보 보안 업무 처리 지침 |
2) 위협, 취약성, 위험의 정의
| 용어 | 세부내용 |
| 위협 (Threat) |
자산에 손실을 미칠 수 있는 원하지 않는 사건의 잠재적 원인으로서 자연재해와 같은 환경의 위협 및 사람에 의한 의도적 위협이 있다. 이러한 위협은 자산의 취약점을 이용하여 자산에 손실을 발생시키는 것으로 위협의 발생 횟수에 따라 위협의 크기를 산정하여 대응할 위협인지 아닌지를 판단할 수 있다. |
| 취약성 (Vulnerability) |
자산이 가진 속성으로서 위협의 이용 대상이 될 수 이는 자산의 약점 또는 결점을 말한다. 따라서 위협이 발생해도 자산의 취약성이 없다면 자산의 손실이 발생하지 않는다. 보안 대책은 흔히 자산의 취약성을 보안 또는 제거하여 위협이 발생해도 자산의 손실이 발생하지 않도록 하는 방법으로 구현한다. |
| 위험 (Risk) |
위협이 취약성을 자산에 손실을 미칠 가능성으로, 위협과 취약성이 클수록 위험이 커지며, 자산의 가치가 클수록 발생할 수 있는 손실도 커진다고 정의할 수 있다. 따라서 위험의 크기는 위협, 취약성, 자산의 가치에 비례하는 함수로 정의 할 수 있다. |
3) 정보 보호 구분별 요구사항
| 구분 | 취급 가능자 |
| 암호화 | - 주요 금융 정보 암호화 후 금융 단말기 내에서 해당 암호문에 대한 복호화 과정이 수행되지 않아야 한다. - 보안 모듈은 표준 암호 알고리즘을 이용하여야 하며 암호 알고리즘에 대한 구현은 안전성이 검증되어야 한다. - 암호 키는 유일성이 보장되어야 하며, 안전하게 저장 및 갱신되어야 한다. - 암호 키는 보안 모듈 이외의 프로세스에 의해 접근이 통제 되어야 한다. |
| 보안 패치 |
- 프로그램 등에 대해 필수 보안 패치를 적용할 수 있는 운용 수단을 제공하여야 한다. - 단말기 운영 체제에 대한 최신의 필수 보안 패치를 적용 할 수 있는 관리 수단을 제공하여야 한다. - 제어 프로그램 등 프로그램 이용 및 설치 시 원격의 특정 IP 주소, 프로토콜(protocol)등만 허용하도록 설정되어야 한다. |
4) 보안 관리 3대 원칙(정보 보호 기준)
| 구분 | 정보 보호 기준 |
| 기밀성 | 정보의 생성, 저장 및 전송 과정에서 비인가된 사람의 네트워크 감시, 훔쳐보기 및 사회공학 등의 방법에 의한 정보 노출 방지 |
| 무결성 | 인가되지 않은 사람에 의한 정보의 변경을 방지하는 것으로, 정보의 생성, 저장 및 전송 과정에서 비 인가된 사람의 실수 또는 고의에 의한 정보의 변경 발생 방지 |
| 가용성 | 인가된 사람의 정보 접근을 방해하지 않도록 네트워크, 시스템 및 데이터에 대한 접근이 허용된 시간내에서는 항상 운영 |
5) 관리적, 물리적, 기술적 관념 보안 대책
| 관리적 보안 | - 보안 교육 및 준수 점검 실시 - 위험관리 업무 및 보안성심의 업무 - 전자 금융 보안 - 주기적인 모의 해킹 및 취약성 점검을 통한 보안 강화 |
| 물리적 보안 | - 출입 통제 시스템 운영 - 주요 통제 시설에 생체 인증 시스템 적용 등 출입 통제 강화 |
| 기술적 보안 | - 시스템 접근 통제 시스템 구축 - 사용자 인증으로 단말 및 업무 시스템 사용시/본인 인증 - 고객 정보 및 내부 정보 유출 방지 시스템 구축/운영 |
4. 정보 보호 세부 실행 계획 수립하기
4-1. 정보 보호 세부 계획 실행 계획 수립
1) 망 분리의 유형
| 구분 | 내용 |
| 논리적 망 분리 | 한 대의 PC에서 가상화 기술을 이용하여 내부 망과 외부 망을 분리하는 방식으로, 사용자가 인터넷 사용시 가상화 기술을 이용하여 외부 인터넷에 접근한다. - 가상화 기술을 사용하는 VDI방식(SBC), PC 운영 체제를 분리하는 OS 커널 분리 방식 |
| 물리적 망 분리 | 물리적으로 2대 이상의 PC 또는 네트워크 회선을 다리하여 내부 망과 외부 망을 분리하는 방식 - 내부 망 PC와 인터넷 망 PC 가 존재하거나 별도의 망 전환 스위치를 통한 분리 방식 |
2) 정보 보안 프레임워크의 구성
| 구분 | 내용 | |
| 보안 전략 | 기밀성 (Confidentiality), 무결성 (Integrity), 가용성(Availability) | |
| 보안 매커니즘 | 암호화, 부인 방지, 권한 부여, 보증 | |
| 관리적 측면 |
인적 보안 | 고용, 해고, 근무자 권한 및 책임 설정 |
| 보안 정책 | 정책, 절차, 지침, 표준화, 관련 법규 | |
| 기술적 측면 |
응용 기술 | 전자 지불, 공개 키 기반 구조, 무선 보안, 컨텐츠 보안 |
| 기발 기술 | 네트워크 보안, 시스템 보안, 데이터 보안 | |
| 요소 기술 | 암호화 | |
| 물리적 보안 |
출입 통제 기술 | 전산실 및 전산 장비, 주변 기기, 백업 장비 및 백업 매체, 출입 통 |
- 정보보안 프레임워크의 구성
정보 보안의 기밀성, 무결성, 그리고 가용성을 정점으로 하여 이러한 전략 목표를 성취하기 위하여 보안 메커니즘, 관리적, 물리적, 그리고 기술적 보안 대상으로 구성되는 프레임워크이다.
3) 정보 보호 영역 구성도
- 정보보호 영역 구성도
정보보호를 영역은 관리적 보안, 기술적 보안, 물리적 보안의 관점으로 정의한다.
4) 기술 영역별 세부 실행 계획
- 기술영역별 세부 실행 계획
(1) 침입 탐지 시스템은 각 네트워크 영역별로 설치하여야 한다.
(2) 시스템에 접근하고자 하는 경우는 가상 사설망(VPN)을 통한 사용자 인증을 통하여 한 전송 데이터의 노출을 보호하여야 한다.
(3) 전자 서명, 암호 키 관리를 적용하여 보안성을 강화한다.
(4) 취약점 분석은 보안 취약성을 위하여 검증된 표준 도구를 사용한다.
(5) PC에 대하여 보안 관련 버그(Bug)의 강제 패치를 실시한다.
5) 보안 문서 관리 프로세스
- 보안 문서 관리 프로세스
작성된 세부 계획에 대하여 타당성 승인을 받는다.
(1) 작성된 문서의 검토. 갱신 및 재승인, 문서의 변경 등의 통제를 정의한 절차를 수립한다.
(2) 문서에 대한 접근자의 신원 확인 등 통제에 필요한 절차를 포함한다.
'민간 자격증 > 정보보호관리사' 카테고리의 다른 글
| 8. 네트워크 보안 운영 (1) | 2024.07.19 |
|---|---|
| 7. 개인 정보 보호 운영 (0) | 2024.07.14 |
| 5. 보안 위험 관리 (0) | 2024.07.10 |
| 4. 개인 정보 보호 기획 (1) | 2024.07.05 |
| 3. 정보 보호 정책 기획 (0) | 2024.07.04 |
댓글