Day 65 (Security Management Practices_보안 정책)

<목차>

1. 보안 정책

2. 보안 정책 유형

3. 보안 정책 구현

4. 역할과 책임

5. 위험 관리 목적 및 선택 

6. 위험 관리 프로세스

7. 위험의 요소측정

8. 위험 관리 수준

9. 위험 분석 기법

10. 보안 훈련과 교육

---

1. 보안 정책

보안 정책은 조직이나 기업의 전략, 보안전략, 조직별 보안 정책, 기능별 보안 정책, 표준, 가이드라인, 절차의 순서로 정의된다. 조직이나 기업의 전략, 보안전략, 조직별 보안 정책, 기능별 보안 정책은 요구사항으로, 표준, 가이드라인, 절차는 구현으로 구분이 가능하다.

표준은 반드시 지켜야 할 사항이다.

가이드라인은 꼭 지키지 않아도 되지만 있어야 하는 요소를 의미한다. 기존 가이드라인을 지키지 않고 새로운 방식을 제안해도 되지만 그러한 경우 해당 방식에 대한 검증이 필요하다. 하지만 새로운 방식에 대한 검증은 시간과 비용이 많이 발생하기 때문에 국가기간사업으로 수행되는 경우가 많다.

절차는 일종의 프로그램을 의미한다.

---

2. 보안 정책 유형

보안정책의 유형은 바슷하지만 규모에 따라 두 가지로 나눌 수 있다. 대규모인경우에는 정책 고위 관리 명세 및 규제를 실행한다. 회사가 직접업무관리를 하는 경우에 적용된다. 소규모인 경우에는 권고, 정보제공을 실행한다. 회사가 직접 업무관리를 하지 않고 정보를 공유받는 사람들에 적용하며 파견직 같은 경우에 적용된다.

---

3. 보안 정책 구현

- 표준

표준은 정책의 이념을 구현하기 위해 관련 정책에서 도출된 상세화 된 문서를 의미한다. 중간관리자가 정책인 업무 프로세서에 근거해 작성한다. 강제적인 규정으로보안 기술이나 제품을 규정한다.

 

- 가이드라인

가이드라인은 표준과 비슷하지만 강제적이지 않고 유연하다. 보안 정책은어느 정도 수행했는가로 평가하는 것이 아닌 단순히 [do|not]으로만 판단한다.

 

- 절차

절차는 특정 업무를 수행하기 위한 구체적 행동 요령이나 방법으로 실제 수행 과정을 의미한다.

 

-Baseline

Baseline은 효과성이 적고 위험 분석에 상관없이 사용한다. 전통적 접근방법과 굉장히 유사하다. 무언가 추가적으로 해야하는 요소가아닌 가장 기본적으로 충족되어야하는 요소이다.

---

4. 역할과 책임

- 이사회 및 최고경영자

본질적 보안 요구사항에 대한 보증을 한다. 정보보안정책을 승인하고 전략적 보안목적을 정의하며 보안 정책의 가장 큰 책임을 가진다. 이러한 책임을 분배하기위해 감사나 감리를 주기적으로 수행한다.

경영자는 정보보안 거버넌스를 이행한다.

 

- 정보보안 책임자

실무적 개발과 보증을 담당하는 최고 관리자이다. C-level의직급이 이에 해당한다.

 C-Level :(CEO, CIO, CSO, CCO …)
                 - E(eXecutive), F(finance), C(compliance), M(marketing)… 

 

- 데이터 소유자

데이터의 민감도나 분류레벨에 대한 책임을 가진다. 민감도는수작업이 높다 낮다 등으로 표현하는데 이는 가용성에 대한 분류 기준이다. 그 외에도 무결성, 기밀성으로도 분류가 가능하다. 허가된 데이터만 수정이 가능하게 하여무결성을 확보하고, 인가된 방법으로만 조작이 가능하게 하여 기밀성을 확보한다. 무결성과 정확성을 유지하는 방법으로는 라벨링(목록화)가 있다.

 

- 사용자

보안 정책을 위해 작성된 절차를 따르는 책임을 가진다. 책임은명확한 상벌규정을 통해 책임을 부여한다.

---

5. 위험 관리 목적 및 선택 

위험관리의 목적으로는 조직의 위험을 수용 가능한 수준으로 감소시키기 위한 것이다.

위험에 대한 조직의 선택은 회피, 완화, 전가, 수용, 제거가있다.

회피(avoid)는 프로세스 자체를 이행하지 않는 것으로 사업을 철회하는방법이 있다.

완화(reduction, mitigation)는 통제를 정의하고 구현한다.

전가(transference)는 보험등의 방법으로 위험관리 후에 남은위험인 잔여위험을 통해 책임을 전가하는 것이다.

수용(acceptance)은 통제 비용이 효익을 초과해 통제가 불가능한경우에, 모니터링만 수행하는 것이다.

제거(eliminate)는 위험의 원인을 제거하고 방지하는 것인데위험은 없어지지 않기 때문에 실질적으로는 제거가 불가능하다.

---

6. 위험 관리 프로세스

보안통제는 자산식별, 위험분석, 통제개발, 통제적용, 통제평가를 통해 이루어진다. 자산식별은 정량적측정을 통해 이루어진다. 위험관리 프로세스도 마찬가지로자산식별과 가치산정이 먼저 이루어지고 난 후에 위험분석과 세이프가드가 이루어진다.

정보자산식별은 전통적인 사업자산과 정량적 측정이 가능한 무형의 자산을 포함하여 수행한다.

자산가치는 적절한 세이프가드를 결정하고, 의무사항 충족과 법적인 책임에대한 한계를 짓기 위해 필요하다. 자산가치를 결정하는 것은 만약 위험이 발생하고 손실이 일어난 경우이전 정상적 상황까지 복구하는데 필요한 가치이다.

위험분석은 일반적인 위협과, 취약성,발생 가능성 등을 수치로 계산하고 평가하는 것이다. 일반 위협은 오류, 사기, 절도, 고장등이 있다. 취약성은 내부의 위협으로 위협이 해를 끼치기 위해 활용 가능한 정보자산의 특징이다. 없애기 어려운 고유 위협의 일부등이 있다. 위협과 취약성을 통해 위험을 분석한다.

보안통제에서는 위험은 취약성을 이용한 손실이나 손상이고, 위협은 손상을 가져오는 요소로 비슷하지만 위험관리 프로세스에서는 다른것으로 구분한다.

---

7. 위험의 요소측정(*반드시 자산의 가치 측정이 먼저 되어야 한다.)

노출요소(EF : Exposure Factor)는 발생한 위협이 자산에 끼칠수잇는 손실정도로 %로 표현한다.

단일손실예상(SLE : Single Loss Expectancy)은 단일 위험으로 발생한 손실 액수를 의미한다.

연간발생빈도(ARO : Annual Rate of Occurrence)는 연간 예상되는 위협의 발생빈도로서 100년에 1번이면 0.01로 표현한다. 하지만 100년마다 발생한다는 보장성은 없다.

연간 손실예상(ALE : Annual Loss Expectancy)은 단일 손 예상과 연간 발생 빈도의 곱(SLE * ARO )으로 산출된다. 이 값은 주주가 보안으로 인한 문제가 발생시 회사 보안을 위해 투자 할만큼 했다는 증빙서류로 면책의 기회를 제공하는 용도로 사용한다.

세이프가드(통제)는 일종의 통제로서 취약성을 위험 수준까지 감소시키기 위한 것이다. 행위, 장치, 절차, 기법등이 포함되며 손해비용이 세이프가드 구현 비용보다 크다면 기업은 법적인 책임을 질수있다. 세이프가드의 가치는 운영비용을 통해 측정된다.

---

8. 위험 관리 수준

위험관리 수준은 3개로 구분이 가능하다.

전략적 수준은 회사의 비전인 비즈니스 전략과 IT역량의 연계성으로 판단한다.

운영 수준에서의 고려사항은 일상업무를 통해 고려되는 사항이다.

프로젝트 수준에서의 고려사항은 목표 미 달성시 즉, 실패시의 위험성을 나타내는 사항이다. 프로젝트는 시작과 끝이 있는 업무를 의미한다.

위험관리 프로세스는 위협과 대책 사이에 비용적인 균형이 중요하다.

---

9. 위험 분석 기법

정상적 분석기법은 위험 가능성과 영향을 유무와 높낮이로만 표현한다.

정량적 분석기법은 IS구성과 손실에 대한 화폐적 가치를 부여하는 것이다. 다량의 정보와 복잡한 계산이 필요하다. 위험의 가능성과 영향또한 수치로 환산이 가능하다. 분석실무는 정성적 분석기법을 따라간다. ALE로 표현한다.

정량적 위험 분석과정은 자산 가치 결정, 잠재 손실추정, 잠재 위협분석, ALE 결정을 통해 이루어 진다.

---

10. 보안 훈련과 교육

보안 체인에서 가장 취약한 고리는 사람이다. 보안에 대한 인식의 부재와 교육의 부재의 문제가 있다. 또한 PC이외의 사회공학적인 공격에 대한 대상이 될수있다. 이해대한 뚜렷한 방지법이 없다.

직원들의 일반적이고 집단적인 의식을 가지게 하는 것이 중요하다.

교육과 훈련은 기업의 보안상의 환경(why)을 이해시키고, 사건에 대해 대처능력(how)을 갖도록 하는것이 주요 목표이다.

효과 측정은 보안 위반 건수의 측정을 통하는것이 비교적 정확하다. 보안 위반 건수는 점검이 아닌 신고 건수에 대해 측정하는 것이 포인트이다.