Day 64 (Security Management Practices_정보 보호)

<목록>

1. 정보보호의 이해

  1) 정보보호 이해

  2) 외부 환경적 요소

  3) 정보 보안 대한 이해 

  4) 정보 보안의 문제와 현황

  5) 정보 보안 접근 방법 

  6) 조직의 정보 보안

  7) 정보 보안 거버넌스의 구성 

2. 정보 보호 거버넌스(governance)의 5가지 성과 

3 정보보호의 세가지 요소 

4. 정보 보호의 요소 

5. 보안 통제 

6. 보안 통제 진행 과정

7. 통제의 한계 

8. 통제의 운영 

---

1. 정보보호의 이해

1) 정보보호 이해

정보보호는 기업 및 조직 생존의 핵심적인 요소로 부각되었다. 
IS(Information System)를 통해 업무를 기록하는 등 비즈니스에 내재적으로 스며들어간다.
정보의 무결성, 서비스 지속성(가용성), 자산보호에 대한 중점적인 활동을 한다. 기밀성은 비교적 부각되지 않는다.
IT를 적극적으로 비즈니스에 적용하고, 업무 소프트웨어를 개선하는 등의 업무 프로세스를 개선하는 경우 가장 중요한 요소가 된다. 
정보보안(안전성)과 효과성 간에 균형이 중요해졌다. 

 

2) 외부 환경적 요소
- 법률적, 기술적으로 급변하는 비즈니스 환경
- 지능적인 정보 범죄
- 문화 혹은 예술을 파괴하는 반달리즘
- 주어진 업무를 제대로 처리 하지 않는 비효과적인 관료주의

 

3) 정보 보안 대한 이해
정보보호의 복잡성과 타당성에 대한 지지는 이사회 수준의 활동으로 제기되고 급여로 측정되어야 한다. 정보를 생존을 위한 핵심 자산으로 이해해야 한다.

 

4) 정보 보안의 문제와 현황

정보와 지원시스템에 대한 기업 비즈니스 의존성 증가한다. 위험들이 새롭게 나타난다. 위험들을 통제하기 위해 개인정보 혹은 보안등 혼란스러운 법규와 더 높은 수준의 법적인 요구 사항들이 생겨난다.

 

5) 정보 보안 접근 방법

전통적인 접근법	새로운 접근 방법
- 정보 보호의 초점이 정보 취급, 처리, 저장방법에 주안점 - 현재 요구되는 전반적인 보안수준을 적용하기 불충분함  - 위험을 식별하지 않음	- 지식, 컨텐츠, 또는 정보 자체에 주안점을 둠  - 자산 식별 (자산 목록화 및 분류)은 자산별 위험을 정량화 하는 것이 목적 - 자산의 등급을 정하기 위해서 라벨링, 목록화를 통해 분류 - 자산의 등급이 정해지면 그것을 하는 사람의 등급 또한 분류 - 자산을 정량화를 통해 단위를 정해서 수치화 하여 측정하는것 - 정성화는 단순히 유무만을 판단 - base line system은 공통적인 위험에 대비하기 위한 시스템을 만드는것

 
6) 조직의 정보 보안

조직의 정보 보안은 정보 보안 거버넌스 수립으로 이루어진다.
정보보안 정책은 거버넌스가 지향하는 것을 문서화 한 것을 의미한다.  정보 보호의 시작은 정보 보안 정책수립을 의미한다. 

 

7) 정보 보안 거버넌스의 구성 
- 사업 목적을 포함한 보안 전략 
- 전략, 통제와 규정을 포함한 보안 정책 
- 보안 정책을 위한 표준과 가이드라인 
- 이해 당사자들간에 갈등이 없는 보안 조직 
- 준거성 보장을 위한 모니터링 프로세스 

 

2. 정보 보호 거버넌스(governance)의 5가지 성과
- 전략 연계

목표인 정보보호 전략을 위해 사업 전략(기업 비전)과 정보 보안은 연계되어야 한다. 보안 요건에 대한 기업의 요구사항을 선별한다. 기업의 비즈니스 프로세스에 알맞은 보안 솔루션을 구축한다. 위협, 취약점, 위험 프로파일에 기초한 보안에 투자한다.

 

- 위험 관리

위험의 완화와 잠재적 영향의 감소를 위해 적합한 측정이 필요하다. 위협, 취약점, 위험에 대한 이해가 선행 되어야 한다. 통제를 통해 수용 가능한 단계까지 위험을 완화시킨다. 위험의 잠재적 결과의 이해와 이에 기반한 위험이 수용 되어야 야 한다. 

 

- 가치 제공

비용이 효과적인 보안 투자의 최적화되어야 한다. 보안 실무에 표준이며 위험에 대한 파악이 선행 된 후 보안 영역에 대한 우선순위 배정과 자원의 적절한 분배가 이루어 져야 한다. 상품화된 표준화 기반의 솔루션 포함한 조직의 전 부분에 기반한 솔루션을 사용한다. 보안과 관련된 기능이 추가된 조직 업무 프로그램을 일회성 이벤트가 아니라 지속적인 개선하고 개발한다.

 

- 자원관리

효율적인 인프라와 자원 관리 달성을 목표로 한다. 보안 실무와 프로세스 문서화를 통해 이루어지며 엔지니어가 수행 한다. 인프라 자원의 효율적인 활용과 정의를 위한 보안 아키텍쳐 개발을 수행한다. 

 

- 성과 관리

목표 달성을 위해 정보 보안 프로세스를 평가하고 모니터링 하며 보고되어야 한다. 이슈해결 과정에 대한 피드백과 결점을 식별하는 프로세스를 수행한다. 외부 평가와 감사에 의해 제공되는 독립적인 보증한다. 감사에는 감리도 포함된다. 일반적으로는 감리에 의한 피해가 더 크다.

(*감사 : 일이 제대로 진행되었는지 그 프로세스를 확인하며, 사후적 성격을 가진다.
  감리 : 성과의 극대화를 위한 관리적, 기술적 성격이 강하며, 진행중인 사업을 성공적으로 완수 시키는것이 목적이다.)

- 프로세스 통합
기업 내에 다른 여러 조직간에 보안 프로세스는 각 조직의 서로 다른 보고 및 모니터링 체제 내에서도 통합되도록 노력해야 하고 이를 통해 보안 프로세스의 효과성이나 효율성을 개선할 수 있다.

 

3 정보보호의 세가지 요소

 

1) 기밀성 (Confidentiality) ↔ 폭로 (Disclosure)
의도되었거나 또는 의도되지 않은 노출을 방지하는 것이다. 대표적으로 암호가 있다. 인가되지 않은 사람이나 대상에게 노출되지 않는 것이 목표이다.

 

2) 무결성 (Integrity) ↔ 변경(Altereation) 

인가되지 않은 주체에 의한 객체의 변경을 막는다. 대표적으로 접근통제가 있다. 내외부의 일관성을 유지하여 시스템 안의 무결성(내부무결성)과 시스템 밖의 무결성(외부무결성)을 확보한다. 인가된 주체의 불법적인 변경을 막는 것이 목표이다.

 

3) 가용성 (Availability) ↔ 파괴(Destruction) 
자원의 적시 접근성을 보장한다. 원하는(인가된) 시간에 원하는 만큼(인가된 만큼) 자원을 사용할 수 있도록 보장하는 것이 목표이다. 가용성에 대한 공격은 쉬우나 이를 막을 방법이 거의 없어 예방이 우선시 된다.

 

4. 정보 보호의 요소 
- 식별(Identification) : 시스템에 신원을 알려주어 시스템이 각자를 구별할 수 있게 하는 것으로 이름이나 ID가 있다. 
- 인증(Authentication) : 제공된 신원과 대상이 일치하는지 확인하는 것으로 암호가 있다.
- 책임추적성(Accountability) : 책임을 이행할 의무 또는 작업이나 프로세스에 대한 책임 소재 식별성을 가지는 것으로 근원지 증명이라고도 한다. 무결성과 관련이 있다. 
- 허가(Authorization) : 개인이나 컴퓨터에 부여된 권한의 범위을 정하는 것으로 개인이나 컴퓨터에 부여된 권한의범위를 의미한다. 오라클에서 데이터의 privilege나 유닉스의 permission이 있다.

 

5. 보안 통제
- 보안 통제는 내부통제, safe guard와 같은 의미이다. 조직이 위험을 수용 가능한 수준으로 낮추기 위한 인력, 조직, 업무, framework등 일련의 활동을 말한다. 정보보안 관리자의 주 업무로써, 정보보안 관리자가 구현하고 경영자에 의해 강제된다.

 

- 위험, 위협,취약성

위험	어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성(ISO의 정의)을 의미 위험의 파급효과나 상대적 심각성 : 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도에 비례하여 결정
위협	고의적이거나 우발적인 사건 발생시, 시스템의 손상을 일으켜 기밀성, 가용성, 무결성에 손상을 야기함
취약성	위협이 이용 가능한 시스템상의 약점을 의미 고유 위험이라고도 하며 취약성이 있지만 위협이 없다면 해당 취약성은 의미가 없음

<예시 만들어 보기>

웹사이트에서 사용되는 2단계인증 시스템은 사용자의 암호 유출(취약성)이 된 경우에 사용자 계정 접근(위협)을 방지하고 사용자 정보를 추가적으로 확인한다. 이를 통해 사용자 계정 정보 유출(위험)을 예방한다.

6. 보안 통제 진행 과정
보안 통제는 IS에 대한 내부 통제 중 하나로 모든 통제는 다음과 같은 과정에 따라 진행된다.
1) 자산 식별 : 보호할 대상을 식별한다. 자산은 정량적으로 식별이 가능 해야한다.

2.)위험 분석 : 위험분석은 정량적으로 분석이 가능 해야한다.
3) 통제 개발 : 정보보호 담당자가 통제에 대한 조직이나 프로세스 등 통제 시스템을 구축하는 하여 통제를 만드는 것을 의미한다.

4) 통제 적용 : 경영자가 구축되어있는 통제를 실제 실무에 적용 및 운영한다.

5) 통제 평가 : 감리(기술자)자가 운영하고 있는 통제가 얼마나 유효하고 효율적인지에 대한 판단한다.

(*통제 개발,통제 적용,통제 평가 셋 중 하나라도 빠지게 된다면 통제가 되지 않는다고 평가한다.)

7. 통제의 한계
비용 효익을 초과 할 수 없기 때문에 정량적인 위험 분석이 필수 이다.

 

8.  통제의 운영
조직내의 모든 수준에서 운영하므로 하향식 통제 모델 개발이 필요하다. 상향식 통제 모델은 이론상으로만 존재한다. 모든 구성원이 해당 프로세스에 참여해야 한다.
이사회나 경영진의 책임이 있다. 내부 통제 촉진을 위한 적절한 조직 문화 구축한다. 내부 통제의 효과를 지속적으로 모니터링이 필요하다. 실무적인 모니터링은 보안 관리자에게 위임 가능하지만 일차적인(법적인) 책임은 위임할 수 없다.