[정보보안기사] 정보보안 관리

1. 정보보호 관리

 1-1. ISMS-P(Information Security Management System-Personal)

 - ISMS : 의무 인증 기업이 받아야 하는 인증으로, 관리체계 수립 및 운영, 보호대책 요구사항에 대한 인증

 - ISMS-P : ISMS 인증을 받은 기업이 개인정보처리 단계별 요구사항의 인증기준을 준수하면 부여되는 인증

 - 정보통신망법, 개인정보보호법을 근간으로 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시를 확정함

 - 의무인증 : 기업 스스로 의무대상 여부를 판단하여 ISMS를 구축하고 인증을 취득

 - 자율신청 : 인증 취득을 희망하는 경우, 자율적인 신청을 통해 인증 심사

 

 1-2. ISMS-P 의무인증 대상자

 - 전기통신사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자(ISP)

 - 타인의 정보통신 서비스 제공을 위해 집적된 정보통신 시설을 운영하는 사업자(IDC)

 - 정보통신 서비스 매출액 100억 또는 이용자 수 100만 명 이상인 정보통신서비스 제공자

 - 연간 매출액 기준 1,500억 이상인 기업 중 의료법상 상급종합병원과 재학생 수 1만 명 이상인 고등교육법상 학교

 * 의무인증 미인증 시 3,000만 원 이하의 과태료 부과

 

 1-3. ISMS-P 인증 관리체계

 - 정책협의회 : 정책결정, 인증기관 및 심사기관 지정, 과학기술정보통신부, 방송통신위원회, 행정안전부

 - 인증기관 : 제도 운영 및 인증심사, 인증서 발급, 인증심사원 양성, 인증위원회 개최, 한국 인터넷진흥원

 - 심사기관 : 인증심사 수행, 한국정보통신진흥협회, 한국정보통신기술협회

 - 최초심사 : ISMS-P 인증 취득을 위한 심사, 중요한 변경사항 발생 시 최초 심사

 - 사후심사 : ISMS-P를 지속적으로 유지하고 있는지에 대한 심사, 연 1회 이상

 - 갱신심사 : 유효기간(3년) 만료일 이전에 유효기간 연장을 위한 심사

 - 심사원(보) : 인증심사원 양성 과정을 통과하여 자격을 취득한 자

 - 심사원 : 심사원(보) 자격 취득자로서 ISMS-P 인증심사에 4회 이상 참여하고, 심사일수의 합이 20일 이상인 자

 - 선임심사원 : 심사원 자격 취득자로서 ISMS-P 인증심사를 3회 이상 참여하고, 심사일수의 합이 15일 이상인 자

---

2. 정보보호 거버넌스

- 정보의 무결성, 서비스의 연속성, 정보자산의 보호를 위한 것

- 기업의 정보보안 전략을 정보보안 자원에 전략적으로 연계하는 것

- 전략적 방향을 제시하며 목적 달성, 위험 관리, 자산의 책임있는 사용, 기업 보안프로그램의 모니터을 보장하는 것

 

 2-1. Security PDCA

 - Plan : 정책, 계획, 세부목표, 프로세스, 절차 수립을 수행

 - Do : 정책, 통제, 프로세스의 구현과 운영을 수행

 - Check : 프로세스 성과평가, 결과 경영자 검토 수행

 - Act : 검토 결과에 따른 시정조치와 예방조치

 

 2-2. 관리체계기반 마련

 - 상위 수준의 정보보호 정책을 수립하고, 정보보호 관리체계 인증 범위를 확정

 - 인증 범위 내의 모든 정보 자산을 식별해야 함

 - 경영진으로 하여금 정보보호를 전담으로 관리하기 위한 조직을 구성하고 책임과 역할을 부여

 - 주요 의사결정 사항 발생 시 누가 의사결정을 할 것인지 공식적인 의사결정체계를 구축

---

3. 정보보호 위험 평가

 3-1. 위험관리

 - 위험을 식별, 분석, 평가, 보호대책을 수립하는 일련의 활동

 - 조직의 자산을 식별하고 위험을 평가하여 조직의 재해, 장애 등 손실을 최소화하기 위한 절차 혹은 연속적인 행위

 - Asset : 조직에 필요한 가치가 있는 자원

 - Risk : 위협, 취약점을 이용하여 조직의 자산에 손실, 피해를 가져올 가능성

 - Threat : 조직, 기업의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위

 - Vulnerability : 위협이 발생하기 위한 조건 및 상황

 - Risk Appetite : 수용할 준비가 된 위험의 총량, 영향의 크기와 발생 빈도로 정의

 - Risk Tolerance : 위험성향에 근거한 위험수준으로부터 수용 가능한 최대 편차

 - Risk Response : 식별된 위험의 발생 가능성과 영향에 대한 대응 조치

 

 3-2. 위험분석

 - 위험을 식별하고 측정하려는 노력과 활동

 - 기준선 접근법 : 모든 시스템에 대한 보호의 기준 수준을 정하고 이를 달성하기 위하여 일련의 보호 대책을 선택

 - 전문가 판단 : 전문가의 지식과 경험에 따라 위험 분석

 - 상세위험분석 : 자산의 가치를 측정하고 자산에 대한 위협 정도와 취약점을 분석하여 위험 정도를 결정

 - 복합적 접근법 : 조직 활동에 대한 필수적이고 위험이 높은 시스템을 식별하고, 그런 시스템은 상세위험분석 수행

 - 정량적 위험분석 : ALE = SLE X ARO를 통해 기대 위험가치 분석, 논리적이고 객관적인 정보를 획득

 - 정성적 위험분석 : 점수와 같은 기술변수로 위험 크기 표현, 금액화하기 어려운 정보의 평가 가능

 - 확률분포법 : 확률적 편차를 이용하여 미지의 사건을 추정하는 데 사용하는 방법

 - 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한

                        발생 가능한 결과들을 추정하는 방법

 - ARO : 매년 특정한 위협이 발생할 가능성에 대한 빈도 수

 - SLE : 특정 위협이 발생하여 예상되는 1회 손실액

 - ALE : 특정 자산에 대하여 실현된 위협의 모든 경우에 대해서 가능한 연간 예상 손실

 - 위험수용 : 위험을 받아들이고 비용을 감수

 - 위험감소 : 위험을 감소시킬 수 있는 대책을 채택하여 구현

 - 위험회피 : 위험이 존재하는 프로세스나 사업을 포기

 - 위험전가 : 잠재적 비용을 제 3자에게 이전하거나 할당

---

4. 정보보호 대책 구현 및 운영

- 관리체계 수립 및 운영 : 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선

- 보호대책 요구사항 : 정책/조직/자산 관리, 인적 보안, 외부자 보안, 물리 보안, 인증 및 권한 관리, 접근 통제,

                                   암호화 적용, 정보시스템 도입 및 개발 보안, 시스템 및 서비스 운영 관리, 사고 예방 및 대응,

                                   시스템 및 서비스 보안 관리, 재해 복구

- 개인정보처리 단계별 요구사항 : 개인정보 수집 시 보호 조치, 개인정보 보유 및 이용 시 보호 조치,

                                                      개인정보 제공 시 보호 조치, 개인정보 파기 시 보호 조치, 정보주체 권리 보호

---

5. 업무 연속성 계획 및 재난복구 계획

- 재해 : 기업의 서비스를 중단, 또는 방해할 수 있는 요소로 자연적, 인적, 환경적 요인으로 분류됨

- 재해의 특성 : 낮은 발생 가능성, 치명적인 결과, 불확실성 등

 

 5-1. BCP(Business Continuity Planning)

 - 비즈니스 전체에 대한 연속성을 제공

 - 비상 시에도 기업의 존립을 유지하기 위한 프로세스를 정의한 복구 절차

 - 가장 핵심적인 비즈니스 기능들의 우선순위화된 재개에 초점을 맞춤

 - 연속성 계획 정책 선언서 개발 -> BIA 수행 -> 예방통제 식별 -> 복구전략 개발 -> 연속성 계획 개발

    -> 계획 및 테스트 및 훈련 -> 계획의 유지 관리

 

 5-2. DRP(Disaster Recovery Planning)

 - 비상 환경에서 기업의 존립을 유지하기 위해 필수적인 IT 자원에 대한 복구 절차

 

 5-3. BIA(Business Impact Analysis)

 - 비즈니스별로 위험을 분석해서 복구 목표를 수립하는 것

 - 업무 중단이 사업에 미치는 영향에 대한 정성적/정량적 분석 및 평가

 - 업무 프로세스 우선순위 결정, 중단 가능시간 산정, 자원 요건 산정

 - RPO : Recovery Point Objective, 업무 중단 시점부터 데이터가 복구되어 다시 정상가동 될 때까지의 시간

 - RTO : Recovery Time Objective, 재해 후 시스템 응용, 기능들이 반드시 복구되어야 하는 시간

 - RP : Recovery Period, 실제 업무 기능 복구까지 걸리는 시간

 - MTD : Maximum Tolerable Downtime, 치명적인 손실 없이 조직이 피해로부터 견딜 수 있는 최대 시간

 - SDO : Service Delivery Objective, 2차 사이트에서 제공하는 업무 용량

 

 5-4. DRS(Disaster Recovery System)

 - Mirror : 1차 사이트와 완전 이중화, DB도 실시간으로 동기 수행, Active-Active 서버로 구성

 - Hot : 고가용성, 데이터 최신성, Active-Standby 서버로 구성, DB 복구 필요

 - Warm : 중요한 업무 위주로만 백업 사이트를 구성, 시스템 확보 필요

 - Cold : 전기 시설만 완비하고 재해 발생 시 서버와 소프트웨어를 구매해서 복구

---

6. 정보보호 시스템 인증

- 정보보호 시스템 제품을 객관적으로 평가하여 정보보호 제품의 신뢰성을 향상시키려는 인증 제도

 

 6-1. TCSEC 인증 및 ITSEC 인증

 - TCSEC : 독립적인 시스템을 평가하는 미 국방부 문서, Orange-book, BLP 모델에 기반하여 기밀성만 강조

 - ITSEC : 운영체제와 장치를 평가하기 위한 유럽형 지침, 기밀성, 무결성, 가용성을 다룸, ToE

 

 6-2. CC(Common Criteria) 인증

 - CCRA 가입국 간의 정보보호 제품에 대한 상호인증

 - 국가 간 상호인증으로 ISO 15408 표준을 획득

 - TCSEC + ITSEC + CTCPEC(캐나다의 신뢰 가능 컴퓨터 제품 평가) + Federal Criteria

 - 소프트웨어 생명주기 모델을 정의해야 인증을 받을 수 있는 정보보호 제품을 개발할 수 있음

 - PP : Protection Profile, 특정 고객의 요구를 충족시키는 제품의 기능성, 보증 관련 요구사항을 묶어 놓은 것

 - ST : Security Target, 제품 평가 시 사용되는 기능성과 보증 관련 요구 사항을 포함한 제품의 명세서

 - ToE : Target of Evaluation, 평가 대상 제품 또는 시스템

 - EAL : 보안제품을 평가한 최종 평가 등급(EAL1 ~ EAL7)

 - SFR : Security Function Requirement, ToE의 보안 기능 정의 시 사용되는 표준화된 보안 기능 집합

 - SAR : Security Assurance Requirement, ToE의 보증 수준 정의 시 사용되는 표준화된 보증 내용 집합

 

 6-3. GDPR(General Data Protection Regulation) 인증

 - 유럽연합 내의 개인데이터 보호 기능을 강화하고 통합하는 개인정보에 대한 EU 규정 

 - 주요 원칙 : 개인정보의 처리 원칙, 동의, 아동 개인정보, 민감 정보

 - 정보주체의 권리 : 처리제한권, 정보이동권, 삭제권, 프로파일링 거부권

---

7. 개인정보 영향평가 제도

- 개인정보를 활용하는 새로운 정보시스템 도입 및 기존 정보시스템의 변경 시, 시스템의 구축 운영이 기업의

  고객은 물론 고객의 프라이버시에 미칠 영향에 대하여 미리 조사 분석, 평가하는 체계적인 절차

- 개인정보보호법 시행령, 개인정보영향평가 대상