ch. 13 보안관리 / 연습문제 13장

01 정보 보안 거버넌스

02 보안 프레임워크

03 보안 조직

04 보안 정책과 절차

05 접근 제어 모델

06 내부 통제

07 보안 인증

08 개인 정보 보호

 

01. 정보 보안 거버넌스

1. 구현의 어려움

• 조직 구성의 어려움

CSO를 CTO(Chief Technology Officer)나 CIO(Chief Information Officer) 밑에 두는 것이 효율적인지 동등하게 두는 것이 효율적인지 결정하기 어렵다.

중앙집중화 VS 연방 체제

 

• 성과 측정의 어려움

정보 보안의 성격상 투자 성과를 측정하기가 힘들다. 보안에는 상당한 비용이 들어가지만 보안 사고가 일어나지 않는 한 그 성과를 측정하는데 어려움이 있다.

 

• 조직의 무관심

 

2. 구현 조건

*5가지 필수 요건

• 전략적 연계

정보 보안 거버넌스는 비즈니스와 IT기술의 목표, 정보 보안 전략이 서로 연계되어야 한다. 이를 위해 최상위 정보보안 운영위원회의 역할과 책임을 명시하고 정보보안 보고 체계의 합리화를 이뤄야 한다.

 

• 위험관리

정보 보안 사고의 잠재적 위험을 줄이려면 조직에 적합한 위험 관리 체계를 수립하고 이를 지속적으로 관리하여 수용 가능한 수준으로 위험을 낮춰야 한다. 또한 확인된 위험은 적절한 자원을 할당하여 관리해야 한다.

 

• 자원 관리

정보 보안 지식과 자원을 효율적으로 관리하기 위해 중요한 정보 자산과 인프라를 포함하는 전사적 정보 보안 아키텍처를 확보해야 한다. 또한 정책과 절차에 따른 정보 보안 아웃소싱을 수행하고 아웃소싱 정보 보안 서비스의 통제와 책임을 명시 및 승인하며 기업의 정보 보안 아키텍처와 전사적 아키텍처를 연계해야 한다.

 

• 성과 관리

정보 보안 거버넌스의 효과적인 운영을 위한 척도로 모니터링이나 보고 및 평가에 따른 성과 평가 체계를 운영하고 비즈니스 측면도 고려하여 성과를 평가해야 한다.

 

• 가치 전달

정보 보안 투자의 효과를 높이기 위해서는 구성원들에게 정보 보안의 중요성과 가치를 교육해야 한다. 또한 국제 표준을 기준으로 정보 보안 관리 체계를 갖추어 운영하고 자본의 통제 및 투자에 관한 프로세스를 정보 보안과 통합해야 한다.

 

3. 점검사항

-보안 거버넌스가 잘 운영되고 있는 기업의 특징 11가지

• 사업 전반의 이슈: 보안은사업 전반을 관통하는 이슈(enterprise-wide issue)로 조직 전반에 걸쳐 종적/횡적으로 관리해야 한다. 그러므로 보안 관리 프로그램(ESP-Enterprise Security Program)은 인력, 제품, 공장, 프로세스, 정책, 시스템, 기술, 네트워크, 정보를 포함하고 있어야 한다.
• 경영진의 책임 의식: 경영진은 조직과 주주 및 공동체의 보안뿐만 아니라 경제적 국가적 보안사항에 대한 책임 의식을 가져야 한다. 이를 위해 적절한 재무 지원 및 관리, 정책과 감사를 수행해야 한다.
• 사업의 필요조건: 보안은 사업의 필요조건(viewed as a business requirement)으로 소모되어 사라지는 비용이 아니라 회사의 가치를 높이기 위한 원가 요소로 이해해야 한다.
• 위험관리: 보안의 중요성은 노출된 위험의 크기에 좌우되므로 위험 관리(risk based)가 필요하다.
• 역할과 책임: 경영진과 운영 조직의 R&R(Role & Responsibility)과 SoD(Segregation of Duties Defined)가 명확해야 한다.
• 정책과 절차: 보안과 관련된 정책과 절차(address and enforced in policy)는 잘 정비되어 있고 엄격하게 지켜져야 한다.
• 능력과 권한: 보안 조직에 속한 인원은 적합한 능력과 권한(adequate resources committed)을 가져야 한다
• 교육과 훈련: 모든 직원이 보안 인식을 갖추고 보안 교육과 훈련(staff aware and trained)을 받아야 한다.
• 프로그램 개발 및 변경: 개발 및 변경과 같은 시스템과 소프트웨어의 생명주기에 따른 보안 통제가 이루어져야 한다.
• 계획, 수행 및 평가: 사업의 전략 및 계획을 수립할 때 보안을 고려해야 한다.
• 검토와 감사: 주기적인 검토와 감사(review and audited)를 통해 보안 사항을 확인하고 개선해야 한다.

 

02. 보안 프레임워크

-시스템이 구성원의 역량에 맞게 업무를 적절히 분배하기 때문에 개개인이 모두 뛰어날 필요 없는 시스템

(ISO 27001 표준)

 

1. ISMS와 PDCA모델

(Information Security Management System: ISMS) - 기업이 민감한 정보를 안전하게 보존하도록 관리할 수 있는 체계적인 경영 시스템. PDCA를 통해 발전시킬 수 있다. 계획, 수행, 점검, 조치를 반복 순환하는 모델

https://terms.naver.com/entry.naver?docId=3432095&cid=58437&categoryId=58437 참고: 네이버 지식백과

 

  1) 계획:ISMS 수립

  2) 수행:ISMS 구현과 운영

  3) 점검:ISMS 모니터링과 검토

  4) 조치:ISMS 관리와 개선

 

2. ISO 27001 보안통제분야

https://terms.naver.com/entry.naver?docId=3432094&cid=58437&categoryId=58437&expCategoryId=58437 참고

 

 

03. 보안 조직

https://terms.naver.com/entry.naver?docId=3432096&cid=58437&categoryId=58437&expCategoryId=58437 참고

• 보안 팀의 역할

-정보 보안 업무를 기획하고 각종 통제 사항을 관리

-모니터링과 위협 분석 등을 통해 평시 정보 보안 관리를 이행

-임직원에 대한 정보 보안 교육을 시행

-긴급 사항에 대처하기 위한 비상 계획을 수립하고 운영을 지원

 

• 보안 조직 구성 시 고려 사항

-기업의 크기

-시스템 환경

-기업의 조직 및 관리 구조

-운영 사이트의 수와 위치

-사이트 간의 상호 연결 상태

-IT 예산

 

04. 보안 정책과 절차

 

05. 접근 제어 모델

• 임의적 접근 제어 모델(Discretionary Access Control)

: 정보 소유자가 정보의 보안 레벨을 결정하고 이에 대한 접근 제어도 설정하는 모델

 

• 강제적 접근 제어 모델(Mandatory Access Control)

-벨 라파둘라 모델: 정보의 기밀성에 따라 상하 관계가 구분된 정보를 보호하기 위해 사용

-비바 모델: 정보의 무결성을 높이기 위해 사용

https://terms.naver.com/entry.naver?docId=3432103&cid=58437&categoryId=58437&expCategoryId=58437 

강제적 접근 제어 모델

 

• RBAC(Role-Based Access Control)

각 직책에 대한 권한 세트를 미리 만들어 두고 새로운 사람이 오면 권한을 부여

 

06. 내부 통제

내부통제(internal control) : 효과적이고 효율적인 업무 운영과 정확하고 신뢰성 있는 재무 보고 체계 유지, 관련 법규와 내부 정책 및 절차를 준수하는 등의 목적을 달성하여 기업이 건전하고 안정적으로 운영되도록 조직의 이사회, 그 외 구성원들이 지속적으로 실행하는 일련의 통제 과정

 

• 최소 권한(least privilege)

: 한 사람이나 조직이 수행하는 업무에 필요한 이상을 부여받으면 안 된다는 개념

• 직무 분리(segregation of duties)

: 하나의 업무 절차를 두 사람 이상이 수행하도록 업무를 분리한다는 개념

 

07. 보안 인증

https://terms.naver.com/entry.naver?docId=3432108&cid=58437&categoryId=58437&expCategoryId=58437 

 

08. 개인 정보 보호

-개인정보는 다음과 같이 정의한다

개인정보 보호법 제2조 1항 - 개인 정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 6항 - 개인 정보란 생존하는 개인에 관한 정보로서 성명, 주민번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보

(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼수 있는 경우 그 정보를 포함한다)

예)

신분관계: 성명, 주소, 본적, 가족관계, 주민번호..

개인 성향: 사상, 종교, 가치관, 성향,..

심신 상태: 건강, 신체적 특징, 장애정도..

사회 경력: 학력, 직업, 자격, 전과 여부..

경제 관계: 소득 규모, 재산 보유현황, 신용 정보..

기타: 홍채, 지문, 위치정보..

 

• OECD 개인 정보 보안 원칙

   1) 수집 제한의 법칙(Collection Limitataion Principle) : 개인 정보는 적법하고 공정한 방법을 통해 수집되어야 한다.

   2) 정보 정확성의 원칙(Data Quality Priciple): 이용 목적상 필요한 범위 내에서 개인 정보의 정확성, 완전성, 최신성이 확보되어야 한다.

   3) 목적 명시의 원칙(Purpose Specification Principle): 개인 정보는 수집 과정에서 수집 목적을 명시하고 명시된 목적에 적합하게 이용되어야 한다.

   4) 이용 제한의 원칙(Use Limitation Principle): 정보 주체의 동의가 있거나 법 규정이 있는 경우를 제외하고 목적 외에 이용하거나 공개할 수 없다.

   5) 안전성 확보의 원칙(Security Safeguard Principle): 개인정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 조직적, 기술적 안전 조치를 확보해야 한다.

   6) 공개의 원칙(Openness Priciple): 개인정보의 처리 및 보호를 위한 정책 및 관리자에 대한 정보는 공개되어야 한다.

   7) 개인 참가의 원칙(Individual Participation Principle): 정보 주체의 개인정보 열람/정정/삭제 청구권은 보장되어야 한다.

   8) 책임의 원칙(Accountability Priciple): 개인정보 관리자에게 원칙 준수 의무 및 책임을 부과해야 한다.

 

연습문제

1. 정보 보안 거버넌스의 구현 요건과 설명을 바르게 연결하시오.

가치 전달 - 정보 보안 투자의 효과를 높이기 위해서는 구성원들에게 정보 보안의 중요성과 가치를 교육해야 한다. 또한 국제 표준을 기준으로 정보 보안 관리 체계를 갖추어 운영하고 자본의 통제 및 투자에 관한 프로세스를 정보 보안과 통합해야 한다.

 

전략적 연계 - 정보 보안 거버넌스는 비즈니스와 IT기술의 목표, 정보 보안 전략이 서로 연계되어야 한다. 이를 위해 최상위 정보보안 운영위원회의 역할과 책임을 명시하고 정보보안 보고 체계의 합리화를 이뤄야 한다.

 

자원 관리 - 정보 보안 지식과 자원을 효율적으로 관리하기 위해 중요한 정보 자산과 인프라를 포함하는 전사적 정보 보안 아키텍처를 확보해야 한다. 또한 정책과 절차에 따른 정보 보안 아웃소싱을 수행하고 아웃소싱 정보 보안 서비스의 통제와 책임을 명시 및 승인하며 기업의 정보 보안 아키텍처와 전사적 아키텍처를 연계해야 한다.

 

위험 관리 - 정보 보안 사고의 잠재적 위험을 줄이려면 조직에 적합한 위험 관리 체계를 수립하고 이를 지속적으로 관리하여 수용 가능한 수준으로 위험을 낮춰야 한다. 또한 확인된 위험은 적절한 자원을 할당하여 관리해야 한다.

 

성과 관리 - 정보 보안 거버넌스의 효과적인 운영을 위한 척도로 모니터링이나 보고 및 평가에 따른 성과 평가 체계를 운영하고 비즈니스 측면도 고려하여 성과를 평가해야 한다.

 

2. 다음 중 정보 보안 거버넌스의 점검 사항으로 옳지 않은 것은? 1 능력과 권한:보안과 관련된 모든 권한은 최고경영자에게 있다.

 

3. ISMS를 발전시키기 위한 PDCA 모델에 대해 설명하시오

 

4. 회사의 보안 조직을 구성할 때 고려해야 하는 사항을 세 가지 이상 쓰시오.

-기업의 크기

-시스템 환경

-기업의 조직 및 관리 구조

-운영 사이트의 수와 위치

-사이트 간의 상호 연결 상태

-IT 예산

 

5. 영미권의 보안 정책에서 조직의 보안 정책이 어떤 원칙과 목적을 가지고 있는지를 밝히는 문서는 무엇인가? 4 Security Policy

 

6. 벨 라파둘라 모델과 비바 모델의 차이를 설명하시오

정보의 무결성을 높이려면 비바 모델, 기밀성을 높이려면 벨 라파둘라 모델

 

7. 벨 라파둘라 모델에서 기밀성을 확보하기 위한 규칙으로 옳지 않은 것은? 3 상위 문서 쓰기 금지

 

8. 직부 분리의 개념을 간단히 설명하시오.

직무 분리: 하나의 업무 절차를 두 사람 이상이 수행하도록 업무를 분리한다

 

9. 시스템 내의 보안 정책을 적용할 수 있고 각 데이터의 보안 레벨 설정이 가능한 TCSEC 등급은 무엇인가? 4 B1

 

10. 개인 정보를 간단히 정의하시오.

개인정보 보호법 제2조 1항 - 개인 정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

 

11. OECD 개인 정보 보안 8원칙을 설명하시오.

  1) 수집 제한의 법칙(Collection Limitataion Principle) : 개인 정보는 적법하고 공정한 방법을 통해 수집되어야 한다.

   2) 정보 정확성의 원칙(Data Quality Priciple): 이용 목적상 필요한 범위 내에서 개인 정보의 정확성, 완전성, 최신성이 확보되어야 한다.

   3) 목적 명시의 원칙(Purpose Specification Principle): 개인 정보는 수집 과정에서 수집 목적을 명시하고 명시된 목적에 적합하게 이용되어야 한다.

   4) 이용 제한의 원칙(Use Limitation Principle): 정보 주체의 동의가 있거나 법 규정이 있는 경우를 제외하고 목적 외에 이용하거나 공개할 수 없다.

   5) 안전성 확보의 원칙(Security Safeguard Principle): 개인정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 조직적, 기술적 안전 조치를 확보해야 한다.

   6) 공개의 원칙(Openness Priciple): 개인정보의 처리 및 보호를 위한 정책 및 관리자에 대한 정보는 공개되어야 한다.

   7) 개인 참가의 원칙(Individual Participation Principle): 정보 주체의 개인정보 열람/정정/삭제 청구권은 보장되어야 한다.

   8) 책임의 원칙(Accountability Priciple): 개인정보 관리자에게 원칙 준수 의무 및 책임을 부과해야 한다.