[정보보안기사] 정보보호관리 개념 (ISMS-P)

 

 

 

1> 정보보호 관리

 

 

- ISMS 인증 : 의무인증 기업이 받아야 하는 인증 (관리체계 수립 및 운영, 보호대책 인증)

 

- ISMS-P 인증 : ISMS 인증 기업이 개인정보 처리 인증기준 부여

 

 

 

 

2> ISMS 의미인증 대상

 

 

- 정보통신망서비스 제공 사업자 (ISP)

 

 

- 정보통신시설 사업자 (IDC)

 

 

- 정보통신서비스 제공자 (매출액 100억 이상, 이용자수 100만명 이상) : 온라인 쇼핑몰, 포털, 게임 등

 

 

- 매출액 1500억 이상 종합병원 및 만명 이상 학교

 

 

 

 

3> ISMS 인증관리 체계

 

 

- 한국인터넷진흥원 (KISA) 주관

 

 

    a. 정책기관 정책 결정 (과기부, 방통위, 행안부)

 

 

    b. 인증기관 인증 자격 관리 및 심사 수행, 인증서 발급 (KISA)

 

 

    c. 심사기관 : 인증심사 수행 

 

 

 

- 기관에서 인증기관 (KISA)에 심사 신청을 하면 심사팀을 구성해서 인증심사 수행하고, 해당 결과를

 

인증위원회에 의결 요청하여 결과를 받으면 인증서를 발급해준다.

 

 

 

 

 

4> ISMS-P 심사종류

 

 

- 인증 유효 기간 : 3년

 

- 최초심사(인증취득 심사), 사후심사(지속성 검토), 갱신심사 (유효기간 연장)

 

 

 

 

 

5> 정보보호 관리체계 기반 수립

 

 

 

- Security PDCA : Plan, Do, Check, Act

 

- 정보호호 정책 수립, 인증 범위 확정  (정보 자산 목록 작성, 네트워크 및 시스템 구성도 준비)

 

- 전담 조직 구성

 

- 위험관리 : 자산 식별, 위협, 취약점 점검, 위험평가 수행, 보호대책 계획 수립, 위험관리 결과 문서화 

 

- 정보 보호 계획서 

 

 

 

 

 

6> 정보보호 위험 평가

 

 

 

- 위험관리 : 위험 식별, 분석, 평가, 보호대책 수립

 

- 위험관리를 통하여 정보보호 이행을 위한 정보보호 이행 계획서 수립

 

 

- 위험관리 구성 : 자산, 위험(가능성), 위협(사건, 행위), 취약점

 

위험 = 위협이 성공할 가능성 x 위협 성공 시 손실크기

 

 

- 위험관리 체계 반복 : 자산 -> 위험분석(위험평가) -> 위험관리 -> 수용 -> 정보보호정책 계획 -> 재검토 

 

- 위험관리 활동 : 위험성향, 위험허용범위, 위험대응

 

 

 

 

 

7> 위험분석 : 위험 식별, 측정

 

 

 

- 베이스라인(기준선) 접근법 : 기준 수준 정하고 기본적 보호 대책 선택

 

- 전문가 판단 : 전문가 기준

 

- 상세위험분석 : 정성적, 정량적 위험분석

 

- 복합적 접근법 : 위험이 높은 시스템 구별, 효율적이고 빠름, 자원낭비 가능

 

- 정량적 위험분석 : ALE(연간기대손실) = SLE(위험발생활률) x ARO(손실 크기) , 수학공식으로 객관적, 자료 분석적, 정확한 수치 어려움

 

- 정성적 위험분석 : 점수 표현, 델파이법, 시나리오법, 순위결정법, 분석 시간 짧고 이해  쉬움, 주관적이고 분석이 어려움

 

 

- ARO : 매년 위협이 발생할 예상 빈도수

 

- SLE : 특정 위협으로 예상 1회 손실액 (자산가치 x EF (1회손실액))

 

- ALE : 연간 예상 손실 비용

 

 

- 위험대응 전략 : 위험수용, 위험감소, 위험회피, 위험전가

 

 

 

 

 

8> 정보보호 대책 구현 및 운영

 

 

- 관리체계 수립 및 운영 

 

 

관리체계 기반 마련 : 경영진 참여, 조직 구성, 범위 설정, 정책 수립등

 

위험 관리 : 정보자산 식별, 위험 평가, 보호대책 선정

 

관리체계 운영 : 보호대책 구현, 공유, 운영 관리

 

관리체계 점검 및 개선 : 법 검토, 관리체계 점검, 개선

 

 

 

 

- 보호대책 요구사항

 

 

정책, 조직, 자산 관리

 

인적 보안

 

외부자 보안

 

물리 보안

 

인증 및 권한 관리

 

접근 통제

 

암호화 적용

 

시스템 및 서비스 운영관리, 보안관리

 

사고 예방 및 대응

 

재해 복구

 

 

 

- 개인정보 처리 단계별 요구사항

 

 

개인정보 수집 시 보호조치

 

개인정보 이용 시 보호조치

 

개인정보 제공 시 보호조치 : 제 3자 제공, 업무 위탁, 이전 등

 

개인정보 파기 시 보호조치 

 

정보주체 권리보호

 

 

 

 

9> 재해 관련

 

 

- BCP : 사업 연속성 계획 (기업 존립을 위한 프로세스 정의로 복구 절차, 핵심점인 비즈니스 우선순위)

 

중단상황, IT 시스템 유지

 

재해복구 게획, 업무 재개 계획

 

위험분석, 피해분석, 업무 중요도 산정

 

절차 : 정책 개발 및 승인 -> BIA 수행 -> 예방통제 식별 -> 복구전략 개발 -> 연속성 계획 개발 -> 계획 및 테스트 -> 계획 유지 관리

 

 

 

- DRP : 재해복구 계획 (IT자원 복구 절차)

 

비상사태 대비한 IT 중심계획

 

BCP는 사업 활동이나 프로세스 중단에 대한 대응, DRP는 핵심 IT 시스템, 데이터 중단에 대한 대응

 

 

 

- BIA : 비즈니스 별로 위험을 분석하여 복구 목표 수립

 

 

업무별 복구 시간 목표 산정, 우선순위 구성, 업무 간 연관성 분석

 

 

RPO : 복구 목표 시점

 

RTO : 복구 목표 시간

 

RP : 실제 복구 기간

 

MTD : 용인 가능한 최대 정지 시간 (짧을 수록 높은 비용을 통해 빠른 복구가 필요하다.)

 

SDO : 2차 사이트에서 제공하는 업무 용량

 

 

Mirror Site : RPO = RTO = 0 (2중화)

 

Hot Site : RTO < 수시간 (Actice & Standby)

 

Warm Site : 중요 업무 위주 백업

 

Cold Site : 데이터만 백업, 서버와 소프트웨어 구매해서 복구

 

 

 

 

10> 정보보호 시스템 인증 

 

- TCSEC : 독립적인 시스템 평가, 

 

- ITSEC : 기밀성, 무결성, 가용성, 

 

- CC 인증 : 정보보호 제품에 대한 상호 인증 (ISO 15408 표준)

 

- SW 생명주기 모델 : 소프트웨어 개발하기 위한 기본적인 절차와 행동 정의

 

폭포수 모델 : 요구사항 ,분석, 설계, 구현, 시험 순 SW 개발

 

프로토타이핑 : SQ 개발 전 시제품 프로토타입을 먼저 만들어 사용자가 확인 후 SW개발

 

 

CC인증 폭포수 모델 사용하면 보호 프로파일 통해 보안 요구사항 정의하고 평가 명세서를 작성