[정보보안기사] 정보보호 관리 및 법률

정보보호 관리 및 법률은 암기가 중요하여, 다른 과목 공부 후에 시험 전에 바짝하는 것을 추천합니다.

 

자산 : 조직이 보호해야 할 대상, 정보, 하드웨어, 소프트훼어, 시설, 인적자산, 기업 이미지 등
위협 : 자산에 손실을 초래할 수 있는 원치 않은 사건의 잠재적 원인이나 행위
취약점 : 자산이 가지고 있는 약점(위협에 의해 손실이 발생하게 되는 자산의 약점)
위험 : 예상되는 위협에 의하여 자산에 발생할 가능성이 있는 손실의 기대치
위험 = 자산, 위협, 취약점의 합
위험 크기 = 발생가능성 * 손실

자산 가치 : 자산에 대한 가치를 결정
노출계수 : 자산의 위협에 대한 잠재적 손실 계산 
SLE(Single Loss Expectancy) : 한 번의 침해로 발생한 손실액 = 자산가치 * 노출계수

자산목록 : 기업에서 가치가 있는 자산리스트
자산분석 : 자산을 평가
자산 유형 : 데이터, 문서, 소프트웨어, 서버, PC, 네트워크, 시설, 지원 서비스, 인력, 매체

자산에 대한 중요도를 평가하기 위하여 먼저 (자산목록)을 만든다. 이떄 누락없이 최대한 자세하게 나열한다. 자산을 평가하고 관리하기 용이하게 재분할 할 수 있도록 (자산분석)을 실시한다. (자산분석)은 자산의 특성을 고려하며 특히 사용도, 피해규모, 사용환경 등을 포함한다.

표준 : 조직에서 필요한 구체적인 기술과 이에 필요한 파라미터의 설정 등을 일관성 있게 기술하여 놓는다. 일반적으로 강제사항이다.
지침(가이드라인) : 사용자들이나 관리자들이 자신의 시스템을 적절히 보호하기 위해서 도와주는 것
절차 : 특정 정보보호 업무를 달성하기 위해 밟아나가야 하는 세부적인 단계

- 정보시스템의 위험 보호 대책 전략
위험 수용 : 현재의 위험을 받아들이고 잠재적 손실비용을 감수하는 것, 위험을 완전히 제거 할 수 없을 때 일정수준 이하의 위험은 수용
위험 관리 : 잠재위험으로 주변환경의 변화에 따라 위험요인으로 변화가 가능하므로 지속적인 모니터링 실시
위험 완화(감소) : 직접적인 피해가 발생할 수 있는 중대한 위험을 잠재하고 있어 정보보호대책을 선택하여 위험을 낮추는 것
위험 회피 : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것
위험 전가(전이) : 보험이나 외주 등으로 잠재적 비용을 제 3자에게 이전하거나 할당하는 것

정보보호 정책에는 최소한 중요한 정보자산이 무엇인지 식별하고 정보의 어떤 특성이 만족되어야 하는지를 선언하는 정보보호정책의 가이드라인(지침)이 제시되어야 하고, 조직에 미치는 영향을 고려하고 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 정책의 적용 범위를 설정하여야 한다. 정보보호 정책 수행에 필요하 경영진, 정보보호조직, 일반직원 등의 직무(역할)을 명확히 정의해야 하며 정보보호정책은 조직의 최고경영자의 의지를 확인할 수 있도록 문서로 승인되어야 한다.

개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
개인정보취급자 : 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견 근로자, 시간제 근로자 등 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 자
개인정보 파일 : 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로배열하거나 구성한 개인정보의 집합물

- 사이버 침해 대응절차
1. 침해사고의 인식 및 신고
발견자가 발생 일시, 피해 상세 내용, 공격자 정보(현재 확인된 사항), 침해사고 발견 경위, 현재 조치 사항 등을 정보보호 담당자에게 신고
2. 긴급조치 : 1단계
실제해킹 사고 및 어떤 영향을 미쳤는지 이상 징후가 있는지 현재 서버의 상태를 조사하고 긴급 조치
3. 분석 : 2단계
1단계에서 수집한 정보 및 시스템 분석을 통해 피해 상황과 원인, 공격 방법, 공격 경로, 설치된 백도어 등 내역을 정확히 분석, 확인된 공격자 IP로 공격자 정보를 조사
4. 재발방지 조치 : 3단계
침해사고 분석 보고서 작성 및 사후 대책 마련(공격 진원지 접근 통제, 최신 보안 패치, 계정 변경 등)
5. 침해사고 결과 분석 및 보고서 작성
6. 침해사고 분석 및 대응 결과를 승인
정보보호 책임자가 검토하고 재발방지를 위한 후속 조치 지원

- ISMS(Informaition Security Management System) : 정보보호 관리체계

(2018년 11월 07일 개정, ISMS와 PIMS가 통합되어 ISMS-P로 총 102가지 심사기준 존재)

ISMS는 조직에 적합한 수준의 정보보호를 제공하기 위해 정책 및 조직을 수립하고 위험관리, 대책구현, 사후관리 등의 정보보호 관리과정을 통해 여러 정보보호 대책들이 유기적으로 통합되어 구현, 운영되는 체계를 일컫는다. 각 조직은 ISMS 구축을 통해 보유하고 있는 정보자산의 기밀성, 무결성, 가용성을 실현하고 보다 효율적으로 효과적인 방법으로 보유 정보들을 보호할 수 있다.

- ISMS에서 관리적 요구사항 절차
1. 경영진 책임 및 조직
2. 보호정책 수립 및 범위
3. 위험관리
4. 보호대책
5. 사후관리

 

- 개인정보 영향도 평가 관련 대통령령이 정하는 기준
1.5만명 이상의 정보주체에 관한 법 제 23조에 따른 민감정보 또는 고유 식별 정보의 처리가 수반되는 개인정보
2. 연계할 때 연계 결과 50만 명 이상의 정보주체에 관한 개인정보
3. 100만 명 이상의 정보주체에 관한 개인정보

- 재난복구 서비스 종류
1. 미러사이트 : Active-Active 상태, 실시간 동시서비스 제공
2. 핫사이트 : Active-Standby 상태, 주센터와 동일한 수준 정보 자원을 원격지(재해복구센터)에 구축(데이터 실시간 유지)
3. 웜사이트 : 중요성이 높은 정보 기술 자원만 부분적 원격지에 보유
4. 콜드사이트 : 최소한의 자원만 원격지에 구축(장소, 데이터만)
* 운영 주체별 : 자체, 공동. 위탁 | 구축 형태별 : 독자, 공동, 상호

- 보안관제 모니터링 방법
모니터링 : 위협관리시스템(TMS), 침입차단시스템(Firewall), 침입탐지시스템(IDS) 등 네트워크 상황에 대한 실시간 감시기능을 이용하여 실시간 공격정보, 네트워크 트래픽 상황을 확인
탐지 : 모니터링 파트에서 받은 이벤트를 룰에 의해 분석하고 저장, 관리 파트에 그 내용 통보
관리 : 탐지 파트에서 받은 데이터의 시각적 전달, 상황 판단 기능, 관리 서버의 룰을 설정하도록 지휘 및 통제

- 보안 관제 대응 절차
1. 최초 이상 징후가 발견되면 관제 담당자에게 보고
2. 해당 정보보호시스템 및 장비를 허용하여 공격에 대한 초동 조치 실시
3. 해당 공격에 대해 공격 유형 및 대응 메뉴얼에 따라 차단 적용
4. 장비별 공격 탐지지표에 해당되는 정보를 수집하여 장비 간 상호 연관성 및 피해 내용을 고래하여 공격 유형을 식별하고 피해 범위를 분석
5. IDS 및 IPS 장비를 이용하여 실시간 트래픽 현황과 공격 탐지 로그 추이 파악

- 위험분석기법

(위험관리프로세스는 PMBOK 6th가 최신이며 위험관리 계획수립, 위험식별, 위험분석, 위험대응계획수립, 위험대응실행, 위험감시 단계로 이루어짐)
- 정성적 위험분석기법
1. Delphi : 시스템에 대한 전문적 지식을 가진 전문가 집단 구성하여 위험 분석 및 평가하여 다양한 위협과 취약성을 토론하여 분석, 짧은 기간에 위험 분석 가능, 정확도 낮음
2. 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에 위협에 대한 발생 가능한 결과들을 추정, 전반적인 모든 가능성을 추론할 수 있지만 추측일 뿐 정확도가 낮음
3. 순위결정법 : 비교우위 순위 결정표에 위험 항목들의 서술적 순위를 결정, 위험 분석 소요시간 적고 자원의 양 적게 쓰이지만 정확도가 낮음
- 정량적 위험분석기법
1. 수학공식 접근법 : 위협의 발생 빈도를 계산하는 식을 이용하여 위험을 계량하는 방법, 과거자료의 획득이 어려울 경우 위험 발생 빈도를 추정하여 분석하는데 유용, 위험을 정량화하여 매우 간결하게 나타냄
2. 기준선 접근법

- 개인정보보호법에서 개인정보의 수집, 이용 및 제 3자에게 제공하는 경우 동의 받아야 할 사항
제 17조(개인정보의 제공)
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익 내용

- 개인정보 보호법에서 개인정보 처리자가 수행해야 하는 개인정보 안전성 확보 조치
기술적 : 접근권한 관리, 접근 통제, 개인정보 암호화, 접속기록의 보관 및 점검, 악성 프로그램 방지
관리적 : 내부 관리 계획의 수립 및 시행
물리적 : 물리적 접근 방지, 개인정보 파기 

정보통신기반시설을 보호하기 위해 다음 각 호의 업무를 수행하고자 하는 자는 정보공유, 분석센터를 구축, 운영할 수 있다.
1. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공
2. 침해사고가 발생하는 경우 실시간 경보, 분석체계 운영

- 비지니스 영향 분석(BIA : Bussiness Impact Analysis)
주요업무 프로세스를 식별하고, 우선순위를 규정
재해시 업무 프로세스 중단에 따른 비용을 산정
어부 프로세스 별 시간 산정 및 목표시간 확정
정보자산 중요도 평가 기준은 일반적으로 기밀성, 가용성, 법적요구사항 등을 고려하고 평가 기준을 마련하여 정보자산별 중요도를 평가 및 보안등급을 부여하여야 한다. 만약 정보자산의 중요도를 평가할 수 없을 경우 비지니스 영향 분석을 수행하여야 한다. 이를 BIA라고도 한다.

식별된 위험과 각 위험도를 검토하여 DoA(Degree of Assurance) : 수용 가능 목표 위험 수준을 정한 뒤 이를 초과하는 위험을 식별해야 한다.