정보보안 관리 및 법규
정보보호 관리 이해
ISMS (infomation Security Management System)
정보보호 관리체계인증
정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인터넷 인증기관이 증명하는 제도
관리체계 수립 및 운영,보호대책 요구사항에 대한 인증
ISMS-P (infomation Security Management System - Personal)
정보보호 및 개인정보보호 관리체계 인증
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
ISMS + 개인정보 처리 단계별 요구사항에 대한 인증
| 법령 | 과학기술정보통신부 | 방송통신위원회 | 행정안전부 |
| 고시 | 정보보호 | 개인정보보호 | |
| ISMS-P | |||
ISMS 의무 인증 대상자
1.정보통신망서비스를 제공하는 자 : 인터넷 접속/인터넷 전화
2.직접 정보통신 시설 사업자 : 서버 호스팅 / 코로케이션
3. 정보통신서비스 매출액 100억 또는 이용자 수 100만명 이상인 사업자
4. 연간 매출액 및 세입등이 1500억이상인 기업 중 상급종합병원 / 1만 이상 재학생이 있는 학교
- 미 인증시 3000만원 이하 과태료
정보보호 거버넌스 체계 수립
Secvurity PDCA(Plan Do,Check Act)
관리체계기반 마련 : 상위수준의 정보보호 정책 수립,정보보호 관리체계 인증 범위 확정,모든 정보자산 식별
위험관리 : 자산식별,위협,취약점 점검,위험평가 수행, 보호대책 계획 수립
관리체계 운영 : 정보보호 관리체계 수립 이행 단계,보호대책 구현,보호대책 공유 운영현황 관리
관리체계 점검 및 개선 : 매년 1회 이상 관리체계 점검 및 개선
정보보호 위험평가
위험관리 : 위험을 식별,분석,평가,보호대책을 수립하여 조직의 손실을 최소화 하는 일련의 활동 (정성적/정량적기법)
위험관리구성 : 자산,취약점
위험분석 : 위험분석 및 평과 방법론 과학적/정형적인 과정
(1)접근 방식에 따른 위험분석 기법
기준선 접근법,전문가 판단,복합적 접근법
(2) 정량적 위험분석과 정성적 위험분석
1 정량적 위험분석
ALE(연간기대손실)= SLE(위험발생확률 X ARO(손실크기)
유형 : 수학공식 접근법,확률 분포 추정법,확률 지배,몬테카를로 시뮬레이션,과거 자료 분석법
분석시간,노력,비용
2.정성적 위험분석
위험에 대한 우선순위를 정하는 기법
유형 : 델파이법,시나리오법,순위 결정법,질문서법
주관적 분석
위험대응 전략
1.위험수용 : 위험을 받아들이고 비용을 감수
2.위험감소 : 위험을 감소시킬 수 있는 대책을 구현
3.위험회피 : 위험이 존재하는 프로세스나 사럽을 포기
4.위험전가 : 잠재적 비용을 제3자에게 이전하거나 할당
정보보호 대책 구현 및 운영 (ISMS/ISMS-P)
1.관리체계 수립 및 운영
관리체계기반마련,위험 관리,관리체계운영,관리체계 점검 및 개선
2.보호대책 요구사항
정책/조직 자산관리,인적보안,외부자보안,물리보안,인증 및 권한관리,접근통제,암호화적용,정보시스템도입 및 개발보안
시스템 및 서비스 영관리,시스템 및 서비스 보안관리,사고 예방 및 대응 재해복구
3.개인정보 수집시 보호처리
개인정보 집시 보호조치, 개인정보 보유 및 이용시 보호조치, 개인정보 제공시 보호조치, 개인정보 파기시 보호조치.
업무 연속성 계획 및 재난복구 계획
BCP
- 상시에 기업의 존립 유지를 위한 프로세스를 정의한 복구 절차
- 업무의 중단상황 그 이후 업무 기능 및 프로세스 지원
BCP 절차
1. 연속성 계획 정책 선언서 개발
2. BIA 수행
3. 예방통제 식별
4. 복구전략 개발
5. 연속성 계획 개발
6. 계획 및 테스트 및 훈련
7. 계획의 유지 관리
DRP
- 비상 환경에서 기업의 존립을 위한 필수적인 IT자원을 대학 복구 절차
- 사이트의 목표시스템, 응용 프로그램,컴퓨터 설비의 운영 재개와 같은 IT중심 계획
비상계획 형태
1. BCP : 복구시 필수 업무 운영 유지 절차제공
2. BRP : 재해 후 즉시 업무 운영의 복구 절차제공
3. COOP : 필수적/전략적 기능 대체사이트에서 30일 이상 유지 절차제공
4. DRP: 대체 사이트에서의 복구 능력 촉진 절차 제공
5. IT : 응용/지원시스템 복구 절차/능력제공
6. CIRP : 악성 사이버 사건 탐지/대응/확산 방지 절차제공
7. OEP : 인명 최소화 + 자산충격보호
8. CCP : 현 상황 개선,주주,공적 기관에 알리는 절차제공
BIA
- 비즈니스 별로 위험을 분석,복구 목표 수립 (정량적/정성적)
- 자원식별,최대유휴시간 산정, 업무프로세스 우선순위 결정
재해복구 시스템의 종류
| Mirror | Active-Active | 0~min |
| Hot | Active-Standby | ~24H |
| Warm | 중요한업무위주 | ~D |
| Cold | 서버/소프트웨어 구매 | ~W |
정보보호 시스템 인증
정보보호 시스템 제품을 객관적으로 평가하여 정보보호 제품의 신뢰성을 향상시킬는 인증제도
TCSEC
- 독립적인 시스템 평가
- BLP모델 기반
- 기밀성 강조
- 정보 조달 요구사항 표준화
- 기능성 보증 구분x
ITSEC
- OS, 장치 평가
- 기밀성,무결성,가용성
- 기능성 보증 구분
CC
- CCRA 가입국 간의 정보보호 제품에 대한 상호인증
- ISO15408인증
- 주요기능 PP,ST,ToE,EAL
- GDPR 인증
- 유럽연합 내의 개인 데이터 보호기능 강화 통합하는 EU규정
- 주요원칙
클라우드 컴퓨팅 서비스 보안 인증제도
클라우드 서비스 종류
laaS:컴퓨팅 자원,스토리지 등 정보시스템 인프라를 제공하는 서비스
SaaS : 애플리케이션 제공 서비스
Paas : 클라우드 개발 플랫폼 제공 서비스
SECaaS : 클라우드 기반 보안 서비스 제공
개인정보영향평가제도
제35조(개인정보 영향평가의 대상)
1. 민감정보 개인정보 파일 5만명 이상
2. 내/외부 공공기관 개인정보파일 연계 50만명 이상
3. 개인정보파일 100만명 이상
ISO 27000 표준
ISO 27001 : 인터넷 진흥원에서 개발한 ISMS 인증 (ISMS 수립,구현,운영,모니터링,검토,유지 및 개선하기 위한 요구사항 규정)
정보보호 관련 윤리 및 법규
OECD 개인정보 8원칙
개인정보의 일반원칙으로 인정
수집제한의원칙/정보의 정확성의 원칙/목적 명확화의 원칙/이용제한의 원칙/처리방침 공개의 원칙/정보주체의 참여의 원칙/책임의 원칙
정보통신망법 적용대상
1.정보통신서비스 제공자
2.정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은자
3.개인정보의 취급 업무를 위탁받은자
4.방송사업자
ex) 포털,병원,학교 등 360만 사업자/부처,지자체,학교 등 20만 공공기관
제21조(개인정보의파기)
1.개인정보처리자는 보유기간과의 경과 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을때에 지체 없이
개인정보를 파기하여야 한다.
2. 주민등록처리가 불가피한 경우 행정안전부령으로부터 정하여 처리 가능
제30조
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항
4. 개인정보처리의 위탁에 관한 사항
5. 정보주체와 범정대리인의 권리/의무 및 그 행사 방법에 관한 사항
6. 제31조에 따른 개인정보보호책임자의 성명 또는 개인정보보호업무 및 관련 고충 사항을 처리하는 부서의 명칭과 전화번호
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치/운영 및 그 거부에 관한 사항
제33조
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성
정보통신기반 보호법
제9조
1.법 제5조 제4항 본문에 따라 관리기관의 장은 소관 주요정보통신기반시설의 보호 업무를 담당하는 4급/4급 상당 공무원, 5급/5급상당 공무원, 영관급장교 또는 임원급 관리/운영자를 정보보호책립자로 지정해야함.
'정보보안기사' 카테고리의 다른 글
| [정보보호 일반] 정보보안기사 필기 (0) | 2021.08.13 |
|---|---|
| [애플리케이션 보안] 정보보안기사 필기 (0) | 2021.08.13 |
| [네트워크 보안] 정보보안기사 필기 (0) | 2021.08.12 |
| [시스템 보안] 정보보안기사 필기 (0) | 2021.08.12 |