[정보보안] 정보보안기사 필기 Part5. 정보보안관리 및 법규

정보보안기사 Part5.hwp

0.18MB

정보보안기사 Part5_pdf.pdf

0.16MB

---

 

정보보안기사 Part5. 정보보안 관리 및 법규

정보보호 관리 이해

 

ISMS (infomation Security Management System)

정보보호 관리체계인증

정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인터넷 인증기관이 증명하는 제도

관리체계 수립 및 운영, 보호대책 요구사항에 대한 인증

 

ISMS-P (infomation Security Management System - Personal)

정보보호 및 개인정보보호 관리체계 인증

정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

ISMS＋개인정보 처리 단계별 요구사항에 대한 인증

법령	과학기술정보통신부	방송통신위원회	행정안전부
고시	정보보호	개인정보보호
	ISMSーP

 

ISMS 의무 인증 대상자

① 정보통신망서비스를 제공하는 자 (ISP) : 인터넷 접속 / 인터넷 전화

② 직접 정보통신 시설 사업자 (IDC) : 서버 호스팅 / 코로케이션

③ 정보통신서비스 매출액 100억 또는 이용자 수 100만명 이상인 사업자

④ 연간 매출액 및 세입등이 1500억이상인 기업 중 상급종합병원 / 1만 이상 재학생이 있는 학교

-미 인증 시 3000만 원 이하 과태료

 

정보보호 거버넌스 체계 수립

Secvurity PDCA(Plan, Do, Check, Act)

① 관리쳬계기반 마련 : 상위수준의 정보보호 정책 수립, 정보보호 관리체계 인증 범위 확정, 모든 정보자산 식별

② 위험관리 : 자산식별, 위협, 취약점 점검, 위험평가 수행, 보호대책 계획 수립

③ 관리쳬계 운영 : 정보보호 관리체계 수립 이행 단계, 보호대책 구현, 보호대책 공유 운영현황 관리

④ 관리체계 점검 및 개선 : 매년 1회 이상 관리체계 점검 및 개선

 

정보보호 위험평가

위험관리 : 위험을 식별, 분석, 평가, 보호대책을 수립하여 조직의 손실을 최소화 하는 일련의 활동 (정성적/정량적기법)

위험관리구성 : 자산(Asset), , , 취약점(Vulnerablity)

위험분석 : 위험분석 및 평가 방법론 과학적/정형적인 과정

(1) 접근 방식에 따른 위험분석 기법

기준선 접근법(Base Line Approach), 전문가 판단(Infomal Approach), 복합적 접근법(Combined Approach)

(2) 정량적 위험분석과 정성적 위험분석

① 정량적 위험분석

ALE(연간기대손실)= SLE(위험발생확률) X ARO(손실크기)

유형 : 수학공식 접근법, 확률 분포 추정법, 확률 지배, 몬테카를로 시뮬레이션, 과거 자료 분석법

분석시간, 노력, 비용⟰

② 정성적 위험분석

위험에 대한 우선순위를 정하는 기법

유형 : 델파이 법, 시나리오법, 순위 결정법, 질문서법

주관적 분석

위험대응 전략

① 위험수용 : 위험을 받아들이고 비용을 감수

② 위험감소 : 위험을 감소시킬 수 있는 대책을 구현

③ 위험회피 : 위험이 존재하는 프로세스나 사업을 포기

④ 위험전가 : 잠재적 비용을 제3자에게 이전하거나 할당

 

 

 

정보보호 대책 구현 및 운영 (ISMS / ISMS-P)

(1) 관리체계 수립 및 운영

관리체계기반마련, 위험 관리, 관리체계운영, 관리체계 점검 및 개선

(2) 보호대책 요구사항

정책/조직 자산관리, 인적보안, 외부자보안, 물리보안, 인증 및 권한관리, 접근통제, 암호화적용, 정보시스템도입 및 개발보안

시스템 및 서비스 영관리, 시스템 및 서비스 보안관리, 사고 예방 및 대응, 재해복구

(3) 개인정보 수집 시 보호처리

개인정보 집 시 보호조치, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시 보호조치, 정보주체 권리보호

 

업무 연속성 계획 및 재난복구 계획

BCP (Business Continuity Planning, 사업 연속성 계획)

- 상시에 기업의 존립 유지를 위한 프로세스를 정의한 복구 절차

- 업무의 중단상황 그 이후 업무 기능 및 프로세스 지원

BCP 절차

① 연속성 계획 정책 선언서 개발

② BIA(Business Impact Analysis) 수행

③ 예방통제 식별

④ 복구전략 개발

⑤ 연속성 계획 개발

⑥ 계획 및 테스트 및 훈련

⑦ 계획의 유지 관리

 

DRP(Disaster Recovery Planning, 재해 복구 계획)

- 비상 환경에서 기업의 존립을 위한 필수적인 IT자원에 대학 복구 절차

- 사이트의 목표시스템, 응용 프로그램, 컴퓨터 설비의 운영 재개와 같은 IT 중심 계획

 

비상계획 형태 (업무/IT/보안/인명자산/신뢰)

① BCP(Business Continuity Plan) : 복구 시 필수 업무 운영 유지 절차제공

② BRP(Business Recovery or Resumption Plan): 재해 후 즉시 업무 운영의 복구 절차제공

③ COOP(Continuity Of Operation Plan): 필수적/전략적 기능 대체사이트에서 30일 이상 유지 절차제공

-----------------------------------------------------------------------------

④ DRP(Disaster Recovery Plan): 대체 사이트에서의 복구 능력 촉진 절차 제공

⑤ IT Contingency Plan/Continuity Of Support Plan: 응용/지원시스템 복구 절차/능력제공

-----------------------------------------------------------------------------

⑥ CIRP(Cyber Incident Response Plan): 악성 사이버 사건 탐지/대응/확산 방지 절차제공

-----------------------------------------------------------------------------

⑦ OEP(OccupantEmergencyPlan): 인명 최소화 + 자산충격보호

-----------------------------------------------------------------------------

⑧ CCP(Crisis Communication Plan): 현 상황 개선, 주주, 공적 기관에 알리는 절차제공

 

BIA(Business Impact Analysis, 사업영향분석)

- 비즈니스 별로 위험을 분석, 복구 목표수립 (정량적/정성적)

- 자원식별, 최대유휴시간 산정, 업무프로세스 우선순위 결정

 

재해복구 시스템의 종류

Mirror	Active-Active	0~min
Hot	Active-Standby	~24H
Warm	중요한업무위주	~D
Cold	서버/소프트웨어 구매	~W

 

 

 

 

 

정보보호 시스템 인증

정보보호 시스템 제품을 객관적으로 평가하여 정보보호 제품의 신뢰성을 향상시키려는 인증제도

 

TCSEC(Trusted Computer System Evaluation Criteria, Orange Book)

- 독립적인 시스템 평가

- BLP(Bell-LaPAdula)모델 기반

- 기밀성 강조

- 정보 조달 요구사항 표준화

- 기능성 보증 구분x

ITSEC(Infomation Technology Security Evaluation Criteria)

- OS, 장치 평가

- 기밀성, 무결성, 가용성

- 기능성 보증 구분

CC(Common Criteria)

- CCRA 가입국 간의 정보보호 제품에 대한 상호인증

- ISO15408인증

- 주요기능 PP(Protection Profile), ST(Security Target, 보안명세서) ToE(Target of Evaluation, 평가대상) EAL(Evaluation Assurance Lv. 등급)

GDPR(General Data Protection Regulation)인증

- 유럽연합 내의 개인 데이터 보호기능 강화 통합하는 EU규정

- 주요원칙 (개인정보처리, 동의, 아동개인정보, 민감정보)

 

클라우드 컴퓨팅 서비스 보안 인증제도

클라우드 서비스 종류

IaaS(Infrastructure as a Service) : 컴퓨팅 자원, 스토리지 등 정보시스템 인프라를 제공하는 서비스

Saas(Software as a Service) : 애플리케이션 제공 서비스

Paas(Platform as a Service) : 클라우드 개발 플랫폼 제공 서비스

SECaaS(Security as a Service) : 클라우드 기반 보안 서비스 제공

 

개인정보영향평가제도

제35조(개인정보 영향평가의 대상)

1. 민감정보 개인정보 파일 5만명 이상

2. 내/외부 공공기관 개인정보파일 연계 50만명 이상

3. 개인정보파일 100만명 이상

 

ISO 27000 표준

ISO 27001 : 인터넷 진흥원에서 개발한 ISMS 인증 (ISMS 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선하기 위한 요구사항 규정)

 

정보보호 관련 윤리 및 법규

OECD 개인정보 8원칙

개인정보의 일반원칙으로 인정

수집제한의원칙 / 정보의 정확성의 원칙 / 목적 명확화의 원칙 / 이용제한의 원칙 / 처리방침 공개의 원칙 / 정보주체의 참여의 원칙 / 책임의 원칙

 

정보통신망법 적용대상

① 정보통신서비스 제공자

② 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은자

③ 개인정보의 취급 업무를 위탁받은자

④ 방송사업자

ex ) 포털, 병원, 학교등 360만 사업자 / 부처, 지자체, 학교 등 20만 공공기관

 

제21조(개인정보의파기)

1. 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야한다.

제24조의2(주민등록번호 처리의 제한)

1. 주민등록처리가 불가피한 경우 행정안전부령으로부터 정하여 처리할 수 있다.

 

 

 

제 30조(개인정보 처리방침의 수립 및 공개)

① 개인정보의 처리 목적

② 개인정보의 처리 및 보유 기간

③ 개인정보의 제3자 제공에 관한 사항

④ 개인정보처리의 위탁에 관한 사항

⑤ 정보주체와 범정대리인의 권리/의무 및 그 행사 방법에 관한 사항

⑥ 제 31조에 따른 개인정보보호책임자의 성명 또는 개인정보보호업무 및 관련 고충 사항을 처리하는 부서의 명칭과 전화번호

⑦ 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치/운영 및 그 거부에 관한 사항

 

제33조(개인정보 영향평가)

① 처리하는 개인정보의 수

② 개인정보의 제3자 제공 여부

③ 정보주체의 권리를 해할 가능성 및 그 위험 정도

 

정보통신기반 보호법(시행령)

제9조(정보보호책임자의 지정 등)

1. 법 제5조 제4항 본문에 따라 관리기관의 장은 소관 주요정보통신기반시설의 보호 업무를 담당하는 4급/4급 상당 공무원, 5급/5급상당 공무원, 영관급장교 또는 임원급 관리/운영자를 정보보호책임자로 지정하여야 한다.