정보보안기사/필기
[정보보안기사 필기 정리] PART 07. 정보보호 관리 및 법규
- -
반응형
SECTION 39. 정보보호 거버넌스와 관리체계 수립
1️⃣ 정보보호 거버넌스
🌐 목표 (ABC)
💠 책임성 (Accountability) : 기업 거버넌스의 책임성과 연계
💠 비즈니스 연계성 (Business Alignment) : 기업 거버넌스의 효과성과 연계
💠 준거성 (Compliance): 기업 거버넌스의 투명성과 연계
🌐 IT 거버넌스 & 정보보호 거버넌스
💠 이사회의 역할 (추상적) : 보안 방향 설정, 책임 할당 지휘, 우선순위 결정, 위험 관리 문화 조성
💠 경영진의 역할 (구체적) : 비즈니스를 고려하여 보안 정책 개발, 위협과 취약점 식별, 인프라 구축 수행
🌐 정보보호 거버넌스 구현 요건
💠 전략적 연계, 위험 관리, 자원 관리, 성과 관리, 가치 전달
2️⃣ IT 보안 관리
🌐 IT 보안 관리 기능
💠 PDCA : Plan(계획), Do(실행), Check(점검), Act(처리)
🌐 인적 자원과 보안
💠 고용과정, 고용기간, 고용종료
SECTION 40. 정보보호 위험 관리
1️⃣ 위험관리 : 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위해 자산 위험 분석
보안정책 → 위험 관리(위험분석) → 대응책 구현 → 사후 관리
🌐 위험의 구성 요소
💠 자산(Assets), 위협(Threats), 취약점(Vulnearability), 정보보호대책(Safeguard)
2️⃣ 위험 분석
🌐 위험분석 방법
💠 기준선 접근법, 비정형화된 접근법, 상세화된 접근법, 통합된 접근법
🌐 정량적 위험분석
💠 자동 위험 분석 방식
ex) 홍수, 자산가치 100억 슈퍼 컴퓨터 10% 손실
> SLE (한번의 침해로 발생한 손실액, 자산가치 x 노출계수) 100억 x 0.1=10억
5년에 한번 발생 (0.2)
> ALE (AROxSLE) 10억 x 0.2(1/5) = 2억
🌐 정석적 위험분석
💠 구성요소와 손실에 대해 숫자와 화폐적 가치를 부여하는 대신, 판단, 직관 그리고 경험을 포함한다.
| 구분 | 정량적 위험 분석 | 정성적 위험 분석 |
| 장점 | 객관적인 평가 기준 위험관리 성능평가 용이 이해하기 쉬움 |
계산에 대한 노력이 적게 든다 비용/이익을 평가할 필요 없음 |
| 단점 | 계산이 복잡하다 자동화 도구화 사용 시 신뢰도가 벤더에 의존 |
주관적이라 사람에 따라 달라질 수 있다 측정 결과 화폐가치로 표현 어려움 위험관리 성능 추적 어려움 |
| 종류 | 과거자료 분석법, 수학공식 접근법, 확률 분포법, 점수법 | 델파이법, 시나리오법, 순위 결정법, 퍼지 행렬법 |
SECTION 41. BCP/DRP
1️⃣ BCP/DRP
🌐 비즈니스 연속성 계획 (BCP, Business Continuity Planning)
💠 업무 영향 분석(BIA)은 업무별로 전체 사업에 미치는 영향도 분석해 복구 우선순위 결정하는 과정
💠 BCP의 5단계 방법론
프로젝트 범위 설정 및 기획 → 사업 영향평가(BIA) → 복구전략개발 → 복구계획수립 → 프로젝트 수행 테스트 및 유지보수
💠 BCP 6단계 접근 방법론
사업상 중대 업무 규정 → 사업상 중대 업무를 지원하는 자원의 중요도 규정 → 발생가능 재난에 대한 예상 → 재난 대책 수립
→ 재난 대책 수행 → 대책 테스트 및 수정
🌐 재난 복구 계획 (DRP)
💠 실패나 재해의 영향으로 정보시스템과 데이터가 중단되는 것에 대응하기 위해 계획을 개발하는것
💠 복구 전략
✔️ 미러사이트 (Mirror Site) : 메인센터와 재해복구 센터 모두 액티브 상태로 실시간 동시 서비스 , 복구까지 소요시간(RTO)는 이론적으로 0이다.
✔️ 핫 사이트 (Hot Site) : 동일 수준 시스템 재해복구 센터에 대기상태로 두어 액티브로 전환하여 복구하는 방식
✔️ 웜 사이트 (Warm Site) : 재해복구 센터에 주 센터와 동일한 수준의 자원을 보유하는 대신 중요성이 높은 자원만 부분적으로 보유, 실시간 미러링하지 않음
✔️ 콜드 사이트 (Cold Site) : 데이터만 원격지에 최소한으로 확보하고 있다가 재해 시 데이터 정보자원을 조달하여 복구, 복구 소유 시간이 매우 길고 신뢰성이 낮다.
| 유형 | 설명 | RTO | 장점 | 단점 |
| 미러 사이트 | 실시간 동시 서비스 제공 | 즉시 | 데이터 최신성 | 데이터 업데이터 많은 경우 과부화 초래 |
| 핫 사이트 | 동기적 및 비동기적 방식의 실시간 미러링 제공 | 수시간 이내 | 데이터의 업데이트가 많은 경우에 적합 | 보안적인 문제 |
| 웜 사이트 | 중요성 높은 데이터만 보유 | 수일 - 수주 | 핫사이트에 비해 저렴 | 데이터에 손실 발생 |
| 콜드 사이트 | 최소한의 데이터만 확보 | 수주 - 수개월 | 구축 유지 비용 가장 저렴 | 복구 신뢰성 낮음 |
🌐 RAID (Redundancy array of inexpensive disks)
💠 RAID의 목적 : 저용량, 저성능, 저가용성인 디스크를 어레이 구조로 중복하여 구성함으로써 고용량, 고성능, 고가용성 디스크를 대체
💠 RAID의 종류 및 설명
✔️ RAID 0 (Stripping) : 하나의 데이터를 여러 드라이브에 분산하여 저장
✔️ RAID 1 (Mirroring) : 동일한 데이터가 두 개 이상의 디스크에 동시에 저장, 하나의 디스크에 에ㅗ류 발생해도 다른 드라이브의 동일한 데이터 사용 가능
✔️ RAID 2 (Hamming Code ECC) : 데이터 Stripping이 모든 드라이브에서 일어나고 패리티 데이터는 오류 식별을 위한 해밍 코드와 함께 생성된다.
✔️ RAID 3 (Byte) : Level 0, 1 의 문제점을 보완하는 방식으로 바이트 단위로 데이터를 분산 저장한다.
✔️ RAID 4 (Block) : RAID3와 동일한 구조이나 데이터가 블록 단위로 분산 저장된다. 성능이 향상된다
✔️ RAID 5 (Independent Access with parity) : level 3,4의 문제점을 보완하는 방식으로 모든 디스크에 패리티 정보를 분산하여 저장한다.
✔️ RAID level 0 + 1과 1+0 : 0+1은 RAID 0과 RAID 1을 조합한 것이다.
🌐 데이터 백업
| 유형 | 1 | 2 | 3 | 논리디스크 | 백업시간 | 전체복구시간 |
| 풀(완전) 백업 | A | A+B | A+B+C | 1 | 느림 | 빠름 |
| 차등 백업 | A | B | B+C | 2 | 보통 | 보통 |
| 증분 백업 | A | B | C | 계속 증가 | 빠름 | 느림 |
🌐 복구와 회복
💠 BCP/DRP 단계
✔️ 복구 목표 시간 (RTO) : 비즈니스가 복구되어야하는 최단 시간 및 서비스 수준
✔️ 작업 복구 시간 (WRT) : 전체 MTD 값의 나머지, 데이터 복구와 프로세스 시험 등의 목적을 위해 실행되는 모든 것
✔️ 복구 목표 시점 (RPO) : 시간으로 측정되는 수용 가능한 데이터 손실의 양
✔️ 복구 기간 (RP) : 실제 업무 기능 복구까지 걸린 시간
✔️ 최대 허용 시간 (MTD) : 치명적 손실 없이 조직이 운영을 중단하고 견딜 수 있는 최대 시간 (MTD=RTO+WRT)
SECTION 42. 정보보호 인증 제도
1️⃣ 보안 제품 평가 방법 및 기준
🌐 평가 방법 : TCB, 접근통제 메커니즘, 참조 모니터, 커널, 보호 메커니즘 등의 항목을 검사한다.
🌐 보안제품 평가 종류
| 구분 | TCSEC | ITSEC | CC |
| 명칭 | Trusted Computer System Evaluation Criteria | Information Technology Security Evaluation | Common Criteria |
| 표준화 | 미국표준제정기관 | 영국, 독일, 프랑스, 네덜란드 | 국제표준기관(ISO/IEC15408) |
| 적용범위 | 미국 내 보안 표준 | 유럽 | 세계공통의 보안 표준 |
| 등급 | A1,B1,B2,B3,C1,C2,D | E6-E1,E0(부적합) | EAL7-EAL1,EAL0(부적합) |
2️⃣ 기타 인증 제도 및 정보보호 활동
🌐 OECD 정보보호 가이드라인
💠 9가지 보안 원칙 : 인식, 책임, 대응, 윤리, 민주주의, 위험평가, 보안설계와 이행, 보안관리, 재평가
🌐 사이버 위기 경보
💠 사이버 공격에 대한 체계적인 대비 및 대응을 사전에 준비할 수 있도록 발령하는 경보
| 단계 | 정의 |
| 관심 (파랑) | 국가적 차원에서 네트워크 및 정보시스템 사용 불가능 침해사고가 전국적 혹은 대규모인 사고 발생 국가적 차원에서 공동 대처 필요 |
| 주의 (노랑) | 정보통신 서비스 제공자 혹은 기간망의 장애 또는 마비 침해사고가 대규모 피해로 발전될 가능성 증가 다수 기관의 공조 대응 필요 |
| 경계 (주황) | 일부 네트워크 및 정보시스템 장애 국가 정보시스템 전반에 보안태세 강화 필요 |
| 심각 (빨강) | 웜, 바이러스, 해킹등에 의한 피해 발생 가능성 증가 해외 사이버 공격 피해가 확산되어 국내 유입 우려 |
SECTION 43. 정보보호 관련 법규
1️⃣ 개인정보보호법
🌐 정보통신망법과 개인정보보호법의 적용대상 및 적용 범위
| 구분 | 정보통신망법 | 개인정보보호법 |
| 규제기관 | 방송통신위원회 | 개인정보보호위원회 |
| 적용대상 | 통신사업자 등 | 헌법기관, 오프라인사업자, 비영리단체 등 |
| 적용범위 | 전자파일(고객정보) 임직원 정보 제외 |
전자파일 임직원 정보 수기문서 |
🌐 안전조치 기준
| 유형 | 적용대상 |
| 유형1 (완화) | ⊙ 1만명 미만의 정보주체에 대한 개인정보를 보유한 소상공인, 단체, 개인 |
| 유형2 (표준) | ⊙ 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업 ⊙ 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 ⊙ 1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
| 유형3 (강화) | ⊙ 10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 ⊙ 100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 |
반응형
'정보보안기사 > 필기' 카테고리의 다른 글
| [정보보안기사 필기 정리] PART 02. 암호학 (0) | 2025.02.20 |
|---|---|
| [정보보안기사 필기 정리] PART 03. 접근통제 (0) | 2025.02.20 |
| [정보보안기사 필기 정리] PART 04. 시스템 보안 (0) | 2025.02.19 |
| [정보보안기사 필기 정리] PART 05. 네트워크 보안 (수정필요) (0) | 2025.02.19 |
| [정보보안기사 필기 정리] PART 06. 애플리케이션 보안 (0) | 2025.02.17 |
Contents
소중한 공감 감사합니다