정보 보안 기사 네트워크 답안 요약 기초 개인정보 암호 알고리즘 후기

이번 포스팅은 정보보안 관련 네트워크 답안 및 기초적인 암호 알고리즘 요약본 입니다.

 

 

2.1 정보보호 관리 개념

2.1.1 정보보호의 목적 및 특성 

 

반응형

- 정보보호의 필요성 이해 - 정보보호의 정의

- 정보보호의 목적

(1) 정보보호의 필요성

산업사회에서 정보화 사회로 바뀌면서 오프라인에서 수행되던 일이 대부분 온라 인으로 수행 가능해 지고 있다. 하지만 정보화의 순기능과 함께 개인정보가 노출, 악용되는 등의 사례가 증가함에 따라 사생활이 침해되거나, 조직 내 중요 정보가 오용과 악의적인 의도에 의해 유출되는 등의 치명적인 정보화의 역기능이 발생하게 되었다. 정보화 역기능의 사례는 지속적으로 증가하고 있으며 사용되고 있는 기술 도 정보기술과 함께 발달하고 있으므로, 정보보호의 필요성이 더욱 중요시되고 있 다.

(2) 정보보호의 정의

정보보호(Information Security)란 의도되었건 의도되지 않았건 간에, 인가받지 않 은 노출, 전송, 수정 그리고 파괴로부터 정보를 보호하는 것을 말하는 것으로, 정보 화촉진기본법 제2조에서는 정보의 수집·가공·저장·검색·송신·수신 중에 정보의 훼 손·변조·유출 등을 방지하기 위한 관리적·기술적 수단을 강구하는 것을 말하고 있 다.

(3) 정보보호의 목적

(가) 기밀성 서비스

(나) 무결성 서비스

(다) 인증서비스

(라) 접근제어 서비스

(마) 부인방지 서비스

(바) 감사추적 서비스



- 비즈니스에서의 정보보호의 필요성 

- 정보보호 모델

(1) 정보보호의 필요성

(가) 전자상거래, 전자정부 등 사이버 공간에서의 활동 증가에 따른 안전성, 신뢰 성 해결

(나) 글로벌화에 따른 국내 정보 유출 우려 

(다) 공공기관에서 소유하고 있는 개인의 정보 

(라) 회사의 제품개발 및 축적기술 

(마) 회사간의 각종 사업계획에 관한 정보교환 및 사업행위 

(바) 각종 지적소유권 보호 

 

(2) 정보보호 모델

(가) ISMS (정보보호관리체계) 

1) 정보보호관리체계는 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성 을 실현하기 위한 절차와 과정을 체계적으로 수립∙문서화 하고 지속적으로 관리∙운영하는 시스템이다.

2) 조직에 적합한 정보보호를 위해 정책 및 조직수립, 위험관리, 대책구현, 사후 관리 등의 정보보호관리과정을 정리하고 이를 통해 구현된 여러 정보보호 대책들이 유기적으로 통합된 체계(정보보호관리체계)를 갖추었는지 제 3자의 인증기관(한국정보보호진흥원)을 통해 객관적이고 독립적으로 평가하여 인증 기준에 대한 적합 여부를 보증해 주는 제도

- 정보보호관리의 개념 이해 조직이 가지고 있는 취약점을 찾아내 이를 보완할 수 있는 다양한 통제 방안을 도입함으로서, 조직의 정보에 대한 다양한 위협들로부터 정보를 보호하기 위한 체계로서 효율적인 정보보호 관리 체계를 구축하기 위해서는 체계적인 절차가 필요하 다. 각 조직은 자신의 정보보호 요구사항에 따라 필요한 통제들을 적절히 선정하여 효율적인 정보보호 관리 체계(ISMS : Information Security Management System)를 구축한다.

정보보호관리를 이행하기 위해서 조직은 정보보호정책 및 조직수립, 범위설정 및 정보자산 식별, 위험관리, 구현, 사후관리활동으로 구성된 6단계의 논리적이고 체계 적인 정보보호관리 프레임워크를 수립하고, 기획, 관리하여야 한다.

2.1.4 정보보호 관리와 타 관리 기능간의 관계 [1급] 

(1) 구성관리

(2) 성능관리

(3) 계정관리

(4) 문제관리

(5) 서비스수준관리 등 관리기능과 정보보호관리기능과의 관계 (6) 통합정보보호관리의 의미와 접근방법 정보보호관리는 조직의 자산에 대한 안전성 및 신뢰성을 향상시키기 위해 관리, 운영하여 정보보호의 목표인 비밀성, 무결성, 가용성을 실현한다.

 

정보보호 정책의 의미 및 유형

- 정보보호정책의 상세내용 및 구성 - 정보보호정책의 절차 및 대책수립 정보보호정책은 조직의 정보보호에 대한 방향과 전략 그리고 정보보호 프로그램 의 근거를 제시하는 매우 중요한 문서이다. 따라서 정책의 의미, 유형, 수립과정, 포 함될 내용을 이해하여야 한다. 또한 정보보호 프로그램이 조직 내에서 효과적으로 수행되기 위해서는 정보보호에 대한 책임과 역할이 명확히 구명되어야 하고 이것이 조직 체계로서 구현되어야 한다. 따라서 정보보호를 위한 조직의 유형과 역할, 구성 등에 대한 이해가 필요하다.

정보보호 정책은 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술이다. 또한 정보보호 임무를 관리하기 위한 수단이다.




- 정보보호정책의 목표

- 정보보호목표를 선정할 때의 고려 사항 - 정보보호정책의 특징 이해

(1) 정보보호정책의 정의

정보보호정책은 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술이다.

(2) 정보보호정책의 목표

조직의 정보보호정책 목표는 조직이 달상하고자하는 목표와 달성방법(전략), 그리 고 목표달성을 위한 정책을 조직의 각 단계 및 사업 단위 또는 부서별로 정의하여 야 하며, 효율적인 정보보호 정책을 위해서 각각의 조직 수준과 사업 단위별로 다 양한 목표, 전략, 정책을 수립하여야 한다.

(3) 정보보호정책의 필요성

정보보호와 관련된 결정은 대부분 정보보호 관리자가 네트워크의 안전여부, 제공 기능, 사용하기 쉬운 방법에 대해 결정했을 때에 만들어진다. 정보보호정책의 목표 를 결정하지 않고서는 보안에 관하여 적절한 결정을 할 수 없다. 정보보호목표를 결정할 때까지는 무엇을 점검하고 무엇을 제한할 것인지를 전혀 알지 못하기 때문 에 어떤 보안도구도 효과적으로 사용할 수 없다.

(4) 정보보호목표를 선정할 때의 고려 사항 

(가) 서비스 제공

사용자에게 제공하는 서비스의 이점이 위험의 비중보다 크다면 정보보호관리자 는 사용자들의 위험으로부터 서비스를 안전하게 사용할 수 있도록 보호대책을 수 립하여야 한다.

(나) 용이성

누구나 쉽게 시스템에 접근하여 사용할 수 있다면 사용하기에 편리할지 모르지 만, 각종 위험으로부터 완전히 노출되어 있다고 해도 과언이 아니다. 따라서 정보 보호관리자는 시스템 사용의 용이성이 다소 떨어지더라도 시스템의 안전을 최우선 과제로 선정해야 한다.

(다) 정보보호 비용과 손실위험

정보보호를 하기 위해서는 비용이 많이 소용되므로 사생활에 대한 손실 서비스 에 대한 손실 등으로부터의 각 비용의 형태는 손실의 형태에 따라서 신중하게 결 정해야 한다. 정보보호정책의 영역이 정보기술, 저장된 정보, 기술에 의해 조직된 정보의 모든 형태를 포함한다.

정보보호정책의 내용에는 다음과 같은 최소한의 표준을 포함하여야 한다.

1) 필요한 보호의 수준에 따른 자산의 분류 

2) 비인가 된 접근으로부터의 정보 보호 원칙 

3) 정보의 기밀성 보장, 무결성 유지 

4) 정보 및 정보시스템의 가용성에 관한 사업 요구사항 

5) 물리적, 논리적, 환경적 보안 및 통신보안 

6) 준수하여야 할 법, 규정 및 계약 요구사항 

7) 시스템 개발 및 유지 방법론

8) 비상대책 계획의 수립, 유지, 점검 

9) 모든 직원에 대한 정보보호 교육훈련 

10) 정보시스템 정책 위반에 대한 징계 또는 처벌 

11) 정보시스템 보안사고 보고 및 조사 

12) 준수해야 할 표준, 관례 및 절차와 바이러스 방지, 패스워드, 암호화를 포함 하는 정보보호정책 지원 수단의 구현 

 

(5) 정보보호정책의 특징

수용 가능한 지침 또는 다른 적절한 방법을 수립하고 시스템 관리절차를 통해 구 현이 가능해야 하며, 예방이 기술적으로 불가능한 곳에서 인가에 의해 적절한 경우 에 보안도구가 실행 가능해야 한다. 

또 사용자, 관리자, 기술요원에 대한 책임 영역 이 명확하게 정의되어야 한다.

2.2.3 조직 체계와 역할/책임



- 조직 체계의 역할과 구성원들의 책임 - 조직의 정보보호 정책요소

정보보호조직은 적합한 정보보호정책을 계획, 구현, 승인, 감독할 수 있는 조직 

체계를 수립하여야 하며, 모든 조직은 독자적인 체계를 가지고 이에 적합한 방식으 로 정보보호와 관련된 직무를 할당하여야 한다.

(1) 역할

(가) 사고 대응팀/정보보호 위원회의 역할 

1) 전략적 보안 계획과 관련하여 IT운영위원회에 조언 

2) IT전략적 지원에 관련하여 조직 IT 정보보호정책을 수립하고 IT 운영위원회 로부터 승인 획득.

3) 조직 IT정보보호정책을 IT보안 프로그램으로 전환 

4) IT보안 프로그램 실행을 모니터링 

5) 조직 IT보안 정책의 유효성 검토 

6) IT 보안 문제 인식 촉진

7) 계획 프로세스를 지원 및 IT 보안 프로그램 실행을 지원하는데 필요한 자원 (인력, 예산 등)에 입각하여 조언.

(나) 정보시스템 관리 책임자의 주요 임무 

1) IT 보안 프로그램 실행을 감독 

2) 정보보호 관리팀 및 조직 정보보호 임원에 대한 연락 및 보고 

3) 조직 IT 보안 정책과 지침을 유지 4) 사고 조사 조정

5) 조직의 전반적인 보안 인식 프로그램 관리 

6) IT 프로젝트 및 시스템 보안 담당의 권한 결정 

(다) 프로젝트 보안 담당과 시스템 보안 담당의 주요 임무 

1) 정보보호 관리팀 및 조직 IT보안 담당에 대한 연락 및 보고 

2) IT 프로젝트 또는 시스템 보안 정책을 수립, 유지 

3) 정보보호 계획을 개발, 구현

4) IT 대책의 구현 및 사용을 모니터링 

5) 사고 조사의 착수, 지원

(2) 책임

구성원의 역할과 책임 및 권한을 명확히 규정하여 모든 직원이 이를 이해하도록 한다.

(가) 최고 경영자

정보보호를 위한 총괄책임이 있다.


(나) 정보시스템 정보보호 관리자

조직의 정보보호 정책, 표준, 대책, 실무 절차를 설계, 구현, 관리, 조사할 책임 이 있다.

(다) 데이터 관리자

정보시스템에 저장된 데이터의 정확성과 무결성을 유지하고 데이터의 중요성 및 분류를 결정할 책임이 있다.

(라) 프로세스 관리자

해당 정보시스템에 대한 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임이 있다.

(마) 기술지원 인력

보안대책의 구현에 대하여 조언할 책임이 있다.

(바) 사용자

조직의 정보보호 정책에 따라 수립된 절차를 준수할 책임이 있다.

(사) 정보시스템 감사자

보안 목적이 적절하고 정보보호 정책, 표준, 대책, 실무 및 절차가 조직의 보안 목적에 따라 적절하게 이루어지고 있음을 독립적인 입장에서 관리자에게 보증할 책임이 있다.

(3) 조직의 정보보호 정책요소

(가) 자산 소유자의 관점에서 본, 기밀성, 무결성, 가용성, 책임 추적성, 신뢰성에 관한 IT 보안 요건

(나) 조직의 기반 구조 및 책임 할당 

(다) 시스템 개발, 조달과 보안의 통합 

(라) 지침과 절차

(마) 정보 분류 등급 규정

(바) 위험 관리 전략

(사) 비상 계획

(아) 문제(유지보수 인력 및 시스템 관리와 같이 신뢰를 필요로 하는 지위의 인력 에 특별한 주의를 기울여야 한다.) 

(자) 인식, 훈련

(차) 법과 규제의 준수

(카) 외주 관리

(타) 사고 처리



2.2.4 예산 수립 및 정당화 방법

- 예산 수립시 고려해야할 사항

- 정보보호 예산/투자에 대한 정당화기법 - ROSI, TCO

(1) 정보자산의 식별

조직의 정보자산으로 보호를 받을 가치가 있는 정보자산을 식별하고, 이를 정보 자산의 형태, 소유자, 관리자, 특성 등을 포함하여 목록을 만들어야 한다. 자산 식별 을 통하여 조직의 자산을 파악하고, 자산의 가치 및 중요도를 산출하며, 정보자산과 업무처리와의 관계도 알아낼 수 있다. 자산평가는 위험분석 결과의 정확도를 결정 하는 매우 중요한 과정이다.

자산평가 과정은 자산조사와 자산가치산정의 2가지로 나눌 수 있으며, 자산조사 과정에서는 조사할 자산의 범위를 설정하고, 자산목록을 작성한다. 자산가치산정 과 정에서는 자산을 정량적 또는 정성적으로 산출하는 기준과 절차를 정의한다.



(2) 자산가치 산정

자산가치 산정은 자산의 중요도를 파악하고 위협이 발생할 경우 있을 수 있는 피 해를 측정하기 위한 정보를 얻기 위해 위험분석 대상 자산의 가치를 정량 또는 정성적인 방법으로 평가하는 과정이다.

정량적 기준은 자산 도입 비용, 자산 복구비용, 자산 교체 비용이 기준이며, 정성 적인 기준은 업무처리에 대한 자산의 기여도, 자산이 영향을 미치는 조직과 작업의 수, 시간(복구시간), 기타(조직의 특성에 맞는 기타요소)가 기준이 된다.