CISSP-3. 보안관리(Security Management Practices) - 요약1

1) 보안관리 개념 및 원칙

    (1) 정보보호의 정의 및 목적
          - Confidentiality : 암호화

          - Integrity : 트로이 목마, 바이러스
          - Availability : DoS공격, Fault Tolerant System
          - 4가지 원칙 : 가용성, 기밀성, 무결성, 책임 추적성
             

 

ⓐ 기밀성
              - 대응책 : 암호, 네트웤 트래픽 패딩, 접근통제, 데이터 분류
         ⓑ 무결성
             - 정보의 정확도, 완전성, 일관성
             - 대응책 : 엄격한 접근통제
         ⓒ 가용성
             - 대응책 : 백업장비, 모니터링, 이중화, Fault Tolerant System
         ⓓ 책임 추적성
             - 엉뚱한 사람에게 불이익이 없도록 함
             - 식별, 인증, 권한부여, 접근통제, 감사의 개념
             - 보증(Assurance), 보안의 목적은 상호 의존적

    (2) 자산, 위협 취약성 및 위험의 관계
         ⓐ 잔여위험(Residual Risk) : 위험 수준이 Zero인 것은 불가능
             - 이유
                : 전산망이 Static하지 않음.
                : 공격방법 / 위협이 Dynamic(진화)

    (3) Defense in depth(CD-I-D)
         - 다계층 보안
         - Layered Security
         - Multilevel Security
         - 사용이유
            : 하나의 보안장비가 커버 못함
            : Cost(사용제품)가 안전하지 않음.

    (4) Security Management(보안관리)
         - 자산파악, 위협조사, Safeguard를 강구

    (5) Classification Criteria(분류기준)
         - Value(Data 유용성) : 등급 결정의 #1 Factor, Data 가치
         - Life time : 일정기간이 지나면 자동 분류 해제
         - Usefulness : 새로운 데이터가 만들어지면 기존 데이터는 자동 분류


2. Data Classification

    (1) 보안 레이블
          - MAC Model
          - 자산가치를 결정해야 하는 이유
             1) CBA 수행 - Cost Benefit Analysis, 비용 대비 효과
             2) 통제수단 선택 - Safeguard
             3) 보험가입 이유
             4) Due care


3. 보안 프로그램

    (1) 효과적인 보안에 대한 장애물
         - 경영진의 지원 부족
         - Security Dalicy 부족
         - Security 교육의 부족
         - 예산 부족
         - 책임할당의 실패

    (2) 보안정책
         ⓐ 정의
             - 반드시 충족해야 할 특정 요구사항 또는 규칙에 대한 윤곽을 명시한 문서
                Senior Management에 의해 생성된 High level statement로서 사내의 중요한
                정보를 보호하고 관리, 배포하기 위한 방법/규정(실행 가능성, 가이드라인 제공)
         ⓑ 보안정책 서술기법
             - 간단한 언어표현
             - 명료(clear) & 간략(concise)하고 포괄적
             - 적용대산 명시
             - 특수한 기술이나 방법론의 서술은 배제
         ⓒ 정책 수립시 고려요소
             - Biz 목적
             - 표준, 원칙
             - 이해하기 쉽게
             - 융통성
         ⓓ 보안정책 안내서에 대한 일반적인 설명
             - 개요 => 목적 => 범위 => 정책 => 시행 => 정의 => 수정기록
         ⓔ 보안정책의 종류
             ⒜ 허가된 사용에 대한 정책(Acceptable Use Policy)
                 - The goals of a good AUP(회사자원의 개인적 사용 금지) are.
             ⒝ 계정 정책(User Account)
                 - 시스템 식별
             ⒞ 인증정책
             ⒟ 원격 접속에 대한정책(Remote Access Policy)
             ⒠ 엑스트라넷 연결정책 - VPN
         ⓕ Security Policy의 3가지 종류
             ⒜ Organizational / Program Security Policy
                 - 전략적 분석, 기본
             ⒝ Issue - Specific Security Policies
                 - Concern에 대한 Issue ISSP(악성코드, Privacy)
             ⒞ System - Specific Policy
                 - 단일 시스템에 대한 보안 정책
                    Ex) Firewall Configuration Policy, 시스템 접근정책, Router ACL
                 - 접근통제와 같이 사용
         ⓖ 보안정책 형태
             - Regulatory : 규제형
             - Advisory : 권고형
             - Informative : 고지형
         ⓗ 표준 가이드라인 절차
             ⒜ Standard
                 - 의무적(Compulsory)
                 - 정책을 어떻게 Accomplish 할지, 기술을 어떻게 deploy 할지 기술
             ⒝ Guidelines(Suggestions)
                 - 제안적인(Suggestive) 사항
                 - 융통성(Flexible)
             ⒞ Procedures : detailed