CISSP IT보안이론 요약: 보안 거버넌스 개념 원칙과 정책

1. 보안 관리 계획

- 보안정책의 적절한 생성, 구현, 집행을 보증

• 중앙관리자 책임: 표준, 베이스라인, 가이드, 절차
• 운영관리자, 보안전문가: 규정된 설정을 구현
• 사용자: 모든 보안 정책 준수

- 보안 관리 계획 3개 유형

• 전략적 계획: 장기계획, 보안목적규정, 위험평가를 포함
• 전술적 계획: 목적을 성취하기 위한 세부적인 중간 계획
• 운영적 계획:
  • 매우 상세한 단기 계획
  • 자원할당, 예산 요구사항, 인력배치, 일정관리, 단계별 구현절차

 

2. 보안 거버넌스

조직의 보안 노력을 지원·정의·지시하는 것과 관련된 사례의 집합
 

3. 보안 역할과 책임

- 최고 관리자

• 보안 솔루션의 성공이나 실패에 책임이 있는 사람.
• 보안을 구현하는 것에 대한 '정당한 주의'(Due care)와 '상당한 주의'(Due diligence)의 행사에 책임이 있다.

- 보안전문가

• 보안정책을 기록하고 구현하는 것을 비롯해서 보안에 대한 기능적 책임이 있다.

- 데이터 소유자

• 데이터 보호에 대해 궁극적인 책임이 있는 상위 관리자.

- 데이터 관리인

• 지정된 보호를 구현하는 작업에 대한 책임이 있는 사람.

- 사용자

• 보안이 적용된 시스템에 접근 할 수 있는 모든 사람.
• 작업에 충분한 만큼의 접근권한을 가진다.

- 감사자

• 보안정책이 적절히 구현되고, 설치된 보안 솔루션이 적당한지를 재검토하고 검증하는 책임이 있다.

 

4. 보호 메커니즘

• 계층화(심층방어)
• 추상화
  - 객체와 주체의 형태 또는 주체 자체를 정의하는 것
• 데이터 숨김
  - 주체가 접근 할 수 없거나 볼 수 없는 논리적 저장소에 데이터를 위치시키는 것
• 암호화

 

5. 개인정보 요구사항 수준

- 개인 정보 보호 정의

• 개인을 식별 할 수 있는 정보로 인가되지 않은 접근을 금지
• 개인 또는 기밀로 간주되는 정보에 대한 인가되지 않은 접근 방지
• 동의·인지 없이 관찰/모니터링/시험 되는 것 금지

- 관련법: HIPPA, 사베인스 옥슬리 법(SOX), Gramm-Leach-Bliley 법, EU의 GDPR

 

6. 통제 프레임 워크: 계획세우기

많은 계획이 견고한 보안 정책을 만든다.

- 보안 계획 단계

• 조직에 의해 요구된 보안 솔루션의 전체적인 통제 프레임 워크나 구조를 고려한다.

- COBIT

• ISACA의 IT보안 사례 문서
• 보안통제를 위한 목적와 요구사항을 규정
• 비즈니스 목표에 IT보안의 목표 매핑을 격려
• 원칙
  1. 이해 관계자의 요구를 충족
  2. 기업의 종단 대 종단을 커버하는 것
  3. 하나의 통합된 프레임 워크를 적용
  4. 포괄적인 접근 방식을 사용하는 것
  5. 관리에서 거버넌스를 분리하는 것

- 보안 계획의 중요성

• 정당한 주의(Due care)
  • 조직의 관심사를 보호하기 위한 상당한 주의에 기반한 계획이나 행위
  • 예: 보안정책, 표준, 베이스라인, 가이드라인, 절차
  • 합리적인 사람이 동일한 주의가 필요한 상황에서 마땅히 취했을 것으로 기대되는 행동을 의미. 
• 상당한 주의(Due diligence)
  • 정당한 주의를 장시간 실행하고 유지하는 것
  • 조직의 IT인프라위에 이러한 보안구조를 지속적으로 운영하는 것
  • Due Care보다 더 구체적인 요소. 책임이 주어진 사람이 정확하고 시기적절한 방식으로 Due care를 수행하는 것을 의미.

 

7. 보안관리 개념과 원칙

보안의 중요한 목적과 목표는 CIA 3요소에 포함되어 있음.

- 기밀성 (Confidentiality)

• 객체/자원이 권한 없는 사용자로 부터 보호되는 것에 대한 보증

- 무결성 (Integrity)

• 데이터, 객체, 자원이 원상태로 부터 변경되지 않는다는 보증

- 가용성 (Availability)

• 데이터, 객체, 자원이 권한을 가진 주체에게 접근 가능 하다는 보장

- 기타 보안 개념

• 식별: 신원을 확인하고 책임 추적성이 시작되는 과정
• 인증: 신원이 유효한지 검증하거나 시험하는 과정
• 인가: 인증된 주체의 접근은 반드시 인가 되어야 함
• 감사: 주체가 시스템 상에서 인증된 상태에서 그들의 실행에 대한 책임을 지게 하는 계획된 수단
• 책임 추적성: 보안 정책은 책임 추적성이 유지되는 경우에만 올바르게 집행 될 수 있음
• 부인방지: 활동·이벤트의 주체가 이벤트 발생을 부인할 수 없도록 보증

 

8. 개발과 구현 보안 정책

보안정책

• 보안의 범위를 정의. 보호가 필요한 자산을 결정.
• 필요한 보호를 어떤 보안 솔루션이 제공해야 하는지의 범위가 포함되어야 함
• 고위 관리자의 정당한 주의를 증명하여야 함.(의무적)
• 규제정책:  산업·법적 표준이 조직에 해당 될 때 필요
• 권고정책: 허용되는 것을 논의 하고, 위반 되는 것을 규정
• 정보제공적 정책: 정책 전반의 특정한 구성요소와 관련된 배경정보, 지원, 연구를 제공한다.

 

보안표준, 베이스라인, 가이드라인

- 보안표준

• 보안 정책에 정의된 목적과 방향을 성취하기 위해 단계나 방법이 정의된 전술적 문서

- 베이스라인

• 반드시 지켜야 할 모든 시스템의 가장 최소한의 보안등급
• TCSEC, ITSEC 같은 표준을 참고

- 가이드라인

• 보안 메커니즘이 아닌 특정 제품·통제를 규정하고 구성 설정을 상세히 배포하는 방법

 

보안절차

특정한 보안 메커니즘, 통제, 솔루션을 구현 시키는데 필요한 행동을 기술한 상세하고 단계적인 문서
 

9. 변경 통제/관리

- 목표와 요구사항

• 일반적인 변경은 항상 감시되고 통제된다.
• 공식적인 시험 프로세스는 변경의 결과가 예상 된 것인지 확인하기 위함이다.
• 모든 변경은 되돌릴 수 있다.
• 생산성 손실·방지를 위해서 변경 전에 사용자에게 알려야 한다.
• 변경의 효과는 체계적으로 분석 된다.
• 성능,기능,수행에 변경의 부정적 영향은 최소화 환다.

 

10. 데이터 분류

- 데이터 분류의 이점

• 가치있는 자산과 자원을 보호하기 위한 조직의 관심
• 중요하거나 가치있는 자산을 식별하는데 도움
• 보호 매커니즘의 선택을 신뢰 할 수 있음
• 때로는 규정 또는 법적 제한에 대한 요구사항임
• '접근수준', '허용된 사용자의 유형', '분류', '더 이상 가치가 없는 데이터의 파괴'를 위한 매개변수 결정에 도움을 줌.

- 분류 체계 구현 7단계

1. 관리인을 식별하고 책임을 정의
2. 정보 분류와 라벨링의 기준을 상세화
3. 자원 분류와 라벨링 작업(소유자 수행, 관리자 검토)
4. 분류정책에 대한 모든 예외를 문서화 하고, 평가 기준과 통합
5. 각 분류 등급에 적용 할 수 있는 보안 통제를 선택
6. 분류에서 제외된 자원과 외부개체 자원의 전송보호를 위한 절차를 지정
7. 분류시스템에 대해 전사적 인식교육 프로그램을 개발

- 정부/군사 분류 5등급

Top Secret

• 인가되지 않은 노출은 심각한 영향을 줌
• 국가보안에 극심한 손상

Secret

• 인가되지 않은 노출은 상당한 영향을 줌
• 국가보안에 중대한 손상

Confidential

• 허가 받지 않은 노출은 현저한 영향을 줌
• 국가보안에 심각한 영향

Sensitive But unclassified

• 데이터 공개가 중요한 손상의 원인이 되지 않음

Unclassified

• 노출이 기밀성을 위반하지 않으며, 손상도 유발하지 않음

- 상업/사설 부문 분류

Confidential(Proprietary)

• 극도로 민감하고 오직 내부적으로만 사용
• 노출 시 회사에 부정적 영향이 발생

Private

• 개인적인 성질의 정보. 오직 내부적으로 사용
• 노출시 기업이나 개인에 부정적 영향이 발생

Sensitive

• 데이터가 유출된다면 부정적인 영향이 회사에 발생

Public

• 위의 분류들에 해당되지 않는 데이터
• 유출이 조직에 심각한 부정적인 영향을 주지 않음