★1. 보안의 최종 목표
ISMS(Information Security Management System) : 정보보안관리 체계
1. 관리적 보안 : 정책, 조직, 교육, 인력자원
2. 기술적 보안 : 보안장비, 암호화, 접근통제
3. 물리적 보안 : 시설보안
이 모든것을 만족하면 KISA에서 인증서를 발급해준다.
(복습, 및 추가사항)
보안의 목적, 3대 요소
기밀성(Confidentiality) : 정보의 누출 방지
무결성(Integrity) : 정보의 변경 방지
가용성(Availiability) : 정보의 파괴 방지
+ ) 보안의 요소들은 모두 상호의존적이다. 이 3개중 하나라도 파괴,변경,누출된다면 다른 요소에도 영향이 가므로
정보보안 관리체계를 확실히 해야한다.
R = VAT(Risk = Vulnerability, Asset, Threat)
1. Risk
2. Vulnerability
3. Asset
4. Threat
+) 5. Exposure ( 노출 )
6. Safe Gaurd ( 보안대책 )
노출이 되었다면 보안대책을 세워야한다. 보안대책을 통해 위험을 감소시켰지만 남아있는 위험을 잔여 위험이라고 한다.
2. 보안 관리 (Security Management)
★2-1. 보안관리 절차
1. 자산 식별(파악)
2. 자산에 발생가능 위험을 식별
3. 보안대책 (관리적 보안, 기술적 보안, 물리적 보안)
4. 직원 교육 및 실생활 적용
참고 ) TOP-DOWN APPROCH(하향식 접근) - 성공적 보안관리를 위해 최고경영자의 적극적임이 필수이다.
3. 자산 (ASSET)
3 - 1. 자산 분류의 의미
ASSET - 자산 ?
경제적인 가치가 있는 재화
정보 자산이랑 정보 및 정보 시스템을 통칭한다.
가치있는 정보가 되기 위해선 적시에 이용가능해야 한다.
3 - 1 - a. 자산분류의 목적
- C, I, A 증진, 정보에 대한 위험 최소화시키 위해
- 비용대비 효과적으로 분류, 수립을 하기 위해
- 자산의 분류화(그룹화, 등급화)
- 등급을 정함으로써, 등급에 따른 자산의 취급방법을 정할 수 있음
3 - 1 - b. 자산분류의 기준
- ★VALUE (가치, 유용성)에 따라 분류한다.
- 정보 분류체계는 보안관리자가 제시하고, 실무자(부서장급)가 분류/ 할당한다.
3 - 2. 자산 분류의 원칙
★가능한 단순하고 분류레벨을 최소화한다.
4. 위험관리 (Risk Management)
4 - 1. 위험관리의 목표
위험을 용인할 수 있는 수준으로 유지하는 것을 말함
4 - 2. 위험관리의 목적
- 더 나은 보안을 제공하기 위해
- 보안관련 지출을 정당화하기위해(경영진을 설득할 수 있게 수치화(정량화)된 데이터를 제공할 수 있다.)
4 - 3. 위험관리 진행방법
4 - 3 - a. 위험식별
I. 위협분석
II. 취약점 분석
III. 자산 확인
4 - 3 - b. 위험분석
I. 손실 추정
II. 정량적 위험 분석
III. 정성적 위험 분석
IV. 위험도 평가
4 - 3 - c. 위험완화
I. 비용대비 효과 분석
II. 효율적 보안대책(SAFE GAURD)