CISSP IT보안이론 요약: 위험과 인적관리

1. 서드파티 거버넌스 관리

- 보안 거버넌스

• 조직의 보안에 대한 노력을 지원/정의/지시 하는 것과 관련된 사례의 모음

- 서드파트 거버넌스

• 법률, 규정, 산업표준, 라이센스 요구사항에 의해 위임 될 수 있는 감독 시스템
• 명시된 보안객체, 요구사항, 법령과 계약상 의무 등의 준수를 검증하는데 관점

- 감사와 평가 단계

• 대상 및 이사회 모두가 전체적이고 개방된 문서교환과 검토에 참여

- 문서 검토

• 교환된 자료가 표준과 예상에 부합하는지 검증하는 과정

 

2. 위험관리

주요 목적: 위험을 수용 가능한 수준으로 감소시키는 것
 

위험용어

자산

• 환경 내에서 보호 돼야 할 것 들
• HW, SW, 시설물 등

자산가치

• 자산에 부여된 화폐가치

위협

• 조직이나 특정 자산에 대해 원치 않는 결과를 유발 할 수 있는 잠재적 행위

취약성

• 자산의 약점 또는 안전장치나 대책의 부재

노출

• 위협으로 부터 자산의 손실에 민감하게 된 상태

위험

• 위협이 자산에 피해를 입힐 수 있는 가능성
• 위험 = 위협 X 취약성

보안대책

• 취약성을 제거하거나 특정 위협으로 부터 보호하는 것
• SW패치, 정책개선, 인프라 개선 등

공격

• 공격자에 의한 취약성의 악용 또는 악용하기 위한 의도적 시도.

침해

• 공격자에 의해 발생된 보안 매커니즘의 우회나 무력화

 

위험평가 방법론

모든 위험을 100% 제거하는 것음 불가능.
수용 가능한 위험을 결정하기 위해 위험의 평가가 필요.

- 위험분석

• 위험을 식별하고, 위협의 영향을 정량화 하고, 보안을 위한 예산편성을 돕는 것

- 자산평가

• 자산의 가치를 금전적 가치로 할당 하는것
• 자산평가 이후에는 위협이 반드시 식별되고 시험되어야 한다

 

정량적 위험분석

 사실에 의거한 확률(백분율)

결과

• 위험등급, 잠재적손실, 대책구현 비용, 보안대책의 가치 등

정량적 분석 6단계

1. 자산조사와 가치할당
2. 개별 자산에 대해 가능한 모든 위협의 목록 작성
3. 연간 발생률(ARO) 계산을 위한 위협분석 수행
4. 연간 예상손실(ALE)을 계산해 위협에 대한 잠재적인 손실 산출
5. 위협에 대한 대책 조사 후, 적용된 대책에 따라 ARO, ALE 변화 계산
6. 각 자산의 각 위협에 대한 각각의 대책비용/이익 분석. 가장 적절한 대응책 선택

비용함수

노출계수(EF)

• 침해 되었을 때, 발생 가능한 손실의 백분율

단일예상손실(SLE)

• 어떤 자산이 피해를 받았을 경우 조직에 영향을 주는 정확한 양의 손실
• SLE = AV X EF
  *AV: 자산가치

연간발생률(ARO)

• 1년 동안 위협·위험이 발생되는 예상빈도

연간예상손실(ALE)

• ALE = SLE X ARO = AV X EF X ARO

 

정성적 위험분석

 시나리오 기반의 분석

시나리오

• 위협이 어떻게 유발 되는지, 조직, IT인프라, 특별자산에 위협이 생기면 어떤 영향을 주는지의 설명
• 분석 참여자들이 각 항목에 대한 평가를 수행

델파이 기법

• 그룹이 합의에 도달 할 때 까지 익명의 피드백과 응답 과정을 반복
• 모든 참여자로 부터 솔직하고 주관적인 응답을 도출

 

위험처리

위험완화

• 취약점을 제거하고, 위협을 차단하기 위한 보안 대책과 구현

위험부여

• 다른 조직에 손실비용을 배치하는 것
• 보험, 아웃소싱

위험수용

• 안정장치 비용과 이익 분석을 하였을 때, '비용 > 손실비용'라고 판단이 될 경우, 피해가 발생 할 경우의 결과와 손실을 수용

위험거부

• 위험의 존재를 부정
• 발생하지 않을 것 이라는 기대

 

3. 인적보안 관리

직무분리

• 중대하고 민감한 업무가 관리자와 상위운영자 사이에 분리 돼야 하는 보안 개념
• 최소 권한의 원칙

직무책임

• 책임에 따른 최소 권한의 원칙

업무순환

• 지식의 중복성 제공
• 사기, 데이터 수정, 도난, 파괴, 정보오용의 위험을 감소

 

심사와 배경점검

심사

• 직무기술서에 정의 된 민감성과 분류에 기반을 둠
• 지원서 심사, 배경점검, 보안 허가 검증은 보호가 필요한 업무를 위해 적합하다는 것을 증명하기 위한 필수 요소

배경점검

• 경력, 교육배경, 추천인, 학력, 동료, 이웃, 경찰·정부기록 확인, 면접 등을 포함
• 거짓말탐지기, 약물검사, 성격·인성 검사 포함
• 온라인 배경조사로 소셜 네트워킹 계정 검토도 활용

 

채용합의서

• 고용될 때 채용합의서에 서명
• 추가로 다뤄야할 보안 관련 문서: 비밀유지 동의서(NDA)
• 강제휴가 정책을 통해서 직원의 업무와 특권을 검증·감사

 

공급업체, 컨설턴트, 계약자 통제

SLA: 서비스 수준 협약

• 시스템 가동 시간(백분율)
• 최대 연속 가동 중단 시간
• 최대 부하
• 평균 부하
• 점검에 대한 책임
• Failover 시간

 

고용종료

• 사적이고 존중의 자세로 처리
• 최소 1명의 증인과 함께 진행
• 퇴직 통보 이후에는 신속하게 경계 밖으로 동행, 동행 없이는 돌아오는 것을 허용하지 않음
• 퇴직 전에 보안배지, 카드 등은 회수
• 가장 좋은 퇴직시점은 평일 업무시간 끝 시점
• 조직의 장비나 지원품은 직원의 집이나 자동차에서 반납하게 함
• 계정을 제거 또는 비활성화
• 임금, 사용하지 않은 휴가, 퇴직금 등을 인사부서에 통보
• 직원이 개인물품을 챙기는 동안 보안 부서의 직원이 동반
• 모든 보안 직원에게 공지하여 다시 들어오는 것을 감시

 

4. 개발과 보안교육, 훈련, 인식관리

보안솔루션

• 사용자의 행동의 변화를 요구

인식

• 보안교육의 전제조건

훈련

• 직원에게 업무를 수행하는 것과 보안정책을 준수하는 것을 가르치는 것

교육

• 업무 수행을 위해 실제 알 필요가 있는 것 이상을 학습하는 더 구체적인 노력

 

5. 보안 기능 관리

• 적절하고 만족스러운 거버넌스 구현
• 비용효과적 이고, 측정가능 해야함
• 자원은 보안 메커니즘과 보안 거버넌스 절차에 의해 소모 될 수 있다