[CISSP] 보안 & 위험 관리 - 보안의 구성요소 및 보안프로그램

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함

Domain1 Security & Risk Management 1-1

 

 

I. 보안의 구성 요소

 -보안 목적: Inter-dependencies(상호의존적): Assurance

 

1. 보안 목표 

1.1 기밀성(Confidentiality) **keyword: sensitive, stringent, stringency(엄중) —군 기밀 데이터와 연관

 *위협요소: 스니핑(도청) / 트래픽분석(-트래픽 패딩)

 *대응책: 암호-ESP(EST오타), VPN(트래픽 패딩)

Q) 패딩을 삽입함으로써 예방할 수 있는 것은? a.트래픽 분석

 

 1.2 무결성(Integrity) **keyword 완전/정확 —무결성을 위협하는 요소는 중간자공격(MitM), 이에 대한 대응책: 디지털서명,PKI

  *위협요소: 중간자 공격/과도한 권한 집중/시스템 무결성/프로세스 무결성(순서대로 매핑)

  *대응책: PKI/직무분리/구성관리/변경통제 

Q) 로그 파일의 무결성 체크 방법은? a.해시함수 b.WORM

 

 1.3 가용성(Availabilty) **keyword 문제에서 중요한 데이터 -> critical = Availability

  *위협요소: 도스 공격(대응:IRP)/서버 디스크 장애

  *대응책: IRP(Incident Response Plan): 식별(Identification)-조사-완화-교육 단계

      (Ex. IRP의 첫 단계에서 수행하는 것은?        a.사건이 일어났는지 확인한다(=식별)

      Fault Tolerant, RAID Loading Balancing, BackUP

Q) 로그 저장 장치의 가용성을 확보하기 위한 가장 좋은 방법은? a.Rotation b.Overwrite c.Compression

-상황에 따라 달라질 수 있음( 저장 장치 용량이 5GB 등등)

Q) 피싱사이트는 보안의 어떤 속성을 위반하였는가? 

a.기밀성(계정입력,회사자료 copy: 기밀 위협) b.무결성(피싱=가짜사이트=무결) c.가용성

 

 1.4 책임추적성(Accountability)

보안 사고 발생 시, 누구에 의해 어떤 방법으로 발생하였고, 누가 책임 질 것인지

*위협요소: 로그 삭제 및 파괴/해커

*대응책: 감사증적/식별, 인증, 권한 부여

-보기 예제에 Accountability, Assurance 같이 있으면 정답 확률 높음.

Q) ISO 7498-2가 제공하지 않는 서비스는? a. 무결성 b.가용성 c.인증 d.부인방지

  =OSI 7Layer 규정: 가용성과 관련된 레이어는 없음. ‘인증, 부인방지, 접근통제 예제로 나오면 보안의 목적/원칙/요소 문제가 

아니라 OSI-7Layer문제로 봐도 무방함’

Q) 학생들의 성적 정보는 Family Educational Rights and Privacy Act에 의해 규제된다   a.기밀성

Q) 병원의 데이터베이스에 저장된 환자의 allergy 정보는? a.무결성(훼손 없이 저장되고 관리되어야 함)

Q) 중요한(=critical) 시스템, 어플리케이션, 장비들에 인증 서비스를 제공하는 시스템? a.가용성(사용가능함)

 

 

 2. 보안관리 프로세스

 >기업 내 중요 자산 파악, 자산의 위험 파악, 위험에 대한 대응책 강구, 보안프로그램 시행(인식 교육 등)

 

3. 조직 내에서 정보보안을 실행하는데 있어서 가장 중요한 성공요소

1st.  “경영진”으로부터 가시적인 지원과 승인 **CISSP에서 가장 중요한 요소 중 하나

이후, 비즈니스 목적(정책, 목적, 활동 등)을 반영해야하며, 정해진 보안 정책과 표준을 임직원 및 계약자에게 배포.

 

4. 보안 구현

 4.1 예방: 이상적인 보안 기법 

Q) ‘전송 중인’ 데이터의 기밀성에 대한 공격의 예방법은?  a.ESP

 4.2 탐지: 침입 탐지 시스템에서의 도스 공격을 탐지 및 교정 - response, recovery(교정통제)

 4.3 대응: 공격 탐지 이후, 추가 손상을 막기 위한 대응 

 4.4 복구: 데이터의 무결성이 훼손되면 백업시스템을 사용하여 복원

 

 

II. 보안 거버넌스-출제 희박(read)

 1. Corporate Governance(기업 거버넌스)

    조직 목표가 달성 가능(attainable, achievable)하고, 보안 위험이 적절히(appropriately) 대응되어야 한다.

 2. Information Security Governance

    보안 목표와 기업의 목표를 연계(align)를 통해 비즈니스 가치를 달성하는 것.

 

 

 

III. 효과적인 보안 프로그램

 

[용어 정리]

Due Care  -반드시 해야만 하는 원칙, MUST, 위반 시 책임  -사업지속성 계획 및 재해복구 계획  -조직의 사고 처리 대응 계획 수립(BCP, DRP, IRP)  ex. 컴퓨팅 자원이 다른 조직의 컴퓨터 시스템의 공격 원천으로 사용되지 않게 하는 경우 +추가   “하향 책임”   Q) 삼성 PC를 사용하는 은행에서 좀비PC에 감염되어 DDoS 공격을 당했고, 손해가 발생하였을 때 은행이 삼성측에 피해보상을 할 수 있는가?  a. 삼성전자 측에서 F/W, 백신 등을 수행하며 PC를 안전하게 하기 위한 노력을 기울였다면 불가, 해당 노력을 하지 않았다면 손해배상 청구 가능.  Due Diligence  -NOT MUST, 추가적으로 수행 시 이로움, TEST  ex. 배경체크, 비즈니스 파트너의 신용도 체크, 방화벽 침투 테스트 등, ______+TEST

 

1. 책임의 계층(총 정리 시 참고 자료 확인)

 1.1 End Users

컴퓨터 사용자 or 일반직원: 자신의 계정 관리 잘해야됨- 기밀성, Due Care, Policy 숙지

 

 1.2 Executive Management=경영진

Due Care의 표준 내에서 정보 자산 보호에 대한 ‘궁극적인, Final, Ultimately 책임 == 경영진’

 

 1.3 데이터(정보) 소유자(Owner) or Biz Manager(이중적 의미)

-데이터 보호와 사용에 대한 궁극적인 책임(==경영진)

-데이터에 대한 관리 권한을 custodian에게 위임(==Biz Manager, 팀장)

-정보 자산을 위한 safeguard, criticality, sensitivity, backup등을 결정(==Biz Manager, 팀장)

**‘궁극적인, Final, Ultimately 책임’이 있으면 경영진, 없으면 Biz Manager(팀장)

즉, 궁극적인, Final, Ultimately == 경영진, Essential, Major, Neccesary, First == Biz Manager, 팀장, 책임자

단, Data Owner의 경우 함께 주어진 예제에 따라 경영진이 되기도, 팀장이 되기도 하므로 주어진 예제를 참고해야한다. 주의**

또한 Data Owner = Data Subject = Data Originator

Q) ~~~책임자는 누구인가? a. Data Owner(=경영진) b. Biz Manager(팀장) …

                                           a. 경영진 b. Data Owner(=팀장)

 

1.4 Custodian or Steward(데이터/정보) -헬프데스크, 전산실

-데이터 소유자에 의해 데이터 관리의 책임을 위임 받음.

-데이터에 대한 주기적 백업 및 보안 메커니즘을 수행하는 주체

Q) 데이터에 대한 접근 통제와 사용자 승인을 다루는 것은 누구의 책임인가?    a.데이터 Custodian

 

 1.5 정보시스템 감사인

경영진에게 시스템이 보안정책, 표준 등 통제의 효과성에 대한 독립적인 견해를 제공, 외부 감사인의 감사는 객관성을 제공해야 함

**감사인의 역할은 독립적인 검토를 제공하는 것이며, 내부 인사가 감사를 진행해서는 안된다. 왜? 이익의 충돌이 발생하기 때문

Q) 조직에서 보안과 관련된 통제의 효과성은 측정하는 사람은?      a.데이터 소유자  b.중앙 보안 관리자   c.시스템감사인

 

 1.6 정보 보안관리자

-보안인식 프로그램의 개발과 제공

-비즈니스 목적 이해(정답 키워드)

-보안 매트릭스 수립(보안의 요구사항을 ‘표’로 형식화 함)

 

 1.7 Patch Management

-Security Group: 패치 관리 프로세스의 전반적인 책임

-Operator Group: 패치 실행의 책임(**deploy, implementation)

 

 

 

 

III. 효과적인 보안 프로그램

[보안 프로그램]

 >>프로그램의 계층적 구조 <-> (필수 항목 != GuideLine, 융통성)

 

  Biz Objective                         비즈니스 목적 이해: 객관적 데이터(시간, 돈), 주관적 데이터(신뢰성)

          | -align

          |

General Organizational Policy 보안 정책: 기밀 정보가 올바르게 보호 되어야 함(무엇을 보호할 지 명시)

          |                                                         -비즈니스 목적을 달성하기 위한 것 = 보안정책

          |

          |

   Standard                                 표준=정책 이행 방법, 기술 ‘HOW Accomplish, Deploy’ -AES Algorithm으로 암호화 한다

          |                                         **일관성(=Uniform, Consistent)

          |

   Procedures                             Procedure 표준이행을 위한 절차,순서: 세부적 detail

          |

    BaseLine                                베이스라인: 최소 보호 수준을 정의 

 

***위 각 필수 단계와 키워드를 반드시 매핑

Q) 정책은 일관성 있게 수립되어져야 하며~ (맞는말 같지만 땡) a.표준-일관성, 절차-세부적, 베이스라인-최소 

Q) 표준, 지침, 베이스라인은 다량의 문서로 작성되어서는 안되고, 개별화하고 모듈화해야 하며, 이는 필요 시에 적절한 배포와 업데이트     에 효과적이다. 이는 보안의 어떤 요소를 나타내는가? a. 무결성(업데이트=정확하게=무결성) b. 가용성 c. 기밀성

 

 

2. 보안 정책 개요

 2.1 보안 정책 정의

고위 관리층에 의해 수립되는 지침으로 강력한 시행을 요구하는 의무사항

  -Broad(포괄적), General(일반적), Overview(개괄적)

-정책의 수명주기는 3~5년, 검토 주기는 1년에 한 번**

-정책의 변경에는 반드시 날짜와 버전이 통제되어야 함: 책임추적성

Q) 새로운 보안 정책을 수립해야할 때는? a.새로운 비즈니스 모델 도입 b.소유주 변경 c.대표이사 변경 

 

 2.2 정책 수립 시 고려 요소

달성 가능하게 해야함: Attainable, Achievable(답 키워드)

 

 

3. 보안 정책의 종류: **가장 기본 1st, 첫 번째: AUP

 3.1 AUP(Acceptable Use Policy) 허가된 사용에 대한 정책: 시나리오 기반 문제 출제 가능성 높음)

-컴퓨팅 자원을 개인적으로 사용하지 않으며(Not Acceptable), 개인적인 사용이 있을 경우 처벌 대상

-**계정을 부여하기 전 사인을 요구함(1st listed security poilcy): 사인을 받은 후 모니터링 할 경우, 법적 문제 발생 가능성 없음

 

**keyword: AUP의 목적: clarify 명확하게 하다, To Shield the organization against potential liability(사전방지)

Q) NW 붙이기 전 대응 방안? a.NAC 솔루션 도입, 802.1x 인증 b.AUP(근본적)

Q) 정보 유출을 막기 위해서 어떻게 해야 하나? a.HIPS(호스트 기반 침입방지 시스템)

Q) 삭제하려면 어떻게 해야하나? a.Reimage(밀고 다시 설치)

Q) AUP에 대한 사례? a.P2P게임, 주식 등 

 

3.2 User Account(계정 정책): **keyword: 계정정책 = 식별

시스템이 사용자들을 식별하기 위해서 필요함

Q) 시스템이 사용자들을 식별하기 위해 필요한 정책은 무엇인가? a.인증정책 b.계정정책

 

3.3 원격접속에 대한 정책(VPN 정책 수립 사전 필요 - +)가장 강력한(표준) VPN=IPsec)

내부 직원의 원격접속, 계약자, 벤더 모두에 적용 됨

 

3.4 엑스트라넷 연결 정책(VPN 정책 수립 사전 필요)

조직과 관련 없는 사람들이 네트워크에 접근 시도 할 때 ‘처리하는 방법’과 ‘요구사항들’

 

 

 

 

 

 

Q) 조직의 재택근무자들이 VPN을 통해 본사의 서버로 접속하여 업무를 수행하고자 할 때, 가장 먼저 해야 할 일은?

a.원격접속에 대한 정책 수립

Q) 고객사/파트너사가 원격 접속을 수행하고자 할 때 가장 먼저 해야 할 일은? a.위험평가

 가장 먼저 해야 할(1st) ‘위험평가’가 답이 되는 case

      1. 방화벽 도입 후

      2. 파트너사가 원격 접속 시도할 때

      3. IDC 구축 시(물리적 site에 대한 위험평가 필요)

      4. 합병 시(비즈니스 모델이 다른 두 회사의 합병 시)

      5. 클라우드 NW 연결 시

 

 

4. Security Policy Type … NIST 분류 기준(NIST800-12)

 4.1 OSP/PSP(Organizational / Program Security Policy)

보안에 가능한 모든 것을 promgram==성명서 형태의 전략적인 문서(수정을 요하지 않음)

 

 4.2 ISSP(Issue-Specific Security Policies)

이슈에 국한 된 보안 정책을 수립하며 그때그때 상황에 맞는 적절성, 기술과 관련된 요소의 변화에 따른 잦은 개정(업데이트)이 요구 됨

ex. 불법SW 복제(Copyright), Privacy, 악성코드-anti virus policy수립

Q) Anti-Virus 수립 시 고려 요소가 아닌 것은? a.예방 b.탐지 c.삭제 d.교정**(삭제 아님 주의)

Q) 시스템에 저장되어 있는 PII(개인식별정보) 보호? a.ISSP b.OSP c. SysSP  

 

 4.3 SysSP(System-Specific Policy)

개별 시스템(컴퓨터, 네트워크)의 보안 목적에 국한 된 정책으로 비즈니스 목표, 범위, 목적, 접근 통제를 위한 일반적인 규칙

-FireWall Configuration Policy(=rule), Router ACL: 접근 통제

Q) SysSP는 통상 무슨 통제와 같이 사용하는가? a.예방통제 b.탐지통제 c.접근통제

 

 

5. 보안인식 교육

 5.1 보안인식 교육의 목적 및 이점

정보보호의 목표, 전략, 정책, 필요성, 책임, 역할 등을 직원, 파트너, 공급자에게 설명하기 위함 + 확실하게 이해하고 있음의 보증을 위해 필요

-책임추적성, 스스로 책임을 자각하게 하기 위함이며 top down 방식으로 유도되어야 한다.

  To inform users of information assurance responsibilities

**keyword: Assurance

 

 5.2 보안인식을 전달하는 기술

사용의 편리성(갱신하기 쉽도록), 책임추적성(통계치 산출 가능하도록)

-실수로 인한 보안 사고의 감소*

 

 5.3 보안 인식 교육 주제

모든 사용자의 관심사 및 업무가 다르므로 교육 시 교육대상자에 따라서 내용을 달리 해야한다. 즉 personalize(사유화/개인화) 되어야 한다.

 

 5.4 보안 교육의 종류

-Awareness(인식-전직원), Training(훈련-실무진), Education(교육): 무엇을, 어떻게, 왜/정보, 지식, 통찰력/ 태도인지 및 습관변화, 기술, 이해

 

 5.5 보안에 대해 경영진을 자극할 수 있는 Motivator: 시험출제 가능성 낮음

-FUD(Fear, Uncertainty, Doubt: 불확실성, 두려움 등으로 경영진에게 필요성을 자극

-Due Care: BCP, DRP, Privacy 법률

-Productivity: 바이러스, 스팸

-Team up: 실무자와 법률 부서의 협업 및 동맹

 

 5.6 보안인식 교육의 효과 측정법(-보안의 역할이기 때문에 출제*)

case1. 보안관리자가 새로 부임했을 때 가장 먼저 해야할 일은? a.Biz Object의 이해

  새로 부임한 보안관리자가 보안인식 교육의 효과성을 확인하는 방법은? a.보안감사 지적사항(findings)을 확인한다.

case2. 기존 보안관리자가 재직 중 보안인식 교육 진행 후, 효과성을 확인하는 방법은? a.recently, 보안 관련 문의 건수의 증가폭 체크