| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- 최소권한
- terraform기본
- 리눅스기초
- 리눅스기초명령어
- AWS배포자동화
- terraform with aws
- Cissp sdlc
- aws
- 쉘스크립트
- 주피터노트북 설치
- aws기초
- GDPR
- 리눅스
- 리눅스명령어
- terraform기초
- terraform따라하기
- opt/anaconda3/bin/jupyter_mac.command
- AWS CI/CD
- AWS실습
- linux명령어
- aws기본
- AWS구축
- aws따라하기
- 직무분리
- cissp
- AWS 공격테스트
- blue/green배포
- Linux
- AWS CodeDeploy
- aws terraform
ysuekkom의 IT study note
[CISSP] GDPR, 데이터 자산 보안의 데이터 품질 관리 본문
cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함
Domain2 Asset Security 2-2
III. GDPR 에서의 프라이버시 보호 -22년 하반기부터 직접적인 문제 출제
1. 개인정보 처리 원칙
1.1 적법성, 공정성, 투명성의 원칙(Lawfulness, fairness and transparency)
1.2 목적 제한의 원칙(Purpose Limitation)
1.3 개인정보처리의 최소화(Data minimisation)
1.4 정확성의 원칙(Accuracy) - OECD data 품질원칙(최신/정확/안전)
1.5 보유기간 제한의 원칙(Storage Limitation)
1.6 무결성과 기밀성의 원칙(Integrity and confidentiality)
2. 프라이버시 보호 기술 -암호파트로 이어짐
PII(개인식별정보) 보호 기술 출제** (ex.아이들 정보보호(domain1에서 언급)
[De Identification]
1. Full Disk Encryption
2.Tokenization: 토큰화
민감정보 필드의 값을 대체(replacement/substitute) 하는 것(클라우드 환경에서 PCI 보호)
3. Obfuscation(모호하게 or 헷갈리게 하는것: 번역 시 ‘난독화’) 암호화 기법
-암호화의 근간/기본 = entropy(암호)의 foundation이라고 보면 됨
Q) 어떤 case가 entropy가 가장 높은가? a.obfusation code가 내장 됨 >> 키 crack(2^128) > pw crack(80^12)
4. Anonymity: 익명성
주체/사람을 확인하지 못하게 하기 위해 모든 연관 데이터를 제거하는 과정(익명화 효과)
ex. The Onion Router TORR(양파라우터)
5. Masking: 마스킹
ex. 신용카드 정보 마스킹
IV. 잔존 데이터 통제
1. 잔존 데이터(Data Remanence)
2차 저장 매체에서 데이터를 삭제(delete)하더라도 복구의 근거가 되는 물리적 잔상(residual physical representation)이 남을 수 있는데 이를 잔존 데이터라고 한다. 포맷하는 경우에도 잔존 데이터가 남을 수 있으며, 이러한 잔존 데이터가 남지 않도록 하기 위해 처리하는 과정이 필요한데 이를 위생처리(sanitization), 안티 포렌식이라고 한다.
-청소(Clearing)
-퍼징(Purginig)
-데이터 파괴(Data Destruction)
-매체 파괴(Media Destruction)
>>HDD/SDD 특성에 맞는 잔존 데이터 대첵은 운영보안 파트에서 자세히 다룸
V. 데이터 보안 관리의 성공요소
1. 데이터 가치/위험에 근거한 보안투자
정보 보안의 수준을 결정하는 방법은 기준선 접근법(Baseline Approach)와 가치(또는 위험) 기반 접근법으로 나뉨
1.1 기준선 접근법(Baseline Approach)
데이터의 가치에 무관하게 동일한(또는 최소한의) 보안 표준을 적용
1.2 가치(또는 위험) 기반 접근법
가치가 큰 데이터는 더 많이 보호하고, 가치가 적은 데이터는 적게 보호
-정보 보안의 수준이 정보 자산의 가치에 비례하여 증가하며, 보안프로그램의 설계와 구현이 복잡하고 어려워짐
Q) 데이터 가치에 근거한 보안 투자가 이루어지기 위해 필요한 것은? a.위험분석(Risk analysis)&위험평가(Risk assesssment)
VI. 데이터 품질
1. 데이터 품질 통제(QC)와 데이터 품질 보증(QA) -read
1.1 데이터 품질 통제(Quality Control)
데이터 품질을 측정하여 표준에서 벗어난 데이터를 적발 및 교정하는 활동
1.2 데이터 품질 보증(Quality Assurance)
데이터의 품질을 유지하고 통제하기 위해 수립한 절차(QC 절차 포함)가 적절한지, 실제로 준수되는지 테스트하는 활동
Q) QA와 QC 활동의 목적은? a.데이터 훼손(Data contamination)방지
2. 데이터 품질 관리 -무결성 출제*
2.1 데이터 검증(Verification)
전산 데이터가 원천 데이터와 일치하는지 확인
ex. A와 B가 동일한 값을 입력했을 때 결과가 같으면, 검증 처리 == No One Person : 직무분리 = 무결성
2.2 데이터 확인(Validation)
논리적 타당성을 확인 -> 검증 후 확인 과정 적용
***주의: (!=Software Development Security WaterFall Verification&Validation과 다름:Validation 선 수행)
소프트웨어 개발 보안파트 폭포수 모델에서의 Verification과 Validation과 다르므로 출제파트를 구분 후 선수행요소 판단하기
ex. Backup tape: 백업 매체를 Valid(유효/정확) 한 지 체크 = 무결성
Disk mirroring: 디스크 미러링 = 가용성
'CISSP > domain2 Asset Security' 카테고리의 다른 글
| [CISSP] 정보자산의 정의 및 데이터 등급, 상태에 따른 분류 MAC, RBAC, DAC (0) | 2022.12.20 |
|---|