정보보호 세부 실행 계획 수립하기

정보보호 프레임워크

프레임워크란?

- 특정한 목적, 목표를 달성하기 위해 복잡하게 문제를 해결하기 위한 도구

정보보호 프레임워크의 정의

- 일종의 보안 메커니즘

- 정보 보안의 기밀성, 무결성, 가용성을 정점으로 하는 전략 목표를 성취하기 위한 방법

목표

- 정보보호목표 수립을 위한 기준

- 예산/업무성과에 대한 객관적 지표를 설정하기 위한 기준

전사적 정보보호 프레임워크

- 기업/기관의 정보보호 책임자

        > 정보보호 투자 또는 업무성과에 대한 표시가 어렵다.

        > 관련법/상위감독기관에 의존하여 예산을 확보할 수 밖에 없음 -> 예산요청의 근거에 문제가 생긴다.

- 영역

        > 전사적 활동 : 회사 전체에 적용되어야 투자에 대한 업무성과가 나타날 수 있다.

구성

구분		내용
보안 전략		기밀성, 무결성, 가용성
보안 매커니즘		암호화, 부인 방지, 권한 부여, 보증
관리적 측면	인적 보안	고용, 해고, 근무자 권한 및 책임 설정
	보안 정책	정책, 절차, 지침, 표준화, 관련법규
기술적 측면	응용 기술	전자 지불, 공개 키 기반 구조, 무선 보안, 콘텐츠 보안
	기반 기술	네트워크 보안, 시스템 보안, 데이터 보안
	요소 기술	암호화
물리적 보안	출입 통제 기술	전산실 및 전산 장비, 주변 기기, 백업 장비 및 백업 매체, 출입통제

구성표 작성 기준 : 각 대상 별 관점 및 내용

관점		내용
관리적 보안	정보보호관리	정보보호 전담 조직구성, 보안 전문 기술 인력 확보, 자료유출/출입 통제 등 내부통제강화, 정보보호 인식교육 강화
기술적 보안	통합보안	통합보안관제, 사이버 포렌식
	시스템 보안	응용프로그램 보안, DBMS 보안, 서버 보안, PC 보안
	네트워크 보안	침입차단 시스템, 유해 트래픽 차단, 취약점진단 도구, 바이러스월
물리적 보안	물리적시설보안	센터시설 접근통제, 영역별 물리적 독립성 확보, 장비 반/출입 통제, 중요장소 CCTV 설치

 

정보 보호 실행 목표

조직의 정보 보호 목표 달성을 위하여 설정된 정보 보호 대상 범위

- 프레임워크에 따른 목표 설정

- 정보보호 대상 범위 설정

- 1. 조직의 정보 보호 목표 달성을 위하여 설정된 정보 보호 대상 범위에 대하여 정보 보호

        > 정보 보호 실행을 위하여 정보 보호 대상 범위에 대한 진단 범위를 설정한다.

        > 정보 보호 실행을 위한 세부 정보 보호 대상 항목의 목표를 설정한다.

        > 보안 통제 해설 및 실행 지침 참고 정보 보호 정책에서 반영 요소를 도출한다.

- 2. 정보 보호 대상 범위에 대하여 정보 보호 실행 목표와 기본 방침을 설정한다.

        > 정보 자산의 정보 보호 범위를 기준으로 실행 목표를 설정한다.

        > 정보 보호 실행 목표를 달성할 수 있는 기본 방침을 설정한다.

        > 보안 통제 해설 및 실행 지침 참고 정보 보호 정책에서 반영 요소를 도출한다.

 

세부 실행 계획

정보 보호 실행 목표와 기본 방침

- 정보 보호 대상 범위에 대한 관리적, 물리적, 기술적 보안 대책과 각 대책에 대한 자원 계획을 수립

관리적 보안 대책과 자원 계획을 수립

- 관리적 보안 대책에 포함되어야 할 대상을 설정한다.

- 관리적 보안 대책에 포함되어야 할 보안 대책을 수립한다.

- 관리적 보안 대책을 실행하기 위하여 필요한 자원 계획을 수립한다.

물리적 보안 대책과 자원 계획을 수립

- 물리적 보안 대책에 포함되어야 할 대상을 설정한다.

- 물리적 보안 대책에 포함되어야 할 보안 대책을 수립한다.

- 물리적 보안 대책을 실행하기 위하여 필요한 자원 계획을 수립한다.

기술적 보안 대책과 자원 계획을 수립

- 기술적 보안 대책에 포함되어야 할 대상을 설정한다.

- 기술적 보안 대책에 포함되어야 할 보안 대책 수립한다.

 - 기술적 보안 대책을 실행하기 위하여 필요한 자원 계획을 수립한다.

정보 보호 실행 목표와 기본 방침, 정보 보호 보안 대책과 자원 계획을 포함하는 세부 실행 계획을 문서화

- 세부 실행 계획 문서화 대상을 확인한다.

- 관리적, 물리적, 기술적 영역별로 세부 실행 계획 문서화 대상을 선정한다.

- 세부 실행 계획을 정의할 수 있는 목차를 정의한다.

- 관리적/물리적/기술적 보안 대책별로 문서화 작성을 수행한다.

 

망 분리

망 분리의 정의

- 보안을 위한 인터넷과 업무용 망의 분리 개념

        > 인터넷과 완전히 격리된 환경에서 업무를 보도록 구성하는 것

- 논리적 망분리와 물리적 망분리로 설명이 가능함

물리적 망 분리

- 물리적으로 2대 이상의 PC 또는 네트워크 회선

- 내부 망과 외부 망을 분리하는 방식

- 내부 망 PC와 인터넷 망 PC가 존재 / 별도의 망 전환 스위치를 통한 분리 방식

논리적 망 분리

- 내부 망과 외부 망을 분리하는 방식

- 사용자가 인터넷 사용 시 가상화 기술을 이용하여 외부 인터넷에 접근

- 가상화 기술 사용하는 VDI 방식

        > 서버기반(SBC)

                ㄴ 서버가 있는 네트워크를 가상화

        > 클라이언트기반(CBC)

                ㄴ PC 운영 체제를 분리하는 OS 커널 분리

                ㄴ 업무용 개인용을 분리