1.보안의 구성요소
ex) 방화벽 도입후 가장 먼저 해야 할 일은 ? 자산분류=> 자산의 가치 분석=> 위험분석
(=>외부의 위협으로 부터 내부의 테이터 자산을 보호)
ex) 방화벽 설치후 가장 먼저 해야 할 일은 ? Default password 세팅
- 경영진의 지원(=펀딩/컷다운) 이 있어야만 성공 할 수 있는 것은 ?
1) 보안 정책
2) 보안 인식
3) 침투테스트(pentest)
4) 위험평가
5)BCP/DRP
TIP) 문제에서은 위 요인의 당위성을 설명 후 제일 먼저 해야 할 것을 물을 수 있음 => 경영진의 승인 혹은 지원
- 보안의 목표
1) 기밀성(Confidentiality)
=> Key: Sensitivity(민감성), stringency(엄격한)
=> 위협: Sniffing=> 대책: ESP(VPN), 스위치
=> 위협: Traffic analysis => 대책: traffic padding(padding: 쓸때없는 것으로 채움)
2) 무결성(Integrity)
=>Key: 정확,완전(tamper)
=>위협: MITM(중간자공격)=>대책: 디지털 서명,PKI/CA
=>위협: 과도한 권한집중=>대책: 직무분리
*만약 문제에서 공개키 관련 문제가 나올경우 PKI 를 묻는 문제
*중간에 이메일 변조의 내용이 나올 경우에는 디지털 서명을 묻는 문제
3) 가용성(availability)
=>key: criticality(중요한)
=>위협: DoS,DDoS =>대책: IRP수립
=>위협: 서버 디스크 장애=>대책 : Fault tolerant( 고장 감내)
*IRP(Instance Response Plan) 수립: 식별->조사->완화-교육
4) 책임추적성(accountability)
=>위협: 로그삭제 및 파괴 => 대책: 감사증적(audit traile)
=>위협;해커=> 대책: 식별,인증,권한부여
Q) 피싱이 발생한 시나리오와 함께 피싱 사이트의 스크린샷나온 문제 에서 보안의 어떤 속성의 위배인지 묻는 문제 => 무결성 (정확한 사이트가 아니기때문에)
Q) 피싱이 발생한 시나리오와 함께 피싱사이트의 로그인 화면 스크린 샹이 나온 문제에서 보안의 어떤 속성의 위배인지 묻는 문제=>기밀성
Q) Copy 관련 보안 의 어떤 속성의 위배인지 묻는 문제 => 기밀성
Q) Chain of custody => 무결성(=> 사건의 증거가 법원 까지 갈때 얼마나 보존 )
Q) code signing =>무결성(=>디지털 서명을 사용하기때문에)
- ISO 7498-2 &NIST SP800-33
1) ISO 7489 -2: Availabiity , Integrity, Confidentiality, Accountability
TIP) ISO 7489-2 는 기본 위 속성을 포함 하지만 OSI 7의 의미를 묻는 문제가 나올 수 있다 .
이때는 문제의 보기에 부인방지, 인증, , 접근통제 라는 단어가 있을 경우 OSI 7 Layer 를 묻는 문제 이며, OSI 7 Layer 는 가용성(availability) 를 제공 하지 않는다.
2) NIST SP800-33 : Availability, Integrity, Confidentiality, (Accountability, Assurance)=> SSO이 제공하는 서비스
- 책임추척성 (Accountability)
. Key : UNIQ
. 보안 사고 발생시 누구에 의해 어떤 방법으로 발생한 것인지 추측 할 수 있어야 함
. 사전 침입 의도 감소
. 관여 하지 않은 사람에게 엉뚱한 책임을 물어 불이익을 당하지 않도록 하기 위함
. 주체의 신원을 증명, 그들의 활동을 추적(trace) 하는 능력에 의존
. auditability 와 동일의 의미
. 시스템의 로그 데이터베이스 저널(database jouranals), auditing 에 의해 수행 된다 .
- 사용자 측면에서 추적 할 수 있는 로그
. 로그인, 로그아웃 정보 .
. 사용자 identity 의 변경.
. 패스워드 파일 같은 제한된 정보로의 실패한 접근 시도
. keystroke 모니터링 로그등
Q) 로그파일의 무결성 체크 방법?=>해시함수
Q) 로그파일의 무결성 유지 방법?=>WORM
TIP) 체크라는 동사는 탐지 통제, 유지라는 동사는 예방 통제를 의미
Q)로그저장장치의 가용성(백업)? => rotation(=> 순환으로 해석=> 전용로그서버를 의미함)
- 보안 목적 : Inter-dependencies (상호의존적)
=> 5개이 보안목적이 상호 의존적 !
1) 기밀성과 무결성은 서로에게 의존적
2) 가용성과 책임 추적성은 기밀성과 무결성에 의존한다
3) 보증성은 기밀성, 무결성, 가용성, 책임 추적성 에 균형적으로 의존한다
- ISO27002 : 정보보안 관리를 위한 실무 규약(code of practice)
- ISO27000 이 제시한 프레임 워크에 따라 회사 위험을 관리 하고 이를 개선 해 나가는 체계를 잦추었다는 의미
- Covert Channel (은닉 채널) : 비인가 통신채널 , Incherent risk(어쩔수 없는 리스크)
- Covert Channel 의 도구 : Steganography, TCP,PING
- ISO2002 Measurement(측량) 샘플
1) 보안정책 => 정책을 인지하고 있는 사람수는 몇 %
2).인사자원보안 => 위반된 직원의 수
3) 물리적 환경적 보안 => 배지 착용 %, 직원의 동행없는 방문객 수
4) 통신 및 운영관리 => 백업 실패 횟수, 백업 매체 분실회수, 바이러스 공격 횟수
5) 접근 통제 => 쉽게 추측 가능한 패스워드 %
6) 정보 시스템 인수, 개발 및 유지=> 위험평가되지 않은 신규 시스템수, 신규 시스템의 보안 사고 수
7) 정보보안 사고 관리 => 보고 되고는 보안 사고 비울 , 반복된 보안사고 수
8) 사업 지속성 관리 => SLA 에 부합 되는 다운타임 수
9) 컴플라이언스 =>불만회수
- 보안 관리 프로세스 : 기업내 중요 자산 파악 -> 자산의 위험 파악 -> 위험에 대한 대응책 강구 -> 보안 프로그램 시행(교육) 등
- 조직내 에서 정보보안을 실행 하는데 있어서 가장 중요한 성공요소
1) 보안,정책, 목적,활동들을 비지니스 목적을 반영
2) 경영진으로부터 가시적 지원과 승인
3) 보안을 실행 하는 접근법은 조적의 문화와 연관성
4) 정보보안 정책과 표준을 모든 임직원 및 계약자들에게 배포
5) 적절한 교육과 인식 제공
- 보안구현
1) 예방 : 이상적인 보안 기법, 전송되는 데이터 기밀성에 대한 공격의 예방법은 ?=>?암호(ESP)
2) 탐지 : 침입탐지 시스템에서(N-IDS) 에서의 DOS 공격 탐지
3) 대응 : 공격을 탐지하면 시스템은 공격을 중지시키고 추가 손상을 막는 대응을 할 수 있다.
4) 복구 : 데이터의 무결성이 훼손 되면 백업시스템을 이용, 복구
Q) 조직의 관리자가 침입탐지 시스템에서 DOS 를 탐지후 해야 할 일은 ? => 교정(Response/Recovery)
Q) 학생들의 성적 정보는 규제된다 -> 기밀성
Q) 병원의 데이터베이스에 저장된 환자의 정보는 ?=> 무결성
Q) 중요한 (criticality) 시스템, 어플리케이션 ,장비들에 인증서비스를 제공 하는 시스템은 ?=> 가용성
2.보안거버넌스
- 정보보안전략
1)단기(operation:운영적인)=>보안인식교육
2)중기(tactical:전략적인)=>BCP/DRP
3)장기(strategic:전략적인)=>비전
3.효과적인 보안프로그램
- 보안프로그램의 프로그램은 s/w 뿐 아니라 , compliance,정책,표준/가이드라인,절차/사고처리, 보안인식 교육 등을 통칭
Q) 데이터의 보존 기간은 어떤것에 의존 ? => compliance
- Due Care
. Must/Should => 원칙 /절차 : 반드시 해야함
. 컴퓨팅 자원이 다른 조직의 컴퓨터 시스템의 공격 원천으로 사용 되지 않게 하는 경우
. 사업자 속성 계획, 재해 복구 계획
. 대부분의 사례가 Plan (=>BCP,DRP,IRP)
- Due Diligence(DD)
. 계획수립을 통한 수행
. 대부분의 사례가 test
*Due Care 를 따르지 않아도 되는 경우 => 법과 충돌나는 경우
- DoS 와 DDoS 의 대응책
1) DoS의 대응책 : IRP 수립
2) DDoS의 대응책 : 컴퓨팅 자원이 다른 조직의 컴퓨터 시스템의 공격 원천으로 사용 되지 않게함=>Due Care
- 책임의 계층
1) End-User(일반직원)
*End-User 의 Due-Care : 계정보호, 정책 숙지
Q) xss 의 impact 대상은 ?=> End-user(서버의 취약점을 이용, 사용자가 피하)
2) Executive Management
*경영진의 Due-Care : 정보보호 자산 보호 (Key :Ultimate(궁극) ,final)
3) 데이터소유자(DataOwner) or Biz Mgr
*데이터소유자(Data owner)는 Biz Manager 와 최고 경영진 을 모두 포함
*문제에서 Data owner 와 Biz Mgr 이 같이 나올 경우 Data owner 는 최고 경영진을 의미
*문제에서 Data owner 와 최고 경영진 이 같이 나올 경우 Data owner 는 Biz Mgr 을 의미
Q) 데이터 등급분류의 궁극적인 책임은 ? => Data Owner(최고경영진)
Q) 데이터 등급분류의 중요한 책임은 ? => Data Owner(Biz Mgr)
Q) 데이터 등급분류의 핵심 책임은 ? => Data Owner(Biz Mgr)
Q) 데이터 등급분류의 중요 책임은 ? => Data Owner(Biz Mgr)
Q) 데이터 등급분류의 1차적 책임은 ? => Data Owner(Biz Mgr)
= > Ultimate(궁극적) ,finaly 가 아니면 모두 Biz Mgr 이며 보기에 따라 Data Owner 를 잘 선택 해야 함!
*최고경영진의 구성원으로서 데이터 보호와 사용에 대한 궁극적인 책임=>최고 경영진
*정보자산에 대한 C.I.A,프라이버시 책임 =>Biz Mgr
*데이터분류 결정,관리권한을 custodian 에게 위임 => Biz Mgr
*정보자산을 위한 safeguards,criticality,sesitivity,retention,backup 결정 =>Biz Mgr
4) Custodian(IT 부서)
*Key:수행
*정보자산에 대한 C.I.A,프라이버시 수행
5) IS 보안운영위원회
- 보안목적과 전략을 개발
6)정보시스템감사인
*보안목적의 적절성에 대해 경영진에게 독립적인 보증 제공
*외부 감사는 객관성을 제공
Q)감사인의 역할은 통제와 컴플라이언스의 독립적인 검토를 제공하는 것이다 . 중앙의 정보보안 그룹과 보안 운영의 역할은 그들 자신의 업무에 대해 감사를 해서는 안된다
그이유는 ?=> 직무분리의 이유 => 이익충동(conflict of interest) 방지
Q) 자체감사보다 독립적 감사를 진행 하는 이유는 ?=> 객관성
Q) 외부감사인을 선임 하는 이유는 ?=> 객관성
Q) 내부 감사의 중요한 덕목은 ? => 객관성
7)정보보안관리자
*보안 인식 프로그램의 개발과 제공
*비지니스목적을 이해
*보안 컴플라이언스 프로그램의 개발
*보안 메트릭스를 수립
8)Librarian
9)Patch Management
*Security Group : 전반적인(overall) 책임
*Operation Group : 실행(Deploy,Implement) 책임
- 보안의 계층적 구조(Hireachical)
1)Biz object(비지니스 목적)
2)보안정책(배포,경영진)
3)표준(방법,기술,How)
4)절차(표준이행,세부적)
5)가이드라인 (융통성)
*문제상 계층적 구조를 묻는 경우의 정책은 반드시 해야 하는 정책->표준->절차 (나머지는 생략 가능)
*보안 정책이 변경 되는 경우 =>Biz object (비지니스 목표) 가 변경 되는 경우
*보안 정책의 배포는 누구에 의해서 ?=>경영진
- 표준,절차,가이드라인
1) Standard (표준)
*Key: Uniform,Consistent method (=>일관성)
2) Procdure(절차)
*Key : Detailed(=>세부적)
3)Guideline
*Key: Flexibility(=>융통성)
4)Baseline
*Key: Least(=>최소한)
- 보안정책의 정의
*Broad(포괄적),General(일반적),Overview(개괄적)
*일반적으로 다년간(3~5년) 유효기간을 전재
*새로운 비지니스 모델의 도입, 회사의 합병, 소유주의 변경 등의 기업의 환경이 변경 되면 반드시 수정 및 재검토
- 보안정책 서술기법
*명료(clear)&간략(concise)하고 포괄적인 용어로 작성
*적용대상을 명시(=>책임추적성)
- 보안적책 수립시 고려 요소
*Meet Business objectives
*Meet principles and standard
*Be easy to understand
*Be flexible to update
*정책 수립은 반드시 실현 가능 or 달성가능 or 실행가능(achievable,Attainable)하게 정책 수립 해야 한다.
- 보안 정책 "Must"
=> track exceptions(예외추적) : 경영진이 특별한 상황을 처리할 수 있는 절차를 마련 하기 위해서
- 보안 정책의 종류
1) Acceptable Use Policy(AUP): 허가된 사용에 대한 정책
. 조직에게 밀접합 영향을 끼침
. 회사의 컴퓨팅 자원의 적절한 사용을 정의
. 조직 자원의 사용에 대해 accptable,unacceptable 에 대한 정의
-> 개인적으로 회사 컴퓨텅 자원을 사용한 시나리오 출제 가능성 높음
. 금지된 사용에 대한 정책 (unacceptable use)
-> 해적판 소프트웨어 나 라이선스를 가지지 않은 소프트웨어의 설치
-> 무단복제 하는 행위, 컴퓨팅 자원을 무단으로 이용 등
2) User Account(계정정책)
. 시스템이 사용자들을 식별 하기 위해서 필요
3) 원격 접속에 대한 정책, 엑스트라넷의 연결 정책 (VPN)
. 본사와 지사의 연결 => IPsec(Intranet Vpn)
. 본사와 재택/모바일 연결 => SSL (Remotre Access Vpn)-> 유지보수 용이
. 본사와 고객/파트너 연결 => VPN (Extranet Vpn)
. 재택/모바일 환경에 vpn 연결시 가장 먼저 할 일은 ?=> 원격 접속 정책
. 고객/파트너가 본사와 vpn 연결시 가장 먼저 할 일은 ?=> 위험평가
. SDLC 에서 반드시 포함되아애 할 프로세스는 ?=> 위험평가
. 데이터 센터 구축시 가장 먼저 해야 할 일은 ?=> 위험 평가
. 회사의 자원을 클라우드 이전시 가장 먼저 할일은 ?=> 위험평가
. 한정된 기간 동안 자원을 공유 하고자 할때 가장 먼저 할 일은 ?=> MOU
. 본사가 클라우드 사이트 이전시 QOS , 속도, 처리량 등을 개런티 받고자 할 때 가장 먼저 할 일은 ?=> SLA
- Security Policy Type
1) Organization / Program Security policy (osp/psp)
. Senior level management statment
. 조직내 프로그램의 목적 /범위지정 , 프로그램 이행을 위한 책임 할당=> 조직내의 가장 강력한 정책
. key : 목적, 범위 , 책임
2) Issue-Specific Security Polices(ISSP)
. 그때 그때 상황에 맞는 정책-> issue 에 따른 잦은 개정(업데이트) 요구
. 관련 토픽 : 프라이버시, 불법 소프트웨어, 악성코드
. Key :프라이버시
Q) 안티바이러스 수립시 고려요소는?=> 예방 탐지 삭제
3) System-Specific Policy(SysSP)
. 개별 시스템에 대한 보안 목적 정의
. ex ) fw configuration policy, 라우터 acl
. 통상적으로 접근 통제와 같이 사용
Q ) 시스템이 저장되어 있는 PII(개인 식별 정보) 보호?=> ISSP(개인 식별정보가 프라이버시 문제이기 때문)
- 보안 인식 교육의 목적 및 이점
.Security Awaraness=> 책임 추적성을 위하여
.보안 인식의 key: 행동의 변화
Q) 부정의 감소/예방 : 보안 인식 교육
Q) 부정의 탐지 : 직무순환
- 보안 인식을 전달 하는 기술
. WBP(web-base traning, CBT(Computer-Base Training) ,Webinar(web+seminar)
Q) 여러 장소에 흩어져 있을때 비용과 훈련 시간을 감소 시킬 수 있는 효과적 방법 ?=> WBT
. 모든 사용자의 관심사와 업무가 동일하지 않으므로 교욱을 시킬때는 교육 대상자에 따라서 내용을 달리 해야함 => Personalize(교육의 개인화) 해야 한다
=> 부정 조작(탐지 )-> tamper-> 직무순환
- 보안인식 교육 주제( topic)
. 보안 정책
. pda사용
. 패스워드 정책
. 악성코드
. 사회 공학
. 소프트웨어 라이선스 제한 문제
. 사업지속성 및 재해 복구
- 보안 교육의 종류
1) 인식(awarance) : 무엇을 , 정보 단계 , 목적->태도/인지(습관 변화)
2) 훈련(training): 어떻게 , 지식 단계 , 목적=>기술
3)교육(education) : 왜 , 통찰력 단계 , 목적=>이해
*SAT(security awarance training) 은 인식(awarance) 의 관점으로 봐야함 => 교육(training)아님!
- 보안에 대해 경영진을 자극 할 수 있는 motivator
. FUD(fear,uncertainty, Doubt)-> 두려움 불확실성 의심 -> 답이 될 확률 적음
. Duecare
. Productivity(생산력 )
. Team up
==> 최근에는 Case Study 와 Best Practices 가 경영진을 자극
- 보안 인식교욱의 효과 측정법
. 매트릭스
. recently-> 최근의 보안 관련문의 건수, helpdest 문의 건수 증가
. 설문지 배포
. 직접 질문
. 보안위반건수 확인
. spot check
. quiz
Q) 보안 관리자가 새로 부임 했다 . 가장 먼저 할일은 ? => 비지니스목적/전략 이해
Q) 보안 관리자가 새로 부임 했다 . 보안 인식 교육 효과 측정은? => 보안감사 확인
Q) 보안 관리자가 새로 부인 했다 . 전임자의 부정을 확인 한 후 해야 할일 은? => 경영진에게 보고
- Piggybacking : 인가자의 뒤를 비인가자가 따라 들어감 -> 우회 인증
. 해결책 : mantrap , 경비원 확인 혹은 경비원과 회전문
- shoulder surfing => fence
- dumpster diving(trashing)=> 분쇄기
===> 위3가지 요소의 공통적 해결책 : 보안 인식 교육
4. 글로벌 규제 이슈,전문가 윤리
1. 컴퓨터 연관된 범죄
1) Data Diddling(Input Tampering)
- 고의적인 데이터에 대한 변형을 목적으로 데이터 입력시 부터 위조 되거나 잘못된 데이터 입력
=> 대응책: 접근통제, 회계 통제, 감독, 감사, 임무 분할, 권한의 제한, hash total
* 가장 좋은 대응책 : hash total -> 무가치한 숫자의 합(1번으로 보기 나오면 답)
2) Emanation Eavesdropping
- 전자파의 의한 정보 방출
- van eck phreaking : 전자파 방출에 의하여 방출된 데이터를 모니터링, 캡처링 하여 정보 획득
=> 부채널 공격(side channel attack)=> 전압 시간
3) Salami
- 작은 이익을 긁어 모으는 수법=> 작게 썰어 먹음(key: small amount)
- 사례 : 급여 혹은 예금 이자 를 작게 긁어 모으는 사례
4) Phishing
- 신뢰된 브랜드의 가치를 이용해 개인 정보를 빼내는 수법
Q) 고객이 온라인 뱅킹의 장애로 helpdesk 전화로 문의 heldesp 에서 비번을 요청하였다 .
이때 비번을 이야기 하는 시나리오의 공격은 -> 사회공학
* 전화로 문의 하면 => 사회공학
* 이메일로 문의 하면 => 피싱
* 해커가 하고자 하는 목적을 묻는 다면 => 신원도용
5) Ransomeware
- 대안이 없음
- 해결책 : 보안 인식 교육
6) 논리 폭탄
- 목표시스템 숨어 있다가 이미 내려진 명령 조건과 일치될때만 자동적으로 작동 ,목표 시스템 파괴
- Key: 수작업, 불만이 많은 내부자
-스크립트 키드 특징
1) 감사증적을 남김
2) 고도의 전문적 툴을 제작할 능력 없음
3) 다른사람들이 만든 다양한 툴 구사 능력 보유
- 보안사고 처리에 대한 대응 방안
1) Protect and proceed(보호 진행) -> 리부팅(서비스 지속),로그X
. If continued penetration could result in great financial risk
(지속적인 침투로 재정적 위험이 커질수 있다면 )p
. If user are unsophisticated(멍청한) and their work is vulnerable
(사용자가 정교하지않고->멍청하고 작업이 취약한 경우
. If the site is vulnerable to lawsuits from users, e.g, if their resources undermined
(사이트가 사용자 소송에 취약 경우. 만약 그들의 자원이 훼손됬을때 )
=>지속적 침투로 재정적 손실이 있는 경우
=>유저(직원/사용자) 가 단순한경우
=>사이트가 법적 소송에 취약한 경우
2) pursue and prosecute(추구하고 기소) ->빵(교도소)->로그(증거)
. If good backup are available
(올바른 백업이 가능한 경우)
. If this a concentrated attack occurring with great frequency and intensity
( 큰 빈도와 강도의 집중적인 공격이 들어오는 경우 )
. If the site has a natural attraction to intruders and consequently regularly attracts intruders
( 사이트가 침입자에대한 자연스러운 매력을 가지고 있고 , 결과적으로 정기적으로 침입자들을 매력 )
=> 좋은 백업이 가능(로그저장가능)
=> 잦은 집중화된 공격
=> 사이트가 천연의 매력을 가짐
- 라이센싱
. 소프트웨어 저작권 침해는 저작자의 지적작품이나 창의적인 작품을 저작자의 허가나 보상 없이 무단으로 사용 하거나 복제
. 소프트웨어 저작권 침해 대응책 : 라이선스 정책, 인식 프로그램, 주기적 자체 검사
- 지적재산권법
. 디지털 밀레니엄 저작권법 (DMCA) 의 기술-> DRM
. DMCA 는 온라인상 저작권으로 프라이버시와는 관계 없음
,DMCA의 목적 : 디지털 형채로 된 저작권이 잇는 상품 보호를 강화하기 위한것
. 소니 BMG 루트킷 사건 과 같은 시나리오의 대응책 -> AUP(Acceptable user Policy ), 보안 인식
. 창조성(Creativity), 혁신 (Innovation) 과 같은 아이디어를 하나의 자산으로 인정 하여 소유할(own) 수 있도록 함으로
재정적 이득(financial gain) 을 얻을수 있음--> 유형,무형 모두 적용
. Key : 소유(own) ,재정적이득(fiancial gain)=> 영유(enjoy) 는 지적재산권법과 무관
1) Copyright
. 아이디어를 보호하는 것이 아니라 , 아이디러가 표현된 부분에 대하여 보호
. 모든 국가가 국제적 협회의 회원이 아니므로 강제하기 어렵다 .
. Key : 아이디어의 표현
.Q) 소프트웨어 라이센스와 더블어 literary는 어떤 법에 보호 받는가 ? =>copyright
Q) copyright 는 무엇을 보호 하는 가 ?=> literary는 아님 => 아이디어의 표현이 답
2) Trademark
. 판매자들이 자사 상품에 타사와 구별되기 위하여 붙이는 고로,심벌, 그림
. 상표법 조약(TLT) : 조약의 회원국들간에 합의된 상표 등록과정상의 절차적인 측면에 대한 통일화된(표준화된) 법적 체계를 수립
. 상표법 조약의 Key: 표준화 통일화
. 상표법 조약의 목적 : 등록 절차의 간소화
3) Patent
,산업에 응용할 수 있는 새롭거나 개선된 상품이나 프로세스 (알고리즘 포함)
. 발명은 자연 법칙을 이용한 고도의 독창적인 기술적 사상의 창작이어야 함
. Key: 발명,독창,창작->novel(형용사로 새롭고,유용한)
. not-obvious(정확하지않은 =>애매모호한)하고 novel한 invetion
==> 애매모호하다는 것은 그전에 없다는것을 의미하기 때문에
4) Trade Secret(영업비밀)
. 아이디어 자체
. 직원은 정보누출을 하지 않을 것을 서약하기 위해 NDA에 서명
. 영업 비밀 보호가 사라지게 하는 방법 : 우연한 발견, 역공학(reverse engineering)
*copyright,trademark ,patent 는 공개를 해야 법적 효력이 있지만 trade secret 은 공개 되면 법적 효력이 없어짐
. 영업비밀이 유출되는 시나리오 문제 가능성 높음 -> 이때 경쟁사로 유출될때 가장 먼저 해야만 했던것은 ?=> NDA서명
-컴플라이언스 (Compliance)
1) HIPPA: 환자의 진료 정보 ,
.Key: 환자, 병원
. 프라이버시 보호
. 병원장의 Due-Care
2) GLBA:계좌정보,금융정보
. Key: 은행 , 계좌
. 프라이버시 보호
3) PCI-DSS : 카드소지자의 데이터 보안 향상
. Key:신용카드
. 프라이버시 보호
. 카드의 허용 가능한 데이터
->기본 계정 번호 (PAN), 카드소지자 이름 , 서비스코드,유효기간 만료일
. 카드의 허용 불가능한 데이터
-> 마그네틱선 데이터, PIN/PAN블록, CAV2,CVC2,CVV,CID
- 프라이버시
1) 개인 식별정보 중
. Chidren Infomation
2) 효과적으로 개인식별정보(PII)를 보호 하기 위한 방법
. 조직은 환경에서 모든 개인 식별정보가 위하는 곳을 확인해야 한다 .
. 조직은 개인식별정보의 사용, 수집 , 보유를 최소화하여야 한다 .
. 조직은 개인식별정보의 기밀성 영향 레벨에 따라 분류 하여야 한다 .
. 조직은 개인식별정보의 기밀성 영향 레벨에 기반 이를 보호하기위한 적절한 보호 수단을 적용 해야 한다 .
. 조직은 개인 식별 정보와 관련된 침해를 다루기 위해 사고대응 계획을 개발 하여야 한다 .
. 조직은 개인식별정보와 관련된 이슈를 해결하기 위해 CPO,CIO,CISO, 법률부서와 밀접하게 조화 필요
tip) PII는 문제혹은 시나리오에서 클라우드 , 시스템 저장 환경으로 이야기 할 가능성 있음
*PII sanitization
. overwriting
.
. 파괴
. 암호
*PII 보호방법
. 암호
.Tokenization(->key:replcaement)==> 토큰화
.Anonymizing(익명)
.Obfuscation(난독)
*TOR(The Onion Router)
. 아이피 추적이 안됨
. 제공서비스 : Anonymizing(익명)
*Safe Harbor(안전한 피난한/피난처로 의역됨)
=> 유럽연합(EU),
=> 개인정보의 유츨,프라이버시문제
*TBDF(TransBorder Data Flow)
=> 국가간 데이터 흐름 규제, 금지
=> 개인정보의 유통, 프라이버시 문제
=> TBDF 원인 : 세계졍제의 글로벌화
*OECD(GLOBAL) 프라이버시 8대 원칙
(1) 수집제한의 원칙
(2) 데이터품질의 원칙
(3) 목적명확화의 원칙=>수집하는 목적 명확
(4) 이용제한의 원칙=>목적대로만 , 다른 목적으로 사용안함
(5) 안전보호의 원칙=>CIA수행
(6) 공개(개방) 의 원칙(Openness principle)
(7) 개인참가의 원칙=> 공개의 원칙이 선행 되어야만 가능
(8) 책임의 원칙
Q) 수집된 개인정보는 의도된 목적으로만 사용할 것이라고 보증 ?=>이용제한의 원칙
Q) 명동 같은 곳에서 SSID 별로 중국인 폰만 모바일 푸시관고 할때 어떤 목적인가 ?=?수집제한의 원칙
*OECD8대 원칙의 이점
(1) Globalization(세계화)
(2) Legislation(법체계,규정화,명확화)
(3) Reliability(신뢰성)
* 모니터링트렌드 : 이메일, 인터넷 연결
* 모니터링 이유
-> 생산성 저하,Harassment,악성코드/바이러스 전파,영업비밀, 법적 소송 방어
* 컴퓨터/인터넷 사용 정책시 명시 해야하는것
->비지니스 목적으로만 사용
->비인가된 소프트웨어 사용 금지
-> 정책 위반시 처벌에 대한 내용
* 기업의 프라이버시 정책을 검토할 때 사용자가 고려해야할 문제
-> 나로부터 어떠한 유형의 정보가 자동 수집 되는가 (시스템 정보,행동 패턴)
-> 어떠한 정보가 컴퓨터에 저장 되는가 ?(쿠키,다운로드 받은 애플릿
-> 데이터가 수집된 다음에 그것으로 무엇을 하는가 ?
-> 나의 정보가 어떻게 보호 되는가 ?
-> 기업은 나중에 나의 정보를 다시 팔 수 있는가 ?
-> 나에 대하여 수집된 정보를 변경하거나 삭제 할 수 있는가 ?
-> 나에 대하여 수집된 정보를 검토할 수 있는가 ?
- 전문가 윤리
1) 정직,공정,책임, 합법적인 행동 -> 공자가 되라는이야기
=> 가장 안좋은 행동 : 영수증을 부풀리는 행동
2) 고객간의 이익충돌 나면 안됨
=> 아도치는것을 막다
3) 고객에게 근면하고 , 경쟁력 있는 서비스 제공
=> Over cost, Over engineer
4) 직업적 명성 보호
=> Only Cissp
5.사업지속성 및 재해복구 요구사항
1.사업지속성 계획
1) BCP(Biz continuity plan)
- 업무의 중단 상황 및 중단 이후 비지니스운영의 연속성을 위한 계획
- Key : 중단상황(during,after)
2) BCP 개발하기 위한 과정의 구성 요소
(1) Continuity policy=>목표,역할,범위정의,정책 승인
(2) BIA
.Identify critical function/resoyrces
.Calculate MTD for resources
.Identufy backup solution
(3) Identify preventive controls =>예방통제확인
(4) Develop recovery strategies=>전략개발
(5) Develop BCP
(6) Exercise test drill
(7) Maintain BCP
*BIA(or MTD) 의 산출물
. Financial Impact
. Operataion Impact
. Technical Dependency
2.재해복구 계획
- DRP(Disaster Recovery Plan)
. 지속적인 프로세스이며, 주기적 검토
. Key: 프로세스
- IT 재해 복구 계획의 내용
. 재해 선언 절차 (상급 보고 절차 )
. 계획 활성화 기준
. 계획 실행 시 각 기능에 책임을 맡은 인력
. 연락처 또는 통보처 목록
. 중요 벤터와 공급 업체의 연락처
. 복구와 조직의 운영을 계속하는데 필요한 다양한 자원의 완전한 식별
- BCP 가 먼저 수행 되고 , BCP 활동이 실패한다면 DRP단계가 그 결함을 채운다 .
- BCP 와 DRP 최고 우선 순위는 항상 사람이다.(시험상 시나리오에서는 직접적인 사람을 언급 하지 않고 , 행동기반을 보여줌)
- BIA (사업 영향 평가 ) 수행
1) 정의
. 이해 당사자들이 사고가 업무에 미칠 수 있는 영향을 이해하는 것을 도와주는 보고서 생성
. 영향은 정성적(등급), 정량적(금액)의형식을 띌 수 있다 .
. 취약점분석은 BIA 프로세스의 일부
. 성공요소 : 조직의 구조와 문화,핵심 업무 프로세스, 위험의 허용한계 , 핵심 IT 및 물리적 자원등에 대한 이해,
업무 프로세스 소유자, 고위경영진, 최종사용자의 참여
2) 세가지 요소
. 핵심 우선 순위 결정 : 영향도가 높으면 높을수록 우선순위가 높아 진다 .
. 중단 시간 예츨 :MTD 예측에 사용
. 자원 요구 사항 : 핵심 프로세스에 대한 자원 요구사항 식별 , 가장 시간적으로 민감 하고 영향도가 높은 프로세스가
가장 많은 자원의 할당을 받음
- 재해대응 및 복구 관련 시간
1) RPO(Recovery Point Objective)
. 데이터 손실의 최대 허용량
. 운영 중단이 발생할 경우 허용할 수 있는 데이터 손실을 기반으로 결정함.
. 데이터를 복구하는데 수용할 수 있는 가장 빠른 시점
. 데이터가 복구 되어야 하는 중단 이전의 시점에 대한 측정치
2) RTO (Revovery Time Objective)
. 재해 후 시스템, 응용, 기능 들이 반드시 복구 되어야하는 시간
. 운영중단이 발생할 경우 수용할 수 있는 장애 시간을 기반으로 결정
. 비지니스 운영이 재개되는 가장 빠른 시간.
3) MTD
. 허용 가능한 최대 중단 시간
4) RPO 와 RTO의 관계
<---------RPO--------------------------중단--------------------------RTO---------->
4-24시간 1-4시간 0-1시간 0-1시간 1-4시간 4-24시간
테이프백업 디스크백업 미러링 클러스터링 핫스탠바이 콜드스탠바이
로그전송 스냅샷 실시간복제 (Act-Act) 클러스터링
로그전송
*RTO.RPO 관계에서 같은 시간별로 서로 혼용 가능
반응형
'Security > Cissp' 카테고리의 다른 글
Domain 3. Security Engineering(2) (0) | 2017.04.19 |
---|---|
Domain 6. Security Assessment & Testing (0) | 2017.04.18 |
Domain 7. Security Operation (0) | 2017.04.16 |
Domain 8. Software Development Security -2 (0) | 2017.04.10 |
Domain 8. Software Development Security -1 (0) | 2017.03.30 |