정보보안기사 자격증 취득 준비 및 요점 정리(8)

ㅁ 6. 정보보안 관리 법규

 

-업무영향분석(BIA) : 재난 시 신속 복귀해 업무중단 시 영향분석ㆍ잠재손실추정 → 우선순위부여

 

-표준, 지침, 절차

-위험평가, 위험관리, 위험관리계획

-자산, 위협, 취약성, 위험 수용 수준

-자산목록, 자산분석, 자산식별

-위험대책 방안 : 위험감소, 위험회피, 위험전가, 위험수용

 

 

-위험관리 과정

위험관리 전략ㆍ계획수립→ 위험분석→ 위험평가→ 정보보호대책 수립→ 정보보호 계획수립→ 대책설정

 

-노출계수 : 특정 자산에 특정 위협 시 자산에 끼칠 손실 비율

-정성적 위험분석 : 델파이법, 시나리오법, 순위결정법, 퍼지행렬법

-정량적 위험분석 : 과거자료 분석법, 수학공식 접근법, 확률분포법, 점수법

 

-단일손실액 = 자산가치 x 노출계수

-연산예상손실액 = 단일예상손실액 x 연간발생률

 

●위험분석 평가

 

-기준선 접근법 : 모든시스템에 보호 기준수준 정함, 시간ㆍ비용 적게 들고 모든 조직에서 기본적 수준

-비정형화된 접근법 : 전문가의 지식과 경험 활용, 작은 조직에 적합

-상세위험 분석 : 자산가치 측정, 위협 정도, 취약성 분석→위험정도 결정하는데 전문지식ㆍ시간노력 소요

-통합된 접근법 : 고위험은 상세위험분석, 다른 영역은 기준선 접근법, 비용ㆍ자원 효과적 but 잘못 식별 시 낭비

 

●정보보호 대책

 

-예방통제 : 사전 위협ㆍ취약점 대처하는 통제, 능동적

-탐지통제 : 위협을 탐지하는 것으로 예방통제를 우회하는 문제점 찾기 위함

-교정통제 : 탐지된 위협 취약점에 대처, 위협과 취약점 감소 시키는 통제

 

●재난복구 사이트 유형

 

-미러사이트, 핫사이트, 웜사이트, 콜드사이트

 

●공통평가기준(cc)

-보호프로파일 : 보안솔루션의 기능 및 보증과 관련된 공통 요구사항

-보안목표명세서 : PP에서 정의된 요구사항이 실제 제품으로 평가되기 위한 기능명세서

-평가대상 : 평가대상이 되는 제품ㆍ시스템

-평가보증등급 : 보증요구와 관련된 컴포넌트 집합으로 구성된 패키지 인증, 보안성 낮은 EAL1~7

●ISMS (Information Security Management System) 정보보호관리체계

 

정보통신 서비스 제공자가 정보통신망의 안정성, 신뢰성 확보해 정보 자산의 기밀ㆍ무결ㆍ가용성 실현 위한 관리ㆍ기술적 수단과 절차 및 인증과정 관리ㆍ운용체계

 

●정보보호 관리과정

 

1. 정보보호정책 수립 및 범위설정

2. 경영진 책임 및 조직 구성

3. 위험관리

4. 정보보호 대책 구현

5. 사후관리

 

 

●OECD 프라이버시보호 8원칙

 

-수집 제한의 원칙

-정보 정확성의 원칙

-목적 명확화의 원칙

-이용 제한의 원칙

-안전성 보호의 원칙

-공개의 원칙

-개인 참여의 원칙

-책임의 원칙

 

●1천명 이상 개인정보 유출→ 정보주체에 통지ㆍ조치결과 5일 이내 신고→ 인터넷 홈페이지에 7일 이상 게재 → 5일 이내 정보주체에 알림

 

●개인정보 유출 통지 사항

 

1. 유출된 개인정보 항목

2. 유출시점ㆍ경위

3. 발생피해 최소화 위해 정보주체가 할 수 있는 방법 관련 정보

4. 개인정보처리자 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서ㆍ연락처

 

●침해사고 대응 절차 7단계

 

1. 사고 전 준비과정

2. 사고 탐지

3. 초기 대응

4. 대응 전략 체계화

5. 사고 조사

6. 보고서 작성 7. 해결

●포렌식 통한 디지털 자료 인정 위한 기본 5원칙

 

1. 무결성의 원칙

2. 정당성의 원칙 : 적법 절차

3. 연계 보관성의 원칙 : 증거물 획득ㆍ이송 등 각 단계에서 담당자 책임자 명확

4. 신속성의 원칙

5. 재현의 원칙 : 동일 결과 만들 수 있어야

 

 

●정보통신망 연 1회 개인정보 이용내역 통지 포함 내용

 

1. 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목

2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목

3. 개인정보의 처리위탁을 받은 자 및 그 처리위탁을 하는 업무 내용