5 장 정보보호 정책 2005.9 신수정. 2 reference information security architecture – tudor...
Post on 20-Dec-2015
216 views
TRANSCRIPT
5 장정보보호 정책
2005.9
신수정
2
Reference
Information Security Architecture – Tudor 3 장 Security Policies, Standards, and Procedures
Security Architecture – King 2 장 Security Policies, Standards, and Guidelines
ISO 13335
3
1. Introduction
People
Technology
보안전략 / 조직
정책 / 정보분류
보안기술 아키텍쳐
사고대응 사업연속 인력보안 보안교육
보안관리 아키텍쳐
Enterprise Architecture & IT Planning
Process
모니터링
Validation/Audit/Measure/Certification
외주보안
Identification Authentication Authorization Administration Audit
기밀성
Data Application
User System Network Physical
무결성 가용성
Data Application
User System Network Physical
4
2. Policy, Standard & Procedure
PolicyPolicy
Standard Standard
- 조직의 모든 개인들에게 특정한 주제에 대해서 그들이 어떻게 행동해야 하는지 ,
조직의 경영층들이 그 주제에 대해 어떻게 느끼는지 ,
그 주제에 관해 조직이 어떤 특정한 행동을 취하는지에 대해 공지
- 조직의 ISA 의 기초임 .
- Policy 의 목적의 성취를 위해 기록됨
- 정책의 범위 , 책임 , 이를 이행하기 위한 관리자의 의도가 기술되어야 함 .
Procedure(Guideline,Practice)
Procedure(Guideline,Practice) - 기술에 대해서는 정의하지 않고 종합적인 그림을 제시하는 높은 수준의 문서
- 상위레벨 방향 , 기술이 아님
- business 로 부터 도출 , Static
5
- 여러 당사자들사이에 동일하고 효과적인 운영을 위해서 합의된 rule,
절차 , convention 들의 집합
- 정책을 준수하는 Uniform, Consistent Method
-도달해야할 기대수준 (a level of expectation)
- Industry 의 Best Practice 고려
2. Policy, Standard & Procedure
- 정책을 어떻게 Accomplish 할지 , 기술을 어떻게 deploy 할지를 기술
PolicyPolicy
Standard Standard
Procedure(Guideline,Practice)
Procedure(Guideline,Practice)
6
- 특정한 Action 을 어떻게 취해야 할지를 지정하는 계획 , 프로세스 , 운영
2. Policy, Standard & Procedure
* Guideline
- 정책 및 표준을 이루기 위한 추천되는 Approach
- Best Practices
- 정책을 준수하는 표준을 맞추기 위한 방법을 제공
* Guideline - practices: OS, application 등의 표준에 대한 실제적인 이행 – 세부 구성 , 셋업방법 - procedures: 요청 , 승인 등과 관련된 절차
PolicyPolicy
Standard Standard
Procedure(Guideline,Practice)
Procedure(Guideline,Practice)
7
3. Policy
조직의 Objectives 를 효과적으로 만족시켜야 함 .
경영층과 직원들 , 시스템 및 정보 사용자들과의 communication 메카니즘임
Policy 를 개발하기 위해서는 무엇을 보호해야 할지를 보야야 함 .
보안팀 작업
자산 책임 위험평가
정책 표준 절차
조직
8
Corporate Business Policy
Derived form objectives and strategy
Corporate
Marketing Policy
Policy Relationship
Corporate
IT Security Policy
8.Security Management
Source: ISO/IEC TR 13335-2(Managing & Planning IT Security)
Corporate
Security Policy
Corporate
IT Policy
Department
IT Security Policy
System A, B, C…
IT Security Policy
Objective: what is to be achievedStrategy: How to achieve the objectivePolicy: the rule for achieving the objective
3. Policy
9
Corporate Business objectives & Strategies
Corporate
Marketing.. Policy
Policy Relationship(NSW Government Agency)
Corporate
IT Security Policy
8.Security Management
Corporate
Security Policy
Corporate
IT Policy
Department
IT Security Policy
Policy on specific
security issue
Specific
IT System Security Policy
Source: ISO/IEC TR 13335-2(Managing & Planning IT Security)
3. Policy
10
• Corporate IT security policy element- IT security requirement(in terms of confidentiality, integrity,
availability, accountability, authenticity and reliability)- Assignment of responsibilities- Security in development & procurement- Directives and procedures- Information classification- Risk management strategies- Contingency planning and incident handling- Personnel issues including awareness and training - Legal & regulatory obligations- Outsourcing management
8.Security Management3. Policy
11
3. Policy
Short, easy to read, unambiguous !
Well- developed Policies
- 소개- 정책의 목적 : 목적 , 관리자가 정책을 통해 이루고자 하는바- 승인자- 저자 (Accountability)
- 다른 정책과의 연결- 측정치- 위반시의 결과- 날짜 - ( 예외 )
Regulation, Privacy 고려
12
3. Policy
네트웍 컴퓨팅 정책
인터넷 정책
이메일 정책
자산분류 정책
접근제어 정책
패스워드 관리 정책
인터넷 사용 정책
네트웍 보안 정책
원격 접근 정책
데스크탑 정책
13
4. Standard
여러 당사자들사이에 동일하고 효과적인 운영을 위해서 합의된 rule,
절차 , convention 들의 집합
예 ) 로그인 ID 및 패스워드
정책 : 모든 시스템은 반드시 유일한 로그인 ID 를 가져야 한다 .
표준 : 로그인 ID 의 naming convention 은 사용자의 이름의 첫 네 글자 + 주민번호 앞 네자리
정책 : 모든 시스템은 패스워드를 가져야 하고 주기적으로 변경해야 한다 .
표준 : 모든 패스워드는 최소 8 글자여야 하고 숫자와 문자의 혼합이어야 한다 . 또한 사용자 패스워드는 90 일에 한번 변경시켜야 하고 관리자 패스워드는 30 일에 한번씩 바꾸어야 한다 .
절차 : ID 와 패스워드를 설정하는 절차 : ID 신청양식 -> 신청요청 -> 허가
14
4. Standard
표준의 설정
예 ) 7 명의 NT 관리자 . NT 의 보안운영과 구성을 어떻게 할것인가 ?
-Best Practice 와 비교 -> 표준과 절차를 수립 -> 7 명에게 분배
보안팀 , 보안팀관련 인력들의 수립
표준의 내용
-목적과 범위
-책임과 역할
-Baseline standard
-Technology standard
-Administration standard
15
4. Standard
– Standard 생성 committee• ANSI(The American National
Standards Institute)• CCITT(consultative committee on
International Telephony and Telegraphy)
• ECMA(European Computer Manufacturers Association)
• EDPAA(Electronic Data Processing Auditors Associations)
• EIA(Electronic Industries Association)
• IEEE(Institute of Electronics and Electrical Engineers)
• IAB(Internet Architecture Board)• IESG(Internet Engineering
Steering Group)• ISO(International Standards
Organization)• NIST(National Institute of
Standards and Technology)• NSA(National Security Agency)• UL(Underwriters’ Laboratory)
– Standard 생성 그룹• CERT(Computer Emergency
Response Team)• CSTC(Computer Security
Technology Center)• EDPAA(Electronic Data
Processing Auditors Association)• FACCI(Florida Association of
Computer Crime Investigators)• FIRST(Forum of Incident
Response Teams)• GASSP(Generally Accepted
System Security Principles Subcommittee)
• HERT(Hacker Emergency Response Team)
• ICAT(Initiatives for Computer Authentication Technology)
• ICSA(International Computer Security Association)
• NIST Computer Security Division• ISC2• SANS
16
5. Procedures
특정한 Action 을 어떻게 취해야 할지를 지정하는 계획 , 프로세스 , 운영
언제 , 어디서 , 어떻게를 명시한 세부적인 guidnace
특정 작업을 수행하는 반복적인 작업에 대한 명시
일반적으로 보안팀에 의해 쓰여지지 않음 . Hybrid 조직의 경우 정책과 표준은 보안팀에서 나오고 절차는 각 OS, Application, Network, DB 오우너와 관리자의 책임임
경영층이 검토할 필요는 없음
17
6. 연관성
Policies Policies
Risk Risk
Implement Implement
Audit Audit
Manage Manage
시스템에 비업무적인 프로그램의 다운로드에 따른 helpdesk 의 작업의 증가
-> 바이러스의 문제 -> 재정적인 충격
-
-정책 : 기업자산은 기업관련 작업을 위해서만 사용되어야 한다 .
-표준 : 네트웍파트에서 사용자의 컴퓨터에 허용되는 서비스에 정의
-지침 : 표준에 따라 윈도우 client 를 셋업하는 방법서술
-절차 : 컴퓨터에 특별한 서비스를 설치하기 위해서의 요청 및 승인절차
18
People,Process &Methodology
Security Vision and StrategySecurity Vision and Strategy
Information Security Management StructureInformation Security Management Structure
RiskDrivers
Requirements,Standards &Alignment
Architecture &Solutions
Policy & Standards
Policy & Standards
Classification & Control Alignment
Classification & Control Alignment
Administrate,Operate and Maintain
MonitoringProcesses
MonitoringProcessesEnforcement
Processes
EnforcementProcesses Recovery/Response
Processes
Recovery/Response Processes
Security Architecture& Technical Security Standards
Security Architecture& Technical Security Standards
Develop, Deploy and IntegrateDevelop, Deploy and Integrate
Business Initiatives& Processes
Business Initiatives& Processes Threats
Threats
TechnologyStrategy & Usage
TechnologyStrategy & Usage Vulnerability &
Risk Assessment
Vulnerability &Risk Assessment
Train
ing
and
Aw
areness P
rog
ramT
rainin
g an
d A
waren
ess Pro
gram
Sen
ior
Man
agem
ent
Co
mm
itm
ent
Sen
ior
Man
agem
ent
Co
mm
itm
ent
Source: PWC
6. 연관성
19
7. 작성절차
정책의 범위 결정
경영층의 지원획득
BIA 수행
주요 직원과 인터뷰
initial 정책의 Drafting
관련자의 정책검토
정책의 분배
정책의 검토 및 개정
20
7. 작성절차
표준 정책을 구함 표준 정책을 구함
조직의 환경과 문화에 적합한 정책을 선택 조직의 환경과 문화에 적합한 정책을 선택
템플릿 정책을 보안팀에게 나누어 검토함 템플릿 정책을 보안팀에게 나누어 검토함
제안 , 수정을 통해 개정함 .제안 , 수정을 통해 개정함 .
최고경영층의 검토 및 승인 최고경영층의 검토 및 승인
정책의 배포 정책의 배포
보안팀의 표준 검토보안팀의 표준 검토
관리자들과 표준 검토관리자들과 표준 검토
표준 결정 표준 결정
서브 그룹 미팅을 통해 절차 결정서브 그룹 미팅을 통해 절차 결정
21
8. 숙제
1. 조별과제 (EXCEL 사용 )1) 조별로 연구대상 기업의 해당범위에 필요한 정책 , 표준 , 지침 ( 절차 ) 의
이름도출 및 그 핵심내용 기술2) 그 중 하나에 대해 정책 , 표준 , 지침 ( 절차 ) 의 작성 ( 예 ) 계정정책 , 계정표준 ,
계정지침 ( 절차 ))