정보보호프로세스와리스크관리 Consulting House, Inc.
I. 정보보호관리체계 (ISMS) II. 정보자산의가치 III. 정보자산리스크관리 IV. 정보보호프로세스 V. 결론 2
1. ISMS 개요 정보보호관리체계 (ISMS : Information Security Management System) 는정보보호의목적인기밀성, 무결성, 가용성을실현하기위한절차와과정을체계적으로수립하여지속적으로관리ㆍ운영하는체계임. 현재정보통신부정보보호관리체계와 ISO 17799 (BS 7799) 의 ISMS 체계가국내에서활성화되고있음. Plan-Do-Check-Act 사이클을통한지속적인정보보호체계의관리가정보자산을보호하는성공의관건임. 정보보호관리체계운영모델 정보보호위원회 ACT 새롭게식별된개선책구현 수정및예방활동수행 개선책이목적달성에부합함을보증 현황보고 보고 CSO Maintaining Improving 지시 경영방침 PLAN Establishing 정보보호조직 (CERT) Monitoring Reviewing CHECK 보안정책정의 위험분석 통제선택 SoA 준비 Implementing Operating DO 보안위험대응책상세화 보안통제구현 CERT : Computer Emergency Response Team CSO : Chief Security Officer 모니터링절차수행 정기적인 Review 수행 잔존위험및수용가능한위험 Review 내부감사수행 3
2. ISMS Architecture 정보보호관리체계아키텍쳐는 BS 7799와정통부의정보보호관리체계로구성됨. ISO 17799 (BS 7799) 정보보호관리체계 (ISMS) Establish the ISMS, Implement & Operation, Monitoring & Review, Maintenance & Improvement 의4단계 Plan, Do, Check, Act 기반 정보통신부정보보호관리체계 (ISMS) 정보보호정책수립, 관리체계범위설정, 위험관리, 구현, 사후관리 의5단계 정보보호관리체계아키텍쳐 4
3. ISMS Methodology ISO 17799 (BS 7799) 국제보안표준에기반하고, 국내정보통신부정보보호관리체계의요구사항을수렴한 ISMS 방법론이사용됨. 비즈니스요구사항검토 보안요구사항검토 특징 정보보호범위정의정보보호현황분석 (Gap 분석 ) 자산분석및가치평가위협 / 취약성분석및평가위험평가관리되어야할위험도출통제의선택및구현보안정책, 절차, 문서감사지속적인관리및검토 ISMS 방법론에정보통신부정보보호 II. 관리체계컨설팅, ISO 17799 방법론 (BS 7799) 의 ISMS 체계적용 정보보호현황분석을통한회사의정보보호수준평가 정보자산분류및식별과각자산의중요도평가 정보자산에대한위협 / 취약성분석 위험평가를통한 Unacceptable Risk 및 Acceptable Risk 도출 관리되어야할위험에대한세부통제사항선택및개선을위한후보 대응책제시 정보보호관리체계구축을위한계획제시 정보통신부정보보호관리체계인증획득을위한내부프로세스확립 지원 Process for ISMS Certification ( 정보통신부정보보호관리체계및 BS 7799 인증 ) 5
4. 정보통신부정보보호관리체계 정보통신부정보보호관리체계인증획득을통한정보보호수준향상및국가정보통신기반의신뢰성확보 국제보안표준적용및 BS7799 인증획득의기반마련 도메인 통제내용 정보보호관리체계 1. 정보보호정책 정보보호정책의수립, 공표, 검토및상위정책과의일관성여부 2. 정보보호조직 조직내정보보호에대한조직체계, 책임및역할할당여부 3. 외부자보안 아웃소싱또는제3자에대한정보보호대책여부 정보보호관리과정 4. 정보자산분류 조직의정보자산조사및책임할당의적절성여부 조직의정보자산의적절한분류및취급여부 5. 교육및훈련 임직원에대한정보보호인식프로그램의수립및시행ㆍ평가여부 사후관리 정보보호정책및조직수립 Life Cycle 범위설정및정보자산식별 세부통제사항 (120 개 ) 6. 인적보안 7. 물리적보안 8. 시스템개발보안 직원의실수 오용 부정으로인한위험감소여부 물리적위협으로부터 IT 자산을효과적으로보호하는지여부 IT 자산개발과정에서의위협요소에대한대책여부 구현 위험관리 9. 암호통제 IT 자산의정보보호를위한적절한암호정책의수립및관리여부 10. 접근통제 정보자산에대한접근통제 (Access Control) 11. 운영관리 정보보호를위한시스템, 네트워크등의운영상의대책및절차여부 문서화 12. 전자거래보안 13. 보안사고관리 전자거래시조직의정보보호를위한대책및절차여부 보안사고발생시보고및복구체계여부 14. 검토, 모니터링및감사 관계법령및조직의정책에따른준수및감사시행여부 15. 업무연속성관리 조직핵심업무의항상적유지를위한대책및절차여부 5 단계정보보호관리과정, 120 개세부통제사항, 문서화요구사항으로구성됨. 6
5. ISO 17799 (BS 7799) ISO 17799 품질표준 (ISO 9000), 환경표준 (ISO 14000) 에이어대두되는보안국제표준 Security Round(ISO/IEC JTC1 SC27) 에서표준화작업 2000 년 10 월, BS 7799 Part1 이 ISO 17799 Part1 으로이전됨. BS 7799 Part2 도 ISO 17799 로이전예정임. 2002 년 7 월 31 일, 산업자원부에서 KS-X ISO/IEC 17799 로표준화완료 ISO 17799 체계 정보보호대상의범위정의 GAP 분석 ISO 17799 의장점 정보보호를 10 개의영역, 127 개통제항목으로구분하여제시함 조직의정보보호관리체계 (Information Security Management System) 의수립과실행에대한가이드를제시함 BS 7799 인증후대외적인신뢰도와경쟁력을확보할수있음. ISO 17799 을표준으로채택한국가 영국, 일본, 호주, 뉴질랜드, 스웨덴, 브라질, 덴마크, 태국, 아일랜드, 네덜란드, 노르웨이, 남아프리카공화국등에서표준으로채택하였으며, 미국과유럽의대부분의국가에서사용되고있다. 2000 년 12 월, 일본통산성은 ISO 17799 를국가표준으로채택하여일본공업규격화하고정보보호관리체계 (ISMS) 인증제도를시행하고있음 위험평가의수행 ( 모의해킹, 스캐닝, 위험분석 ) 관리할위험영역의도출 ISO 17799 통제항목의선택및수행과제선정 보안문서및절차, 정책의작성 ISO 17799 감사및인증 지속적인관리수행및점검 7
1. 정보자산가치판단기준변화 Q : 빌딩이무너져도기업의사업은지속될수있는가? A: 신규빌딩에서업무지속가능 Q: 정보시스템內정보가파괴되거나유출되었을경우기업은살아남을수있는가? A : 생존불가 순자산가치관점 DB, 주요문서, 영업정보등 건물, 대형장비및하드웨어등 대분류 Information Paper Software 내용 Database 등 25개소분류계약서등 7개소분류운영시스템등 7개소분류 자산분류체계 Physical People 컴퓨터등 34 개소분류 매니저등 14 개소분류 정보자산가치관점 자산분류체계의기준변화순자산가치관점 정보자산가치관점 Image 브랜드등 7개소분류 Service SLA 등 19개소분류 총7개대분류, 113개의소분류 Crown Jewels 란? 회사의가장가치있는자산 회사의경쟁역량의원천 혁신적인제품, 서비스, 절차 경쟁자에게누출될경우회사의생존을위협할만한자산 문서에도있지만컴퓨터파일, 모델, 생산장비에도포함되어있음 경영자는인터뷰를통하여파악할수있다. 8
2. 자산분류체계 7 개 Category, 115 개소분류체계사용 Category Information Paper Software Physical People Image Service 소분류 Sample Financial information Contract details Operating system software Computing resources Managers Confidence factor (in organisation) Information services Confidence factor (in Patented IPR/copyrighted Guidelines Standard application Networks Computer personnel services offered by the material programs organisation) Communication services Sales/marketing information Company documentation Applications developed for Image and reputation of the Computer Network personnel Service level agreements special purposes organisation Work related information Documents containing important b Development tools and and files utilities CPUs, memory Communications personnel Brand names Air conditioning Corporate information HR records System utilities and support IC, chips, etc. Developers Trademarks Power Personnel information Purchase documents Test programs Card devices Security personnel Adverse publicity Water Organisational records Invoices Communications software I&A devices Administrators Failure to deliver Heating/Lighting Customer details Laptops Cleaning personnel Offices Payment details Palmtops, PDAs and organisers Temporary personnel Computer rooms Product information Printers Third party staff Operations centre Databases Terminals Teleworking arrangements Network management centre Test data Magnetic card readers Outsourcing arrangements UPS Ability to provide evidence Monitors, displays Other employees (specify in description) Standby generator Backup procedures Other hardware (specify in description) Customers Auxiliary power Business continuity plans Discs Computing Fallback arrangements CD-ROMs Gas Incident handling procedures Programmable ROMs Intruder alarms Software documents DV Ds Fire control System documentation Tapes Other technical services User manuals Cables Other Accomodation Operational documents (manuals, schedules) Switches Training material Firewalls Other information Routers Data files Hubs 등 DB 內인사정보그룹웨어內파일등 계약서, SLA 등 License 보유 S/W 서버, 라우터, 허브, 노트북, 스위치등 회사인력, 아웃소싱인력등 홈페이지, 회사로고등 컴퓨팅서비스, 네트워크서비스등 순자산가치하중중상하하중 정보가치상상중중상상상 9
3. 자산가치평가범위 (Scope) A회사소유자산 : 정보시스템이나어플리케이션內정보 (Billing정보, 고객정보, 인사 / 재무정보등 ) 아웃소싱업체의 H/W, Network 자산이담고있는정보는 A회사가 Ownership을가진정보자산임. H/W, S/W, Application, Network 자산등은아웃소싱업체에 Ownership이있음. 아웃소싱업체소유자산 : 데이터센터, H/W, Network, Application, PC 등 아웃소싱업체 A 회사 인사, 재무 IT 부문 -SLA 관리 - 정보보호관리 - 외부인력관리등 Web Appl. DB A 회사자산 정보시스템內고객정보, 인사정보 ERP 內정보 C/S Appl. DB (Owner : 아웃소싱업체 ) 마케팅 O/S 재고관리 영업 현업 Network H/W Physical : 데이터센터 (Owner : 아웃소싱업체 ) 10
4. 정보보호의최적화 자산의가치와보안투자 Too Much Security Optimum Security Too Little Security 1 2 3 4 5 6 7 8 9 10 회사의자산 위험도는가치와상응하다고가정함예 : high value = high risk 11
1. 위험분석및위험관리 위험이란? 위험분석및위험관리 Protect against 관리 met by 위협취약점 increase reduce indicate 보안요구사항 exploit 위 increase 험 increase 자산가치 expose 자산 have Asset Identification and Valuation Calculate Risks Review of of existing Security controls Gap Analysis Identification of of Vulnerability Evaluation of of Likelihood Rating/Ranking of of Risks Degree of of Assurance 위험분석 ( Risk Assessment) Identification of of Threats 위험관리 ( Risk Management) Identification of Policy of and new security controls Procedure s Implementation and Risk Reduction Risk Acceptance (Residual risk) * 그림출처 : BSI Korea 12
2. 위험관리의지표화 지표화된위험관리 보안수준, 지표관리예 위험의정량화 - 위험평가의결과로정량화된위험도출 - 대응책및개선방안에의한위험감소정량적측정 위험요소항목수 현재 2003년 2/4분기 2003년말 2004년말 57000 보안수준 - 위험감소에인하여향상된지표화된보안수준 50000 Level 1 지표제공 45000 36000 36000 보안수준현황 : 82% 보안수준현황 : 85% Level 2 30000 Level 3 위험관리의지표화 - 비즈니스및정보시스템환경에적합한보안수준 15000 3000 6000 24000 보안수준현황 : 41% 5000 7300 4500 7200 Level 4 Level 5 지표개발 - 보안지표점검에의한이해하기쉬운보안수준관리 - 영역별, 정보자산별지표화된위험관리수행 ( 물리적, 기술적, 관리적위험도의수치화 ) 보안수준현황 : 21 % 2500 신규위험은매년발생할수있음 90 60 High Medium Low 13
3. 위험관리절차 실시간으로자산변경및정보보호위협 / 취약성모니터링실시 위험분석을통해관리되어야할위험을도출한후, 위험관리를실시 INPUT (Resources) 아웃소싱업체 ACTIVITIES between FUNCTION 보안팀 외부유관기관 OUTPUT (Document) Monitoring 자산목록 CERT 취약성통보메일 보안 Review, Audit 결과 신규자산도입, 기존자산변경 위험분석 Risk Value 취약점발생통보 위험분석서 DoA 결정 위험수용 (Accept) Low Risk DoA? High Risk Cost-Effective 방법등 1 2 1 2 위험감소 (Reduce) 위험회피 (Avoid) 자산보호, 취약성패치자산제거 위험전가 (Transfer) 보험가입 보험계약서, SLA 보안조치결과보고서 월간리스크관리현황보고서 DoA (Degree of Assurance) : 보장수준 14
4. 정보보호위험관리시스템 - ISMS (* ISMS : Information Security Management System based on ISO 17799) ISMS는 ESM(Enterprise Security Management) 의상위개념시스템으로서기존의업무프로세스, 타보안시스템및외부관련기관과의인터페이스를구축하여실시간위험분석및통합위험관리를실시함. 자동화 : 자산에대한취약성과위협의자동탐지를통한위험경보체계적용 지표화 : 위험의지표화를통하여부문별, 자산별위험도산출및단계별대응체계 Process 化 : 정보보호업무에대한책임영역을구분하여절차化함으로써 Process Ownership, Role & Responsibility 확보 CERT : Computer Emergency Response Team, DRS : Disaster Recovery System, IPS : Intrusion Prevention System 15
1. 개요 정보보호관리체계의효율적인운영을위한보안프로세스를수립하여보안관리체계를구축하고, 정보 보호업무의효율성을증대한다. 목적 기술적보안요소와관리적인보안요소를포괄하여전사적인관리체계구축 정보보호프로세스개선및적용을통하여정보보호업무의효율성증대 배경 정보보호사고원인의대부분은 사람에대한교육부족과잘못된프로세스 에의해발생 정보보호의핵심 Key는기술적인면에국한되지않고, 사람과조직에대한체계 ( 시스템 ) 라는인식전환의필요성대두 품질, 환경시스템등과같이특정영역에한정되지않고, 회사內모든조직을대상으로확대 적용될수있는정보보호관리체계의필요성대두 특징 정통부정보보호관리체계요구사항 (KISA) 을준용한시스템정보통신부정보보호관리체계의 관리사항및통제항목 요건에준용하는시스템으로설계 BS 7799 ISMS의프로세스지향적인시스템 BS 7799-2:2002(Information Security Management System) 의주요핵심 ( 개정 ) 사항인프로세스를중심으로하여설계 전사적으로확대적용이가능한시스템비즈니스환경변화등에따른조직의변화에도대응이가능한시스템으로설계 16
2. 정보보호관리체계프로세스 정통부정보보호관리체계및 BS7799 를기본으로 55 개의보안프로세스를도출하여적용함. < 정보보호관리체계 Process 목록 > 구분 관리항목 통 제 항 목 순 프로세스번호제목 1 MEP - 1.1 정보보호정책수립및유지관리 2 MEP - 1.2 조직및책임설정 3 MES - 2.2 정보자산의식별 4 MRM -3.1 위험관리전략및계획수립 5 MRM - 3.2 위험분석 6 MIM - 4.1 정보보호대책의효과적구현 7 MMA - 5.3 내부감사 1 SO-2.1.2 외부의전문가활용 2 OS-3.1.2 제3자와계약시보안요구사항 3 PS-6.1.1 책임할당 4 PS-6.1.2 인사규정 5 PH-7.1.1 물리적보호구역 6 PH-7.2.1 위치및구조조건 7 PH-7.3.1 주요시스템보호 8 DV-8.1.1 보안요구사항정의 9 DV-8.2.4 소스프로그램의접근보안 10 DV-8.3.1 변경관리절차 11 DV-8.3.3 소프트웨어패키지변경 12 CC-9.1 암호정책 13 AC-10.1.1 정책의문서화 14 AC-10.2.1 사용자등록 15 AC-10.2.3 사용자패스워드관리 16 AC-10.3.1 네트워크접근 17 AC-10.3.2 운영체제접근 18 AC-10.3.3 응용프로그램접근 19 AC-10.3.4 데이터베이스접근 20 OM-11.2.1 시스템도입 구분 통 제 항 목 정보보호관리체계와프로세스의관계 정보보호관리체계 프로세스 순 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 정책, 지침, 규정 번호 OM-11.2.5 OM-11.2.6 OM-11.2.7 OM-11.2.8 OM-11.3.2 OM-11.4.1 OM-11.4.3 OM-11.5 OM-11.6.1 OM-11.6.2 EC-12.1 EC-12.2 EC-12.3 EC-12.4 EC-13.1.1 EC-13.2.2 AU-14.1.2 BC-15.1.1 프로세스 표준프로세스 : 45 개 제 목 필수프로세스 : 24 개 백업및복구관리장애관리로그관리보안시스템운영인터넷접속관리매체취급및보관시스템문서의보안악성소프트웨어통제이동컴퓨터원격작업교환합의서전자거래전자우편공개서버의보안관리대응계획수립보안사고보고준수검토업무연속성관리과정수립 17
3. Process 의적용 Process Mapping 時중점고려사항 정보보호를위한핵심프로세스파악 (BS 7799 통제항목준용 ) PLAN-DO-CHECK-ACT Cycle 에의한논리적전개 (Activity 의종결이 Activity 의시작점으로회기하는원리 ) Key Activity 에대한입력 (Input) 요소파악 ( 단위 Activity 의최적화를위해필요한정보, 자료및자원 ) Activity 수행 Output 파악 ( 단위 Activity 를수행한결과물 주로문서, 기록으로표현 ), 출력물은다음 Activity 를위한입력. 특정 Activity 를수행하기위한구체적인방법 ( 설명 ) 이필요한부분은관련정책및절차 ( 규정, 규칙등 ) 와의연계성명시. 표준 Process(Sample) A 회사 Process (Sample) 18
4. 보안 Process 성숙도모델 보안프로세스의안정화및지속적인개선으로향상된보안프로세스성숙도에도달함. 회사보안프로세스성숙의현수준 2003. 末 2004. 末 2005. 末 2006. 末 0 1 2 3 4 5 실행되지 않음 기본업무수행 보안수행 계획 관리 적절한보안프로세스정립 정량화된보안수준측정 지속적개선 기본업무실행 이행에의회부 수행계획수립 이행훈련 작업진행 수행입증 표준프로세스정의 표준프로세스운영 데이터운용 정립된프로세스수행 측정가능한양적목표수립 목표달성을위한프로세스적응성결정 객관적수행운영 효율적목표달성을위한정량적프로세스수립 프로세스효율향상 보안프로세스성숙도 SSE-CMM ( Systems Security Engineering-Capability Maturity Model ) 이란? 시스템보안공학의성숙도모델. 시스템보안공학은보안의효과성과보증요구사항을충족하여시스템전반의보안설계를최적화할수있도록환경적, 운영적, 기술적보안원칙을통합하여보안정책을시스템에구현하는과정이다. 19
5. 정보보호프로세스적용분석 정보보호프로세스적용분석결과예 보안수준비교 ( 타사대비 ) 정보보호수준?? % 국내업종별보안수준 금융업종 67 % IT 업종 56 % 국내선진기업보안수준 H 은행 88 % N 회사 86 % 해외선진기업보안수준 ABB Facilities 85% 이상 Sony Electronics 85% 이상 도메인 내용 Yes Partial No N/A ISO 17799 1. 보안정책 2. 보안조직 정보보호에대한경영방침과지원사항효율적인보안관리를위한보안조직구성및책임규정 3. 자산분류및통제 조직의자산에대한적절한보호책유지 Code of 4. 인력보안 인력에의한보안사고방지하기위한통제 Practice for Information Security 5. 물리 / 환경보안 6. 통신및운영관리 7. 접근통제 8. 시스템개발및유지보수 정보자산보호를위한물리적물리 / 환경보안정보처리설비의정확하고안전한운영정보자산에비인가접근방지시스템개발시보안요구사항적용 Management 9. 업무연속성관리 사업활동저해요소완화및보호 국제표준 10. 준거성 정보자산사용에대한법적요구사항준수소계 백분률 합 계 127 Yes : 완전적용, Partial : 부분적용, No : 미적용, N/A : 해당없음 20
1. What to Do What to Do 1 단계 : IT 자산관리체계적용 IT 자산분류 자산중요도평가 (BIA) 자산에대한 Ownership 부여 (* (* BIA : Business Impact Analysis) 정보자산실명제 회사자산에대한보안점검및모니터링감사활동에대한프로세스 2 단계 : 보안 Process 적용절차를구체化하고이를관리하기위한지표 ( 보안 SLA) 를이노베이션수립 3 보안위험분석및위험관리를위한자동화된시스템구축및단계 : 위험관리체계의시스템化리스크지표관리실시지표관리 Management of Change 보안사고예방및대응체계교육실시 주기적인 IT 운영실태 ( 기술적취약성뿐만아니라 Process 이행부문까지포함 ) 에대한보안점검및감사실시 Critical Success Factor IT 보안조직의안정적운영 - 보안팀은더이상閑職이아님, 가장질높은인력이투입되어야함 - 업무에대한동기부여및 Royalty 고양 21
2. 핵심성공요인 (Critical Success Factor) 임직원의보안인식을제고시킬수있는조직문화형성이가장중요 보안시스템을아무리강화하더라도정보는빠져나갈수있으므로, 주인의식을바탕으로한책임감의실질적고취가시급 체계적인보안프로세스운영환경마련 비효율적, 경직적, 일방적보안프로세스개선 자산의가치를고려한선별적보안체계로의전환 모든정보가중요하다는인식탈피 핵심가치를가진정보에대한집중관리프로세스구축 환경의변화에대응한보안관리체계의지속적개선추진 임직원세대교체, 정보환경변화, 경영여건의변화등 일관되고지속적인보안추진 일시적개념 전체적으로균형유지, 지속적이고의식적추진개념 22
Q & A 23