정보보안기사 정보보안일반(1)

1. 정보보안 일반/관리

 1) 정보보호 목표는 기밀성, 무결성, 가용성을 보장하는 것

 2) 정보보호관리는 물리적, 기술적, 관리적 대책을 통해 기업과 조직의 목적을 충족시키면서 위험을 수용 가능한 수준으로 낮추는 것
- 자산: 조직이 보호해야될 대상
- 취약점: 위협의 이용대상으로 관리적, 물리적, 기술적 약점
- 위협: 손실이나 손상의 원인을 제공하는 집합

3) 접근통제 정책
- MAC: 허용등급과 자료 범위를 비교해 권한 부여
정책은 경직되고 구현 어려움, 방화벽
- DAC: 객체의 소유자는 주체의 신분에 따라 임의적으로 접근을 통제
유연하며 구현 쉬움, ACL
- RBAC: 주체와 객체 사이의 역할에 따라 접근 통제
인사이동이 잦은 경우 관리 용이, Non-DAC, HIPAA

4) 정보보호정책서
- 조직의 정보보호에 대한 방향과 전략근거를 제시
- 조직의 정보자산에 접근할 모든 사람들이 따를 규칙 등을 기술한 지침과 규약
- 경영진의 승인 필요, 포괄적, 일반적, 개괄적으로 기술된 문서

5) 위험관리(위험분석, 위험평가를 내포하는 의미이기도함)
: 위험을 수용 가능한 수준으로 유지하기 위해 자산 및 시스템의 위험을 평가하고 비용, 효과적인 대응책을 수립하는 일련의 과정

- 위험분석 방법
ㄱ. 기준선 접근법(Baseline Approach)
: 소규모 조직에 적합, 시간과 노력 절약
보안정책 등을 참고해서 작성한 통제사항 체크리스트 마련
ㄴ. 상세위험분석(Detailed Risk Analysis)
: 모든 위험이 식별되고 시스템에 꼭 필요한 대책 구현 가능, 많은 시간과 비용 필요
ㄷ. 복합접근법(Combined Approach)
: 고위험영역은 상세위험분석, 나머지는 기준선접근법 이용
비용과 자원의 효과적 사용, 고위험식별 중요
ㄹ. 비정형접근법(Informal Approach)
: 개인의 전문성 활용으로 신속, 저렴, 주관적

- 정량적분석: 위험을 금액으로 산정 가능 시, 성능 평가 용이, 객관적 평가 기준 제공, 많은 시간과 비용, 계산 복잡
ㄱ. 과거자료분석법
ㄴ. 수학공식법
ㄷ. 연간예산손실법
ㄹ. 점수법
ㅂ. 확률분포법

- 정성적분석: 자산을 금액으로 산정 불가능할 경우, 경험이나 판단에 근거하여, 주관적
ㄱ. 델파이법
ㄴ. 순위결정법
ㄷ. 시나리오법
ㄹ. 퍼지행렬법

6) 위험평가
: 위험분석 결과를 바탕으로 위험의 대응 여부와 우선순위를 결정하는 것

7) 위험처리 전략
ㄱ. 위험감소(Reduction): 대책을 구현해 위험을 감소시킴
ㄴ. 위험수용(Acceptance): 잠재적 손실비용을 감수하고 수행
ㄷ. 위험전가(Transfer): 제 3자에게 잠재비용을 이전하거나 할당(보험, 외주 등)
ㄹ. 위험회피(Avoidance): 위험이 존재하는 사업, 프로세스 포기