1 / 15

제 2 장 자산

제 2 장 자산. 도 경 화 2008. 9 khdo0905@nate.com. 자산의 중요성. 자산은 보안정책을 마련하는데 가장 기본이 되며 중요한 요소 ! - 국가의 자산 ?! - 공공기관의 자산 ?! - 회사의 자산 ?! - 개인의 자산 ?! 자산을 결정하는 요소 ? 시대의 변화에 따른 자산의 변화 => 정보보안의 기술과 정책의 변화를 가져옮. 자산 (Asset). 기업의 가치 요소로서 데이터 , 장비 , 정보자산 , 사람 등 유형 / 무형의 가치 있는 존재

courtney-macdonald
Download Presentation

제 2 장 자산

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 제2장 자산 도 경 화 2008. 9 khdo0905@nate.com

  2. 자산의 중요성.. 자산은 보안정책을 마련하는데 가장 기본이 되며 중요한 요소! -국가의 자산?! -공공기관의 자산?! -회사의 자산?! -개인의 자산?! 자산을 결정하는 요소? 시대의 변화에 따른 자산의 변화 => 정보보안의 기술과 정책의 변화를 가져옮

  3. 자산(Asset) • 기업의 가치 요소로서 데이터, 장비, 정보자산, 사람 등 유형/무형의 가치 있는 존재 • 자간 가치 부여 요소(assign a value): 자산을 보호하지 않음으로 인한 회사의 지불 비용 고려 A. 소유자나 사용자, 그리고 경쟁자(Adversary)가 기꺼이 비용을 지불할만한 가치 B. 자산을 보유하기 위하여 초기 투자된 purchase, development, support 및 Protection 비용 C. 분실 시 대처 비용뿐 아니라, 그 자산을 사용할 수 없음으로 인한 운용이나 생산성에 영향을 끼치는 영향, 그리고 그 자산의 피해로 인한 조직의 생산 활동과 향후 기업 활동에 끼치는 영향 D. 지적 재산(Intellectual Property)와 시장에서 형성된 가치 • Risk Management Process: Assign a value in asset -> Risk Analysis(Risk Assessment) -> Risk Mitigation(분석된 위험에 대하여 Cost-benefit 분석을 통하여, 가장 효율적인 safeguard나 countermeasure의 강구를 통한 위험 완화(mitigation)

  4. 정보자산 분류 - BS7799-1 • 총 7개 카테고리 • 정보 자산 • 문서 자산 • 소프트웨어 자산 • 물리적 자산 • 인적 자산 • 회사 이미지 • 서비스 자산 => 정보보안관리체계를 마련하기 위해서는 모든 정보자산을 식별하고 식별된 자산에 대한 가치평가, 위협 및 취약성 평가를 통해 위험을 산출해야 함

  5. 자산을 완벽하게 보호하는 것 중요! • 보안환경을 구축하는 비용, 시간 등의 투자 및 보안환경 구축 이후의 업무 편의성 등을 고려할 때 ‘완벽하다’는 것은 곧 ‘예산 및 시간의 낭비’, 또는 ‘업무효율의 저하’라는 현실과 양립 • 중요한 자산들을 보호하는 데 기업의 한정된 예산을 집중해 집행하는 것이 최선이라고 할 수 있으며, 이는 경영성과의 극대화와 직결

  6. 정보의 특징

  7. Security Policy • Senior Management에 의해 생성된 High-Level Statement로써 사내의 중요한 정보를 보호하고,관리하고 분배하기 위한 방법을 규정한 일련의 Law, Rule, Practice 등 징계 및 벌칙 내용을 규정 i. Security Policy 내용 • A. Purpose: 보호되어야 할 자산이 무엇이며, 왜 보호해야 되는지 규정 • B. Responsibility: 목적에 규정된 보호해야 할 자산에 대한 Security Policy의 실제적인 실행 및 책임을 담당할 책임자를 임명 • C. Compliance(이행): 보안 정책 내에서 각자에게 부여된 책임의 수행에 대한 이행 및 보안 정책을 따르지 않았을 경우 Disciplinary Action 및 Penalty에 대한 내용을 규정 ii. Security Policy 유형 • A. 기관/프로그램 정책(Organization/Program Policy): 관리자가 조직의 컴퓨터 보안 프로그램의 기본 구조를 수립하거나 재구성하는 기관정책을 세운다. 이러한 높은 수준의 정책은 조직 내 프로그램의 목적과 범위를 규정하며 프로그램 이행을 위한 책임 할당뿐만이 아니라, 관련 부서에 책임을 할당 및 직원준수사항을 설명한 • B. 개별 쟁점 정책(Issue-Specific Policy): 개별 쟁점 정책은 그때그때 상황에 맞는 적절성과 조직의 관심사항 등에 초점을 두고 있다. 일반적으로 개별 쟁점(Issue-Specific)과 정책 수립자는 고위 직원보다 넓은 범위, 보다 까다로운 문제, 자원이 보다 집약적일수록 정책 수립자는 보다 고위급임 • C. 개별 시스템 정책(System-specific Policy): Organization/Program Policy와 Issue-Specific Policy는 전 조직을 포괄하는 거시적 차원의 일반적인 정책인 반면 System-specific 정책은 방화벽 같은 단일 시스템에 대한 구체적 사용자들에게 허용 및 차단 되는 정책을 제공 iii. Security Policy 형태 • A. Regulatory Policy: Financial Institution, Health Care Facility와 같은 형태의 Industry에 국한되며 법이나 다른 규칙에 의해 수행되어야만 하는 필수적인 정책이 상세하게 기술 • B. Advisory Policy: Mandatory하지는 않지만 권고사항을 이행하지 않아 문제 발생 시 심각한 결과를 초래할 수 있어서 실제적으로는 강제사항에 준하는 정책을 의미. • C. Information Policy: 임직원들에게 특정 주제에 관련 정보를 제시하는 정책으로 특별 준수사항은 없음

  8. Data Classification(데이터 계층화) • Sensitive Data가 Control되고 보호하기 위하여 각각의 Data의 중요성에 따라 계층적인 Security Label을 부여 • 어떤 정보가 중요한지 알게 되고 그 중요도에 따라 차등화된 보호 • Government(Military) Data Classification - (정부부문 : Avoid Unauthorized Disclosure) • Top Secret: 국가에 Grave damage를 끼치는 정보- 전시 상황의 병력 배치도, 북한 내 한국 첩보원명단 등 B. Secret: 국가에 심각한 위험을 끼치는 정보. 전국 방위 산업체 현황도, 미사일격납고위치 등 C. Confidential: 국가에 약간의 위험을 끼치는 정보 . 전국 민방위 조직 현황도 D. Sensitive But Unclassified(SBU): • minor Secret로 분류되어 있지만, 노출되면 심각한 피해를 끼치는 정보 . health Care Information 등 E. Unclassified: • 중요하지도 않거나 Classification도 안된 Data- 신문 공고 정보나 Computer Manual

  9. Private Sector(Commercial) Data Classification - (일반부문 : Minimize the risk to sensitive information) • confidential: • 회사에 serious damage를 끼치는 정보로써 회사만 사용 가능하며, freedom of Information Act하의 누설로부터 면제 . Trade secret, 신구 전략 사업 기획안 등 B. Private: • 누설되면 개인에게 Adversely Affect를 끼치는 개인정보 . 개인 인사파일, Medical Info. 등 C. Sensitive: • 특히 Data Integrity 및 Confidentiality에 주의를 요하는 정보로써 일반적인 데이터 보다 약간 높은 수준의 계층화 필요 . 분기별 재무 분석표 등 D. Public: • 정보 조직의 Unclassified 계층과 비슷하며, 누설 시 회사에 악영향을 끼치지 않는 정보

  10. Data Classification Criteria(기준) • Value: • Data Classification을 하기 위한 가장 중요한 요소 • Age: • Classified Data는 문서 보존 기한 등의 일정 기간이 지나면 자동으로 Declassified가 된다. • Useful Life: • 새로운 데이터가 만들어지면 기존의 데이터는 자동으로 Declassification된다. • Personnel Association: • 참고조사 자료와 같이 데이터가 특정 개인과 연관되어 있다면, 그 데이터는 Classified가 되어야 한다.

  11. Data Classification Procedure: 데이터 Classification을 하기 위한 절차 • Identify Administrator/Custodian - Data에 대한 관리를 책임질 Administrator/custodian을 지정 • Specify Classification Criteria - 어떤 Criteria에 의거하여 Data Classification을 할지 결정 • Classified by Owner - 앞에 기준에 의하여 Data Owner가 데이터의 중요도에 따라 Data Classification 한다. • Specify Exceptions to Classification Policy - Data Classification에 반하는 예외조항을 확인하고 문서화한다. • Specify Controls for Each Classification . Data Owner에 의하여 결정된 Data Classification에 필요한 Security Control을 명시 • Specify Procedures for Declassifying or Transferring Custody to another Organization . Declassifying 하거나 다른 기관에 보호 관찰을 의뢰하는 절차를 명시 • Create Enterprise Awareness Program about Classification Control . 모든 직원들이 알 수 있도록 설정된 Control에 대하여 교육 실시

  12. Classification Role • Data Classification에서 Information Owner, Information Custodian (전산 관리자 등), User마다 각자의 역할 수행 i. Information Owner: • A. Data Classification 결정 • B. 자신이 소유한 책임소재의 적절한 관리를 책임지며, 만약 소유한 데이터에 대한 누출이나 훼손이 발생할 경우 이에 대한 책임을 짐 • Data에 대한 관리(유지 및 보안, 책임)에 대한 권한을 정보 관리인에게 위임. ii. Information Custodian(관리자) • A. Information Owner로부터 위임 받은 데이터에 대한 관리(유지 및 보안, 백업 등)을 책임짐. • B. 보안 정책에 의거 실질적이 절차를 수행 iii. User: 사용자는 실질적인 업무를 수행하는 개인으로서, 회사 내의 보안 정책 하에 주어진 권한에 따라 업무를 수행할 의무

More Related