NCS)관리적 보안 구축

관리적 보안 구축

 정부에서 보안 정책을 발표하면 기업이나 회사에서는 해당 정책을 바탕으로 경영진과 조직을 구성해서 회사나 기업의 목표에 부합되게 규정을 작성하게 된다.

 즉, 회사나 조직의 보안 목표는 경영 목표를 방해하지 않는 적용 방식으로 이뤄지게 되며, 그에 따라 회사나 조직마다 사용하는 규정이 달라지게 된다.

 

정보보호 규정

  조직은 중장기 비전을 바탕으로 비전, 전략, 영역, 방법으로 경영목표를 구성한다. 그리고 보안 목표는 경영 목표를 방해하지 않고 달성할 수 있도록 지원하는 형식으로 작성되며, 해당 보안 목표를 바탕으로 지침(법이나 회사에 내규에 따른  규정), 절차(지침에 따른 수행 순서), 메뉴얼(수행을 하기위한 방법)이 조직의 문서 작성 지침에 따라 작성이 된다.  

• 정보보호 규정 수립 절차
  1. 정보보호 정책 수립 : 기업과 조직의 경영목표를 바탕으로 수립한 보안 목표를 통해 정책을 수립
     • 정보 보호 정책의 필수 요소
       1. 정보보호 활동에 대한 근거
       2. 정보보호 활동에 대한 업무 범위 (물리적, 논리적, 관리적)
       3. 정보보호 활동 수행시 적용되는 이해 관계자
       4. 정보보호 활동 후 후속연계되는 연관업무
  2. 정보보호 지침 수립 : 정책에 따라 정보보호 범위와 대상을 지정 및 해당 범위, 대상에 대한 지침과 근거 조항 산출
  3. 정보보호 절차 수립 : 정보보호 대상의 담당자 선출 및 정보보호 기술이나 솔루션 등 지침에 따른 수행 절차 산출
  4. 정보보호 메뉴얼 작성 : 메뉴얼을 수행시킬 인원 선출 및 절차를 바탕으로 업무 수행시 지켜야 할 사항 산출
  5. 정기적인 정보보호 정책과 정책 시행문서의 타당성 검토 : 정보보호 정책 및 시행 문서 적용에 대한 모니터링
  6. 정보보호 정책 및 정책 시행문서에 따른 영향 분석 및 정책 시행문서 개정 : 모니터링의 결과에 따른 분석

정보 보호 규정 수립 절차 예시	OOO 회사에 자사 주력상품에 대한 정보 보호 지침과 절차를 통해 메뉴얼을 만드는 경우
지침	1. 주력상품 관련 문서 대해서는 관련된 개발자 , 운영자만 접근이 가능하다.
	2. 문서는 생성 수정시 암호화가 되어야한다.
	3. 문서는 대외비이므로 반출을 금지한다.
절차	1. 정보 보호 관련 책임자 및 운영자를 지정하고, 정보 보호 관련 개발자 및 사용자를 등록해야 한다.
	2. 로그인을 통해 문서에 접근 통제한다.
	3. 로그인에 성공하면 정보를 자동 열람한다.
	4. 절차중에 실패가 발생 하거나 외부 저장장치 연결하는 경우,  모든 프로세스를 종료되어야 한다.
메뉴얼	1. 사용자의 등록은 관리자에 문의해서 등록해야 한다.
	2. 저장 완료된 문서는 복사 붙여넣기 등 위변조가 불가능하다.
	3. 사용 중간에 외부장치 시스템에 연결 될 경우, 사유서 제출해야 한다.
	4. 문서 저장은 암호화 저장버튼 클릭 후 암호화가 완료되었다는 확인 창이 출력된뒤 종료해야 한다.
	5. 문서 삭제는 관련 책임자에게 회사 규칙에 따라 절차를 통해 요청해서 일시적인 권한을 부여받아야 한다.

 즉, 정부에서 정책이 내려오면 회사에선 해당 정책을 수립하고 해당 정책을 바탕으로 지침을 생성한다. 그리고 지침을 통해 절차를 생성해서 모든 관리자가 사용할 수 있도록 한다. 마지막으로 절차를 통해 모든 직원 사용할 수 있도록 메뉴얼을 생성한다.

• 정보 보호 규정 이행 절차
  1. 정보보호 활동 준비 
  2. 정보보호 활동 계획에 따라 정보보호 활동 수행
  3. 활동결과를 분석하고 정리 하여 보고서 생성

 

정보 보호 조직 구성

 회사나 기업에서는 보통 정보 보호 체계를 설정하고 그에 맞는 조직을 구성해야 한다. 즉, 기업과 회사의 정보보호는 정보보호 조직을 구성해서 운영되며, 조직 구성원들의 업무가 기본적으로 분리되어야 한다.    

• 정보보호 조직 구성 과정
  1. 정보보호 최고책임자 선출
     • 정보보호 관련 총괄 책임자의 요구 소양
       1. 정보보호 관련 지식 
          
       2. 정보보안 실무 경험
          
       3. 정보보안 구축 기술
          
       4. 정보보안 관련 인맥
  2. 정보보호 관련 법령 조사 
  3. 정보보호 정책 적용 대상 조직,규모,업무 중요도 파악
  4. 정보보호 관련 담당자를 지정하고 역할 및 책임 정의 

 일반적으로, 정보보호 조직은 정보보호 최고책임자, 정보보호 위원회, 정보보호 관리자, 정보보호 실무자, 부서별 담당자로 구성되며, 직무에 따라 수행하는 업무가 달라진다.

• 정보 보호 최고 책임자의 업무
  1. 정보보호 관련 법령의 해석, 접근, 공표  
  2. 이해 관계자 요청시 해당 사업 검토 
  3. 정보보호 목표, 방향, 전략 수립
  4. 정보보호 정책 수립
• 정보 보호 위원회의 업무
  1. 정보 보호 시행 근거 검토 및 시행안 평가
  2. 정보보호 활동 심의 (정보보호 활동 감사 및 평가)
• 정보보호 관리자의 업무
  1. 정보보호 목표 달성 방법 수립
  2. 취약점 분석/ 평가 및 개선 방향 수립 (내/외부 보안사고 예방/대응)
  3. 정보보호 관리체계 수립
  4. 사전 정보보호 대책 마련
  5. 침해 대응 및 분석
  6. 정보 보호 업무체계의 수립
• 정보보호 실무자의 업무
  • 정보 시스템 취약점 분석 및 개선 수행
  • 정보 보호 관리체계 이행 및 관리 / 감독
• 부서별 보안 담당자의 업무
  • 정보보호 지침 수신
  • 정보보호 지침을 부서 내에 적용

 이때 각 정보 보호 업무 활동에 대해서 평가 체계를 수립하는 경우, 해당 정보 보호 활동에 대한 적합성 판정 기준을 결정하며, 완료 후 부적합 항목에 대한 조치 사항을 정의한다. 이때, 정보보호 조직원에 대한 적합성 판정 기준은 백분율로 70점 이상이여야 통과해야 한다.

• 정보보호 최고책임자 : 정보보호 지침 감사서의 적절성검토 ( 백분율 70점 이상일 시 통과 )
• 정보보호 위원회 : 정보보호 활동 감사 결과서의 적설성평가 ( 백분율 70점 이상일 시 통과 )
• 정보보호 관리자 :   대상 업무 담당자 설문조사 ( 백분율 70점 이상일 시 통과)

 

직무 분리

 직무분리란 업무의 발생, 승인, 변경, 확인, 배포 등이 한 사람에 의해 처음부터 끝까지 처리 할 수 없도록 하는 강제적인 보안 정책으로, 정보나 시스템의 오남용을 예방하고 업무 수행시 과정/분야별 독립적인 판단에 의해 실수를 예방하고 부정/사기를 차단하기 위해 사용한다.

직무 분리 예시		직무 분리
최소인원 2명으로 자산관리를 분기별로 관리하는 경우		자산정보등록, 자산정보관리
SW 제품 개발		SW제품 개발 전 과정 분리(기획, 개발, 시험)
재무 거래		계약/승인/ 지불 등의 모든 과정을 분리
보험금 청구		보험 처리 전 과정의 직무를 분리

 

 직무분리는 최소 권한 원칙을 따르는데, 불필요한 권한은 보유하지 않게하며, 특정 업무를 수행하는 동안 필요한 권한을 업무 종료까지 보유하게 함으로써, 내/외부로 부터의 악용의 소지를 차단하고 업무 손실/장애의 발생 가능성을 차단한다. 

최소 권한 원칙 예시		최소 권한 적용
자원에 대한 접근		정해진 시간 동안 정해진 권한만 적용
외부 침입		슈퍼유저 권한을 갖는 계정 최소화
정보 위조		정보 접근 가능 직무에 대해 읽기 권한만 할당

• 중요 정보 취급하는 직무자의 권한 최소화 방법 → 정보 보호 담당자의 직무 수행
  1. 조직 내 중요 정보자산을 취급하는 직무를 정의 
  2. 정보보호 관련 직무 분리 기준을 수립
  3. 정보보호 직무별 역할과 책임 지정 및 평가
  4. 중요 정보를 취급하는 주요 직무자의 권한을 최소화
  5. 주기적으로 주요 직무자 현황 관리 

 

절차적 보안

 업무 수행시 해당 업무 과정상의 절차를 무시하거나 생략함으로써 발생하는 업무 위헙을 탐지/제거하기 위한 제반 활동으로, 절차마다 평가하여 양립할 수 없는 직무를 분리하고 업무 수행및 달성을 위한 최소한의 권한을 할당한다. 

• 정보보호 관련 업무의 수행절차에 따른 직무 분리
  1. 기획 : 정보보호 업무 방향 제시
  2. 시행 : 정보보호 업무 산출
  3. 적용 : 정보보호 업무 적용
  4. 감사 : 정보보호 업무 평가
  5. 승인  : 정보보호 업무 종료 승임
• 휴가원 제출업무의 수행절차에 따른 직무분리
  • 절차 : 휴가원 작성 → 승인 → 제출 → 휴가
  • 취약점 : 휴가원 승인자와 수신자가 휴가원 작성자와 동일 한 경우
  • 위협 : 휴가원 작성자가 휴가 일수를 악용 가능
  • 대응방안 : 휴가원 작성자와 승인자, 수신자를 분리
• 임직원의 퇴직 및 직무변경으로 인한 절차에 따른 직무 분리
  1. 인사부서의 이행 절차를 수립
  2. 시스템 운영 관련 부서의 이행 절차를 수립
  3. 정보보호 조직의 이행 결과 확인 절차를 수립