사회공학 기법
- 컴퓨터 기반의 사회공학 기법
- 인간 기반의 사회공학 기법
- 직접적인 접근
- 도청
- 어깨너머로 훔쳐보기
- 휴지통 뒤지기
- Piggybacking
- 피싱
- 파밍 : 적법한 소유자의 도메인을 탈취하거나 도메인 네임 서버나 프록시 서버에서 IP 주소를 변조해 가짜 사이트를 실 사이트로 보이게 가장하여 정보 습득
KISA-ISMS에서는 정보보호 관리체계의 관리메돌로 PDCA 모델 기반으로 한 SPDCA 프로세스를 제시하고 있다
- 정보보호 정책 수립 및 범위 설정
- 정보보호 정책 구조
- 정책 > 규정 > 지침 > 절차 (피라미드 구조)
- 정보보호 정책 구조
- 경영진 책임 및 조직 구성
- 조직 구성
- CEO - CISO/CPO(정보보호 총괄책임자) - 정보보호 위원회 - 정보보호 관리자 - 정보보호 담당자 - 정보보호 실무협의회
- 조직 구성
- 위험관리
- 정보자산 가치평가
- 기밀성
- 무결성
- 가용성
- 침해사고 피해규모
- 장애복구 목표시간
- 취약점 평가
- 매우 취약
- 비교적 취약
- 보통
- 취약하지 않음
- 우려사항 = 우려도, 관심도, 중요도
- 위협은 취약점을 이용하여 자산에 영향을 끼치고 있으므로, 위협과 취약점을 구분하지 않고 일련의 시나리오의 형태로 도출 가능하며 이를 우려사항이라고 함
- 정보보호 대책 수립 관점
- Transfer - 위험 전가
- Avoid - 위험 회피/제거
- 직접적으로 보호대책 수립할 수 없는 서비스 자체나 여건의 한계로 구조 변경, 서비스 종료등을 통해 발생위험 낮춤
- Reduce - 위험 감소
- DoA(Degree of Assurance) : 위험분석 결과 나타난 위험에 대해 조직이 수용가능한 위험도의 수준을 결정하는 것
- DoA 이하로 위험 떨어뜨리기 위해 보안대책 수립
- Accept - 위험 수용
- DoA 이하인 위험에 대해서 보호대책 수립하지 않고 지속적인 모니터링을 토앻 위험으로 발전됨 감시
- 정보자산 가치평가
- 정보보호 대책구현
- 사후관리
국내 인증 제도
- ISMS-P(정보보호 관리체계 인증 + 정보보호 및 개인정보보호 관리체계 인증)
- 2018.11.7 기존에 있던 ISMS와 PIMS가 병합된 형태로 ISMS-P 개정
- ISP
- IDC
- 다음 조건 중 하나라도 해당하는 자
- 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
- ISMS(정보보호 관리체계 인증) : 대상자 의무
- 정보통신망법 제 47조 2항에 따라 ISMS 인증 의무 대상자 무조건 수행
국외 인증 제도
- ISO/IEC 27001(정보보호 관리체계 국제 표준) : 구 BS7799
- BS10012(개인정보보호경영시스템)
국외 법령 이슈
- GDPR(EU의 개인정보보호 법령) - General Data Protection Regulation
+ 기초수학
'정보보호과정' 카테고리의 다른 글
| 2주차(1) - 2022/02/14 정보보호개론 복습 (0) | 2022.02.14 |
|---|---|
| 1주차(5) - 2022/02/11 암호학 + RSA, ECC (0) | 2022.02.11 |
| 1주차(3) - 2022/02/09 정보보안개론 (0) | 2022.02.09 |
| 1주차(2) - 2022/02/08 암호학 (0) | 2022.02.08 |
| 1주차(1) - 2022/02/07 정보보안 OJT (0) | 2022.02.07 |
