기업의 보안 아키텍쳐 수립 및 인증대비 중심의 컨설팅 방안 2002.9 신수정
I. 정보보호 관리의 현황 및 이슈 II. 정보보호 수준향상 전략 III. 컨설팅 방안 1. 정보보호에 대한 고민과 실수 기존 정보보호 컨설팅의 한계
1. 정보보호에 대한 고민과 실수(경영층) Budget Constraints Lack of Internal Policies 정말 위험한가? 끝이 없다. 진정한 로드맵은 무엇인가? 비용효과적 대책은? 명확한 성과와 진척은? 직원들이 과연 제대로 아는가? 항상 동일한 문제 9% 3% 4% 29% 6% 8% 8% 14% 9% 10% Budget Constraints Lack of Senior Management Support Lack of Employee Training / End-User Awareness Lack of Competent Infosecurity Personnel Lack of Internal Policies Lack of Centralized Authority Technical Complexity Unclear Responsibilities Lack of Good Security Products Other Source: information security magazine
1. 정보보호에 대한 고민과 실수(CIO) Access! Speed! Confidence & Control CIO BOARD BUSINESS UNITS NETWORK OPS SECURITY AUDIT EMPLOYEES CUSTOMERS SUPPLIERS PARTNERS REGULATORS ACCREDITORS INSURERS 1) In today’s hyper-connected world, enterprise security is a balancing act between: a) Opening up networks to ever greater access and speed and b) Ensuring that network resources are available, confidential data stays confidential, and systems and applications are trusted. 2) The drivers for opening up networks are unstoppable. Employees, customers, and partners are all demanding real-time access to information, products, and support. And they want it quickly and seamlessly. 3) At the same time, there is a growing recognition that our basic network infrastructure is insecure, and that the very openness that is our goal also leaves us incredibly vulnerable. How do we find the right balance?
1. 정보보호에 대한 고민과 실수 (보안담당자) 인력의 부족 보안영역이 사라짐 인식과 투자의 부족 해커는 항상 침투가능 전문성의 부족 프로세스의 부족 권한의 부족 보안영역이 사라짐 해커는 항상 침투가능 오늘의 안전이 내일을 보장하지 않음 사용자들은 복잡한 정책을 신경쓰지 않음 사고의 책임 경영층 및 내부 조직의 요구 고객의 요구 권한의 부족 책임의 증가
2. 기존 정보보호 컨설팅의 한계 컨설팅도 받았는데… 정보보호관리체계 수립 및 유지가 어려운 이유 Design Assess Deploy Design Manage Assess 프로세스 정착의 어려움 조직/책임/역할/권한의 불분명 및 협조체계 미흡 유익: 취약점 발굴, 보안인식 증대, 보안 시스템 도입 아쉬움 - 이행곤란, 보안시스템 도입중심 - 취약성 해결중심 - 보안업체에 대한 의존도 심화 - 유지관리 곤란 - 아키텍쳐 중심이 아님… 적절한 위험평가 기법의 적용부족 대부분 컨설팅의 접근법 기존 시스템 중심 취약성 분석 보안시스템 선정 및 배치 선진 지침/절차 제시 장기간의 유지보수와 변경관리활동 어려움. 주기적인 측정 부족.
I. 정보보호 관리의 현황 및 이슈 II. 정보보호 수준향상 전략 III. 컨설팅 방안 정보보호 발전과정 기업의 정보보호관리 수준모델 기업의 정보보호 프레임웍 정보보호 수준향상을 위한 핵심요소
The Third Wave: Institutionalization 1. 정보보호관리 발전과정 The Third Wave: Institutionalization Information security standardization International information security certification Cultivating an information security culture right throughout a company Implementing metrics to continuously and dynamically measure Information security aspects in a company The Second Wave: Management Internet, E-commerce Information security policy, organization Information security manager Corporate effort regarding information security The First Wave : Technical Mainframe-based Technical people responsible for information security Source: Sloms
2. 기업의 정보보호관리 수준모델 Level 5 Level 4 Optimized Level 3 Managed Level 2 2. 기업의 정보보호관리 수준모델 Level 5 Level 4 Optimized Level 3 Managed Level 2 Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modeling with other organizations. Defined Level 1 It is possible to monitor &measure compliance with procedures and to take action where processes appear not to be working effectively. Repeatable Level 0 Procedures have been standardized and documented, and communicated through training. Initial Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. Non -Existent The organization has recognized the issues exist and need to be addresses. No standardized processes Complete lack of any recogniz -able processes Source: COBIT
3. 기업의 정보보호 프레임웍 핵심요소 전략 및 정책 위험평가 아키텍쳐(청사진) 유지 관리 Design Assess 3. 기업의 정보보호 프레임웍 People Technology Process Protect Detect Respond/Recover 핵심요소 전략 및 정책 위험평가 아키텍쳐(청사진) 유지 관리 Deploy Design Manage Assess
4. 정보보호 수준향상을 위한 핵심요소– 위험평가 국내의 현실!!! 측정훈련부재, 업무위험파악곤란, 기업부재, 잘못된 평가방법 선택 대응방안 ??? - 위험관리 체계선택, 평가훈련, 지식축적, 위험추적 Only the right people get access at any time to the right information with the best possible performance and at the lowest possible cost
4. 정보보호 수준향상을 위한 핵심요소– 아키텍쳐 침입차단시스템을 비롯한 각종 보안 시스템도 구입했다. 그러면 다음에는 무엇을 해야 하나? 이것으로 보안이 된것인가? 도대체 보안을 한다는 것은 무엇인가? 전사적 정보보호 조직을 구성했으나 조직의 주요 활동방향에 대해 혼란이 있다. 조직의 활동은 보안시스템 도입과 운영이 초점인가? 주기적 취약성 분석과 이행이 초점인가? 도대체 정보보호조직이 중장기적으로 수행할 미션이 무엇인가? 컨설팅 회사의 도움으로 과거환경을 구축하고 대책을 수립했다. 그런데 새롭게 대형 시스템을 구축했다. 그러면 과거 컨설팅 회사에서 제시한 분석결과와 대책은 변화하는 환경에 무슨 도움이 되는가? 기존의 보안은 대부분 네트웍 중심이고 인프라 중심이다. 실제 보안의 핵심이 어플리케이션과 데이타라면 개발과정가운데서의 보안이 핵심인데 이 가운데서의 보안체계는 무엇인가? 우리는 대규모 조직이라 별도의 정보보호조직이 존재한다. 그럼에도 불구하고 정보보호조직이 모든 부서의 정보보호 활동을 관찰하고 설계할 수 없다. 결국 각 부서별, 프로젝트별로 보안 설계과 구성이 된다. 결과적으로 각기 다른 방식으로 보안이 이행되고 시간이 지난후 도입된 정보보호 대책들은 일관성이 없다. 미시적, 국소적, 상향식, 분석중심 아키텍쳐의 부족은 기업내 일관성이 없고, 비효율적이며, 연결되지 않는 파상적인 보안구현을 가져옴. 영역간의 정책, 표준 등이 불일치함에 따라 조직으로 하여금 보안취약성을 가져오게 함. 보안정책, 절차 및 정책을 수행할 능력을 제한하게 됨 거시적, 통합적, 하향식, 설계중심: 아키텍쳐 중심 임기응변식이 아닌 원칙과 방향을 가진 체계
Security Architecture Enterprise Architecture Security Architecture 4. 정보보호 수준향상을 위한 핵심요소– 아키텍쳐 정보보호요구사항을 만족시키고 보안정책을 실현시키는 기술, 관리 프레임웍/청사진 정보보호목적을 이루기 위한 기업의 보안원칙, 기능, 요소, 메커니즘, 프로세스, 표준의 체계 조직내 통일되고 일관성있는 보안의 의사소통의 도구 Security Architecture Enterprise Architecture Security Architecture People Process Technology Mission Objective Strategy Security Policy Security Requirement System Eng Process Principles Fundamental Concepts Functions Component & security mechanisms Standard, Guideline Security Architecture
Enterprise Architecture & IT Planning 4. 정보보호 수준향상을 위한 핵심요소– 아키텍쳐 People Principle 변화하는 요구 대응 통합된 보안서비스 제시 플랫폼 독립적으로 일관된 체계 사용성 최대화, 미래 변경 최소화 보안레벨의 적정화 보안전략 정책, 절차 보안기술 프레임웍 Data Application User System Network Physical 성과측정 사고대응 사업연속 인력보안 보안교육 감사/인증 보안관리 프레임웍 Enterprise Architecture & IT Planning Process Technology
4. 정보보호 수준향상을 위한 핵심요소– 유지관리 특성 평가와 설계는 순간이지만 이행과 유지관리는 연속임. 정착이전 까지는 지속적인 트래킹이 필요 추진요인이 부족한 경우 원 상태로 돌아가기 쉬움 초기에는 경영층의 강력한 보고, 감사 필요 Design CSF 구체적이고 실제적이며 단계적 방안 측정과 감사 인증준비 및 획득 - 시스템화 - 보안회사와의 지속적인 파트너쉽 Assess Deploy Manage
4. 정보보호 수준향상을 위한 핵심요소– 유지관리 인증 Pros 정보보호체계수립 및 유지의 강력한 추진요인 자체적인 정보보호체계의 적합성 검증 국내외적인 대세 Cons 전시행정 인증따로 실행따로 과정보다는 결과에 초점 BS7799 세부통제사항 정보보호 관리과정 문서화 정보통신부 민간인증(TRUSECURE 등)
4. 정보보호 수준향상을 위한 핵심요소– 유지관리 인증 정보보호 관리 과정 정보보호 대책 정보보호정책 정보보호조직 외부자 보안 업무 연속성 관리 정보자산분류 정보보호 교육 및 훈련 인적 물리적 시스템 개발 암호 통제 접근 운영 관리 전자 거래 사고 검토, 모니 터링, 감사 범위설정 및 정보자산식별 정보보호 정책 및 조직 구현 및 운영 사후관리 위험관리 출처: 정보통신부 인증기준
I. 정보보호 관리의 현황 및 이슈 II. 정보보호 수준향상 전략 III. 컨설팅 방안 설계중심의 컨설팅 유지관리중심의 컨설팅 인증대비 중심의 컨설팅 결론
Enterprise Architecture & IT Planning 1. 설계 중심의 컨설팅 People Technology 보안전략 정책, 절차 보안기술 프레임웍 Data Application User System Network Physical 성과측정 사고대응 사업연속 인력보안 보안교육 감사/인증 보안관리 프레임웍 Enterprise Architecture & IT Planning Process IT 보안환경 분석 To-Be 보안 모델 정의 보안 아키텍처 수립
2. 유지관리 중심의 컨설팅 People Process Technology Policy 보 안 정기 점 검 원격모의침투 보안교육 보안감사 정기방문 지원 보안관리시스템 제공
2. 유지관리 중심의 컨설팅
3. 인증대비 중심의 컨설팅 대응방안 관리체계 프레임웍 이해 및 대상선정 위험평가 스킴 채택 및 문서화 통제사항 선정 및 이행 관리과정 세부관리과정 체크리스트 적용여부 및 내용 적용대상 적용지침 적용증적 담당자 일시 1. 정보보호 정책 및 조직의 수립 정보보호정책의 수립 위험평가 스킴 채택 및 문서화 통제사항 선정 및 이행 보안 문서 체계의 정립 통제목적 통제사항 체크리스트 적용여부 및 내용 적용대상 적용지침 적용증적 담당자 일시 책임할당 및 규정화 책임할당 인증기준대비 적용사항 매트릭스 관리 필요 효과적인 증적 및 변경관리
3. 인증대비 중심의 컨설팅 위험평가 통제대책 인증 범위선정 선정 GAP 분석 이행지원 및 인증준비 개선계획 수립 위험평가 통제대책선정 교육 매트릭스 작성 인증 요구사항 분석 통제대책 선정 대상 조직 및 자산분석 인증 범위 선정 GAP분석 이행지원 및 인증준비 개선사항 도출 개선계획 수립 이행 지원 인증 준비 개선계획수립 매트릭스 작성
4. 결론 A Culture of Security : 모든 레벨에 있는 직원들이 보안의 위험으로부터 기업을 4. 결론 A Culture of Security : 모든 레벨에 있는 직원들이 보안의 위험으로부터 기업을 보호하기 위한 필요를 인식하고 commit 하는 환경
Thank you