6장 정보분류 2005.9 신수정

Reference Information Security Architecture – Tudor 2, 4장 Security Architecture – King 3장 Information Classification and Access control Plan ISO 13335

1. Introduction 위험평가 People 보안전략/조직 정책/정보분류 보안기술 아키텍쳐 Process Data Application User System Network Physical Data Application User System Network Physical Process Technology 기밀성 무결성 가용성 Identification Authentication Authorization Administration Audit 보안관리 아키텍쳐 모니터링 사고대응 사업연속 인력보안 보안교육 외주보안 Validation/Audit/Measure/Certification Enterprise Architecture & IT Planning

2. Classification의 목적 - Classification 의 기본적인 목적은 자산들을 그룹핑하여 적절한 Class로 할당하는 것임 - Class를 정의함으로써, 기업은 그 자산을 어떻게 취급(보호)할지에 대해 알게됨 - 분류는 보호에 대한 사용자의 인식을 상승시킴 - 조직의 위험에 대한 민감도 정의 - 데이터의 분류 및 위반시의 결과에 대한 정의 조직의 정보보호정책 정보분류 및 접근제어 정책

3. Classification Methodology - C, I, A 중 어느 기준으로 할 것 인가? - I-> A-> C ? 몇 가지 원칙 자원을 분류하기 위해서 risk-based approach를 고려하라 직원들로 하여금 그들 스스로 무엇을 보호할지 할도록 하는 방법을 사용하라. 이를 위해서 사용자들로 분류 과정에 참여할 수 있도록 하라 가능함 단순하게 하고, 분류레벨도 최소화하라.

Application/ Data Name, Date, Owner, Application User Group 4. Risk-Based Approach Application/ Data Name, Date, Owner, Application User Group 목적 Impact 질문 체크 Confidentiality High 유출시에 기업, 고객, 종업원에게 손상을 줄 민감한 데이타인가? 급여데이타, 임원메일, 법적정보, 마케팅 전략, 개발 및 특허 정보등이 이 영역에 포함됨. 누출시 개인의 프라이버시를 손상시키는가? 누출시 기업의 경쟁력을 감소시키는가? 누출시 기업에 손상을 주는가? 이 정보는 기업의 전략, R&D의 방향, 기술의 발전 등에 대한 정보에 포함되는가? Medium 특정부서의 종업원들만의 사용을 위한 정보인가? 외부부서나 조직외부에 누출시 기업에 부정적인 영향을 초래하는가? 조직의 정책, 표준, 절차, 운영보고서, 내부 공지사항, 벤더 가격, 고객의 정보들에 속하는가? Low 공개가능한 정보이며, 공개시 사업적/법적 고려를 필요로 하지 않는 정보인가? 공적공지사항, 특별한 문제가 없는 내부의 의사소통등을 포함하는가? 웹사이트나 마케팅 material me을 통해 공개적으로 가용한 정보인가?

4. Risk-Based Approach 목적 Impact 질문 체크 2. Integrity High 이 애플리케이션으로부터의 정보/output에 근거하여 핵심적인 사업결정이 이루어지는가? 데이터의 에러는 다른 연계된 시스템에 전파되는가? 손상된 데이터는 매출, 고객서비스, 운영에 심각한 영향을 미치는가? 이 데이터에 대한 무결성문제는 실제 금전적 손실에 상당한 영향을 미치는가 ? 이 시스템/정보는 전역적으로 중요한가? 이 시스템에 대한 변경은 자주 일어나며 이 시스템과 연관된 정보의 사용은 상당히 증가하며 점점 중요해지는가? 이 시스템은 여러 다른 시스템들과 통합되어 있거나 다른 여러 플랫폼과 인터페이스가 이루어지는가? 이 정보/시스템에 대한 확인과 백업이 거의없고 문서화도 거의 존재하지 않는가? Medium 대부분의 데이터 요소가 확인되고 소스문서 또는 다른 애플리케이션시스템과 비교되는가? 데이터 에러가 다른 시스템을 파손시킬 확률이 보통인가? 기업의 의사결정이나 운영이 이 정보에 의존하는가? 이 데이터에 대한 무결성 문제가 금전적 손실에 영향을 미칠 수 있는가? 이 시스템/프로세스/애플리케이션은 몇몇 특정부서에만 한정되는가? 이 시스테은 자주 변경이 이루어지지 않으며, 이 시스템과 연관된 정보에 대한 사용은 보통인가? 이 시스템은 다른 몇몇의 시스템과만 통합되어있고 상대적으로 적은 인터페이스만 가지고 있는가? Low 여가의 데이터는 정보의 2차적 소스로 사용되고 신뢰성이 그다지 강하게 요구되지 않는가? 기업의 의사결정이나 운영이 이 애플리케이션의 정보에 그다지 의존하지 않는가? 무결성 문제가 금전적 손실에 거의 영향을 미치지 않는가? 이 시스템은 stand-alone이며 단일한 부서에만 사용되는가? 이시스템은 상대적으로 안정적이고 변경이 거의 없는가?

4. Risk-Based Approach 목적 Impact 질문 체크 3. Availability High 기업의 주요한 사업기능을 수행하기 위해 데이터가 매일 요구되는가? 데이터가 가용하지 않을 경우 기업의 매출, 이익, 고객의 복지 등에 상당한 금전적 손실을 가져오는가? 시스템의 연속성에 대한 법적 요구가 존재하는가? 데이터가 가용하지 않을 경우 종업원의 생산성의 급격한 감소를 가져오는가? Medium 데이터가 가용하지 않을 경우 기업의 생산성 및 손실의 약간의 감소를 가져오는가? 가용성 문제발생시 직원들이 약간의 기간동안 수작업등으로 효율성 감소로서 작업을 지속할 수 있는가? Low 주요한 관련 기능을 수행하기 위해 즉각적인 데이터의 접근이 요구되지 않는가? 수작업이 어느 정도의 기간동안 작업을 지속하기 위해 수행될 수 있는가?

5. Application 설계시 classification 고려사항 영역 질문 비밀성 이 어플리케이션에서는 어떤 타입의 정보를 처리하는가? 누가 이 정보에 접근할 수 있고, 어디서 접근할 수 있는가? 위의 정보가 유출되거나 망실되었을 경우 어떠한 영향을 미치는가? 직접적 손실(비즈니스, 벌금, 소송), 간접적 손실(경쟁력 손실)등을 포함한 잠재적 재무 영향은? 정보누설로 인한 신뢰(reputation)의 손실은? 정보 누설에 따른 법적, 계약적, 규정적 제한 불법적인 누설을 통해 고객이나 경쟁자가 얼마만큼의 불공정한 이익을 얻을 수 있나? 데이터의 프라이버시 어떠한 개인정보가 이 어플리케이션을 통해 수집되는가? 이 정보가 내부적으로 사용되는가? 또는 제 3자에게 가용하도록 하는가? 어떠한 정보가 수집되고 어떻게 사용되는지 사용자에게 공지할것인가? 무결성 이 어플리케이션에 대해 사용자는 어떠한 작업을 수행할 수 있는가?(읽기, 업데이트) 데이터가 수정되거나, 잘못되거나, 삭제될 경우 비즈니스에 어떤 영향을 미치는가? 이 시스템의 부정확한 정보가 어느 정도로 운영에 영향을 미치는가? 정보의 부정확이 공개되었을 경우 기업의 신뢰에 어느 정도 영향을 미치는가? 정보에 대한 불법적인 수정이 어느정도 사기(fraud)의 문제를 야기하는가? 정보에 대한 불법적인 변조가 법적, 규정적, 계약성 의무를 어느정도나 해치게 되는가? 정보가 비즈니스 의사결정에 사용되는가? 정보가 기업의 공식적인 재무기록의 업데이트에 사용되는가? 다른 부서등과의 의존성은 어떠한가? 부인방지 아 시스템을 통한 트랜잭션이나 메시지의 송신의 책임을 부인할 경우의 우려사항은 무엇인가? 이 시스템을 통한 트랜잭션이나 메시지의 수신의 부인시의 우려사항은 무엇인가? 가용성 이 어플리케이션에 의해 공급되는 정보는 얼마나 시간-민감한가? 시스템 장애시에(분, 시, 일) 기업의 금전적인 손실은 얼마나 되는가? 만일 이 시스템이 가용하지 않을 경우 고객은 어떠한 종류의 잠재적 손실을 겪게 되는가? 이 어플리케이션의 부재시 사업은 얼마나 오랫동안 효율적으로 운영되나? 시스템 장애/정시시 고객의 견딤(tolerance)는 어느 정도 되는가?

DoD multi-level security policy 5. Level of Classification(예시 1) DoD multi-level security policy (4) Top Secret - applies to the most sensitive business information which is intended strictly for use within the organization. Unauthorized disclosure could seriously and adversely impact the company, stockholders, business partners, and/or its customers (3) Secret - Applies to less sensitive business information which is intended for use within a company. Unauthorized disclosure could adversely impact the company, its stockholders, its business partners, and/or its customers (2) Confidential - Applies to personal information which is intended for use within the company. Unauthorized disclosure could adversely impact the company and/or its employees (1) Unclassified - Applies to all other information which does not clearly fit into any of the above three classifications. Unauthorized disclosure isn’t expected to seriously or adversely impact the company

- unclassified, baseline 5. Level of Classification(예시 2) 분류레벨 정의 예 대책 Public (공개) - unclassified, baseline 공개적인 유출이 명시적으로 허가되어 있을 경우 공개 정보는 기사, 잡지, 홈페이지 등의 허가된 채널을 통해 공적으로 배포됨 마케팅, 광고 자료 기사자료 잡지, 신문의 기사 소매 가격정보 특별한 보호대책 불필요 2. Internal (내부) -employee use only 공적으로 유출을 위해 명시적으로 허가되지 않은 모든 내부 정부 데이터는 저장되는 포맷(전자적이던 문서던)에 관계없이 동일한 분류레벨을 받아야 하고, 보호레벨도 비슷해야 함 고객 리스트 재고 정보 벤더 가격정보 조직도 정보보호정책 전화도 훈련, 교육자료 이메일 시스템 상식적인 수준에서의 대책 부서별 제한을 가지는 특정정보외에는 라벨링은 불필요함. Clean-desk 정책, 서랍잠금 대책

5. Level of Classification(예시 2) 분류레벨 정의 예 대책 3. Confidential (비밀) 훼손, 유출의 경우 기업에 고객, 벤더, 직원 등에 적대적인 결과를 가져오는 정보 허가없이 외부로 누출되서는 안됨 보호 및 취급에 대한 요구사항은 internal보다 높음 공개되지 않는 기업의 금융보고서 내부 감사 보고서 자재 및 생산 비용자료 단기 비즈니스 계획 경쟁자분석 자료 내부 개발 소프코드 및 문서화 구매 계약서 분류된 정보에 대한 접근은 디폴트는 ‘none’ 접근은 지정된 job기능에 의해 선정된 직원에게만 한정됨 보고서, 스크린, 미디어 등은 명확하게 라벨링되어야 함. 폐기시에 완전히 지워지거나 파기되어야 함. 백업이 정의되고 분류에 따라 안전하게 보관되어야 함. 문서의 복사본은 기록되고 등록되어야 함. 분류에 대한 검토 및 승인이 정의된 정차에 의해 수행되어야 함. 이메일 등으로의 전송시에는 암호화함 정보에 대한 접근을 로그할수 있는 감사증적이 존재해야 함. 접근을 허가하기 전에 누출금지 서약을 맺어야 함. 4. Restricted (제한) 훼손, 유출의 경우 기업에 고객, 벤더, 직원 등에 심각한 재정적, 법적, 규제적, 평판의 적대적 결과를 가져오는 정보 접근전에는 ‘Need to know’ 확인 필요 이 데이터의 수령, 복사, 폐기는 모두 Accountability가 보장되어야 함. 고객의 오더에 대한 세부정부 기업의 급여정보 발표하지 않는 제품정보 중장기 전략 사업계획 부서의 재무정보 주요 위험을 명시한 보고서 보안조사 보고서 무역비밀 Root 패스워드 방화벽 구성 및 룰

6. Case Study

6. Case Study * 조별로 Case Study 에 대한 몇 가지 샘플을 적용해봄