[정보보안] 운영보안(Operations Security)

운영보안(Operations Security)

 

운영보안(오퍼레이션 시큐리티)의 정의는 비즈니스 환경이 계획되고 검증된 일정 수준으로 보호되기 위한 일련의 조치와 통제가 수행
되는것이다.

 

운영보안

 

-목차-
1. 운영보안 개요
2. 통제
3. 트랜잭션통제
4. 통제 권한

 

---

 

1. 운영보안 개요

 

운영 보안 정의

비즈니스 환경이 계획되고 검증된 일정 수준으로 보호되기 위한 일련의 조치와 통제가 수행되는것이다.

 

운영 보안 요소

운영 보안의 요소는 위협, 취약성, 자산이 있다. 

• 위협 : 보안 통제 위반으로 손해를 발생 시킬수 있는 사건 (관리자의 권한 남용)
• 취약성 : 보안 통제를 위반 할 가능성이 있는 시스템의 약점 (부정확한 직무 분리)
• 자산 : 보호 대상인 IS 설비 및 인력, 프로세스

 

운영 보안 영향

• 기밀성 : 정보 민감도
• 무결성 : 데이터의 정확성과 인증
• 가용성 : 장애 방지 및 허용 수준과 복구 능력

 

운영 보안 상대

• 내.외부 침입자
• 부적절한 자원에 접근하는 사용자 및 운영자
• 운영 환경에 대한 위협

 

---

 

2. 통제

 

통제란 위험을 감소시키기 위하여 만들어진 정책, 절차, 업무, 조직구조 등을 말한다. 정보보안에서의 통제는 위험을 경영자가 용인할 수 있는 수준까지 낮추는것을 의미한다. 

 

통제 목적

통제의 목적은 조직의 경영 목적 달성과 잠재적인 위험을 경영진이 동의하는 수준으로 감소시킬 것이라는 합리적인 확신을 제공하기 위함이다. 

 

 

내부 통제

내부 통제는 조직 내의 모든 수준에서 운영하기 때문에 하향식 통제 모델 개발이 필요하다. 모든 구성원이 해당 프로세스ㅜ에 참여해야 하고, 이사회나 경영진이 책임을 진다. 

---

 

3. 트랜잭션통제

 

트랜잭션 통제란 트랜잭션, 즉 무언가 변화하는걸 감지하는걸 강조하는 통제다. 주로 소프트웨어 개발쪽에서 많이 쓰인다.

 

입력 통제

정확하게 한번만 처리되는 월급같은것에서 사용되는 통제이다. 중복되면 개손해

- 정확한 값이 한번만 처리됨을 보장하기 위한 통제
- 타임스탬프나 처리 개수 확인

 

처리 통제

정확해야하는 보너스급여같은것에서 사용하는 통제다.

- 트랜잭션이 유효하고 정확한 프로세스에 의해서 처리됨을 보장하는 통제

 

출력 통제

실수로 전직원의 임금정보를 뿌린다던지 하는 일이 발생하지 않게 통제하는거.

- 출력물이 권한이 있는 곳이나 인원에게만 배포됨을 보장하는 통제 : 출력물에 대한 기밀성
- 입력 값에 대한 출력 값의 무결성을 보장 (처리 통제로 구분하기도 한다.)

 

변경 통제

시스템의 무결성

- 프로세스등 시스템상의 변경이 인가된 안전한 변경이 됨을 보장하는 통제

 

테스트 통제

- 시스템을 테스트 하는 동안 안전성을 보장하기 위한 통제

 

---

 

4. 통제 권한

회사에서 정보에 억세스를 할 수 있는 권한은 Need-to-Know원칙과 최소권한원칙으로 할당되었는지를 살펴보아야 한다. 이 두 원칙으로 할당된게 아니라면 정보보안 시스템이 없는것이라고 볼 수 있다. 이걸 할려면 업무분석이 잘 되어있어야 하고, 업무분석은 누가 어떤 업무를 했나 서류로 만들어야하고, 서류로 만들려면 프로세스가 있어야 한다. 

 

Need-to-know원칙 (=알 필요성)

문서를 작성할 때 사용되는 원칙이다. IS 감사인이 보안 특권의 허용이나 승인 기준의 적절성을 평가할 때 이용한다.

 

 최소권한 원칙

자산에 대한 필요성과 승인된 자산에 대해서 승인된 접근 방법으로만 작업이 가능하도록 제한하는 것이다. 

---

궁금하신 점은 댓글 남겨주세요.