S/MIME
5.4 정보보안 프레임워크 감사
Copyright ⓒ 2005 삼성CISA협회Copyright ⓒ 2005 삼성CISA협회
사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com
• 문서화된 정책과 절차 및 표준의 검토
• 논리적 접근 보안 정책
– “알아야 할 필요성”원칙 기반• 공식적인 보안의식 제고와 훈련 – 예방적인 통제
– 신입사원 입문교육이나 연수과정 – 회사 공람이나, 회의 중 간략한 주지
• 데이터의 소유권
– 데이터요소를 분류, 완전하고 정확하게 유지하는 책임을 할당 – 책임소재의 명확화
– 직무기술서의 표본을 검토
• 데이터 소유자
– 접근을 승인하고 접근규칙이 갱신되도록 보장 – 접근규칙을 정기적으로 조사
• 데이터 보관인
– 데이터를 저장하고 보관할 책임이 있는 시스템 분석가와 컴퓨터 운영자 등의 전산 요원
5.4 정보보안 프레임워크 감사
정보보안
정보보안 프레임워크 프레임워크/ /프로세스 프로세스 감사- 감사 -1 1
• 보안관리자
– 논리적, 물리적 보안에 대한 책임
• 데이터 사용자
– 실질적인 데이터의 사용자 – 보안관리자에 의해 통제되고 감시
• 문서화된 승인
– 데이터 소유자에 의한 문서화된 승인 – 승인 문서 검토
• 퇴직자의 접근
– 직원의 요청(자발적인 사직) – 일정기간 도래(정년, 계약기간 만료) – 특별한 경우 경영진에 의한 해고(비자발적)
Æ 비자발적인 퇴직의 경우 강력하게 권한 회수
• 접근 기준
– 정책적 요구 사항을 만족시키는지 검토
정보보안 정보보안 프레임워크/ 프레임워크 /프로세스 프로세스 감사 감사 -2 - 2
Copyright ⓒ 2005 삼성CISA협회Copyright ⓒ 2005 삼성CISA협회
사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com
• 보안 베이스라인 개요
– 보안베이스라인 계획은 IT보안의 첫 단계 – 전체보안평가와 계획에 따라야 함
• 보안 베이스라인 권고사항
• 보안베이스라인 평가 체크리스트 항목 – 환경 및 자산목록 / 바이러스 방역
– 패스워드 관리 / 패칭 / 시스템에서 제공하는 서비스의 최소화 – 취약점 관리,감사 / 백업과 업무연속성 / IT요원
정보보안 정보보안 프레임워크/ 프레임워크 /프로세스 프로세스 감사 감사 -3 - 3
훌륭한 시스템관리를 통해 많은 취약점을 제거하라 취약점 관리
사용자의 실수와 하드웨어장애로 부터 복구를 백업용으로 용이하게 하라 백업
장기적으로 시간을 절약하기위해 불필요한 서비스를 제거하라 서비스 최소화
업무량 및 훼손가능성을 줄이기 위해 자동화 하라 패칭
패스워드의 중요성을 인지하라 패스워드
자동 갱신기능이 있는 바이러스방역 프로그램을 설치하라 바이러스 방역
자산목록을 만들고 관리하라 자산목록
목 표 주제
논리적 접근에 대한 감사 -1 논리적 논리적 접근에 접근에 대한 대한 감사 감사 -1 - 1
• IT환경의 친숙화(Familiarization) – 감사의 첫 단계
– 기술적, 관리적, 물리적 환경을 명확하게 파악 – 면담, 워크스루, 문서와 위험 평가 자료의 리뷰
• 접근 경로의 문서화 검토 – PC
물리적 보호 및 ID와 패스워드 – 통신 소프트웨어
시스템 소프트 웨어 분석가 도움 요구 – 트랜잭션 처리 소프트웨어
트랜잭션을 적용업무에 전달 – 응용소프트웨어
– 데이터베이스 관리시스템(DBMS)
– 접근통제 소프트웨어
Copyright ⓒ 2005 삼성CISA협회Copyright ⓒ 2005 삼성CISA협회
사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com
논리적 접근에 대한 감사 -2 논리적 논리적 접근에 접근에 대한 대한 감사 감사 -2 - 2
• 시스템 담당자들과의 면담 – 조직도와 직무 기술서를 검토
Æ 중요인물 : 보안운영자, 네트워크 통제 및 관리자, 시스템소프트웨어관리자
– 책임과 직무를 확인하기 위해 질문 – 접근을 관리하고 감시하는 방법
• 접근통제 소프트웨어의 보고서 검토 – 충분한 정보가 제공 여부
– 보안 관리자가 효과적으로 보고서 검토를 수행 여부 – 실패한 접근 시도(시간과 단말기, 접근 시도된 데이터)
• 응용시스템 운영 매뉴얼
– 개발, 구현, 운영, 사용을 위한 절차
보안 테스트 -1 보안 보안 테스트 테스트 -1 - 1
• 보안 테스트 : 실증 테스트임 – 터미널 카드와 열쇠의 사용 – 터미널의 식별
• 단말기의 재고조사, 잘못되거나 누락 기록조사
– 로그 온 ID와 패스워드 사용
• 패스워드 추측 시도
• 노출된 패스워드의 확인
• 패스워드를 알려줄 것을 요청하여 안 알려주는 지 확인
• 패스워드 테이블 확인하여 보이는지 확인
• 접근 허가문서 검토
• 주기적인 변경요구
• 사용치 않은 패스워드 삭제
• 패스워드 작성규정
• 사용하지 않는 단말기의 자동로그오프
• 접근 시도 실패 후 단말기의 자동 사용중지
• 입력 시 패스워드가 감추어지는지 확인
Copyright ⓒ 2005 삼성CISA협회Copyright ⓒ 2005 삼성CISA협회
사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com
보안 테스트 -2 보안 보안 테스트 테스트 -2 - 2
– 실행자원에 대한 통제
– 컴퓨터 접근 위반의 기록과 보고
• 접근이 승인되지 않은 트랜잭션 또는 데이터에 대한 접근을 시도하여 실패하고 보안보고서에 나타남을 확인
– 접근 위반의 사후 검토
• 접근 위반의 조사와 추적 증거
– 컴퓨터범죄의 조사
• 많은 컴퓨터 범죄는 검출되지 않고 보고되지도 않는다
• 범죄직후 현장에서 증거를 수집하기 위해 적절한 절차를 사용하는 것이 중요
• 범죄 후에는 환경과 증거를 손대지 않고 법 집행관을 부름
– 증거의 보호 및 증거의 사슬
• 증거는 로그파일, 파일의 타임스탬프, 메모리 내용 등의 형태로 존재
• 공격을 당한 시스템의 하나이상의 이미지 복사필요
• 증거의 보호에 추가하여 관리체계를 준수하는 것이 중요
네트워크 네트워크 인프라 인프라 보안 보안 감사 감사
• IS감사인의 수행 사항 – 네트워크 구성도 검토 – 네트워크 설계 식별
– 네트워크 관리와 사용에 대한 정책, 표준, 절차, 지침 확인 – 보안 및 인터넷 접속의 운영에 대한 책임자 식별
– 인터넷 사용에서 발생 가능한 법적인 문제 고려 여부 확인 – 서비스의 위탁 운영 시 SLA검토
Æ 가용성, 서비스품질 및 보안 제공 여부 확인
– 새로운 취약점에 대응하여 업그레이드 되어 있는지 확인
5.5 네트웍 보안 감사
Copyright ⓒ 2005 삼성CISA협회Copyright ⓒ 2005 삼성CISA협회
사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com
원격접근 원격접근 감사 감사 (1/4) (1/4)
• 기존 원격 접근 아키텍처를 감사하는IS감사인
– 원격접근 진입점의 존재와 중앙 집중화된 통제의 필요 여부 평가 – VPN, 인증, 암호화, 방화벽, IDS등 적절한 통제 여부 검토
• 미래의 원격 접근 계획을 검토하는IS감사인
– 원격접근방법의 설계와 개발이 사업 요구사항을 고려한 비용 효과적인 위험 기반 대책에 기초하는지 결정
• 여러가지 원격접근의 감사 목록
– 인터넷 출현점(Point of presense)의 감사 – 네트워크 침투 시험
– 완전한 네트워크 평가 검토 – LAN 네트워크 평가
– 네트워크 변경의 개발과 인가 – 승인받지 않은 변경
원격접근 원격접근 감사 감사 (2/4) (2/4)
• 인터넷 출현점(Point of presense)의 감사 – 전자우편, 마케팅. 영업채널/전자상거래 – 상품/서비스의 제공채널, 정보수집
• 네트워크 침투시험
– 해커와 같은 기술을 사용하는 절차의 조합 – 침투시험 시 언급해야 할 감사범위
• 테스트 IP 주소 , 제한된 호스트, 테스트 기법
• 모의시험 시점, 관련자의 연락처, 수집된 정보처리 방법 등 – 침투단계 : 계획 -> 발견 -> 공격 -> 보고 -> 추가적 발견 – 침투시험의 유형
• 외부시험 / 내부 시험
• 블라인드 테스트 / 이중 블라인드 테스트 / 타깃이 정해진 시험 – 경험 있고 자격 있는 전문가에 의해서만 수행되어야 함 – 최고 경영진의 사용 허가
– 보안 모니터링 직원에게는 알리지 않고 수행하는 것이 바람직
Copyright ⓒ 2005 삼성CISA협회Copyright ⓒ 2005 삼성CISA협회
사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com
원격접근 원격접근 감사 감사 (3/4) (3/4)
• 완전한 네트워크 평가 검토 – 보안 정책과 절차 검토 – 네트워크와 방화벽 구성 평가 – 직무분리 지원 확인
– 기타 확인사항
•IDS의 사용, 필터링, 암호화, 강력한 인증
•방화벽 설계, 응용수준방화벽에서 프락시 서버의 운영
•바이러스 스캐닝, 정기적인 침투테스트
•핵심시스템에 대한 감사기록 작성
•보안관리자가 최근의 CERT, CIAC, SANS 보고서 검토 여부
• LAN 네트워크 평가
– 특정 호스트 접근을 위한 LAN 네트워크 운영체제 – 호스트 운영체제 또는 접근통제시스템 소프트웨어
– 메뉴 필드나 특정 데이터에 대한 접근을 통제하는 응용시스템
원격접근 원격접근 감사 감사 (4/4) (4/4)
• 네트워크 변경의 개발과 인가 – 관리자가 문서로 승인하여야 함
– 변경 통제 테스트: 변경 신처 표본 추출 Æ 적절한 승인 여부, 신청 내역과 장비의 일치 여부 확인
• 승인 받지 않은 변경 – 변경통제 절차의 목적
소프트웨어, 형상, 파라미터, 데이터 등에 승인받지 않은 변경이 일어나는 것을 예방하고 적발하는 것
– 통제 사항 : 소프트웨어 개발, 관리, 운영간의 직무 분리, 개발팀의 접근을 개발환경으로만 제한, 소스코드에 대한 접근 제한
• 컴퓨터 범죄수사
– 법적처리에서 합법적으로 받아들여 질 수 있는 방식으로 디지털 증거를 식별, 보존, 분석 및 제출하는 프로세스
– 증거의 사슬 포함정보 : 누가 증거에 접근, 증거 다루는 절차, 동일한 복사본 여부
Copyright ⓒ 2005 삼성CISA협회Copyright ⓒ 2005 삼성CISA협회
사람의 가치를 만드는 젊은기업 엔아이엠 서울 강남구 역삼1동 827-41 서원빌딩 3층, 553-3434 www.nimkorea.com
• 전기적인 폭풍
• 컴퓨터 시스템을 다운되게 하거나 단기적인 전압상승/하 락과 유사한 손상
전자기파방해 (EMI)
• 전압이 일시적으로 급속하게 상승하거나 하락하는 현상
• 데이터 유실/파손, 전송 오류 또는 물리적인 손상 단기적인
전압상승/하락 (sags, spikes,
surges)
• 전기회사가 수용 가능한 범위 내에서 전력 공급을 못하는 경우
• 전자기기에 큰 영향(기기 수명 감소나 영구적인 손상) 전압의
심각한 감소 (brownout)
• 한 건물이나 전체 지역의 완전 정전
• 태풍, 지진등 자연 재해나 사용자의 수요를 충족시키지 못하는 경우에 발생
완전 정전 (blackout)
개념 구분
환경적에 환경적에 관련된 관련된 이슈 이슈 및 및 노출 노출 -1 - 1
• 정전에 관련된 노출 5.6 환경적 접근노출 및 통제
Transient BlackOut
무
Sag Spike
단
BrownOut Surge
장
저 Voltage(전압) 고