거버넌스(8)
-
정보 보안 거버넌스 8. Business Continuity Planning(업무 연속성 계획)
목차 1. BCP와 DRP 1-1. BCP와 DRP 2. BCP(업무 연속 계획) 2-1. BCP 2-2. 범위와 계획 초기화 2-3. 사업 영향 평가(BIA) 2-4. 사업 지속 개발 계획 2-5. 구성 요소 3. DRP(재해 복구 계획) 3-1. DRP 3-2. 복구 목표 시점(RPO)과 복구 목표 시간(RTO) 3-3. 재해 복구 계획 프로세스 3-4. 재해 복구 계획 테스트 3-4. 재해 복구 프로시저 1. BCP와 DRP 1-1 .BCP와 DRP BCP 프로세스에 포함되는 요소 - 범위와 계획의 초기화 - 사업 영향 평가 (Business Impact Assessment : BIA) -> BSP와 DRP는 BIA의 내용을 근거로 상세하게 세워져야 함 - 사업 지속 개발 계획 DRP는 프로세스에 ..
2020.02.26 -
정보 보안 거버넌스 7. Applications & Systems Development(어플리케이션&시스템 개발)
목차 1. 소프트웨어 개발 프로세스 1-1. S/W 개발 프로세스 1-2. 프로젝트 계획 수립 1-3. 폭포수 모델 1-4. 나선형 모델 1-5. 테스트 이슈 1-6. 통제 이슈 2. 다양한 시스템 2-1. 데이터 베이스 시스템 2-2. 그외 다양한 시스템 1-1. S/W 개발 프로세스 SDLC(Software Development Life Cycle, 소프트웨어 개발 생명 주기) - 비즈니스의 효과적인 기능 수행을 위해 필수적인 응용 시스템을 개발, 구입, 유지 보수, 폐기하는 과정 - IT 자원을 통제, 관리하는 프로세스도 SDLC의 일부분이다. 조직 중심의 컴퓨팅 - SDLC 접근방법을 이용 - 알 필요를 기반으로 사용자와 부서의 정보를 수집, 추출, 저장, 보관하여 공유 하도록 하는 것 - 프로그..
2020.02.26 -
정보 보안 거버넌스 6. Security Architecture & Models(보안 아키텍쳐&모델)
목차 1. Protection mechanism(보호 메카니즘) 1-1. protection mechanism(보호 메카니즘) 1-2. 프로텍션 링 1-3. 보안 구조의 전형적인 취약성 1-4. 복구 2. 정보 보안 모델 2-1. 접근 통제 모델 - Access matrix 2-2. 접근 통제 모델 - Take-Grant 2-3. 접근 통제 모델 - Bell-LaPadula 2-4. 무결성(integrity) 모델 2-5. 무결성 모델 - Biba 2-6. 무결성 모델 - Clark-Wilson 2-7. 무결성 모델 - Brewer-Nash 1. protection mechanism(보호 메카니즘) 1-1. protection mechanism(보호 메카니즘) 프로텍션 도메인(Protection doma..
2020.02.26 -
정보 보안 거버넌스 5. Physical Security(물리 보안)
목차 1. 물리적 보안에 대한 위협 1-1. 물리적 보안에 대한 위협 2. 관리적 통제 2-1. 관리적 통제 2-2. 설비 요구 사항이나 계획 2-3. 설비 보안 관리 2-4. 관리적 직원 통제 3. 환경 통제 3-1. 전력 3-2. 화재 4. 기술적 통제 4-1. 설비 접근 통제 요구 4-2. 탐지와 알람 4-3. 컴퓨터 인벤토리 통제 및 저장 매체 요구 사항 5. 물리적인 보안 참고 리스트 5-1. 물리적인 보안 참고 리스트 1. 물리적 보안에 대한 위협 1-1. 물리적 보안에 대한 위협 - 설비, 장치, 직원, 정보 처리에 수반되는 데이터를 보호 통제하기 위한 프로세스 - 모든 위협은 발생 가능성의 여부를 떠나 목록화 되어야 함.(반드시 물리적인 위협에 대한 완전한 리스트가 제공) - 물리적 위협,..
2020.02.25 -
정보 보안 거버넌스 4. Access Control Systems &Methodology(접근 제어 시스템)
목차 1. 접근 통제의 목적 1-1. 접근 통제의 목적 2. 통제 2-1. 통제 2-2. 접근 통제 모델 2-3. 예방과 탐지 3. 통제 응용 기술 3-1. 식별과 인증(Identification & Authentication) 3-2. 역할과 책임 3-3. 생체 인식 3-4. SSO(Single Sign On) 4. 통제 방법 4-1. 접근 권한 통제 목록(ACL) 4-2. 분산형 접근 통제 5. 침입과 공격 5-1. 침입과 공격의 각종 유형 1. 접근 통제 목적 1-1. 접근 통제의 목적 - 기밀성, 가용성, 무결성 보존 (C.I.A) - 추가적인 목적은 신뢰성과 효용성 - 기밀성, 가용성, 무결성과 조직의 보안 정책에 의해서 결정. - 접근 통제 메커니즘은 반드시 위험, 위협, 취약성에 대한 고려가..
2020.02.25 -
정보 보안 거버넌스 3. Telecommunication, Network&Internet Security(통신, 네트워크&인터넷 보안)
목차 1. 네트워크 C.I.A 1-1. 기밀성 1-2. 무결성 1-3. 가용성 1-4. Single Point of Failure 2. 네트워크 보안 관리 2-1. 침입 차단 시스템(Firewall) 2-2. 침입 탐지 시스템(IDS) 2-3. 침입 방지 시스템(IPS) 2-4. 네트워크 악용 클래스 2-5. 무선 통신 1. 네트워크 C.I.A - 통신(TC : Telecommunication)보안은 C.I.A 원칙에 위협을 가할 수 있는 네트워크상 오용, 악용을 방지하고 탐지 - 지금은 통신과 network를 구별하지 않음. 1-1. 기밀성 - network system상 고의적이거나 의도하지 않은 불법적인 정보 노출로 부터의 보호를 의미 - session을 보호 하기 위한 장비 네트워크 기밀성을 보장..
2020.02.25