IO 기능: 보안 프로세스 - 기초 -> 표준화
이 페이지의 내용
.gif){kind=icon}
소개
요구 사항: 보안 정책, 위험 평가, 사고 대처 및 데이터 보안
체크포인트: 보안 정책, 위험 평가, 사고 대처 및 데이터 보안
소개
보안 프로세스는 인프라 최적화의 핵심 요소이고 보안은 인프라 최적화 모델에서 강조되는 모든 절차와 기술의 설계 기준에 속해야 합니다. 다음 표에는 보안 프로세스의 표준화 수준으로 이동함에 따른 상위 과제, 해당 솔루션 및 이점이 나열되어 있습니다.
과제 |
솔루션 |
이점 |
|---|---|---|
업무상 과제 복잡하고 호환성이 결여된 고가의 시스템으로 인해 조직 전반에 제한된 서비스가 제공됨 IT 과제 원격 또는 웹 기반 서비스가 일관되지 않거나 안전하지 않음 표준 보안 정책이 없음 네트워크 연결 장치 인식이 불규칙함 IT 정책의 부재 및 자동화되지 않은 프로세스 |
프로젝트 네트워크에 연결된 모든 장치에서 보안 문제를 식별하고 업데이트하도록 일관된 프로세스 개발 네트워크에 연결된 모든 장치에 대해 일관된 보안 정책 규정 개발 최신 버전의 OS 및 인프라로 업데이트 보안 요구 사항을 충족하도록 현재 소프트웨어에 대한 평가 계획 수립 |
업무상 이점 문제 해결에 알려진 서비스 수준 계약 및 지원처를 보유하여 업무 생산성이 향상됨 IT 이점 보안 위험 수준을 확인 및 관리할 수 있음 사고에 보다 예방적이고 효율적으로 대처할 수 있음 예방적 보안 조치를 통해 데이터와 장치를 보다 안전하게 보호할 수 있음 |
표준화 수준의 최적화를 달성하려면 위험 관리, 사고 관리 및 대처, 응용 프로그램 테스트 등에 대한 절차가 조직에 정의되어 있어야 합니다.
요구 사항: 보안 정책, 위험 평가, 사고 대처 및 데이터 보안
대상
보안 정책, 위험 평가, 사고 대처 및 데이터 보안을 위한 계획이 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
대부분의 조직은 도난, 작업자 또는 컴퓨터 오류, 악의 또는 기타 사고로 인한 손실이나 손상으로부터 데이터와 리소스를 보호하는 것이 중요하다는 점을 알고 있습니다. 손실이나 손상이 발생할 가능성을 제한하기 위한 조치를 취할 수 있습니다. 손실이나 손상에 대응하고 손실이나 손상이 IT 환경에 미치는 영향을 최소화하기 위한 정책과 절차를 수립할 수도 있습니다.
1단계: 평가
평가 단계에서는 조직에 필요한 보안 요구 사항과 현재 진행 중인 프로세스를 확인합니다. 보안 요구 사항은 규모, 산업, 분야, 현지 법률 또는 규정 등에 따라 회사 간, 기관 간에 크게 다를 수 있습니다. 조직의 요구 사항을 수집하면 적절한 보안 프로세스를 정의할 수 있습니다.
2단계: 식별
식별 단계에서는 현재 사용 중인 도구와 절차를 검토하고 조직에 필요한 보안 요구 사항을 파악해야 합니다. 이 단계에서는 이미 사용 중이거나 처분할 수 있는 기술 구성 요소 외에도 현재 암묵적으로 존재하고 있거나 실제로 적용된 보안 정책을 수집하게 됩니다. 또한 조직이 속한 지역 또는 산업에 적용되는 법률이나 규정에 기반한 외부 요구 사항도 수집하게 됩니다.
3단계: 평가 및 계획
최적화의 표준화 수준으로 이동함에 있어 평가 및 계획 단계에서는 특정 영역의 개선에 중점을 둡니다.
보안 정책
일련의 효과적인 보안 정책 및 제어 기능을 구축하려면 컴퓨터 시스템의 취약점을 확인하고 시스템을 보호하는 보안 정책 및 제어 기능을 검토해야 합니다. 이 때, 현재 실행 중인 정책 뿐 아니라 정책을 실행하지 않는 영역도 함께 검토해야 합니다. 이러한 영역에는 다음이 포함됩니다.
물리적 컴퓨터 보안 정책(예: 물리적 액세스 제어)
네트워크 보안 정책(예: 전자 메일 및 인터넷 정책)
데이터 보안 정책(액세스 제어 및 무결성 제어)
사고 및 재난 복구 계획 및 테스트
컴퓨터 보안 홍보 및 교육
컴퓨터 보안 관리 및 조정 정책
취득한 소프트웨어의 호환성
조직 내에 보안 정책을 검토 및 유지 관리하고 조직의 보안 전략을 설정하는 전문 인력이 있어야 합니다.
보안 정책 개발에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/security/bestprac/bpent/sec1/secstrat.mspx를 방문하십시오.
위험 평가
기업은 공식적인 보안 위험 관리 프로세스를 통해 알려진 비즈니스 위험에 대해 가장 비용 효율적인 방식으로 대처할 수 있습니다. 또한 공식적인 보안 위험 관리 프로세스를 통해 조직은 일관되고 명확한 방법으로 제한된 리소스를 조직화하고 우선 순위를 지정하여 위험을 관리할 수 있게 됩니다. 위험을 허용 가능한 수준으로 완화할 수 있는 비용 효율적인 제어 구현 시 보안 위험 관리 사용의 이점을 깨닫게 될 것입니다.
위험에 대한 우선 순위 지정 또는 평가 방법에는 여러 가지가 있지만 다음과 같은 두 가지 방법 중 하나 또는 둘을 조합하는 방법이 주로 사용됩니다.
양적 위험 평가
질적 위험 평가
양적 위험 평가
양적 위험 평가에서는 대체 비용으로 환산한 각 기업 자산의 실제 가치, 생산성 손실 비용, 브랜드 홍보 비용 및 기타 직간접 기업 가치를 평가합니다. 이러한 분석을 통해 다음을 파악할 수 있습니다.
자산의 금전적 가치
중대한 위협에 대한 광범위한 목록
각 위협의 확률
12개월 단위로 한 위협이 회사에 미치는 잠재적인 손실
권장되는 보호책, 제어 및 조치
질적 위험 평가
질적 위험 평가는 일반적으로 조직 내 정보 보안 전문가, 정보 기술 관리자 및 직원, 비즈니스 자산 담당자 및 사용자, 고위 관리자와 같은 다양한 그룹의 사람들이 참여하는 공동 워크샵과 설문 조사를 통해 수행됩니다.
워크샵 참가자는 자산을 확인하고 상대적 가치를 평가합니다. 그런 다음 각 자산이 직면할 수 있는 위협을 파악하고 이러한 위협이 향후 악용할 수 있는 취약점 유형을 예측합니다. 정보 보안 전문가와 시스템 관리자는 일반적으로 그룹이 예상한 위험을 최소화할 수 있는 제어 방법을 마련하고 각 제어 방법에 대한 대략적인 비용을 제시합니다.
마지막으로, 결과가 비용 이점 분석 동안 고려를 위해 경영진에게 제출됩니다.
이러한 위험 평가 방법에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/srsgch01.mspx를 방문하십시오.
사고 대처
보안 이벤트가 발생할 경우 일부 IT 전문가들은 제한된 시간 내에 할 수 있는 유일한 조치가 사태를 억제하고, 발생 상황을 파악하며, 영향을 받은 시스템을 가능한 신속하게 복구하는 것이라고 판단합니다. 다른 일부 전문가들은 근본 원인을 파악하려고 시도해 보지만, 리소스가 극히 제한된 상황에서는 여의치 않을 수 있습니다. 이러한 종류의 사후 접근 방법은 효과적일 수도 있지만, 사후 접근 방법에 적은 비중을 두는 것이 조직의 리소스 활용에 도움이 될 수 있습니다. 적절한 계획을 통해 조직 내 보안 침해를 예방할 수 있습니다.
사후 접근 방법
모든 보안 사고를 해결하여 조직 및 보유 데이터에 대한 영향을 최소화해야 합니다. 다음 단계는 보안 사고를 신속하고 효과적으로 관리할 수 있도록 도와줍니다.
인간의 생명과 안전을 보호합니다.
영향을 받는 컴퓨터가 생명 유지와 관련된 장비를 제어하는 경우 단순히 이러한 컴퓨터를 종료하는 것은 해결책이 될 수 없습니다.피해를 억제합니다.
중요 데이터, 소프트웨어 및 하드웨어를 신속하게 보호합니다. 영향을 받은 컴퓨터와 서버를 격리하면 컴퓨팅 서비스가 중단될 수 있는 반면 시스템을 계속 가동하면 피해가 확산될 수 있습니다. 상황에 따라 적절한 판단을 내려야 합니다. 기존의 위험 평가 정책을 적용하면 보다 용이하게 상황을 판단할 수 있습니다.피해를 평가합니다.
공격을 받은 서버의 하드 디스크를 신속하게 복제하고 해당 디스크는 향후 정밀 분석에 사용할 수 있도록 별도로 보관합니다. 그런 다음 손상을 진단합니다. 상황을 억제하고 하드 디스크를 복제한 후 즉시 가능한 신속하게 공격으로 인해 유발된 피해의 범위를 파악하기 시작해야 합니다.피해 원인을 파악합니다.
갑작스런 습격의 근원지를 확인하려면 공격의 대상이 된 리소스와 액세스 권한을 얻고 서비스를 중단시키는 데 악용된 취약점을 알아야 합니다. 직접 영향을 받은 시스템과 이러한 시스템으로 트래픽을 라우팅한 네트워크 장치에 대한 시스템 구성, 패치 수준, 시스템 로그, 감사 로그 및 감사 추적 정보를 검토합니다.피해를 복구합니다.
피해를 최대한 신속하게 복구하여 정상적인 비즈니스 운영과 공격 중 손실된 데이터를 모두 복원하는 것이 매우 중요합니다. 조직의 비즈니스 연속성 계획과 절차에서는 복원 전략을 다뤄야 합니다.대처 및 업데이트 정책을 검토합니다.
문서화 및 복구 단계가 완료되면 프로세스를 철저하게 검토해야 합니다. 팀과 함께 성공적으로 실행된 단계와 실수가 있었던 단계를 결정합니다.
사전 접근 방법
사전 보안 위험 관리는 사후 접근 방법에 비해 많은 이점이 있습니다. 보안 문제가 발생한 후에 대처하는 대신 사전에 보안 문제가 발생할 가능성을 최소화합니다. 악의적인 소프트웨어, 침입자 또는 실수로 인한 오용으로 인해 취약점이 악용될 위험을 줄여 주는 제어를 구현하여 조직의 중요한 자산을 보호하기 위한 계획을 세웁니다.
효과적인 사전 접근 방법을 통해 조직은 앞으로 발생할 수 있는 보안 문제의 발생 횟수를 현저하게 줄일 수 있지만, 그러한 문제점이 완전히 사라진다고는 보장할 수 없습니다. 따라서 조직은 장기적인 사전 접근 방법을 개발함과 동시에 자체적으로 보안 문제 대응 프로세스를 지속적으로 개선해야 합니다.
대응 계획을 개발할 시에는 사전 및 사후 대처 시나리오를 강구해야 합니다. 앞에서 설명한 사후 대처 단계는 사전 대처 계획으로 보완해야 합니다. 사전 대처 준비 시 수행해야 할 주요 단계는 다음과 같습니다.
비즈니스 자산을 확인합니다.
자산에 대한 공격이 조직에 어떤 피해를 일으킬 것인가를 판단합니다.
공격이 악용할 수 있는 보안 취약점을 확인합니다.
적절한 제어를 구현하여 공격 위험을 최소화하는 방법을 결정합니다.
데이터 보안
IT 부서의 가장 중요한 업무 중 하나는 회사 데이터의 보안을 유지하는 것입니다. 데이터 보안의 표준화 수준으로 이동하기 위해 수행할 수 있는 몇 가지 단계가 있습니다.
모든 컴퓨터에 안티바이러스 제어 기능을 구현해야 합니다. (본 가이드 앞부분의 "데스크톱용 안티바이러스" 절 참조)
조직에서 중요 데이터를 분류하기 위한 일관된 정책을 수립해야 합니다.
회사의 중요 데이터를 손상시킬 수 있는 보안 문제 및 위협을 인식할 수 있도록 일관된 프로세스가 필요합니다.
데이터 보안에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/security/bestprac/bpent/sec3/datasec.mspx를 방문하십시오.
4단계: 배포
배포 단계에서는 평가되고 승인된 보안 프로세스의 개선 사항을 구현합니다. 효율적인 데이터 프로세스를 위한 보안 정책 및 대처 능력을 강화할 수 있도록 유용성 테스트를 수행하는 것이 중요합니다.
추가 정보
사고 대처 계획 개발에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/security/guidance/disasterrecovery/responding_sec_incidents.mspx를 방문하십시오.
체크포인트: 보안 정책, 위험 평가, 사고 대처 및 데이터 보안
|
요구 사항 |
|---|---|
보안 전략과 정책의 전담 직원을 임명했습니다. |
|
|
위험 평가 방법론을 수립했습니다. |
|
사고 대처 계획을 수립했습니다. |
|
사용자, 장치 및 서비스 ID를 관리하는 프로세스를 수립했습니다. |
|
네트워크에 연결된 모든 장치를 포함하여 보안 문제를 식별할 수 있도록 일관된 프로세스를 수립했습니다. |
|
네트워크 장치에 대해 일관된 보안 정책 규정을 수립했습니다. |
|
데이터를 분류할 수 있도록 일관된 정책을 수립했습니다. |
.gif)
위에서 설명한 단계를 완료했다면 보안 정책, 위험 평가, 사고 대처 및 데이터 보안에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다.
Microsoft TechNet 보안 센터에서 다룬 보안 프로세스에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.