The Protection of information against unauthorized disclosure, transfer, modification, or destruction, whether accidential or intentional [ Information Warfare, July 1996 ]
(우연 또는 의도적으로 허가받지 않은 정보의 누출, 전송,수정,파괴 등으로부터 보호)
개인데이터의 수집에 제한을 두어야하며 개인데이터 수집 방법은 적법하며 공정한 수단에 의해 행하도록 하여야 한다. 경우에 따라서는 정보주체에 알리거나 동의를 구하여야 한다.
2) 정보내용의 원칙
개인데이터는 그 이용목적에 따라야 하며 이용목적에 필요한 범위 내에서 정확, 안전 그리고 최신의 것을 가져야만 한다.
3) 목적명확화의 원칙
개인데이터의 수집 목적은 수집시 보다 늦지 않은 시점에서 명확하게 되어야 하며 그후의 데이터 이용은 해당 수집 목적의 달성 또는 수집 목적에 모순되지 않도록 하며 목적의 변경 시에 명확한 다른 목적의 달성에 한정되어야만 한다.
4) 이용제한의 원칙
개인데이터는 명확한 목적이외의 목적을 위해서는 데이터 주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하고는 공개나 이용, 그 외의 사용에 대해서는 금지되어야 한다.
5) 안전보호의 원칙
데이터는 분실 또는 부당한 접근, 파괴, 사용, 수정, 공개의 위험에 대해서 합리적인 안전보장 조치에 의해 보호되어야 한다.
6) 공개의 원칙
개인데이터에 관한 개발, 운용 및 정책에 관해서는 일반적인 공개 정책이 취해져야 한다. 개인데이터의 존재, 성질 및 주요목적과 함께 데이터 관리자의 식별, 통상의 주소를 분명히 하기 위한 수단이 쉽게 이용될 수 있도록 하여야 한다.
7) 개인참가의 원칙
개인은 다음 4가지의 권리를 가진다.
① 데이터 관리자는 자기 데이터 유무를 확인할 수 있다.
② 자기 데이터를 알 수 있다.
③ ① 또는 ②가 거부되었을 경우는 사유를 들을 수 있다.
④ 자기 데이터에 관한 이의신청이 인정될 경우는 데이터를 소거, 수정, 완전한, 교정할 수 있다.
8) 책임의 원칙
전기통신분야에 있어서 고용문제에 대한 데이터 관리자는 상기의 원칙을 실시하기 위한 조치에 책임을 가진다.
컴퓨터 보안의 목적은 조직의 가치 있는 자원(정보, 하드웨어, 소프트웨어 등)을 보호하기 위한 것이며 적절한 보호 수단의 선택 및 적용을 통하여, 조직의 물리적 재정적 자원, 평판, 법적인 위상, 혹은 다른 유 무형 자산의 보호하는데 그 의미가 있다.
또한 보안은 목적을 달성하기 위한 수단으로서 존재하며, 그 자체가 목적은 아니다. 예를 들면, 개인적인 사업 영역에서의 보안은 이익을 창출하기 위한 부가적인 수단이 될 수 있으며, 공공기관에서의 보안은 대중에게 제공하는 서비스의 수준을 향상시키기 위하여 필요한 부가적인 수단이 되는 것이다.
2). 컴퓨터 보안은 견고한 관리를 위한 필수 요소이다.
정보와 컴퓨터 시스템은 조직의 임무를 지원하는 결정적인 자산이다. 그 자산을 보호하는 것은 조직 경영관리를 위한 필수요소이다. 그러나, 정보와 컴퓨터 관리에 있어서 보안에 대한 문제를 포함하는 것 만으로는 이러한 자산에 대한 위험 가능성을 완벽하게 배제할 수는 없다. 결과적으로 조직의 관리자는 보안 통제에 따르는 비용을 반영하여 허용 가능한 위험의 수준을 결정하여야 한다.
3). 컴퓨터 보안은 비용대 효과가 고려되어야 한다.
보안에 대한 비용과 이익은 보안의 실현에 따르는 비용이 효과를 넘지않도록 금전적인 면과 비 금전적인 면에 대하여 주의 깊게 검토되어야 한다.. 보안은 컴퓨터 시스템에 대한 의존도, 가치, 잠재적인 위협의 심각성 및 발생가능성 등을 고려하여 적절하고, 균형있게 이루어져야 한다. 만약 위험을 방치했을 때 발생되는 손실보다 직·간접적으로 더 많은 비용이 든다면 보안대책은 비용대 효과면에서 고려되어야 한다.
4). 컴퓨터 보안에 대한 책임과 책임추적성이 분명해야 한다.
컴퓨터 시스템의 소유자, 공급자, 사용자 및 보안에 관련된 사람들의 책임과 책임추적성이 분명해야 한다 .만일 시스템이 외부 사용자를 가지고 있다면, 그 소유자는 다른 사람들로 하여금 그 시스템이 적절하게 안전하다는 확신을 가질 수 있도록 보안 대책의 일반적인 범위와 현황에 대하여 정보를 제공하고 이에 대한 책임을 가지고 있어야 한다.
5). 시스템 소유자들은 그들의 조직 외부에 대해서도 보안 책임을 갖는다.
IT 시스템 및 관련된 다른 분야의 소유자, 공급자 그리고 사용자는 그에 대한 책임 및 의무가 명백하게 정의되어야 하며, 책임의 할당은 조직 내부 혹은 조직의 경계 밖에까지 확대되어 질 수 있다.
6). 컴퓨터 보안은 포괄적이고 통합된 접근방법을 필요로 한다.
효율적인 컴퓨터 보안은 모든영역을 고려하는 포괄적인 접근법을 필요로 한다. 즉 관리자들은 컴퓨터 보안이 다른 시스템의 영역 및 전체적인 조직의 관리 구조에 대하여 어떻게 연관이 있는지 이해하여야 한다.
7). 컴퓨터 보안은 정기적으로 재평가되어야 한다.
컴퓨터와 그 운영 환경은 동적이다. 그래서 시스템 기술과 사용자, 시스템내의 데이터와 정보, 시스템과 관련된 위험과 보안 요구는 항상 변화한다 그러므로 시스템이 한번 잘 구현되었다 할지라도 그것이 동적으로 변화를 반영하지 못하면 그 시스템의 보안은 결코 완벽할 수가 없는 것이다. 또한 시스템 사용자들과 운영자들은 보안 설정을 우회하거나 파괴하는 방법을 의도적 혹은 비의도적으로 새로이 발견하게 되며. 시스템 및 환경의 변화는 새로운 보안 취약성들을 생성하기도 한다. 따라서 IT 시스템 보안은 주기적으로 재 평가되어야 한다.
8). 컴퓨터 보안은 사회적인 요인에 의해 제약된다.
조직의 임무를 지원하는 보안 능력은 사회적 쟁점과 같은 다양한 요인에 의해 제한될 수 있다. 예를들면 보안정책과 사업장에서의 프라이버시는 서로 대립될 수 있다. 그러므로 보안의 통제 수단은 다른 사람들의 법적인 권리를 이해하는 바탕에서 선택되고 구현되어야 한다. 다시 말해서, 정보의 소유자가 요구하는 보안과 사용자의 사회적인 목표가 조화를 이루어야 한다.
보편적 원칙에 종속되며 다음의 상세원칙의 개발지침을 제공한다. 이 원칙은 기술이나 기타 영향 요소의 중요한 개발에 반영될 때에만 변경되며 다소 원칙의 수도 많고 특수성을 갖는다.
1. 정보보호 정책(Policy)
2. 보안 인식(Awareness)
3. 책임추적성(Accountability)
4. 정보관리(Information Management)
5. 환경관리(Environment Management)
6. 인력의 자격(Qualifications)
7. 무결성(Integrity)
8. 정보시스템 생명주기(Life cycle)
9. 접근통제(Access Control)
10. 업무연속성 계획(Contingency Planning)
11. 위험관리(Risk Management)
12. 네트워크와 기반구조 보호)Infrastructure Security)
13. 정보보호의 법률, 규제 및 계약상 요구사항(Legal, Regulatory, Contractual)
14. 윤리실행(Ethical Practices)
3) 상세원칙(Detailed Security Principle)
광범위한 기능적 원칙에 종속되며 기술이나 기타 영향요소의 혁신에 따른 잦은 변경이 이루어진다. 원칙의 수도 많고 특수성과 갑자기 부각되는 특성을 갖는다.
1. Need to know 원칙
2. Need to go 원칙
3. Need to do 원칙
4. 최소권한의 원칙(Least Privilege Principle)
5. 임무분리의 원칙(Separation of Duty)
6. 임무 순환 원칙(Rotation of Duty)
7. 2인조 근무의 원칙(Two-man Principle)
3. 관리자의 역할과 책임
시스템 관리자는 시스템을 정상적으로 유지하는 데 있어서 가장 중요한 위치에 있는 사람이다. 관리자가 시스템을 어떻게 관리하느냐에 따라 사용자들이 얼마나 유용하고 편리하게 사용할 수 있는가 하는 것이 결정되어지며 그 시스템의 안정성과 보안에 대한 신뢰도도 결정되어진다.
다음 아래는 '이상용 삼성전자 총무보안그룹 차장'의 글
아래는 보안관리자가 해야 할 가장 기본적인 책무이다.
- 보안계획 수립
- 보안지침을 수립하며 개정
- 주기적으로 보안점검을 수행
- 침해사고에 대응
- 보안 시스템 도입을 기획, 운영 및 관리
- 보안 시스템에 대한 보안성 검토 및 효율성 분석을 수행
- 보안관련 교육을 실시를 통하여 보안에 대한 인식제고를 향상
- 보안위반사고 발생시 해당 사항을 경영층에 보고하고 신속한 조치를 실행
- 보안대책의 변경 시 변경사항이 보안성에 적합한지 판단
위의 내용에 부가하여 보안관리자는 실질적인 보안사고에 있어 해당사고를 통한 어떠한 손실이 발생하는지 통계화해서 실제 보안사고를 통하여 기업의 얼마나 많은 손실의 갖게 되는가 분석하고 예방대책을 포함하여 경영층에 제시하도록 하여야 한다.
이와 같은 정보보호관리자의 업무분야는 이미 언급한 것과 같이 경영진과 현업과의 관계수립을 다루어야 한다.
정보보호 거버넌스의 5가지 요소는 다음과 같다.
- 정보보호 이니셔티브를 위한 최고경영진의 참여
- 정보보호 현안에 대한 경영진의 이해
- 정보보호와 기업비지니스의 연계
- 정보보호 핵심척도 분석을 통한 경영진과 관리진의 소유권과 책임
- 조직의 목적에 대한 정보보호의 연계
이상의 요소가 충족되어야만 정보보호 거버넌스가 수립됐다고 할 수 있다.
4. 보안등급
보안을 실시한다고 할 때 과연 어느 정도로 정보가 안전한가를 객관적으로 판단하기 위하여 여러 단체에서 보안의 정도를 판별하는 기준을 세워 놓은 것이 있다. 그 중 가장 권위 있는 것이 Trusted Computer System Evaluation Criteria (TCSEC)이다. 여기에서는 컴퓨터 보안에 관한 여섯 가지 기본 항목을 정하였다. 여섯 가지 항목은 다시 다음의 세 그룹으로 나뉘어진다.
Policy
Security Policy
Marking
Accountability
Identification
Accountability
Assurance
Assurance
Continuous Protection
이 항목들에 의하여 보안등급이 나뉘어진다. 보안등급은 D, C, B, A 등으로 나뉘며 세부적으로는 다시 C1, C2, B1, B2, B3 등으로 나뉘어진다. 보안은 등급이 A로 갈수록 강력하며 같은 등급 내에서는 뒤에 붙는 숫자가 클수록 강력하다. 보안등급에 대하여 간단히 설명하면 다음과 같다.
D 등급: 보안이 거의 또는 전혀 고려되지 않은 상태로 주로 외부에 완전히 공개되어 있는 PC등이 여기에 해당된다.
C1 등급: 사용자가 서로 침범할 수 없게 되어 있다. 정보는 모두 사용자 단위로 접근 허가를 줄 수 있어서 모든 사용자는 특정한 정보에 대한 접근(access) 권한만을 가질 수 있다. 이 정도의 보안은 그렇게 강한 보안은 아니며 단지 사용자가 실수로 다른 사용자의 정보를 접근할 수 없도록 한 정도이다. 보통의 UNIX 시스템이 여기에 해당된다.
C2 등급: C1보다 약간 엄격한 정도로, 사용자들의 로그인(login) 정보를 포함하여 보안과 관계된 모든 로그 정보를 저장해 두어서 필요할 때 보안감사(auditing)를 할 수 있도록 하는 정도의 보안이다. 이 정도는 되어야 비로소 안전하다고 할 수 있다. 현재는 VMS(DEC), AOS/VS(Data General) 등이 C2 정도의 보안등급임을 NCSC(National Computer Security Center)에서 인정하였다. 현재 UNIX를 C2 보안등급으로 바꾸어주는 패키지들이 UNIX 클론(clone) 제작 회사들에서 만들어지고 있지만 NCSC에서는 아직 인정해주지 않고 있다.
B1 등급: 우선 C2의 모든 것을 포함하여야 한다. 그 외에 보안정책이 있어야 하고 모든 데이터는 각각 레이블을 붙일 수 있어야 한다. 레이블을 붙인다는 것은 자료 객체(data object)에 보안등급 같은 것을 정해 놓을 수 있어서 낮은 보안등급을 가지고 있는 사용자가 높은 보안등급을 가지고 있는 정보에 접근 하지 못하도록 하는 것이다.
B2 등급: B2에서는 B1의 모든 것을 포함하고 보안정책도 일정한 형식을 가지고 정의가 되어 있어야 한다. 보안 정책은 시스템의 모든 데이터에 대하여 각각에 대한 접근방법을 여러가지로 정의할 수 있어야 한다. 이러한 보안은 소프트웨어만으로는 불가능하며 하드웨어적인 뒷받침이 있어야 한다.
B3 등급: B2의 모든 것을 가지고 있어야 한다. 그리고 운영체제 내부의 보안과 관련된 코드에서 보안과 관련이 없는 것은 모두 제거되어야 하며 모듈의 크기가 작아서 분석과 테스트가 가능하여야 한다.
A1 등급: 이 등급은 B3와 거의 같다. 단지 차이가 있다면 그 시스템이 안전하다는 것을 수학적으로 증명하여야 한다는 것이다. 그러기 위해서는 시스템 보안에 대한 일정한 형식을 갖춘 모델이 있어야 하며 그것을 검증할 수 있는 방법도 제시되어야 한다.
관리자는 시스템을 어느 정도의 보안등급으로 구축할 것인지를 결정하여야 한다. 이때 주의하여야 할 것은 보안등급이 높다고 해서 꼭 좋다고 볼 수만은 없다는 것이다. 너무 엄격하게 보안을 유지한다면 사용자들의 불편이 그만큼 커지기 때문이다. 그러므로 관리자는 이 점을 충분히 고려하여야 한다.
