슈개's IT/CISA

[CISA] CISA 핵심정리 요약노트

슈개 2020. 12. 21. 15:31
반응형

[CISA] CISA 핵심정리 요약노트

 

CISA 핵심 정리 요약 노트

 

​도메인1​

감사 수임 용역 약정서(특정 감사 과제 수준) -> 감사헌장(IS 감사 기능의 수준)을 참조

준거성테스트(통제테스트)

- 통제 절차가 준수되었는지 판단. 통제 운영 환경이 효과적인지 테스트하는 것. 

 

* 통제시스템이 적절히 설계되었는지 평가하는 것은 준거성 테스트가 아닌, 준거성 테스트 이전 단계에서 이루어진다.

* 식별된 시스템 변경 사항들이 모두 승인을 받았다는 것을 보증하기 위한 올바른 테스트 방향은?

- 변경된 전체 목록에서부터 처음 변경 요청서가 작성되었을 시점까지 추적 (이렇게 해야 모든 변경에 대해서 승인이 이루어지지 않은 사례를 찾을 수 있음)

관련성 : 감사와 관련있어야함

신뢰성 : 원천(독립성, 조직내부보다는 외부(제3자)의 증거), 객관성(내용이 분명하고 판단이나 해석이 불필요한 증거), 증거제공자의 자격(전문성, 중립성, 권위가 있는 제공자로부터 받은 증거), 수집 시점(관련 사건의 발생 시기와 근접한 시기에 수집한 증거)

유용성 : 감사 목적 달성에 기여해야 하는 증거. 아니면 가치가 없다. 

충분성 : 다른 감사인도 동일한 감사 결론을 형성하게 할 만큼 완전하고, 적합하며, 설득력 있어야 한다.​

 

자의적 샘플링(=우발샘플링): 어떤 체계적인 기법을 따르지 않으면서 우발적인 기준에 따라 표본을 추출하는 기법

샘플의 크기가 작아지는 경우: 신뢰수준이 낮으면

 

*정도: 허용되는 오차의 범위. 정도가 작으면 허용되는 오차의 범위가 작다는 것이므로 샘플 크기를 크게 해야함

 

 

 

도메인2​

위험에 비례하여 기준선 보안 요건을 수립하는 실무를 통해 달성할 수 있는 정보보호 거버넌스의 산출 결과는?  일련의 표준 보안 실무 절차를 개발하는 것은 투입 대비 가치에 근거한 정보보안을 제공하므로 가치 제공이다.

- 이사회 : 사업 우선순위 조정

- IS 운영위원회 : 프로젝트 우선순위 조정. 기업 내에 확산. 우선순위와 합의 도출. 의사소통채널 역할. IT부서와 사용자 부서 사이의 중재.

- 프로젝트 운영위원회 : 신규시스템으로 인해 영향을 받게 될 부서의 고위 대표자들로 구성. 따라서 응용시스템 구입을 위한 RFP를 승인하는 가장 적합한 주체

 

- 업무 프로세스 소유자 : 보안정책을 수립하고 그 과정을 감독해야 할 책임이 있음.

최고경영자-궁극적책임. 보안정책 수립과 유지.

보안관리자-보안 정책의 적합성을 주기적으로 평가.

IS감사인: 벤더의 "재무적 안정성, 운영 연속성"을 고려해야 함

IT관리자: 아웃소싱 환경에서 벤더의 성과를 감시해야함.

사용자부서: 거래의 승인, 데이터의 조정, 자산의 보관

기술 지원 관리자: 시스템 소프트웨어를 유지관리하는 시스템 프로그래머에 대한 책임이 있음​

시스템분석가: 응용 시스템 프로그램을 위한 사용자 요구사항 결정

정보시스템 설계와 프로그래밍 투입순서: 기능분석가->기술분석가->프로그래머

RFP: 구매 가격보다 제품 사양에 대한 고려가 더 중요한 경우

ITT: 제품 사양이 어느정도 표준화되어 있고 여러 경쟁 업체들이 유사한 제품을 공급하는 경우

상향식 접근법 : 부서의 실무를 가장 잘 반영. 위험 평가 결과를 잘 반영

하향식 접근법 : 전사적 정책과 충돌하지 않음. 일관성 보증. 

조직의 IT 기반구조를 보호하기 위한 최소한의 보안 표준: 보안 아키텍처

교차훈련

직무순환

직원 공모: 직무순환으로 이미 형성된 공모 관계를 끊을 수 있다.

 

* 겸임 가능한것.

변경/문제 관리자 - 품질 관리 담당자

보안관리자 - 품질보증

보안관리자 - DBA

응용프로그래머 - 시스템분석가

  1. 개발 vs. 운영

  2. 개발 vs. 품질 (만들고(설계하고) 자기가 품질 굿굿굿 하면안됨)

  3. 품질 = 보안

  4. 보안 = DBA

 

DBA = 보안관리자 = 품질관리자 != 개발(시스템분석가/설계/유지보수) !=  운영 

-> 겸할 수 없음



 

 

* 위험한 것

응용시스템프로그래머 - 테이프 관리자

시스템 개발자가 프로덕션 데이터에 접근하는것

프로덕션 환경으로 프로그램 이관을 수행할 책임을 수행하기에 가장 적합한 기능은? 품질보증, 보안관리자, DBA 등

=> 프로그램 개발 조직과 무관한 기능에서 이관업무를 수행.

=> 안되는것: 응용프로그래머, 시스템프로그래머, 시스템분석가

IPF 정보처리설비

통제그룹(IS감사인)은 오류의 원인을 파악하고 오류를 교정할 것을 요청한다. 직접적으로 교정의 주체가 되어서는 안됨. 독립성이 손상됨.

데이터 접근 권한은 데이터 소유자가 직접 부여. 소유자는 정보 자산에 대한 보안 대책을 유지할 궁극적 책임을 가지고 있다.

아웃소싱으로 인해서 기업은 전문분야에 몰입하여 사내 전문성 강화한다. 

아웃소싱 실패에 대한 책임은 고객사 경영진의 책임이지, 결코 아웃소싱의 책임이 아니다. 

신뢰하던 통제 프레임이 벤더에게 적용되는 과정에서 약해지거나 간과될 수 있다.

재난: 하루이상의 긴 기간 동안 전체 처리 설비가 작동되지 않음으로 발생하는 서비스 중단 상황

재앙: 처리시설 파괴로 인해 발생하는 중단. 대체처리시설의 사용은 물론 원 상태로의 복귀 전략이 필요

BCP 개발 시 가장 먼저 필요한 것은 복구 우선순위(위험 기반 시스템 등급 분류). 이것을 위해서 자산에 대한 목록이 필요한데 '모든'이 아닌, '핵심'적인 것을 대상으로.

효과적인 BIA를 위해서는 사용자 참여가 중요하다. BIA 에서 핵심복구시간과 복구우선순위는 이미 결정됨. 이후 복구전략 수립(이때 복구 대안의 효과 대비 비용 평가)-상세복구절차개발

구조적 워크스루 테스트(문서테스트): 담당자들이 모여서 자체적으로 직접 발표하며 수행하는것. 

=> BCP 테스트에서 주로 사용

BCP/DRP에서 가장 중요한 것은 인간생명의 보호이다.

* 정보시스템 품질관리

  1. QC. 완제품만 검사

  2. QA. 시작-중간-끝 검사(SDLC Process 검사)

 

 

* 정보시스템 법규관련

국제간 프라이버시, 개인정보, 법적 문제의 공통점은?

-> 프라이버시법(개인정보보호법)

  1.  HIPAA : 환자기록, 의료 프라이버시

  2.  GLB : 금융 관련(카카오)

  3.  SOX(사베인즈 옥슬리법, Sarbanes-Oxley Act)

    • 부정회계 문제 대처를 위해 제정

 

 *무역 비밀(Trade Secret)

  1. 비공지성 : 우리회사만 알고있어야..

  2. 비밀유지노력 : 암호화, 망분리

  3. 유용성 판단기준 : 도면, 노하우

-> 그 기업의 노하우를 암호화해서 갖고 있거나, 비밀장부에 기록된 내역과 같이 증거가 있어야함

-> 중소기업은 노하우에 대한 관리, 보안교육이 없어 내부직원 누군가 중국에 팔아넘김(2번을 잘 증빙하지 못함)

 

 

 

 

 

도메인3​

- 사업사례(Business Case) 

  1. 프로젝트의 궁극적 동기와 기대 효과를 포괄적으로 정의한것. 

  2. IS감사인은 컴퓨터 시스템 구입 제안에 대한 

  3. 감사에서 명확한 사업사례에 의해 수립되었는지 확인해야함

  4. 프로젝트 시작 전에 사업사례가 명확히 수립되어야 한다. 

  5. 프로젝트가 진행됨에 따라 변경이 생길 경우 반드시 승인이 필요함.

 

 

 

 

도메인4​

- 프로그램 변경통제 절차: 

  1. 운영자가 아닌, 

  2. IS관리자와 감사인에 의해 변경 사항에 대한 검토가 이루어져야 함.

- 하드웨어 통제는 장비의 명령어들이 정확히 실행되는 것을 보증

- 패리티 체크 : 하나의 매체에서 다른 매체로 이전된 데이터의 정확성 검증

 

데이터베이스 아키텍처:

- 계층형 : 포인터가 하위 수준의 노드들로만 설정

- 네트워크형 : 안정적인 환경. 복잡한 상호관계X

- 관계형 : 다른 모델보다 구조의 변형이 용이 

  o 인덱싱 : 관계형 DB에서 성능개선. 레코드들을 각각의 키를 기준으로 목차를 만드는 것. 키 목록만을 검색하여 해당 레코드를 신속하게 찾음.

  o 정규화 (Normalization) : 무결성을 강조. 관계형 데이터베이스는 구조적/비구조적 질의를 만족시키기 위하여 필요한 테이블 정보의 양을 최소화하기 위하여 정규화 사용

  1. 관계형 데이터베이스(테이블간에 관계를 맺을 수 있는 상황)에서 

  2. 중복을 최소화 하기 위해서 데이터를 구조화 하는 작업. 효율성은 감소.

  3. 정규화를 무조건 권고해서는 안되며 정당성 유무를 먼저 검토해야 한다.

 

참조 무결성 제한: 트리거를 통한 데이터 갱신(어떤 테이블의 프라이머리키에 변경이 일어나면 다른 테이블에 대응되는 외래키가 자동적으로 갱신되는것을 보장)

FEP(Front-End Processor): CPU의 반복적인 통신 업무를 덜어준다. 

다중화기(멀티플렉서): 다수의 인풋을 하나의 아웃풋으로

 

도메인5​

[무선랜 보안대책]

  1. SSID 브로드캐스팅 금지(=네트워크 이름 알리기 금지)

  2. Hidden SSID -> 수동으로 입력하기

  3. 128bit 이상 WEP > WPA > WPA3

  4. AP에서 MAC 필터링

[네트워크]

  1. 전용선, 보안성 최고, 비용 최고



- 데이터소유자: 접근권한은 문서로 승인하며, 보안관리자에게 직접 전달해야함. 그리고 보안관리자가 제시한 분류체계에 따라 데이터 보안등급을 결정한다.

- 보안관리자: 데이터소유자의 도움을 받아 데이터접근권한 승인에 대한 검토를 정기적으로 수행해야함. 물리적, 기술적 보안을 제공

- 데이터관리인: 응용 내에서 보안을 실행

브루트포스 공격에는 '사용자이름 추측 어렵게'가 '패스워드 길이를 길게 하는것' 보다 더 효율적. 

 

  • 전사적 보안정책을 경영진이 직접 수립하진 않는다. 

  • 승인하고 지원하고 리더십을 보여줄뿐. 적절한 직급의 고위 관리자들이 보안정책을 수립한다.

- 해당사업부서: 개발 감독

- 이사회: 궁극적책임​

- 보안관리자: 보안정책구현, 강제, 정기적보안정책 검토. 그러나 직접 개발하진 않는다.

* 보안사고의 원인

자연재해<외부인<내부인<오류,누락

- Data diddling: 

  1. 원시 서류 자체를 변조, 위조해 끼워 넣거나 바꿔치기 하는 수법으로 

  2. 자기 테이프나 디스크 속에 엑스트라 바이트를 만들어 두었다가 데이터를 추가하는 수법입니다. 

  3. 자료를 코드로 바꾸면서 다른 것으로 바꿔치기하는 수법인데 

  4. 원시자료 준비자, 자료 운반자 ,자료 용역처리자 그리고 데이터와 접근이 가능한 내부 인이 주로 저지릅니다. 

  5. 예방법은 원시서류와 입력 데이터를 대조해 보고 셈틀 처리 결과가 예상 결과와 같은지 검토 하며 시스템 로그인파일과 수작업으로 작성된 관련 일지를 서로 비교 검토하는 작업을 정기적으로 실시하여야 합니다. 

  6. 아주 직접적이며 초보적인 형태의 해킹이라고 할 수 있습니다. 

  7. 예를 들어 은행원이 자신이 직접 단말기를 조작해 원하는 계좌로 돈을 빼내는 경우가 이에 해당 됩니다

​​

- 응용소프트웨어 패키지 구현시 파라미터가 올바로 설정되지 않는 것이 가장 큰 위험이다. - 살라미기법: 436.75 금액에서 소수점 전체를 날리는것. 0.75를 횡령

 

- 트랩도어(백도어랑 비슷)란 시스템 보안이 제거된 비밀 통로로, 서비스 기술자나 유지ㆍ보수 프로그램 작성자의 접근 편의를 위해 시스템 설계자가 일부러 만들어 놓은 시스템의 보안 구멍을 의미합니다. 백도어(Backdoor)라고도 합니다. 대규모의 응용 프로그램이나 운영체제 개발에서는 코드 도중에 트랩도어라는 중단 부분을 설정해 쉽게 보수할 수 있도록 하고 있습니다.

최종 단계에서 삭제돼야 하는 트랩도어가 남아 있으면 컴퓨터 범죄에 악용되기도 합니다. ​

네트워크관리자: 주기적인 로그 분석과 리포팅

CERT: 사고처리를 다룰 때 로그 데이터를 이용

보안관리자: 로그의 모니터링과 관리

- 효과적인 DAC가 되려면 MAC과 결합하는 것이 좋다. MAC은 기본적으로 deny-all 정책이기 때문. 

토큰: 사용자의 소유물에 근거한 인증기법에서 사용자의 정당한 권리를 증명하는 객체

생일공격: 해시 값이 동일하지만 애용은 서로 다른 메시지를 발견하고자 할 때 사용

긍정적인증(적극적인증): 본인만이 제시할 수 있음 

=> 바이오/생체 정보, 신체적 특성에 근거한 인증

 

부정적인증(소극적인증): 본인이 아니라도 제시할 수 있음 

=> 패스워드나 토큰 등.

 

잘못된승인: 본인이 아닌데도 인증됨  FAR

 

잘못된기각: 본인이 맞는데도 인증이 안됨 FRR

 

FRR성이 높으면 FAR는 낮아짐(본인이 아닌데 인증되는 가능성 낮음)

 

F+ = false positive = 1종 오류

양치기 소년, 긍정적이네.

위험없는데, 위험있다고 거짓함.

 

거짓 양성(false positive) 또는 1종 오류(type I error)  F+ 양치기

거짓 음성(false negative) 또는 2종 오류(type II error) F-



재생(Replay)공격: 기계에 묻어서 남아있는 지문 등 잔여 생체 특성들을 이용한 공격

모방(Mimic)공격: 서면 위조, 음성 모사 등

싱글사인온: 한번 로그인으로 (하나의 계정으로) 전부 인증 

=> 패스워드 문법에 더 잘 부합하는 패스워드의 사용을 촉진 

=> 사용자 인증이 향상

=> 접근목록유지와 접근관리정책은 단순해짐.

=> IS 감사인의 가장 관심사항:​ 시스템 사인온 절차의 강도가 인증 절차의 강도를 결정하므로

다이얼-업(전화선, 모뎀, 공중전화망 등)​ 접근통제

=> 다이얼-백 회선의 사용

=> 로그온ID와 패스워드의 요구

=> 접근통제 소프트웨어

(X) => 전용회선의 사용

다이얼-백 통제 우회기법: 자동 착신 전환 

Sensitive(민감): 무결성이 더욱 요구되며 승인받지 않은 변경과 삭제로부터의 보호가 필요한 데이터 등급

Confidential(대외비): 조직 외부로 유출되면 심각한 위협과 손상이 유발될 수 있음

Private

Public

프라이버시 영향평가 (Privacy Impact Analysis): 

관련 법규와 쟁점 식별 => 프라이버시 흐름 식별 => 법규 준수 방안 수립

 

소트프웨어 형상관리: 

목적은 소프트웨어의 모듈 구성 및 기능과 

관련하여 발생한 모든 변경 사항을 문서화=> 

 

변경 이후에도 보안 요구사항을 지속적으로 충족함을 보증하는 근거.

DES와 MD5는 이미 크랙된 해시알고리즘

(가장단순)패킷필터링라우터: 처리속도빠름, 비용저렴, 보안성능 떨어짐, 패킷에 대한 로그 관리 어렵. 감사 증적 유지 X

프락시

=>서킷수준 게이트웨이​(모든 응용들을 중재하는 단일의 프락시 하나)

=>응용수준 게이트웨이(응용별로 따로 존재)=>더 강력

 

베스천호스트: 프락시가 설치되는 호스트. 그 자체가 방화벽은 아님

 

(가장강력)스크린트 서브넷 방화벽



수신자의 공개키로 비밀키(=세션키, 대칭키)를 암호화하여 전송하는 기술? 디지털 봉투

- 송신자가 수신자의 공개키로 비밀키를 암호화해서 전달함

 

 

[디지털 서명(전자서명)]

송신자 부인방지O, 무결성 O, 기밀성X 

  1. hash func(msg) -> hash code = msg digest   : 무결성을 제공

  2. 송신자 개인키(사설키) -> PriKey(msg digest) : 디지털서명

[송신자: 송신자의 개인키로 묶인 메시지 전달]

[수신자에게 전달]

  1. 위 1~2과정 후 수신자는 송신자 공개키임을 보증해주는 곳이 필요함 

  2. -> 인증기관CA에서 발행한 "송신자의 공개키"를 제공해줌

[CA에서 송신자의 공개키 받음]

  1. 사용자인증, 부인방지에 필수적인건 인증기관/신뢰할수 있는 제3자

  2. 송신자의 키가 아닌, 해커의 공개키로 복호화한다면 

  3. 당연히 열리지않고 디지털서명의 이익은 없음.

A-------------CA-----------B

 

 

 

메시지 해시 값이란?

   해시함수(메시지) -> [해시코드=메시지 다이제스트]

   해시값 디지털서명 전송하기 전에

      송신자측 : [사전 해시코드]

      수신자측 : 수신받은 메시지의 [사후 해시코드]

      비교  :  [사전 해시코드]   [사후 해시코드] -> 메시지 변형 없었음을 확인

 

대칭키 DES 3-DES AES IDEA

   비밀키 알고리즘, 비밀키

   메시지 기밀성 확보(비밀키, 대칭키, 세션키)

   메시지 전송에 씀   

 

비대칭키 디피헬만, RSA(이메일 프로토콜 PGP Pretty Good Privacy), ECC

   계산속도가 느림-> 키 교환/서명용도로 사용 

   기밀성/인증/부인방지만 가능(무결성 검증은 안됨 ㅠ)



 

클라이언트/서버환경(분권화 환경) vs. 메인프레임 환경(중앙화, 집권화 환경)

 

클라이언트/서버환경

보안관리 수준이 낮음

접근경로 다양하게 존재 -> 보안 위험

각 지역에 대해 보안이 자체 수행, 보안통제 감시 자주 수행함

속도는 향상됨

가용성 확보, 효율성 확보

 

메인프레임

접근경로가 제한적

보안 강력

위험이 낮음

무결성 확보

 

 

 

 

 

 

프라이버시 영향평가 PIA

- 업무에 사용되는 개인 신상 정보의 수집, 사용, 파기에 있어 프라이버시 관련 법규의 준수를 돕기 위해 수행됨

[법식별 -> 개인정보식별 -> 법규 준수방안 수립]

1. PIA는 먼저 프라이버시 관련 법규와 쟁점을 식별하는 것으로 시작 

2. 개인신상정보를 식별

3. 프라이버시 관련 법규의 준수방안을 수립 

 

- 개인신상정보의 보유, 사용에 대한 법규상의 규제, 즉 개인정보 제한을 평가하는 것으로

- 개인정보를 법적 근거하에 잘 제한해서 쓰고있는가?

 

 

 

:: CISA 도메인별 정리 리스트

tbvjrornfl.tistory.com/category/%EC%8A%88%EA%B0%9C%27s%20IT/CISA

 

'슈개's IT/CISA' 카테고리의 글 목록

경제적 자유를 꿈꾸는 IT직장인 슈개

tbvjrornfl.tistory.com

반응형
저작자표시 비영리 변경금지

'슈개's IT > CISA' 카테고리의 다른 글

[CISA_Domain 4] 정보시스템 운영, 유지 및 관리5  (1) 2020.12.21
[CISA_Domain 4] 정보시스템 운영, 유지 및 관리4  (0) 2020.12.21
[CISA_Domain 4] 정보시스템 운영, 유지 및 관리3  (0) 2020.12.21
[CISA_Domain 4] 정보시스템 운영, 유지 및 관리2  (0) 2020.12.21
[CISA_Domain 4] 정보시스템 운영, 유지 및 관리1  (0) 2020.12.21

'슈개's IT/CISA'의 다른글

  • 현재글[CISA] CISA 핵심정리 요약노트

관련글

댓글

티스토리툴바