정보 보안의 보호 목표는 정보 보호를 위한 기본 요점입니다. 정보는 오늘날 뿐만 아니라 모든 회사에 상당한 경제적 가치를 나타냅니다. 그것은 그들의 존재의 기초이며 따라서 성공적인 비즈니스를 위한 필수적인 전제 조건입니다. 따라서 정보를 보호해야 하는 것은 명백하거나 최소한 바람직합니다. 그러나 여전히 욕망과 현실 사이에는 큰 격차가 있습니다.
Loading...
정보 보안의 보호 목표는 무엇입니까?
정보 처리의 부적절한 보안으로 인해 연간 수십억 달러의 피해가 발생합니다. 그러나 어떻게 조직 자산을 적절하게 보호할 수 있습니까? 기업이 정보 보안 주제를 시작하는 가장 좋은 방법은 무엇입니까?
ISO/IEC 27001에 따라 잘 구성된 정보 보안 관리 시스템(ISMS)은 전체적인 보안 전략의 효과적인 구현을 위한 최적의 기반을 제공합니다. 이 표준은 보호 수준의 도입, 구현, 모니터링 및 개선을 위한 모델을 제공합니다. 이를 달성하기 위해 회사와 조직은 먼저 정보 보안의 세 가지 기본 보호 목표를 해결해야 합니다.
- 기밀성
- 무결성
- 가용성
정보 보안의 보호 목표: 정보의 기밀성
목적은 데이터 보호법을 이유로든 또는 영업 비밀을 근거로든 무단 액세스로부터 기밀 데이터를 보호하는 것입니다. 영업비밀법에 의해 따라서 정보 및 민감한 데이터의 기밀성은 권한(승인)이 있는 사람만 해당 정보에 액세스할 수 있는 경우 보장됩니다. 액세스는 예를 들어 읽기, 편집(변경) 또는 삭제를 의미합니다.
따라서 취해진 조치는 승인된 사람만 기밀 정보에 액세스할 수 있도록 보장해야 합니다. 어떤 경우에도 승인되지 않은 사람입니다. 이것은 또한 책상 위에 보호되지 않은 채로 앉아서 독서를 초대할 수 있는 종이상의 정보 또는 처리 과정에서 액세스할 수 없는 데이터의 전송에도 적용됩니다.
이러한 보호 목표를 달성하기 위해 회사가 마련한 조치의 구현 및 효과는 정보 보안 수준의 핵심 특성입니다.
국제적으로 인정된 정보 보안 표준 ISO 27001의 사용자(또는 관심 있는)에게 매우 유용한 부록 A가 있습니다. 이 부록은 가장 중요한 정보 보안 관련 상황에 대한 목표 및 참조 조치를 제공합니다.
권한이 있는 사람의 경우 액세스 유형, 수행해야 하는 권한 또는 수행해야 하는 작업, 수행할 수 없는 작업을 지정해야 합니다. 그들이 해서는 안 되는 일을 할 수 없도록 해야 합니다. 이 프로세스에 사용되는 방법과 기술은 다양하며 경우에 따라 회사에 따라 다릅니다.
정보의 무단 보기 또는 공개에 대한 "단한" 문제인 경우(전송 중, 기존: 전자 메일 트래픽!) 암호 수단을 사용하여 예를 들어 기밀성을 보호할 수 있습니다. 정보의 무단 수정을 방지하는 것이 목표인 경우 보호 목표인 "무결성"이 작동합니다.
ISO/IEC 27001:2013- I정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항
표준은 ISO 웹사이트에서 제공됩니다.
정보 보안의 보호 목표: 정보의 무결성
기술 용어 무결성은 한 번에 여러 요구 사항과 연결됩니다.
- 정보에 대한 의도하지 않은 변경은 불가능하거나 최소한 감지 및 추적 가능해야 합니다. 실제로 다음 그라데이션이 적용됩니다.
- 높은(강력한) 무결성은 원치 않는 변경을 방지합니다.
- 낮은(약한) 무결성은 변경을 방지하지 못할 수 있지만 (의도하지 않은) 변경을 감지하고 필요한 경우 추적(추적성)할 수 있도록 합니다. - 데이터 및 시스템의 신뢰성이 보장되어야 합니다.
- 정보의 완전성이 보장되어야 합니다.
따라서 정보의 무결성을 높이기 위한 조치는 외부 및 내부 공격에 대한 보호와 함께 액세스 권한 부여 문제를 목표로 합니다.
"기밀성" 및 "가용성"이라는 단어는 쉽게 이해할 수 있고 거의 자명하지만 정보 보안의 고전적인 보호 목표 측면에서 "무결성"이라는 기술 용어에는 약간의 설명이 필요합니다. 시스템), 완전성 또는 추적 가능성(변경 사항)."
정보 보안의 보호 목표: 정보의 가용성
정보의 가용성이란 필요한 IT 시스템을 포함한 이 정보가 권한 있는 사람이라면 언제든지 액세스할 수 있어야 하고 필요한 범위 내에서 사용 가능해야 함을 의미합니다. 시스템에 장애가 발생하거나 건물에 접근할 수 없는 경우 필요한 정보를 사용할 수 없습니다. 어떤 경우에는 프로세스 유지 관리와 같이 광범위한 결과를 초래하는 중단으로 이어질 수 있습니다.
따라서 시스템 오류의 가능성, 가능한 기간 및 IT 보안 부족으로 인한 손상을 고려하여 위험 분석을 수행하는 것이 합리적입니다. 결과로부터 효과적인 대응책을 도출할 수 있으며, 최악의 상황이 발생할 경우 실행될 수 있습니다.
"확장된" 보호 목표는 무엇입니까?
기밀성, 무결성 및 가용성이라는 보안 목표 외에도 세 가지 추가 보안 목표가 있습니다. 여기에는 서로를 보완하는 "약속"과 "책임"의 두 가지 측면이 포함됩니다. 전자는 행위자가 자신의 행동을 거부할 수 없도록 하는 것이고 후자는 이 행위가 자신에게 확실하게 귀속될 수 있다는 것을 의미합니다. 둘 다 행위자의 고유한 식별 가능성으로 귀결되며 고유한 암호 발급은 이를 위한 최소 요구 사항입니다.
세 번째 확장된 보호 목표는 "인증성", 즉 진정성입니다. 이 맥락에서 간단한 질문은 다음과 같습니다. 정보가 진짜입니까? 실제로 지정된 출처에서 온 것입니까? 이 보호 목표는 소스의 신뢰성을 평가하는 데 중요합니다.
Loading...
가치 있는 정보는 오늘날의 금이자 회사가 보호해야 할 자산입니다. 여기에서 ISO 27001에 대한 가장 중요한 질문에 대한 답변을 읽어보십시오.
정보 보안의 보호 목표: 결론
정보 보안의 가장 중요한 세 가지 보호 목표는 "기밀성", "무결성" 및 "가용성"입니다.
기밀성: 이를 보장하려면 이 민감한 데이터에 액세스할 권한이 있는 사람과 방법을 명확하게 정의해야 합니다. 이는 예를 들어 적절한 액세스 권한 부여 및 암호화 기술 사용과 연결됩니다.
무결성은 정보의 무단 변경 및 삭제에 대한 보호와 더불어 정보의 신뢰성과 완전성을 의미합니다. 따라서 회사에서 데이터 변경 사항을 신속하게 감지하거나 처음부터 무단 조작을 방지하기 위한 예방 조치를 취하는 것이 중요합니다.
가용성이란 정보, 시스템 및 건물을 승인된 사람이 항상 사용할 수 있어야 함을 의미합니다. 예를 들어 시스템 오류는 주요 위험과 관련이 있으므로 이 복잡한 주제에 대해 위험 분석을 수행해야 합니다. 여기에 가장 필요한 시스템의 실패 확률, 가동 중지 시간 및 손상 가능성을 기록하십시오.
약속, 책임성 및 진정성은 "확장된" 보호 목표입니다.
헌신은 행위자가 자신의 행동을 거부할 수 없도록 하는 것으로 이해됩니다. 책임은 그러한 행위자를 명확하게 식별하여 이러한 확장된 보호 목표를 보완합니다. 진정성은 다음과 같은 질문을 던집니다. 정보가 진짜입니까 아니면 신뢰할 수 있습니까?
DQS - 우리에게 기대할 수 있는 것
정보 보안은 IT 보안을 훨씬 뛰어 넘는 복잡한 주제입니다. 여기에는 기술, 조직 및 인프라 측면이 포함됩니다. 국제 표준 ISO/IEC 27001은 ISMS(정보 보안 관리 시스템) 형태의 효과적인 보호 조치에 적합합니다.
DQS는 관리 시스템 및 프로세스의 심사 및 인증을 위한 전문가입니다. 35년의 경험과 전 세계 2,500명의 심사원의 노하우를 바탕으로 ISO 27001 및 정보 보안 관리 시스템에 대한 모든 질문에 대한 답변을 제공하는 유능한 인증 파트너입니다.
Loading...
귀하의 질문에 기꺼이 답변해 드리겠습니다.
ISO 27001에 따라 정보 보안 관리 시스템을 인증받기 위해 얼마나 노력해야 합니까? 알아내다. 의무 및 무료입니다.
신뢰와 전문성
당사의 텍스트 및 브로셔는 다년간의 경험을 가진 당사의 표준 전문가 또는 감사자가 독점적으로 작성했습니다. 텍스트 내용이나 저자에 대한 서비스에 대해 질문이 있으면 언제든지 이메일을 보내주십시오.
DQS 뉴스레터
최신 정보를 확인하고 뉴스레터를 구독하세요!
저자
앙드레 재켈
DQS 정보 보안 관리 제품 관리자. 정보 보안 및 IT 보안 카탈로그(중요 인프라) 분야의 표준 전문가인 André Säckel은 ISO 27001, ISIS12, ISO 20000-1, KRITIS 및 TISAX( 자동차 산업의 정보 보안). 그는 또한 독일 표준화 연구소 DIN의 국가 대표로서 ISO/IEC JTC 1/SC 27/WG 1 작업 그룹의 회원입니다.
Loading...