소개글
정보보안기술과목
보안의 적용과 관리(접근제어, 보안제품평가기준, 보안 프레임워크 ISO 27001
) 에 관한 레포트 입니다.
목차
1) 보안 조직
2) 접근제어 모델(DAC, MAC, RBAC 등)
3) 접근제어의 원칙(최소 권한과 직무분리)
4) 보안제품 평가 기준(TCSEC, ITSEC, CC)
5) 보안 프레임워크(ISO 27001)
6) 시사점
7) 참고문헌
본문내용
4.1 보안제품 평가 기준
보안제품 평가 기준 목적
전세계적으로 보안 제품에 대한 객관적으로 평가하기 위한 기준제시
보안 신뢰성을 측정할 수 있는 평가기준으로 사용가능
제작자가 보안제품을 개발하는 경우에 있어서 어떤 특성을 가여야 하는지 기준이 됨
신뢰성 있는 시스템을 구매하려는 사람들에게 유용함
보안제품 평가 기준 종류
TCSEC
ITSEC
CTCPEC
TNI
CC
4.2 TCSEC의 소개
TCSEC의 평가기준 항목
Security policy(보안정책)
Accountability(책임) : I&A(Identification and Authntication), Audit, Trusted path 기능이 제공되어야 함.
Assurance(보장) : 괜찮은 공학적 방법을 이용하여 시스템이 만들어져야하며 이를 통해 시스템 무결성, 시스템 시험, 신뢰성 있는 복구가 보장되어야 함.
Documetation(문서화) : 사용자를 위한 보안 지침서, 관리자를 위한 보안 지침서, 시험문서, 설계 문서
TCSEC의 보안제품 평가 등급
요구사항을 근거로 등급을 D, C, B, A로 구성하고 있다. (참조)
<중략>
5. 보안프레임워크(ISO 27001)
ISO 27001이란?
ISO27001 이란 Information Security Management System Requirements(정보보호관리체계 요구사항)으로 정보보호관리체계에 대해 국제인증시요구사항을 정의하고 있다.
정보보호관리체계에 대한 국제규격은 BS7799가 있었으며, Part1(실행지침)과Part2(규격)으로 구성되어 있다. Part1은 2000년(ISO/IEC 17799)에, Part2는2005년 11월(ISO27001)에 국제표준으로 등록되었으며, 정보보호관리체계에대한 국제인증을 받기 위해서는 Part1의 실행지침에 따라 자체적인 체계를수립하고 일정 기간 이행한 기록을 토대로 Part2 규격에 따라 심사를 받아야 한다.
정보보호관리체계의 표준화 과정은 아래와 같다.
참고 자료
양대일, 13장 조직과 정책, 정보 보안 개론
IT데일리, 은행권, 보안 인력 및 조직 ‘대폭 보강’ , http://www.itdaily.kr/news/articleView.html?idxno=28434
아시아경제, "특허청 보안조직 확대 등 지재권보안 강화돼야“, http:// www.asiae.co.kr/news/view.htm?idxno=2011060808024682 989
삼성SDS, “정보보호 조직 구성 및 운영”, KISA ’99ConCERTs Workshop
한국hp교육서비스, CISSP과정 LESSON1 접근통제,http://h20553.www2.hp.com
도경화, 제4장 접근통제, 정보체계보안공학론 강의자료 , 숭실대학교
news1, 軍 사이버사령부 보강...사령관 계급 격상 및 인력 확충, http://news1.kr/articles/698005
서정택 외 6명, 네트워크 보안제품 평가기준(안) 연구
차성덕 외 3명, “보안 제품 평가 기준 및 평가 제도의 현황과 추세”, 정보과학 회지 13(11), 1995년 11월
한국인터넷진흥원, IT보안성 평가 ∙ 인증 안내서, 2009년 12월
IT보안인증사무국, 정보보호제품 평가인증 수행규정, 2011년 7월
INFORMATION SECURITY & BUSINESS CONTINUITY ACADEMY 홈페이지, “What is ISO 27001 ?”, http://www.iso27001standard.com/index.php?option=com_content &view=article&id=30