혁준 블로그

문제) 다음주 보안 운영에서 적절하지 않은 것은 

1) 내부자에 대한 네트워크 자원의 공유

2) DMZ를 형성하여 외부 비인가자의 접근 제어

3) VPN을 활용한 내부 비인가자에 대한 네트워크 분리

4) VLAN을 이용한 내부 비인가자에 대한 네트워크 분리

1번

개념) 

보안운영

DMZ를 형성하여 외부 비인가자의 접근제어

VPN, VLAN을 이용한 내부 비인가자에 대한 네트워크 분리

개념) 

정보 통신 기반 보호 위원회

대통령령

국무총리 소속

위원장 - 국무총리

위원 - 중앙행정기관의 장, 위원장이 위촉한 자

침해사고 발생 사실을 통지해야 하는 기관

중앙행정기관

검찰

한국 정보 보호 진흥원

경찰

지식 정보 보안 컨설팅

미래창조 과학부령

미래창조 과학부 장관이 지정

법인만 지정

청문회로 지정 취소

문제) 다음에서 설명하는 업무 연속성 관리 단계로 적절한 것은

재해발생시 재해를 복구하고 위험을 감소시키며 업무에 신속히 복귀하기 위해 마스터 플랜, 긴급대응 계획, 피해 평가 계획, 구제 계획, 중요 기록물 보호 계획, 위기 관리와 대외 홍보 계획등을 개발하는 단계이다 

1) 시작단계

2) 전략수립단계

3) 구현단계

4) 운영 관리 단계

 3번

개념) 

업무 연속성 5단계

    프로젝트 범위 설정 및 기획 

-> 사업영향평가

-> 복구 전략 개발

-> 복구 계획 수립

-> 프로젝트 수행 및 테스트

문제) 위험관리의 한 과정으로 아래 내용으로 해당하는 것은

통제되거나 받아들여질 필요가 있는 위험을 확인

발생가능한 위험의 내용과 정도를 결정하는 과정

자산가치평가, 위혐 취약성을 포함

모든 시스템에대한 간단한 초기분석을 통해 불필요한 시간과 자원의 투자없이 실행 

1) 자산평가

2) 대책설정

3) 취약점 분석

4) 위험분석

4번

개념) 

위험관리 과정

위험관리 전략 및 계획 수립 -> 위험분석 -> 위험평가 -> 정보보호 대책수립 -> 정보보호 계획수립

위험관리

조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위해 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 활동

위험분석

자산, 위협, 취약성을 평가하여 위험을 확인하고 위험도를 결정하는 과정

문제) 개인정보의 수집시 이용자의 동의를 받지 않아도 되는 경우가 아닌 것은 

1) 개인정보 취급방침에 명시한 경우

2) 경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

3) 법률에 특별한 규정이 있는 경우

4) 요금정산을 위해 필요한 경우

 1번

개념) 

개인정보 수집시 동의를 받지 않아도 되는 경우

경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

법률에 특별한 규정이 있는 경우

요금정산을 위해 필요한 경우

문제) 조직내에서 정보보호 체계를 수립했을 때 각 구성원의 지위와 책임이 잘못 연결된 것은 

1) 최고 경영자 - 정보보호에 대한 궁극적인 책임이 있다

2) 정보시스템 감시자 - 조직의 정보보호 정책, 표준, 대책, 실무절차를 설계, 구현, 관리, 조사할 책임이 있다

3) 정보보호 최고 책임자 - 정보보호 관리체계 수립 및 운영에 대한 책임이 있다

4) 프로세스 관리자 - 해당 정보 시스템에 대한 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임이 있다

2번

개념) 

정보보호조직 역할과 책임

정보보호 책임자 : 정보보호 조직의 구성 및 운영 총괄

 정보보호 방침 및 계획 실무지침 수립 및 승인

 침해사고 등 비상상황시 긴급조치 수해

정보보호 관리자 : 정보보호 활동의 계획 및 관리

 위험분석 및 관리

 보안사고 대응 및 복구관리

정보보호 담당자 : 구현된 보안 대책의 운영관리

 보안사고 모니터링 및 대응

정보시스템 감시자 : 정보보호 정책, 표준, 대책, 실무 및 절차가 적절하게 이 루어지고 있을을 보증

문제) 개정된 정보보호 관리체계(ISMS)에 대한 설명으로 옳지 않은 것은

1) 정보보호의 목적을 실현하기 위한 절차와 과정을 수립

2) 관리과정은 5단계 12개 통제사항으로 구성

3) 문서화 부분은 3개 통제사항으로 구성

4) 정보보호 정책 부분은 13개 분야 92개 통제사항으로 구성

3번

개념) 

정보보호 관리체계(ISMS)

 정보의 기밀성, 무결성, 가용성를 실현하기 위한 일련의 정보보호 활동

 정보보호 정책수립 -> 정보보호 관리체계 범위 설정 -> 위험관리 -> 구현 

-> 사후관리

 정보보호 관리과정(5단계 12개 통제사항) + 정보보호 정책(13개 분야 92개 통제사항)

문제) 다음에서 설명하고 있는 정보보호 대책 활동으로 적절한 것은

탐지통제를 통해 발견된 문제들을 해결하기 위해 발견된 문제들의 발생원인과 영향을 분석한다. 그리고 분석된 내용들을 바탕으로 문제의 향후 발생을 최소화하기 위하여 시스템을 변경하는 등의 일련의 활동을 수행한다 

1) 예방통제

2) 위험수용

3) 교정통제

4) 위험분석

3번

개념) 

시점별 통제의 분류

예방통제 : 발생가능한 잠재적인 문제들을 식별하여 사전에 대처

탐지통제 : 예방통제를 우회하여 발생되는 문제점을 찾아내기 위한 통제

교정통제 : 탐지된 위협에 대처하거나 줄이는 통제

문제) 자산 가치 산정은 자산의 중요도를 파악하고 위협이 발생할 경우 있을 수 있는 피해를 측정하기 위한 정보를 얻기 위해 위험 분석 대상 자산의 가치를 정량 또는 정성적인 방법으로 평가하는 과정이다. 정성적 기준에 해당하지 않는 것은 

1) 자산 도입 비용

2) 자산이 영향을 미치는 조직과 작업의 수

3) 복구 시간

4) 업무처리에 대한 자산의 기여도

1번

개념) 

자산가치 선정시 정량적 기준

자산 도입 비용

자산 복구 비용

자산 교체 비용

위험 분석 방법론

정량적 분석 방법 : 과거자료 분석법

  수학공식 접근법

  확률 분포법

정성적 분석 방법 : 델파이법

  시나리오법

  순위결정법

문제) 커버로스 인증 과정에 관한 설명으로 잘못된 것은 

1) 사용자는 인증 티켓을 얻기 위해 KDC서버에 로그인하여 인증 절차를 수행한다

2) 인증티켓을 받은 사용자는 응용서버에 인증티켓을 제출한 후 서비스 권한을 획득한다

3) 사용자가 응용 서비스를 받기위해서는 KDC서버로부터 서비스 티켓을 발급받아야 한다

4) 사용자는 인증티켓과 서비스티켓을 모두 받아야만 응용서비스를 수행할 수 있다

2번

개념) 

커버로스 : 비밀키(대칭키)를 이용하여 인증 및 서비스 권한을 획득한다

  중앙집권적 키관리

커버로스 인증과정

클라이언트-인증서버 : 인증을 받고 세션키를 얻는다

클라이언트-티켓발급서버 : 세션키를 이용해 인증티켓을 받는다

클라이언트-응용서버 : 인증티켓을 이용해 서비스티켓을 받는다

서비스티켓을 이용해 서비스 권한을 얻는다

KDC : Key Distribution Center