정보보안 거버넌스 (7)

목차

​

1. BCP와 DRP

2. BCP (Business Continuty Planning)

3. DRP (Disaster Recovery Planning)

 

---

1. BCP와 DRP

​

- BCP 프로세스는 범위와 계획의 초기화를 포함

- 사업 영향 평가 (Business Impact Assessment : BIA)

  : 기업에 어느정도 피해가 있을 때에 얼마나 영향이 미치는지에 대해서 평가하고 정량화하는 것

    사업 지속 개발 계획

    많은 문서로 구성되어 있음

​

- DRP는 다음을 포함

  : 재해 복구 계획 프로세스

   재해 복구 계획 테스트

   정상적 작동 가능 테스트

   항상 최신화

   재해가 일어나지 않았을 때에 미리 확인 필요

   재해 복구 절차

​

- 재해 (정보 자원의 사용 불능으로 발생하는 비즈니스 중단 사태)

 자연재해 : 정보 처리 시설에 직접적인 피해 (전산실의 위치)

 통신, 전기, 가스등의 기반 서비스 중단

  : 정전 시 발전기를 어떻게 구축할 것인지

 테러, 바이러스 등으로 인한 재해

 생화학 바이러스

 실수 (직원)

 : 직원들의 실수로 인해 벌어지는 상황

​

// 재해 상황이 BCP를 실행 할 심각한 중단 상황인지 판단하기 위해서 위험 기반의

분류 시스템(risk classification system)이 필요 (BCP, DRP는 사후승인)

​

- 사업 연속성 계획과 재해 복구 계획은 BIA에 내용을 근거로 상세하게 세워져야함

​

- 계획의 요소

 재해 이전 준비

 대피 절차

 재해 선언 절차

 재해 선언 상황 판단 기준

 책임 및 책임자

 명확한 계약 정보

 복구 대안의 단계별 설명

 복구 및 지속 운영에 필요한 자원 식별

​

2. BCP

​

- BCP의 목적

 조직의 생존을 위해서 핵심적인 기능 및 운영이 예기치 못한 중단으로부터 보호 될 수 있도록 하는 것

​

- 발생 가능한 여러 종류의 위험

 고객 서비스 중단

 이미지 및 브랜드 손실

 지적, 인적 자산 보호 실패

 비즈니스 통제 상실

 법률적 요구 사항 위반

​

- BCP의 책임

 고위 경영진 (회사의 생존과 자산보호의 책임을 위임 받음)

​

- BCP의 구성

 재해 복구 계획 + 사업 운영 연속성 확보 계획

 업무시스템을 복구 할 때 민감도를 따짐

​

- 중점 고려 사항

 조직의 생존에 가장 필요한 핵심 사업 영역

 핵심 사업 영역을 지원하는 물적, 인적 자원

​

- 사업 연속성 계획은 위험분석을 기반으로 수행하며 이를 위해서 자산을 고려한 위협 식별작업이 필요함

- 위험은 자산 가치와 인지된 위협이 발생될 비율에 비례

 손실액(SEL) x 발생가능성(ARO) = ALE

​

- IT 재해 복구 계획 (사업 연속성 계획의 하위 요소, 기술문서)

- 모든 복구 계획의 기준은 비용편익

 절대 비용(cost)가 편익(benefit)을 초과해서는 안 됨

​

- BCP의 네가지 구성요소

 범위와 계획의 초기화

 사업 영향 평가 (Business Impact Assessment : BIA)

 // BIA의 주요목적 : 핵심 우선순위 결정, 중단시간 산정, 지원 요구사항, 재난 발생 시 사업에 어떤 영향을 줄지 임원진에게 관련정보를 제공하기 위한 문서화가 중요

 사업 지속 개발 계획

 계획 승인과 구현

 // 구현 : 지속 계획을 지속해서 개선해 나가는 것

​

- BCP 구현및 운영 과정

1) 사업 연속성/재해 복구 정책 수립

2) 사업 영향 분석

3) 사업 연속성 계획과 재해 복구 절차 수립

4) 훈련과 인식 프로그램

5) 계획 테스트및 실행

6) 모니터링

 : 계획을 지속적으로 할 수 있는지 지속해서 감시 및 판단하는 것

// work though : 한 방에 모여서 그 대책에 대해서 한 번 점검하는 것

​

# 범위와 계획 초기화

 

- BCP 프로세스의 개시

​

- 역할과 책임을 식별

 최고 경영진 (프로젝트의 개시, 최종승인, 지속적인 지원 책임)

 BCP위원회 (계획 구현, 테스트를 지휘)

 단위 사업 관리자 (핵심 프로세스의 정의와 우선순위 부여)

 // 단위 사업의 이사/각 부서의 부서장들 등

 기능 사업부서 (구현과 테스트에 참여)

 // 그 밑에 있는 주사들이 구현과 테스트에 참여

​

# 사업 영향 평가 (BIA)

​

- 세가지 주요 요소

1) 핵심 우선 순위 결정

 모든 핵심적인 단위 프로세스를 식별하고 파괴적 사건에 대한 영향을 평가해야함

2) 중단시간 산정

 핵심 프로세스가 중단된 채로 조직이 회생불능에 빠지기 까지 견딜 수 있는 시간을 산정

 MTD : Maximum Tolerable Downtime (견딜수 있는 시간을 산정한 것)

 일반적인 측정치는 기대치에 비해서 무척 짧음

3) 지원 요구사항

 핵심 프로세스를 복구하는데 필요한 자원요구 사항

​

- BIA 수행하는 접근 방법

 설문지

 인터뷰

 회의

 시스템 관련 BIA에서는 과거의 트랜잭션 양을 분석하고 결과는 인터뷰단계에서 실증해야함

​

# 취약성 평가

​

- 위험 평가 방법

 정량적 : 경제적 측면

 정성적 : 운영 측면

​

- 정량적 손실 기준

 매출 손실 및 추가 부채에 대한 비용

 사건 복구 비용

 법적인 비용 (계약의 위반, 법률 위반)

 법적 비용이 들어간 것은 예상 비용보다 꽤 크다는 것을 의미

​

 - 정성적 손실 기준

 시장 점유율 감소

 신뢰나 공신력 감소

 운영적인 측면에서 할 수 있을지 없을지에 대한 평가

// 취약성 평가를 기반으로 한 핵심 지원 영역에 대한 정의가 중요

​

- 문서화

 BIA의 마지막 단계

 모든 프로세스와 프로시저, 분석 결과의 완전한 문서화가 중요

 적절한 고위 경영진에 대한 권고사항 프리젠테이션

 보고서에는 식별된 핵심 지원영역과 양적인 영향을 종합하고 권고된 복구 우선순위가 포함 되어야함

​

# 사업 지속 개발 계획

​

- BIA로부터 도출된 핵심 사업기능을 지원하기 위한 비상계획과 전략을 세움

- 두 가지의 중요한 단계

 지속 전략 계획

  컴퓨팅 계획(전략)

  설비 계획

  인력 계획

  지원과 장비 계획

 지속적인 문서 전략 : 지속 전략 계획의 각각의 결과에 대한 완전한 문서화

​

- 계획의 전사적 파급을 위한 인지도 향상

 사고 복구는 개개인의 노력에 의존함

 양질의 훈련과 교육

​

- 계획의 유지 보수

 최신의 버전이 유지되도록 업데이트를 수행해야함

 컴퓨팅 환경의 변화등이 원인

 

- BCP 구성 문서

 사업 복구 계획

 운영 계획 연속성

 IT 비상 계획 지원의 연속성

 위급 상황 시 통신 계획

 사고 대응 계획

 재해 복구 계획

 거주자 비상계획

​

- 시스템, 사용자, 네트워크 복구 전략 등을 공급하기 위한 절차

- 계획 사본 저장

 핵심 의사 결정자의 사택

 복구 시설이나 저장 시설(오프 사이트)

​

3. DRP

​

- 매우 파괴적인 사건 발생시 조직이 재해를 복구하기 위한 전략적인 방법을 제공함으로써 혼란을 줄이고

위기상황에 대처하는 조직의 능력을 향상시킴

​

- DRP의 구성과 목적

 컴퓨터 및 네트워크 시스템 장애로 부터 조직을 보호

 업무 서비스 제공 지연으로인한 위험의 최소화

 재해 중 직원들의 안전한 행동 요령과 의사결정의 최소화

 테스트를 통한 대기 시스템의 안정성 보장

​

- DRP영역

 재해 복구 계획 프로세스 (재해 복구 계획 프로시저)

 재해 복구 계획 테스트

 재해 복구 프로시저

​

- MTBF (Mean Time between Failure) : 장애 사이 기간 (길수록)

: 어떤 장애가 발생한 후 처리된 다음 똑같은 장애가 다시 발생할 때까지 걸리는 시간

- MTTR (Mean time to Repair) : 장애 교정 시간(짧을수록)

: 장애가 발생하고 이 장애가 복구되는 시간

​

- 합리적인 비용으로 수용 가능한 복구 시간대를 제공 할 수 있는 복구 전략이 필요

​

- 복원력

 대체 경로나 여분의 시스템을 이용 위협에 대처하는 능력

 복원력에 의해 복구 되지 않아 손실되거나 피해를 입은 시스템에 대한 대책은 재해 복구 절차에서 고려

​

- 잔존 위험

 복구 전략이 선택된 이후 남아있는 위험

 교정 통제 이후의 위험

 보험 등의 방법으로 통제

// 가장 적절한 복구 전략은 BIA에서 식별된 상대적 위험도를 바탕으로 선택 되어짐

​

# 복구 목표 시점(RPO)과 복구 목표 시간(RTO)

​

- RPO (Recovery Point Objective)

 장애 발생시 복구 시점(현재로 부터 과거 시점, 짧을 수록 비용이 많이 듬)

 RPO가 매우 짧다는 의미는 손실 데이터의 양이 작다는 것을 뜻함

 가장 이상적인 경우 : 재해시점 = RPO시점 : 데이터 손실이 없음

 미러링, 듀플렉싱 < 백업 < 릴 백업 (클수록 운영 비용이 적음)

​

- RTO(Recovery Time Objective)

 복구 가능 최단 시간(허용 시간)

 적을 수록 복구 비용이 많이 듬

​

- 이외 복구 파라미터

 중단 기간 : 시스템 중단부터 복구까지 수용 가능한 시간 (초과 시 손실비용 급격히 증가)

 서비스 공급 목표 : 대체 프로세스의 목표 서비스 수준

 최대 허용 범위 : 대체 프로세스가 지원 가능한 최대 시간

 

# 재해 복구 계획 프로세스

​

- 재해 복구 계획의 단계

 데이터 처리 지속 계획 (Data Processing Continuity Planning)

  : 재해를 예측하고 대처하기 위한 계획 수립

- 데이터 복구 계획 유지 보수 (Data Recovery Plan Maintenance)

  : 계획이 항상 최신의 버전이도록 유지하기 위한 계획

​

# 데이터 처리 지속 계획

​

 - 상호 지원 계약

  가장 적은 비용

  호환성의 문제

  동시 재해 시 복구 불능

  복구에 다른 대안이 없는 경우에만 고려하는 것이 좋음

​

- 가입 서비스

 핫사이트(Hot site) : 고가, 동일한 보안 이슈, 자원 집약적, 최신의 데이터나 응용을 유지

 웜사이트(Warm site) : 경제적, 위치 선정이 유연, 관리자원 낭비가 적음

 쿨사이트(Cold site) : 가장 저렴한 구성, 재해복구 성공에 확신이 어려움

​ // 경제적 측면과 자원낭비 측면을 고려해 가장적당한것을 골라 사용함

- 다중센터

 : 여러 운영 센터로 처리를 나누어 운영

​

- 서비스업체

 DRP에 대한 외주

 대규모 재해시에 자원에 대한 경합 (SLA를 통해서 어느정도 해소 가능)

​

- 기타 백업 대안

 이중정보처리시설

 모바일사이트 : Sun(블랙박스), IBM(PMDC)

​

- 트랜잭션 중복 구현

 : 전자볼팅(Electronic Vaulting) : 대체 사이트로 트랜잭션을 덤프하는 배치 프로세스, 원격저널링(Remote Journaling)

// 원격저널링(Remote Journaling) : 로그정보를 원격에 저장하는 것,

백업된 로그정보는 장애 시 트랜잭션 복구에 이용

   데이터베이스 쉐도우잉(Database Shadowing) : 다중 DB서버 운영으로 완전 이중화 , Mysql 에서 많이사용됨

// 특정 디비를 백업으로 사용함

​

- 재해복구 계획의 유지 보수

 최신의 버전이 유지되도록 업데이트를 수행해야함

 컴퓨팅 환경의 변화 등이 원인

​

 재해 복구 계획은 조직의 실재적인 복구 능력이므로 주기적으로 테스트되어야함

​

# 재해 복구 계획 테스트

​

- 이유

 복구 프로세스의 정확성을 검증하고 결함을 식별

 직원 훈련

 백업 사이트의 처리 역량을 검증

​

# 복구 테스트 유형

​

- 체크리스트(Checklist)

  : 계획이 조직의 모든 영역에 해당되는지 확인 및 검토하는것

    실질적으로 관리자가 문서로 확인하는 작업 수행

​

- 구조적 점검(Structured walk-through)

  : 사업 단위 관리자들이 계획이 복구능력을 제공하는지 검토하고 확인하는것

    실제 담당자들이 다 모여서 실질적으로 묻고 따지는 것

​

- 시뮬레이션(Simulation)

 : 재해에 대한 직원의 능력을 테스트

  실재 복구 프로세스나 대체 응용을 기동하지는 않음

  블라인드 시뮬레이션 : 난데없이 재해가 났다고 하고 실제로 시뮬레이션하는 것

  시뮬레이션 : 실제로 알고하는 것

  운영프로그램을 돌리기 전 단계까지 해야함

  백업사이트

​

- 병렬 테스트(Parallel)

  : 가장 많이 수행되는 재해 복구 테스트

    핵심적인 기능이 대체 복구 사이트에서 수행되는지 확인

    트랜잭션 결과를 비교함으로써 정확성과 안정성을 확인

    데이터를 넣어서 실제와 비교하는 것

    사이트의 일부를 빌려서 결과값을 비교

​

- 전체 시스템 중단 테스트(Full-interruption)

 : 극히 드물지만 절대적으로 최선의 테스트

   실제 재해 상황처럼 조직의 기능을 중단시키고 복구 계획을 실행

   기업에서는 하지 않음 (민방위훈련)

​

# 재해 복구 프로시저

​

- 재해복구 프로시저의 요소

 복구팀

 구조팀

 정상 운영 재개

 기타 복구 이슈

 

- 복구팀(Recovery Team)

 백업 사이트에서 핵심적인 기능의 운영을 담당

​

- 구조팀(Salvage Team)

 재해를 입은 주사이트의 원래 기능을 복원하기 위한 팀

 재해 사이트의 장비 및 시설에 대한 관리와 확인을 담당

 정상운영 복귀를 결정하는 권한을 가짐

​

- 정상운영 재개

 회복팀에 의해서 구현

 복구단계와는 달리 가장 덜 민감하고 덜 중요한 기능부터 주사이트로 이전

 재해상황의 종료는 모든 기능이 원래 사이트로 환원되고 데이터가 정확하다고 증명된 이후 공식적으로 종료

 //  원래 사이트로 돌아가는 프로시저에는 매우 다양하고 심각한 취약성들이 존재함

​

- 기타 복구 이슈

​

 외부 그룹과 인터페이스

  : 관공서와의 물리적 논리적 거리 (경찰서, 소방서, 시청)

  : 보도 기관, 주주, 고객과의 의사 소통

​

 직원

  : 조직은 직원의 안전에 고유의 책임을 짐 (신체상, 경제적)

​

 사기와 범죄행위

  : DRP는 재해시 계획적 또는 우발적으로 발생하는 약탈, 도난 등의 대해서 고려해야함

​

 재정적 부담

 : DRP 운영의 제정적인 문제

 : 사고 처리 도중 발생된 제정적인 부담은 예상이나 이를 집행하는 비상관리자의 권한을 초과할 가능성에

대해서 언급되어야함

​

 보도 기관과의 관계

 대변인 같은 공식적인 대외 채널이 필요

 : 심각한 상황에서 미리 준비된 성명서 같은 대처가 필요

   사고의 원인에 대해서 추측하지 않음

   책임을 추측하지 않음

   시스템이나 프로세스를 비난하지 않음

   조사가 시작되고 결과가 발표될 것임을 포함

   조직 내 누구도 성명을 발표해서는 안됨

​