설명/참조:
기밀성은 권한이 있는 개인, 프로세스 또는 시스템만이 필요에 따라 정보에 접근할 수 있도록 규정함으로써 "최소 권한" 원칙을 뒷받침합니다.
권한이 있는 사람이 가져야 하는 접근 권한은 업무 수행에 필요한 수준이어야 합니다. 최근 몇 년 동안 많은 언론이 정보의 프라이버시와 정보를 열람하여 범죄를 저지를 수 있는 개인으로부터 정보를 보호해야 할 필요성에 대해 집중적으로 다루어 왔습니다.
신분 도용은 다양한 출처에서 얻은 기밀 정보를 통해 자신의 신분을 도용하는 행위입니다.
정보 기밀성을 보장하는 중요한 조치 중 하나는 데이터 분류입니다. 이는 정보에 누가 접근할 수 있는지(공개, 내부 사용 또는 기밀)를 결정하는 데 도움이 됩니다. 접근 제어를 통한 식별, 인증 및 권한 부여는 정보 기밀성 유지를 지원하는 관행입니다.
기밀성 보호를 위한 대표적인 방법은 정보를 암호화하는 것입니다. 정보 암호화는 권한이 없는 사람이 정보에 접근할 경우 정보의 활용성을 제한합니다.
시험을 위해 아래 정보를 알아야 합니다.
진실성
무결성은 정보가 의도적, 무단적 또는 우발적인 변경으로부터 보호되어야 한다는 원칙입니다.
파일, 데이터베이스, 시스템 및 네트워크에 저장된 정보는 거래를 정확하게 처리하고 비즈니스 의사 결정에 정확한 정보를 제공하기 위해 반드시 활용되어야 합니다. 정보가 허용되는 관행에 따라 수정되도록 하는 통제 수단이 마련되어 있습니다.
대표적인 통제 수단으로는 업무 분장, 시스템 개발 수명 주기의 승인 체크포인트, 정보 무결성 보장을 위한 테스트 관행 구현과 같은 관리 통제 수단이 있습니다. 체계적인 트랜잭션과 업데이트 프로그램의 보안은 시스템 변경 사항을 적용하는 일관된 방법을 제공합니다. 업데이트 접근 권한을 해당 권한이 있는 사용자에게만 부여함으로써 의도적 또는 비의도적 수정에 대한 노출을 최소화할 수 있습니다.
유효성
가용성은 필요할 때 사용자가 정보를 이용하고 접근할 수 있도록 보장하는 원칙입니다.
시스템 가용성에 영향을 미치는 두 가지 주요 영역은 다음과 같습니다.
1. 서비스 거부 공격 및
2. 인재(예: 용량 계획 부족으로 인한 시스템 충돌, 오래된 하드웨어, 테스트 부족으로 인한 업그레이드 후 시스템 충돌) 또는 자연적 재해(예: 지진, 토네이도, 정전, 허리케인, 화재, 홍수)로 인한 서비스 손실.
어느 경우든 최종 사용자는 비즈니스 운영에 필요한 정보에 접근할 수 없습니다. 사용자에게 시스템의 중요성과 조직의 생존에 미치는 중요성에 따라 장시간 가동 중단의 영향이 얼마나 심각해질지가 결정됩니다. 적절한 보안 제어가 부족하면 바이러스, 데이터 파괴, 외부 침투 또는 서비스 거부(DOS) 공격의 위험이 커질 수 있습니다.
이러한 이벤트로 인해 일반 사용자가 시스템을 사용하지 못할 수 있습니다.
CIA
다음 답변은 틀렸습니다.
무결성- 무결성은 정보가 의도적, 무단 또는 우발적인 변경으로부터 보호되어야 한다는 원칙입니다.
가용성 - 가용성은 필요할 때 사용자가 정보를 이용하고 접근할 수 있도록 보장하는 원칙입니다.
정확도 - 정확도는 유효한 CIA 속성이 아닙니다.
이 질문을 만드는 데 다음 참고문헌이 사용되었습니다.
CISA 검토 매뉴얼 2014 페이지 번호 314
CISSP CBK 3판 공식 ISC2 가이드 페이지 번호 350
