위험 관리 및 분석

정보보호 체계에서 위험관리는 위험을 식별, 분석, 평가, 보호대책을 수립 하는 일련의 활동.

정의: 조직의 자산을 식별하고 위험을 평가하며 조직의 재해, 장애 등 손실을 최소화하기 위한 절차 혹은 연속적인 행위이다.

 

위험관리 구성

1. 자산 : 조직에 가치가 있는 자원들

2. 위험 : 위협과 취약점을 이용하여 조직의 자산에 손실, 피해를 가져올 가능성

3. 위협 : 조직, 기업의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위

4. 취약점 : 위협이 발생하기 위한 조건 및 상황

 

위험분석 : 보호 대상, 위협 요소, 취약성 등에 대한 자료 수집 및 분석

위험평가 : 분석 결과를 기초로 하여 보안 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위험 수준을 낮추기 위한 과정

 

위험관리 활동

1. 위험성향 : 수용할 준비가 된 위험의 총량을 의미하며, 영향의 크기와 발생빈도로 정의됨

2. 위험허용범위 : 위험성향에 근거한 위험수준으로부터 수용가능한 최대편차

3. 위험대응 : 식별된 위험의 발생 가능성과 영향에 대한 대응조치

 

위험분석

- 접근방법에 따른 위험분석기법

1. 기준선 접근법 ( 베이스라인 접근법 ) : 모든 시스템에 대하여 보호의 기준 수준을 정하고 이를 달성하기 위해 일련의 보호대책을 선택, 시간 및 비용이 적고 모든 조직에서 기본적으로 필요한 보호 대책 선택이 가능, 조직의 특성 고려의 부족으로 부서별로 적정 보안수준보다 높거나 낮게 보안통제 적용

 

2. 전문가 판단 ( 비정형 접근법 ) : 정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라서 위험을 분석, 비용적인 면에서 작은 조직에 효과적이지만 구조화된 접근방법이 없으므로 위험을 제대로 평가하기 어렵고 보호 대책의 선택 및 소요비용을 합리적으로 도출하기 힘듬. 계속적으로 반복되는 보안관리 및 보안감시, 사후관리로 제한됨.

 

3. 상세위험분석 : 자신의 가치를 측정하고 자산에 대한 위협 정도와 취약점을 분석하여 위험 정도를 결정, 조직 내에 적절한 보안 수준 마련 기대, 전문적 지식과 노력이 많이 소요됨, 정성적 분석기법과 정량적 분석기법이 존재함.

 

4. 복합적 접근법 : 먼저 조직 활동에 대한 필수적이고 위험이 높은 시스템을 식별하고 이러한 시스템은 상세 위험 분석 기법으로 적용, 그렇지 않은 부분은 기준선 접근법으로 적용, 빠르게 보안 전략 구축 및 시간과 노력을 효율적으로 사용 가능, 고위험 영역이 잘못 식별 될 경우 위험분석비용이 낭비되거나 부적절하게 사용

 

정량적 위험분석과 정성적 위험분석

ALE : 연간 기대 손실, 손실 크기, 정량적인 위협분석의 대표적인 방법으로 특정 자산에 대하여 실현된 위협의 모든 경우에 대해서 가능한 연간 비용

 

SLE : 위험 발생 확률, 특정 위협이 발행하여 예상되는 1회 손실액(SLE = 자산가치*EF(1회 손실액)

ARO : 매년 특정한 위협이 발생할 가능성에 대한 빈도수, 혹은 특정 위협이 1년에 발생할 예상 빈도수

 

정량적 위험분석 : 비용/가치 분석, 예산 계획, 자료 분석이 용이, 분석 시간, 노력, 비용이 크고 정확한 정량화 수치를 얻기 어려움.

-> 수학공식 접근법, 확률 분포 추정법, 확률 지배, 몬테카를로 시뮬레이션, 과거 자료 분석법

 

정성적 위험분석 : 손실 크기를 화폐가치로 표현하기 어려움, 위험크기는 기술변수로 표현, 분석시간이 짧고 이해가 쉬움, 금액화 하기 어려운 정보의 평가 기능, 평가 결과가 주관적임, 비용효과 분석이 쉽지않음

-> 델파이법, 시나리오법, 순위 결정법, 질문서법

 

확률분포법 : 미지의 사건을 추정하는데 사용되는 방법, 이 방법은 미지의 사건을 확률적(통계적) 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있다. 그러나 확률적으로 추정하는 방법이기 때문에 정확성이 낮다.

 

시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실을 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법, 이 방법은 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험분석팀과 관리층 간의 원활한 의사소통을 가능하게 한다. 그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다

 

델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다

 

 

'정보보안기사 > 정보보안기사 실기' 카테고리의 다른 글

SSL VPN  (0) 2018.05.24
ISMS 정보보호 관리체계  (0) 2018.05.24
DNS 서버  (0) 2018.05.23
정보보안기사 실기 보안용어7  (0) 2018.04.14
정보보안기사 실기 보안용어6  (0) 2018.04.14

+ Recent posts