You cannot see this page without javascript.

진주성 블로그 방문하기

보안 위험관리

2017.11.01 07:31

구피천사 조회 수:218

정의

 조직의 자산을 식별하고 위험을 평가하여 조직의 재해, 장애 등 손실을 최소화 하기 위한
 절차 혹은 연속적인 행위(위험분석, 평가, 대책)
 위험관리는 위험을 식별, 분석, 평가, 보호대책을 수립하는 일렬의 활동이다

 

  • 위험관리 구성

- 자산(Asset) : 조직에 가치가 있는 자원

- 위험(Risk) : 위협, 취약점을 이용하여 조직의 자산에 손실, 피해를 가져올 가능성

- 위협(Threat) : 조직, 기업의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위

- 취약점(Vulnerability) : 위협이 발생하기 위한 조건 및 상황

 

  • 위험관리 활동 ( 회피, 완화, 전가, 수용 )

- 위험성향(Risk Appetite) : 수용할 준비가 된 위험의 총량을 의미하며, 영향의 크기와 발생빈도로 정의됨

- 위험허용 범위(Risk Tolerance) : 위험성향에 근거한 위험수준으로부터 수용 가능한 최대편차

- 위험대응(Risk Response) : 식별된 위험의 발생가능성과 영향에 대한 대응조치

- 잔여위험

- 파생위험

 

  • 접근방식에 따른 위험분석 기법

- 기준선 접근법

 모든 시스템에 대하여 보호의 기준수준을 정하고 이를 달성하기 위하여 일련의 보호 대책을 선택
 시간및 비용이 적고 모든 조직에서 기본적으로 필요한 보호대책 선택이 가능
 조직의 특성을 고려하지 않기 때문에 조직 내에 부서별로 적정 보안수준보다도 높게 혹은 낮게 보안통제를 적용
 Base Line, Checklist 가 준비되었음

- 전문가 판단

 정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라서 위험을 분석
 작은 조직에 비용 효과적이며, 구조화된 접근방법이 없기 때문에 위험을 제대로 평가하기 어렵고 보호대책의 선택및 소요비용을
 합리적으로 도출하기 어려움
 계속적으로 반복되는 보안관리 및 보안감사, 사후관리로 제한됨
 델파이기법: 중제자, 익명성, 반복

- 상세위험분석

 자산의 가치를 측정하고 자산에 대한 위협 정도와 취약점을 분석하여 위험 정도를 결정
 조직내애 적절한 보안 수준 마련 가능 , 화폐가치로 평가
 전문적인 지식과 노력이 많이 소요됨
 정성적 분석기법과 정량적 분석기법이 존재함

- 복합적 접근법

 먼저 조직 활동에 대한 필수적으로 위험이 높은 시스템을 식별하고 이러한 시스템은 상세위험분석 기법을 적용
 그렇지 않은 시스템은 기준선 접근법 등을 적용
 보안 전략을 빠르게 구축할 수 있고 상대적으로 기간과 노력을 효율적으로 활용가능
 두 가지 방법의 적용 대상을 명확하게 설정하기 못함으로써 자원 낭비 발생이 가능합

 

  • 정략적 위험분석과 정성적 위험분석

- 정량적 위험분석

 위험 발생확률*손실크기를 통해 기대 위험가치를 분석 (척도 : 연간 기대손실(ALE))
 수학공식 접근법, 확률분포 추정법, 확률지배, 몬테카롤로 시물레이션, 과거 자료 분석법
 비용/가치 분석, 예산 계획, 자료 분석이 용이
 수리적 계산으로 논리적이고 객관적 정보를 얻을 수 있음
 분석 시간, 노력, 비용이 큼
 정확한 정량화 수치를 얻기 어려움

- 정성적 위험분석

 손실크기를 화폐가치로 표현하기 어려움
 위험크기는 기술변수로 표현 (척도 : 점수)
 기준선법, 델파이법(전문가 감정), 시리오법, 순위결정법, 질문서법
 금액화 하기 어려운 정보의 평가가 가능
 분석시간이 짧고 이해가 쉬움
 평가 결과가 주관적임
 비용효과분석이 용이하지 않음
  • 확률분포법
 미지의 사건을 추정하는데 사용되는 방법이다. 이 방법은 미지의 사건을 확률적(통계적) 편차를 이용하여
 최저, 보통, 최고의 위험평가를 예측할 수 있다. 그러나 확률적으로 추정하는 방법이기 때문에 정확성이 낮다.
  • 시나리오법
 어떤 사건도 기대하는 대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법이다.
 이 방법은 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험분석팀과 관리층 간의 원활한 의사소통을 가능케 한다.
 그러나 발생 가능한 사건의 이론적인 추측ㅇ 불과하고 정확도, 완성도, 이용기술의 수준등이 낮다.

 

  • 위험에 따른 손실액 분석

- ARO ( Annualized rate of occurrence )

 매년 특정한 위협이 발생할 가능성에 대한 빈도수 혹은 특정 위협이 1년에 발생 할 예상 빈도수

- SLE ( Single Loss Expectancy )

 특정 위협이 발생하여 예상되는 1회 손실액
 SLE = 자산가치 * 노출계수 (1회 손실액)

- ALE ( Annualized loss expectancy )

 정량적인 위협분석의 대표적인 방법으로 특정 자산에 대한 실현된 위협의 모든 경우에 대한
 가능한 연간비용 ( 연간 예상 손실 )

 

  • 위험대응 전략

- 위험수용

- 위험감소

- 위험회피

- 위험전가

 

위험관리계획서는 위험관리 방법론, 역할과 책임, 예산책정, 시기, 위험분류, 위험발생가능성 및 영향력에 대한

내용을 포함하는 문서이다. 위험관리 활동을 통해서 식별된 위험에 대해서 회피, 완화, 전가, 수용과 같은 활동을

수행하는 것은 위험대응 전략 이고 이러한 것의 계획은 위험대응계획서이다.

 

번호 제목 날짜 조회 수
95 국제공통 평가 기준 표준 (CC:Common Criteria) 2017.11.09 247
94 정보통신망법 2017.11.09 97
93 IoT 보안 2017.11.08 87
92 접근통제 참조모델 2017.11.07 142
91 쉘쇼크(Shellshock) 2017.11.07 116
90 악성코드의 종류 2017.11.07 383
89 디지털 포렌직 조사의 일반원칙 2017.11.07 92
88 ftp 보안 취약점및 대책 2017.11.05 538
87 Dos 공격유형 및 차단 2017.11.03 721
86 command file 2017.11.01 957
85 ICMP 2017.11.01 1049
84 아파치 웹서버 보안설정 file 2017.11.01 3419
83 HTTP Header 2017.11.01 112
82 IPv4, IPv6 2017.11.01 108
81 OSI 7 Layer 2017.11.01 214
진주성 블로그 방문하기
CLOSE