위험분석

위험관리 - 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지

위험=위협+취약성+자산의 가치

자산 - 조직이 보호해야할 대상으로 정보,하드웨어,소프트웨어,시설, 무형자산

위협 - 자산에 손실을 초래할 수 있는 원인, 행위자

취약성 - 위협에 의해 손실이 발생하게 되는 자산에 내재된 약점

*베이스 라인 접근법 - 위험 분석을 수행하지 않고 표준화된 대책을 체크리스트로 제공, 소규모 조직 혹은 중요하지 않은 일반 자산에 사용

*상세 위험 분석 - 자산분석, 위험분석, 취약성 분석의 각 단계를 수행하여 위험을 분석.

정성적 분석 방법

1) 델파이법 - 전문가 집단의 의견과 판단을 추출하고 종합하기 위하여 동일한 전문가 집단에게 설문조사를 실시, 추정이라 정확도가 낮지만 짧은 시간 비용

2) 시나리오법 - 어떠한 사실도 기대대로 발생하지 않는다. 정확성이 낮음

3) 순위 결정법 - 비교우위순위 결정표

정량적 분석 방법 - 숫자로 나타냄

1) 과거자료 분석법 - 과거자료를 통하여 위험 발생 가능성을 예측하는 방법

2) 수학공식 접근법 - 과거 자료분석법이 어려울 경우 사용되는 방법, 위협 발생빈도를 계산

3) 확률 분포 법 - 미지의 사건을 확률 적으로 편차를 이용하여 최저/보통/최고 위험평가를 예측하는 방법.

위험 처리의 방법

1) 위험수용 - 잠재 손실 비용을 감수하는 것

2) 위험감소 - 

3) 위험회피 - 사업을 수행하지 않고 포기하는 것

4) 위험전가 - 제 3자에게 이전하거나 할당하는 것

*위험분석 - 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류

*위험평가 - 정보보호대책의 실패 가능성 및 영햐을 평가하고 수용가능한 위험수준을 포함

DAC - 사용자의 식별에 기초

MAC - 객체에 부여된 설정

RBAC - 중앙에서 집중적으로 관리

ALE 연간손실 예상액 = SLE*ARO(연간 발생 빈도)

SLE 단일손실 예상액 = AV(자산 가치)*노출 계수

ALE를 넘어가는 연간보안 투자는 비효율적 이다.

용어

TCSEC - 오렌지북

ITSEC -유럽의 여러나라에 보안 평가 기준이 있었으나 제약, 중복 평가문제를 개선

벨-라파듈라 모델 - 미 국방부(미벨)

비바 모델 - 비군사적 조직에 있어서 무결성이 기밀성보다 중요하다.

클락윌슨 - 무결성 관점에서 접근통제 모델, 객체는 오직 프로그램을 통해 접근