위험정리

위험 : 위협이 취약성을 이용하여 자산에 피해를 입힐 수 있는 잠재적인 가능성

위험 관리 : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지

*위험 관리의 절차

-현황 분석

-위험 식별

-위험 측정

-위험 산출

-위험 조치

-위험 수용

*크게 위험 평가와 위험 분석이 있다.

위험 관리의 이점은 불필요한 투자를 방지 한다는 것에 있다.

*위험 구성요소들 간의 관계(그림)

위험 관리 방법론 선정 시 내부 위험 관리 기준에 따라 위험평가를 실시

위험 관리 방법론 고려 사항

1)위험 평가 실시

2)계획 수립

3)위험 규모 평가

4)위험 우선 순위 결정

위험관리 절차

1. 검토 범위

2. 자산 식별

-자산 분석, 영향을 고려, 자산별 가치, 업무에 대한 의존도,  

3. 자산가치, 기존 보안대책, 취약성, 위협 평가

4. 위험 평가

5. 대책 선택

위험 평가의 전략

-베이스 라인 접근법 : 분석의 비용과 시간이 절감, 과보호 또는 부족한 보호, 체크리스트 갱신 필요성

-비 정형 접근법 : 경험자의 지식을 사용하여 위험 분석, 빠른 시간 노력 절감

-상세 위험 분석 : 자산분석+위협 분석+취약성 분석의 각 단계를 수행하여 위험을 평가

-복합 접근법

위험 평가의 방법

-정량적 접근법 : ALE를 계산 = SLE*연간 발생률

-정성적 접근법 : 주관적, 분석시간이 짧음

정성적 분석 방법

1) 델파이법 - 전문가 집단의 의견과 판단을 추출하고 종합하기 위하여 동일한 전문가 집단에게 설문조사를 실시, 추정이라 정확도가 낮지만 짧은 시간 비용

2) 시나리오법 - 어떠한 사실도 기대대로 발생하지 않는다. 정확성이 낮음. 작은 과거자료로 

3) 순위 결정법 - 비교우위순위 결정표

정량적 분석 방법 - 숫자로 나타냄

1) 과거자료 분석법 - 과거자료를 통하여 위험 발생 가능성을 예측하는 방법

2) 수학공식 접근법 - 과거 자료분석법이 어려울 경우 사용되는 방법, 위협 발생빈도를 계산

3) 확률 분포 법 - 미지의 사건을 확률 적으로 편차를 이용하여 최저/보통/최고 위험평가를 예측하는 방법.

*수용가능한 위험수준은 DoA라 한다.

자산의 관리 절차

1. 자산의 관리 정책 수립

-자산 유형, 취급 및 관리 기준을 수립, 관리 계획

-소유자, 자산 관리자 책임과 역할

-절차와 방법

-신규 도입, 변경 폐기 자신의 생명주기

-중요도 평가 원칙 절차 정의

2. 자산의 조사 및 식별

-정보자산, 문서, 소프트웨어, 시설, 하드웨어, 인력

-전자적 형태, 종이 매체, 소프트 카피, 장소

3. 자산의 분류 및 등록

-자산 유형, 식별 번호, 자산 명, 자산의 설명, 소유자, 중요도 등급

4. 자산의 가치 평가

-장애 복구 목표 시간 RTO

-위험 발생 가능성

-침해사고 발생시 피해 규모

5. 자산의 변경 관리

위협이란

-자산에 손실을 일으키는 원인이나 행위

위협 분석

-발생 빈도, 피해 종류, 발생 가능성, 피해 대상

-영향, 주기, 가능성

관리적 점검

-ISMS 보안통제에 근거하여 취약점 점검

-정책 및 지침 준수 여부

-정보 교육

기술적 점검

-방화벽

-접근통제

-IPS, IDS

물리적 점검

-출입 통제 관리 시스템

-잠금 장치

-장비의 위치

취약점 진단 절차

-자산 조사 및 분석

-진단 대상 선정

-제약 사항 및 일정 확인

-진단 수행

-결과 분석

-보고서 작성

위험관리 절차

1) 정보 자산 식별 및 그룹핑

2) 위험 분석

3) 수용 가능한 위험 수준의 결정

4) 정보보호 대책 선택

자산 그룹핑

-자산의 중요도 등을 고려하여 유사한 자산을 묶는 절차

-중요도, 유사성, 위치, 소유자, 용도

*동일 작업을 반복하지 않아도 됨.