Security_Analysis

[정보보안] 위험관리(Risk Management) 본문

[정보보안기사] Study

[정보보안] 위험관리(Risk Management)

Positivie 2022. 11. 26. 00:29
728x90
반응형

위험관리

  • 위험의 구성요소 : 자산 / 위협 / 취약점 / 정보보호대책
    • 위험 : 위협과 취약점을 이용하여 자산에 손실 및 피해를 가져올 가능성을 의미
    • 자산 : 조직이 보호해야 할 대상
    • 위협 : 자산에 악영향을 줄 수 있는 사건 혹은 행위
    • 취약점 : 위협이 발생하기 위한 조건 혹은 상황
  • 위험평가 : 정보 혹은 정보처리기기에 대한 위협의 종류, 영향, 발생 가능성을 평가하는 행위 
  • 위험관리 : 자산에 대한 위험을 분석하고, DoA를 유지하는 것 
  • 위험관리계획 : 선택한 통제 목적, 방안이 무엇인지, 선택한 이유등을 문서화 하는 것
  • 위험분석 : 자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별분류하고, 잠재적 손실에 대한 영향분석하는 것
  • 위험대응 : 위협에 대응하여 자산을 보호하기 위한 관리 · 물리 · 기술적 대응책
  • 위험회피 : 위험의 영향이 자산 가치보다 큰 경우, 계획을 변경하여 발생 가능성 자체를 없애 버리는 것 (사업축소)
  • 위험전이 : 제 3자에게 위임하여 위험관리에 대한 부담을 감소시키는 것 (보험가입)
  • 위험수용 : 위험을 인지하였으나, 별도로 통제하지 않고 위험의 잠재적 손실 비용을 감수하는 것 
  • 위험감소 : 위험을 감소시킬 수 있는 대책을 채택하여, 구현하는 방법으로 많은 비용이 소모

 위협 취약성을 공격

 취약성 자산을 노출시킴

 자산 가치를 보유

 위협, 취약성, 자산 위험을 증가시킴

★ 위험이 현실화되면 보안요구사항으로 변함

★ 보안요구사항 충족하면 정보보호대책이 됨

★ 정보보호대책은 위협을 방어함으로써 위험을 감소시킴 

위험분석 접근법

  • 베이스라인 접근법 : 모든 시스템에 표준화된 보안 수준을 정의하고, 체크리스트 형태로 보호대책을 선택하는 방법
  • 비정형 접근법 : 구조적인 방법론에 기반하지 않고, 경험자의 지식을 사용하여 위험분석 하는 방법
  • 상세위험분석 : 분석모델에 기초하여 자산, 위협, 취약성을 분석하는 방법으로 정성적 / 정량적 방법이 존재
  • 복합접근법 : 고위험 영역은 상세위험분석 수행 / 그 외에 영역은 베이스라인 접근법 적용하며, 비용과 자원을 효과적으로 사용하지만 대상이 불명확시 자원을 낭비할 수 있음

위험 분석 방법론

  • 정량적 분석 방법
    • 손실액과 같은 숫자 값으로 표현하는 방법이며,
    • 객관적인 평가기준으로 적용되고,
    • 비용과 이익에 대한 평가가 필수적으료 요구된다.
      • 민감도 분석
      • 금전적 기대값 분석
      • 몬테카를로 시뮬레이션
      • 의사결정 나무 분석
      • 과거자료 분석법 : 과거의 자료를 통하여 위험발생 가능성을 예측하는 방법으로, 자료가 많으면 분석의 정확도가 높아지지만, 과거에 발생하였던 사건이 미래에 발생할 수 있는 확률이 낮다.
      • 수학공식 접근법 : 위험발생 빈도를 계산하는 식을 이용하여 위험의 계량화를 하는 방법
      • 확률분포법 : 미지의 사건을 확률적으로 편차를 이용하여 최저, 보통, 최고 위험평가를 예측하는 방법이지만 정확성이 낮다.
  • 정성적 분석 방법
    • 어떠한 위험 상황에 대한 부분을 매우높음, 높음, 중간, 낮음 등으로 표현하는 방법이며,
    • 정보자산에 대한 수치화가 불필요하기 때문에 계산에 대한 시간과 노력이 적게 들지만,
    • 위험평가 과정과 측정기준이 일관되지 않고 주관적이고, 위험관리 성능을 추적할 수 없음
      • 델파이법 : 전문가 집단을 구성하여 평가 하는 방법이며, 짧은 기간안에 도출 가능하지만 위험 추정의 정확도가 낮음
      • 시나리오법 : 어떠한 사건도 기대대로 발생하지 않는다는 사실에 근거하여, 일정한 조건에서 위험 발생 가능성을 추정하고, 적은 정보를 가지고 추론하는 방법이지만, 발생 가능성의 이론적 추측에 불과하기 때문에 정확도가 낮음
      • 순위결정법 : 각 위협을 상호 비교하여 각종 위협요인의 우선순위를 도출하는 방법 으로, 정확도가 낮음
  • 위험관리 정량적 분석법
    • 단일 예상 손실액(SLE)
    • 연간 예상 손실액(ALE)
    • 자산가치(AV)
    • 노출계수(EF)
    • 연간발생률(ARO)
    • 영업이익(ROI)
  • 예시문제  
    • A회사의 위협요인은 침수이며, 과거 침수 발생 통계를 확인해보니 4년에 1회 정도 발생하였다.
      1회 침수에 대한 손실액은 100억에 상당하는 회사시설의 20% 정도이다. 
      이에 대해, A 회사는 새로운 보호대책으로 2가지 대책을 구현하였다. 
      (1). 1억원 상당의 소방설비 구입 및 상시 배치 
      (2). 침수 발생시 25억을 지급하는 보험 가입 하되, 해당 보험수수료는 1년에 1억이다.  

      Q) A회사의 단일 예상 손실액은 얼마인가??
      A) 자산가치 : 100억 / 노출계수 : 20%
          AV(100억) * EF(20/100=0.2) = SLE(20억)

      Q) A회사의 연간 예상 손실액은 얼마인가??
      A) 단일 예상 손실액 : 20억 / 연간발생율 : 4년에 1회 => 0.25 
         SLE(20억) * ARO(0.25) = 5억 
728x90
반응형