정보보호개론] 19. 정보시스템 위험분석관리

2013.05.17 13:09

정보시스템 위험분석관리

정보시스템 위험관리

  - 보안관리 과정에서 가장 중요한 요소 중 하나

  - 조직 내 주요한 자산의 가치 및 민감도를 측정하고 이에 대한 위협 및 취약성을 분석하여 위험을 측정하고 이를 조직에 적합한 위험수준으로 조정하기 위해 보안 대책을 선택하는 일련의 활동

  - 위험분석과 위험관리는 상호 보완적

  - 위험분석은 보안대책을 수립할 때 근거

  - 위험관리는 위험분선에서 나온 근거를 바탕으로 적절한 수준의 보안대책을 수립하고 정보의 무결성, 가용성, 비밀성 등을 유지할 수 있도록 하는데 목적


위험관리

  - 위험관리는 자산에 대한 위험을 분석하고 비용효과적 측면에서 적절한 대책을 수립함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정

  - 체계적인 위험분석 과정 필요

  - 위험분석이 정확히 수행되지 않거나 그에 따른 위험관리가 제대로 이루어 지지 않으면 보안대책 효력 감소

  - 위험분석을 포함하는 위험관리는 위험분석단계에서 측정된 위험을 감수하거나 보호대책을 수립함으로써 위험을 제거 혹은 감소시키는 과정을 거쳐 적절한 보호 대책을 선정하고 이를 구현, 시험한 후 새로운 보호대책을 포함하여 잔류 위험의 재평가를 수행하는 총체적 과정으로 이루어짐


위험분석

  - 자산의 취약성을 식별하고 존재하는 위험을 분석하여 이들이 발생가능성 및 위협이 미칠 수 있는 영향을 파악하여 보안위험의 내용과 정도를 결정하는 과정

  - 위험은 잠재적 위협이 현실화되어 나타날 손실액과 이러한 손실이 발생할 확률의 곱(잠재적 손실액)

  - PBL공식 (B<PL)

     · B : 보호대책을 구현하는데 필요한 비용

     · P : 손실이 일어날 확률

     · L : 특정사건에 대한 총체적 손실


위험분석의 요소

 • 자산

   - 데이터, 정보, 하드웨어

   - 손실은 영향이라고도 하며 보안사고가 자산에 미치는 결과로 정의

   - 자산식별과정 : 자산을 분류하고 그 가치를 파악하여 손실발생시 전체의 영향을 분석하는 과정

 • 위협

   - 손실을 발생시키는 원인이나 행위자로 정의

   - 자연재해에 의한 위협, 인간에 의한 위협(의도적, 비의도적)

 • 취약성

   - 취약성의 존재는 위협이 없으면 손실로 이어지지 않지만, 위협요소들이 침입할 수있는 근거가 됨

   - 반면, 위협이 있다해도 시스템에 해당 취약성이 없다면 그 위협은 손실을 발생시키지 않음

 • 보호대책

   - 취약성을 위협으로부터 보호하기 위해 수립하는 대책

   - 물리적 대책, 기술적 대책, 절차적 대책

 • 위험

   - 보안위험은 이득 기회가 없는 순수위험(투기적 위험X)

   - 위험관리에서 위험은 위협과 자산의 함수임


위험분석 방법론

 • 정량적 방법론

   - 손실 및 위험의 크기를 금액으로

   - 과거자료분석법 : 과거의 자료로 위험발생 가능성 예측

   - 수학공식접근법 : 위협의 발생빈도를 계산하는 식을 이용하여 위험을 계량

   - 확률통계법 : 확률적 편차를 이용하여 최저, 보통, 최고의 위험평가를 추정

   - 점수법 : 위험발생요인에 가중치를 두어 위험을 추정

 • 정성적 방법론

   - 손실이나 위험을 개략적 크기로 비교하는 방법

   - 델파이법 : 시스템에 관한 전문가를 구성하고 위험을 분석 및 평가하여 정보시스템의 위협을 토론

   - 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정조건하의 위협에 대해 추정

   - 순위결정법 : 비교우위 순위결정표에 위험 항목들의 서술적 순위를 결정하는 방법

 • 홉합접근방법

   - 일차적으로 정성적 방법을, 특정한 관심사에 대해서는 정량적 접근법을.

 

또루아빠 보안 ,