4 환경분석(2)
- 취약한 위험 정의 Define valnerability threat
- 현황분석을 통하여 정보자산을 갖고 있는 위협 및 취약성을 정의
- Gap Analysis를 통하여 파악된 자산 별 위협 및 취약성 리스트 작성
- 각각의 자산, 그 가치 및 관련 취약성에 대한 관련 위험요소를 열거
- 자산과 위협 및 취약성을 연계하여 위험 시나리오를 작성
- 산출물 : 취약점/위협 리스트, 위험평가 시트
- 취약점, 위협 정보의 출처| Internal company resource : Security incident report, Results or system audits & security reviews 등| External Database and Web site Resource : CERT, SANS, CIAS, AUSCERT, SURFNET, NIST, FIRST, KISA
- 위협 분류 예시
| 사람(고의적) | 절도, 통신 침투, 자원 오용, 정보 시스템 손상, 접근 오용 |
| 사람(고의/실수) | 분실, 바이러스 감염, 정보 / 시스템 손상, 접근 오용 |
| 시스템 | 소프트웨어 장애, 하드웨어 장애 |
| 환경 | 내부적/외부적 환경 재해, 전력 장애, 통신 장애 |
| 관리적 | 운영적 취약석, 인적 취약성, 정보보호 관리 취약성 |
| 기술적 | 컴퓨터/통신 관리 취약성, 정보보호 시스템/개발 취약성 |
| 물리적 환경적 | 물리적 취약성, 환경적 취약성 |
- 위험 평가 Risk Assessment
- 정보자산들의 가치를 산정한 후 그 자산에 존재하는 위협 및 위약성에 대한 위험수준을 평가하여 위험도 산출
- 정보자산 오너 또는 자산의 가치에 대해 가장 잘 아는 사람에 의해 평가
- 정보자산의 위험 시나리오에 따른 기밀성, 무결성, 가용성 측면의 위험도 산출
- 위험평가에 따른 자산 별/영역별 위험분석
- 산출물 : Risk analysis report
- 위험 평가 방법론| 3가지 변수를 어떻게 도출하느냐 선택의 문제 | 1) 정보처리 매체를 중심으로 한 위험평가 방법론 : 취약점/시나리오로 수행 가능 | 2) 업무 중심의 위험평가 방법론 : ISO27005에서 언급한 정보/업무/프로세스를 자산으로 식별| 3) 이슈를 중심으로 한 위험평가 방법론 : 복잡한 위험평가 방법론에서 담당자가 쉽게 위험을 식별할 목적의 평가
- 안랩 ASEM 프로세스
AhnLab | 소개 및 특장점
정보보호컨설팅은 정보보호 컨설턴트로 구성된 전문가 그룹이 보안진단을 통해 위협을 분석하고, 대책을 수립하여 최적의 정보보호 시스템을 구축하기 위한 방법을 제공합니다.
www.ahnlab.com
- 위험 개선 Risk Treatment
- 위험 평가에 따른 관리해야 할 위험 수준을 정의하고 위험을 관리하여 '수용 가능한 위험' 수준으로 낮춤
- 선택된 통제 방안과 기타 정보보호 대응책을 비교하여 효과적인 개선안을 선정
- 기본적 필수 대책 > 자산 종류에 따른 대책 > 위험도에 따른 대책 > 정보보호대책명세서
- 조치해야 하는 위험 숫자 제시, DoA 설정에 따른 조치 비용 및 기간 등을 개략적으로 제시| DoA : Degree of Assurance, 수용 가능한 위험 수준 > 기준점
- 산출물 : Risk Treatment Plan, 정보보호 정책, 지침 개선
- 위험 개선 방법
# 위험 개선 방법
1. Selecting Cntrols
- 통제는 다음을 만족시키도로 구상하고 선택해야함
- 보안 요구사항의 충족
- 위협으로부터의 보호 (not 감소)
- 취약성의 감소
- 사고의 영향을 제한 (영향의 최소화)
2. Implementing the controls
- 이행을 위한 계획은 다음 사항을 포함하여 개발되어야 함
- 우선순위, 이행 일정, 필요 예산, 책임사항, 필요한 교육훈련 활동
3. Training and Awareness
- 교육훈련 및 인식제고의 필요성이 식별되어야 함
- 교육훈련 및 인식제고 프로그램을 개발해야 함
- 해당 프로그램은 통제 항목이 이행될 때 이행되어야 함
4. Risk Management Activites
- 통지, 평가, 관리, 복구, 검토
- Master Plan 수립
- Risk treatment 결과를 기준으로 구현하기 위한 실행계획 수립
- 우선순위 설정, 일정계획 설정, 이행방안 수립
- 산출물 : Master plan
# Master Plan 수립 절차
1. 운영전략 수립
- 조직의 정보보호 수준을 향상시키기 위한 운영전략 수립
- 조직의 관리 활동을 이행하고 관리체계를 고도화
2. 추진 과제 도출
- 위험 평가를 통해 도출된 우선 관리해야 할 위험 시나리오들에 대한 대책을 그룹화하여 액션 도출
- 영역별로 분리하여 정보보호 이슈를 개선하기 위한 추진 과제를 수립
3. 우선 순위 도출
- 보안성, 긴급성, 적용성 기반으로 우선순위 선정, 총 5등급
- 우선 순위 점수 = 부문별 평가자의 등급 점수의 합
5 기본 및 고려사항
- 기본 사항 : 맞춤법, 구어체, 수동태 어법, 감상적 표현, 고객 용어 사용, 용어 통일
- 고려 사항
- 보고 대상 : 보고를 받는 대상
- 요약 : 보고서에 대한 요약, 결과 및 권고 사항 중 핵심사항
- 보고서 작성 후 고도화 작업 진
