위험 평가 과정에서 지식 기반 분석 방법, 모델 기반 분석 방법, 정성 분석 및 정량 분석 등 다양한 운영 방법을 사용할 수 있습니다. 두 경우 모두 * * * 의 목표는 조직의 정보 자산이 직면한 위험과 영향, 현재 보안 수준과 조직의 보안 요구 사항 간의 차이를 파악하는 것입니다. 첫째, 지식 기반 분석 방법 기본 위험 평가에서 조직은 지식 기반 분석 방법을 사용하여 현재 보안 상태와 기준 보안 표준 간의 차이를 파악할 수 있습니다. 경험 방법이라고도 하는 지식 기반 분석 방법에는 규모, 비즈니스 목표, 시장 등 유사한 조직의 "모범 사례 재사용" 이 포함됩니다. ) 및 일반 정보 보안 커뮤니티에도 적용됩니다. 지식 기반 분석 방법을 사용하면 조직은 많은 노력, 시간 및 자원을 투입할 필요가 없습니다. 다양한 채널을 통해 관련 정보를 수집하고, 조직의 위험과 현재 보안 조치를 식별하고, 특정 표준이나 모범 사례와 비교하고, 부적합을 찾아내고, 표준이나 모범 사례의 권장 사항에 따라 보안 조치를 선택하기만 하면 됩니다. 결국 위험을 줄이고 통제하는 목적을 달성할 수 있습니다. 지식 기반 분석 방법, 가장 중요한 것은 평가 정보 수집입니다. 정보 출처는 1 입니다. 회의 토론 현재의 정보 보안 정책 및 관련 문서를 검토하십시오. 설문지를 작성하고 설문 조사를하십시오. 4. 관계자를 인터뷰합니다. 5. 현장 답사를 진행하다. 평가 작업을 단순화하기 위해 조직은 조직이 특정 기준 요구 사항을 충족하는 설문지를 작성하고 답을 종합적으로 분석하여 특정 기준과 비교한 후 최종 추천 보고서를 제공하는 데 도움이 되는 보조 자동화 도구를 사용할 수 있습니다. 시중에는 이런 도구들이 많이 있는데, Cobra 는 전형적인 것이다. 둘째, 모델 기반 분석 방법 200 1 1 CORAS 라는 프로젝트, 즉 보안 핵심 시스템 위험 분석 플랫폼은 그리스, 독일, 영국, 노르웨이 등 국가의 여러 상업 회사와 연구기관이 공동으로 개발했습니다. 이 프로젝트의 목적은 객체 지향 모델링, 특히 UML 기술에 기반한 위험 평가 프레임워크를 개발하는 것입니다. 보안 요구 사항이 높은 일반 시스템, 특히 IT 시스템의 보안을 대상으로 합니다. CORAS 는 기술, 인력 및 조직 보안과 관련된 모든 측면을 고려합니다. CORAS 위험 평가를 통해 조직은 IT 시스템의 기밀성, 무결성, 가용성, 부인 방지, 추적 가능성, 신뢰성 및 신뢰성을 정의, 획득 및 유지 관리할 수 있습니다. 기존의 질적 정량 분석과 마찬가지로 CORAS 위험 평가는 위험 식별, 위험 분석, 위험 평가 및 처리 프로세스를 따르지만 위험 측정 방법은 완전히 다르며 모든 분석 프로세스는 객체 지향 모델을 기반으로 합니다. CORAS 의 장점은 보안 관련 기능을 설명하는 정확도를 높이고 분석 결과의 품질을 높인다는 것입니다. 의사소통을 용이하게 하고 이해상의 편차를 줄일 수 있는 그래픽 모델링 메커니즘 다른 평가 방법 간의 상호 운용성의 효율성을 향상시킵니다. 잠깐만요. 셋째, 정량 분석 상세한 위험 분석을 할 때 지식 기반 평가 방법 외에 가장 전통적인 방법은 정량 및 정성 분석이다. 정량 분석 방법의 아이디어는 분명합니다. 위험을 구성하는 모든 요소와 잠재적 손실의 수준에 숫자 또는 화폐 금액을 부여합니다. 위험을 측정하는 모든 요소 (자산 가치, 위협 빈도, 취약점 활용 정도, 보안 조치의 효율성 및 비용 등) 가 ) 모두 할당이 있으며 위험 평가의 전체 프로세스와 결과를 수량화할 수 있습니다. 간단히 말해서, 정량 분석은 수치로 안전 위험을 분석하고 평가하는 방법이다. 정량적 위험 분석에는 노출 계수 (EF)-특정 위협이 특정 자산에 미치는 손실 비율 또는 손실 정도라는 몇 가지 중요한 개념이 있습니다. 단일 손실 예상 (SLE)- 또는 SOC (단일 발생 비용) 는 특정 위협으로 인해 발생할 수 있는 총 잠재적 손실입니다. 연간 발생률 (ARO)- 1 년 내 위협의 예상 빈도입니다. 연간 예상 손실 (ale)- 또는 EAC (예상 연간 비용) 는 특정 자산이 1 년 이내에 손실되는 예상 가치를 나타냅니다. 정량 분석 과정을 살펴보면 이러한 개념 사이의 관계를 알 수 있습니다. (1) 먼저 자산을 식별하고 자산에 값을 할당합니다. (2) 위협 및 취약성 평가를 통해 특정 위협이 특정 자산에 미치는 영향, 즉 EF (0%- 100% 사이) 를 평가합니다. (3) 특정 위협, 즉 ARO; 의 빈도를 계산하십시오. 을 눌러 섹션을 인쇄할 수도 있습니다 (4) 컴퓨팅 자산의 SLE:SLE = 자산 가치 × ef (5) 컴퓨팅 자산의 ALE:ALE = SLE×ARO 예를 들어, 한 회사가 50 만 달러를 투자하여 네트워크 운영 센터를 건설한다고 가정해 봅시다. 가장 큰 위협은 화재입니다. 화재가 발생하면 인터넷 운영센터의 예상 손실은 45% 이다. 소방서에 따르면 인터넷 운영센터가 있는 지역은 5 년마다 화재가 발생하기 때문에 ARO 가 0.20 이라고 추정한다. 이 회사의 네트워크 운영 센터의 ALE 은 위의 데이터를 기준으로 45,000 달러가 될 것입니다. 정량 분석을 위해 두 가지 가장 중요한 지표가 있는데, 하나는 사건 발생 가능성 (ARO 로 표시 가능) 과 위협적인 사건으로 인한 손실 (EF 로 표시) 입니다. 이론적으로 안전 위험은 정량 분석을 통해 정확하게 분류할 수 있지만, 참고할 수 있는 데이터 지표가 정확하다는 전제가 있다. 사실, 오늘날 점점 더 복잡해지고 변화하는 정보 시스템에서는 정량 분석의 기반이 되는 데이터의 신뢰성을 보장하기가 어렵습니다. 또한, 장기적인 데이터 통계의 부족, 계산 과정은 오류가 발생하기 쉽고, 분석의 정교화에 큰 어려움을 가져왔다. 따라서 현재의 정보 보안 위험 분석은 정량 분석 또는 순수 정량 분석 방법을 채택하고 있습니다. 넷. 정성 분석 정성 분석 방법은 현재 가장 널리 사용되는 방법으로 주관성이 매우 강하다. 일반적으로 분석가의 경험과 직감 또는 업계 표준과 관행에 의존하여 위험 관리의 다양한 요소 (자산 가치, 위협 가능성, 약점 이용의 난이도, 기존 통제 조치의 유효성 등) 의 크기나 수준을 질적으로 분류해야 합니다. ), 예: 높음, 중간, 낮음. 정성 분석 운영 방법은 그룹 토론 (예: 델피법), 목록, 설문지, 인터뷰, 조사 등 다양할 수 있습니다. 정성 분석은 비교적 조작하기 쉽지만 운영자 경험과 직관의 편차로 인해 분석 결과가 정확하지 않을 수도 있습니다. 정량 분석에 비해 정성 분석은 약간 좋지만 정확하지는 않지만 정량 분석은 반대입니다. 정성 분석은 정량 분석만큼 많은 계산 부담을 분석하지는 않지만, 분석가들은 어느 정도의 경험과 능력을 필요로 한다. 정량 분석은 대량의 통계에 의존하고 있지만 정성 분석에는 이러한 요구 사항이 없습니다. 정성 분석은 주관적이고 정량 분석은 객관적이다. 또한 정량 분석의 결과는 직관적이고 이해하기 쉽지만 정성 분석의 결과는 통일된 해석이 어렵다. 조직은 구체적인 상황에 따라 정성 또는 정량 분석 방법을 선택할 수 있다.