질문 2: 위험 평가는 무엇을 의미합니까?
위험 평가에 대해 이야기할 때 먼저 위험, 자산, 영향, 위협, 약점 등 일련의 용어를 떠올립니다. 이 용어들은 이해하기 어렵지 않지만, 일단 종합적으로 고려하면 구령처럼 결합될 것이다. 예를 들어, ISO/IECTR13335-1:1996 의 위험 정의는 특정 위협이 자산 약점을 이용하여 자산 손실이나 손상을 초래할 수 있는 잠재적 가능성으로 해석될 수 있습니다.
위험 평가는 정보 자산에 대한 위협, 약점, 영향, 그리고 포괄적인 영향이 위험을 초래할 수 있는 가능성을 평가하는 것입니다. 위험 평가는 위험 관리의 토대로서 조직이 정보 보안 요구 사항을 파악하는 중요한 방법이며, 조직 정보 보안 관리 시스템의 계획 프로세스입니다.
위험 평가의 주요 임무는 다음과 같습니다.
조직이 직면한 위험을 식별합니다
위험 확률과 가능한 부정적인 영향을 평가하다.
조직의 위험 부담 능력을 결정합니다.
위험 감소 및 통제의 우선 순위 결정
위험 감소 대책을 추천합니다
위험 평가 과정에서 고려해야 할 몇 가지 주요 문제가 있습니다. 첫째, 보호할 대상 (또는 자산) 은 무엇입니까? 그것의 직간접적 가치는 무엇입니까? 둘째, 자산의 잠재적 위협은 무엇입니까? 위협을 일으키는 문제는 무엇입니까? 위협의 가능성은 얼마나 됩니까? 셋째, 자산에서 위협받을 수 있는 약점은 어디에 있는가? 사용하기가 얼마나 간단합니까? 넷째, 위협 사건이 발생하면 조직은 어떤 피해를 입거나 어떤 부정적인 영향을 받습니까? 마지막으로, 조직은 위험으로 인한 손실을 최소화하기 위해 어떤 보안 조치를 취해야 합니까?
위의 문제를 해결하는 과정은 위험 평가의 과정입니다.
위험 평가를 수행 할 때 몇 가지 해당 관계를 고려해야합니다.
각 자산은 여러 가지 위협에 직면할 수 있습니다.
여러 위협 소스 (위협 에이전트) 가 있을 수 있습니다.
각 위협은 하나 이상의 취약점을 활용할 수 있습니다.
세 가지 실행 가능한 위험 평가 방법
위험 관리 준비 단계에서 조직은 위험 평가 정책에 대한 고려를 포함하여 보안 목표에 따라 자체 보안 정책을 파악했습니다. 위험 평가 전략이란 실제로 위험 평가를 수행하는 방법입니다. 즉, 위험 평가가 지속되어야 하는 운영 프로세스와 모델을 규정하는 것입니다.
위험 평가의 운영 범위는 전체 조직, 조직 내 부서 또는 새로운 정보 시스템, 특정 시스템 구성 요소 및 서비스가 될 수 있습니다. 평가 시간, 강도, 개발 범위 및 깊이를 포함하여 위험 평가의 진행에 영향을 미치는 몇 가지 요소는 조직의 환경 및 보안 요구 사항과 일치해야 합니다. 조직은 상황에 따라 적절한 위험 평가 방법을 선택해야 한다. 현재 실제 업무에서 자주 사용되는 위험 평가 방법에는 기준 평가, 상세 평가 및 포트폴리오 평가가 포함됩니다.
기준 요소 평가
조직의 업무 운영이 복잡하지 않고 정보 처리 및 네트워크에 대한 의존도가 높지 않거나, 조직의 정보 시스템이 대부분 일반적이고 표준화된 모델을 채택하는 경우, 기준 위험 평가는 조직 및 해당 비즈니스 환경의 모든 요구 사항을 충족하는 기본적인 보안 수준을 직접, 간단하게 달성할 수 있습니다.
기준 위험 평가를 통해 조직은 실제 상황 (업계, 비즈니스 환경, 성격 등) 에 따라 정보 시스템에 대한 보안 기준 검사를 수행합니다. () (기존 보안 조치를 보안 베이스라인에 지정된 보안 조치와 비교, 격차 파악) 및 표준 보안 조치를 선택 및 구현하여 위험을 줄이고 통제하는 기본적인 보안 요구 사항을 확보합니다. 안전기준이란 많은 표준과 규범에 규정된 안전통제 조치나 관행이다. 이러한 조치 및 관행은 특정 환경의 모든 시스템에 적용되며, 기본적인 보안 요구 사항을 충족하고 시스템을 일정한 보안 수준으로 유지할 수 있습니다. 조직은 다음 자원을 기준으로 보안 기준을 선택할 수 있습니다.
을 눌러 섹션을 인쇄할 수도 있습니다 BS 7799- 1 및 ISO13335-4 와 같은 국제 및 국가 표준
을 눌러 섹션을 인쇄할 수도 있습니다 독일 연방안보국 IT 기준 보호 매뉴얼과 같은 업계 표준 또는 권장 사항
을 눌러 섹션을 인쇄할 수도 있습니다 비슷한 비즈니스 목표와 규모를 가진 다른 조직의 관행.
물론, 환경과 비즈니스 목표가 전형적이라면, 조직도 자신의 기준선을 세울 수 있다.
기준 요소 평가는 자원이 적고 주기가 짧으며 조작이 간단하다는 장점이 있다. 기준 평가는 유사한 환경과 유사한 보안 요구 사항을 가진 많은 조직에서 가장 비용 효율적인 위험 평가 방법입니다. 물론, 기준선 평가에도 불가피한 단점이 있습니다. 예를 들어, 기준선 수준은 설정하기 어렵습니다. 너무 높으면 자원 낭비와 제한이 너무 많을 수 있다. 너무 낮으면 완전히 안전하기가 어려울 수 있습니다. 또한 보안 관련 변경 사항을 관리하기가 어렵습니다.
기준 요소 평가의 목표는 조직 전체에서 구현할 수 있는 정보 보안의 기본 목표를 충족하기 위한 최소한의 대책을 수립하는 것입니다. 특별한 요구 사항이 있는 경우 특정 시스템에 대해 보다 상세한 평가를 수행해야 합니다.
상세한 평가
상세한 위험 평가에서는 자산에 대한 상세한 식별 및 평가, 위험을 초래할 수 있는 위협 및 취약성 수준 평가, 위험 평가 결과에 따른 보안 조치 식별 및 선택이 필요합니다. 이러한 평가 방법은 위험 관리의 사고, 즉 자산의 위험을 식별하고 허용 가능한 수준으로 위험을 낮춤으로써 관리자가 취한 보안 통제 조치가 적절하다는 것을 증명하는 것입니다.
상세 평가의 장점은 다음과 같습니다.
을 눌러 섹션을 인쇄할 수도 있습니다 조직은 상세한 위험 평가를 통해 정보 보안 위험에 대한 정확한 이해를 통해 조직의 현재 보안 수준과 보안 요구 사항을 정확하게 정의할 수 있습니다.
을 눌러 섹션을 인쇄할 수도 있습니다 상세한 평가 결과는 보안 변경을 관리하는 데 사용할 수 있습니다. 물론 상세한 위험 평가는 시간, 에너지, 기술 등 자원을 많이 소비하는 과정일 수 있습니다. 따라서 조직은 평가할 정보 시스템의 범위를 신중하게 설정하고 비즈니스 환경, 운영 및 정보 자산의 경계를 정의해야 합니다.
조합평가
기준 위험 평가는 자원이 적고, 주기가 짧고, 조작은 간단하지만, 정확하지 않아 일반 환경 평가에 적용된다. 상세한 위험 평가는 정확하고 세밀하지만 리소스 소비가 많아 경계가 엄격한 작은 영역에서 평가하는 데 적합합니다. 하위 관행에 근거하여 조직은 대부분 두 가지를 결합한 조합 평가 방법을 채택하고 있다.
어떤 위험 평가 방법을 선택할 것인지 결정하기 위해 조직은 먼저 정보 시스템의 비즈니스 가치와 가능한 위험에 초점을 맞춘 모든 시스템에 대한 예비 고급 위험 평가를 실시하고, 고위험 또는 비즈니스 운영에 중요한 정보 자산 (또는 시스템) 을 파악합니다. 이러한 자산 또는 시스템은 상세한 위험 평가의 범위에 포함되어야 하며, 다른 시스템은 기준 위험 평가를 통해 직접 보안 조치를 선택할 수 있습니다.
이 평가 방법은 기준 평가와 상세한 위험 평가의 장점을 결합하여 평가에 사용되는 자원을 절약하고 평가 결과의 포괄성과 체계성을 보장합니다. 그리고 기관의 자원과 자금을 가장 효과적인 곳에 적용해 고위험 정보 시스템에 미리 집중할 수 있다. 물론, 조합 평가에도 단점이 있습니다. 이전 기간의 고급 위험 평가가 정확하지 않으면 상세한 평가가 필요한 일부 시스템이 무시되어 결국 결과가 부정확해질 수 있습니다.
위험 평가의 일반적인 방법
위험 평가 과정에서 지식 기반 분석 방법, 모델 기반 분석 방법, 정성 분석 및 정량 분석 등 다양한 운영 방법을 사용할 수 있습니다. 두 경우 모두 * * * 의 목표는 조직의 정보 자산이 직면한 위험과 영향, 현재 보안 수준과 조직의 보안 요구 사항 간의 차이를 파악하는 것입니다.
지식 기반 분석 방법
기준 위험 평가에서 조직은 지식 기반 분석 방법을 사용하여 현재 보안 상태와 기준 보안 표준 간의 차이를 파악할 수 있습니다.
경험 방법이라고도 하는 지식 기반 분석 방법에는 규모, 비즈니스 목표, 시장 등 유사한 조직의 "모범 사례 재사용" 이 포함됩니다. ) 및 일반 정보 보안 커뮤니티에도 적용됩니다. 지식 기반 분석 방법을 사용하면 조직은 많은 노력, 시간 및 자원을 투입할 필요가 없습니다. 다양한 채널을 통해 관련 정보를 수집하고, 조직의 위험과 현재 보안 조치를 식별하고, 특정 표준이나 모범 사례와 비교하고, 부적합을 찾아내고, 표준이나 모범 사례의 권장 사항에 따라 보안 조치를 선택하기만 하면 됩니다. 결국 위험을 줄이고 통제하는 목적을 달성할 수 있습니다.
지식 기반 분석 방법, 가장 중요한 것은 다음과 같은 평가 정보를 수집하는 것입니다.
을 눌러 섹션을 인쇄할 수도 있습니다 회의 토론
을 눌러 섹션을 인쇄할 수도 있습니다 현재의 정보 보안 정책 및 관련 문서 검토
을 눌러 섹션을 인쇄할 수도 있습니다 설문지를 작성하고 조사를 진행하다.
을 눌러 섹션을 인쇄할 수도 있습니다 관계자를 인터뷰하다.
을 눌러 섹션을 인쇄할 수도 있습니다 현장 답사를 진행하다.
평가 작업을 단순화하기 위해 조직은 조직이 특정 기준 요구 사항을 충족하는 설문지를 작성하고 답을 종합적으로 분석하여 특정 기준과 비교한 후 최종 추천 보고서를 제공하는 데 도움이 되는 보조 자동화 도구를 사용할 수 있습니다. 시중에는 이런 도구들이 많이 있는데, Cobra 는 전형적인 것이다.
모델 기반 분석 방법
200 1 1 그리스, 독일, 영국, 노르웨이의 여러 상업 기업 및 연구 기관이 공동으로 개발한 CORAS (보안 핵심 시스템 위험 분석 플랫폼) 라는 프로젝트입니다. 이 프로젝트의 목적은 객체 지향 모델링, 특히 UML 기술에 기반한 위험 평가 프레임워크를 개발하는 것입니다. 보안 요구 사항이 높은 일반 시스템, 특히 IT 시스템의 보안을 대상으로 합니다. CORAS 는 기술, 인력 및 조직 보안과 관련된 모든 측면을 고려합니다. CORAS 위험 평가를 통해 조직은 IT 시스템의 기밀성, 무결성, 가용성, 부인 방지, 추적 가능성, 신뢰성 및 신뢰성을 정의, 획득 및 유지 관리할 수 있습니다.
기존의 질적 정량 분석과 마찬가지로 CORAS 위험 평가는 위험 식별, 위험 분석, 위험 평가 및 처리 프로세스를 따르지만 위험 측정 방법은 완전히 다르며 모든 분석 프로세스는 객체 지향 모델을 기반으로 합니다. CORAS 의 장점은 보안 관련 기능을 설명하는 정확도를 높이고 분석 결과의 품질을 높인다는 것입니다. 의사소통을 용이하게 하고 이해상의 편차를 줄일 수 있는 그래픽 모델링 메커니즘 다른 평가 방법 간의 상호 운용성의 효율성을 향상시킵니다. 잠깐만요.
정량 분석
상세한 위험 분석에서 지식 기반 평가 방법 외에 가장 전통적인 방법은 양적 및 질적 분석이다.
정량 분석 방법의 아이디어는 분명합니다. 위험을 구성하는 모든 요소와 잠재적 손실의 수준에 숫자 또는 화폐 금액을 부여합니다. 위험을 측정하는 모든 요소 (자산 가치, 위협 빈도, 취약점 활용 정도, 보안 조치의 효율성 및 비용 등) 가 ) 모두 할당이 있으며 위험 평가의 전체 프로세스와 결과를 수량화할 수 있습니다.
간단히 말해서, 정량 분석은 수치로 안전 위험을 분석하고 평가하는 방법이다.
정량적 위험 분석에는 몇 가지 중요한 개념이 있습니다.
을 눌러 섹션을 인쇄할 수도 있습니다 노출 계수 (ef)&; Mdash& ampmdash 특정 위협이 특정 자산에 미치는 손실 비율 또는 정도입니다.
을 눌러 섹션을 인쇄할 수도 있습니다 단일 손실 예상 (SLE) 및 Mdash& ampmdash 또는 SOC(Single occurrence costs) 는 특정 위협으로 인해 발생할 수 있는 총 잠재적 손실입니다.
을 눌러 섹션을 인쇄할 수도 있습니다 연간 발생률 (aro)&; Mdash& ampmdash 는 1 년 내 위협의 예상 빈도입니다.
을 눌러 섹션을 인쇄할 수도 있습니다 연간 예상 손실 (ALE) 및 연간 예상 비용인 mdash& ampmdash 또는 EAC 는 1 년 동안 특정 자산의 예상 손실을 나타냅니다.
정량 분석 과정을 살펴보면 이러한 개념 사이의 관계를 볼 수 있습니다.
(1) 먼저 자산을 식별하고 할당합니다.
(2) 위협 및 취약성 평가를 통해 특정 위협이 특정 자산에 미치는 영향, 즉 EF (0%- 100% 사이) 를 평가합니다.
(3) 특정 위협, 즉 ARO; 의 빈도를 계산하십시오. 을 눌러 섹션을 인쇄할 수도 있습니다
(4) 자산에 대한 SLE 계산:
SLE = 자산 가치 ×; 높임 표시기
(5) 자산의 ALE 계산:
Ale = SLE ×; 공수 무선 거리 측정기
예를 들어, 한 회사가 네트워크 운영 센터를 짓기 위해 50 만 달러를 투자한다고 가정해 봅시다. 가장 큰 위협은 화재입니다. 화재가 발생하면 인터넷 운영센터의 예상 손실은 45% 이다. 소방서에 따르면 인터넷 운영센터가 있는 지역은 5 년마다 화재가 발생하기 때문에 ARO 가 0.20 이라고 추정한다. 이 회사의 네트워크 운영 센터의 ALE 은 위의 데이터를 기준으로 45,000 달러가 될 것입니다.
정량 분석을 위해 두 가지 가장 중요한 지표가 있는데, 하나는 사건 발생 가능성 (ARO 로 표시 가능) 과 위협적인 사건으로 인한 손실 (EF 로 표시) 입니다.
이론적으로 안전 위험은 정량 분석을 통해 정확하게 분류할 수 있지만, 참고할 수 있는 데이터 지표가 정확하다는 전제가 있다. 사실, 오늘날 점점 더 복잡해지고 변화하는 정보 시스템에서는 정량 분석의 기반이 되는 데이터의 신뢰성을 보장하기가 어렵습니다. 또한, 장기적인 데이터 통계의 부족, 계산 과정은 오류가 발생하기 쉽고, 분석의 정교화에 큰 어려움을 가져왔다. 따라서 현재의 정보 보안 위험 분석은 정량 분석 또는 순수 정량 분석 방법을 채택하고 있습니다.
정성 분석
정성분석법은 현재 가장 널리 응용되는 방법으로 주관성이 매우 강하다. 일반적으로 분석가의 경험과 직관 또는 업계의 표준과 관행에 의존하여 위험 관리의 다양한 요소 (자산 가치, 위협 가능성, 약점 이용의 난이도, 기존 통제 조치의 유효성 등) 의 규모 또는 수준을 질적으로 분류해야 합니다. ), 예: 높음, 중간, 낮음.
정성 분석 운영 방법은 그룹 토론 (예: 델피법), 목록, 설문지, 인터뷰, 조사 등 다양할 수 있습니다. 정성 분석은 비교적 조작하기 쉽지만 운영자 경험과 직관의 편차로 인해 분석 결과가 정확하지 않을 수도 있습니다.
정량 분석에 비해 정성 분석은 약간 좋지만 정확하지는 않지만 정량 분석은 반대입니다. 정성 분석은 정량 분석만큼 많은 계산 부담을 분석하지는 않지만, 분석가들은 어느 정도의 경험과 능력을 필요로 한다. 정량 분석은 대량의 통계에 의존하고 있지만 정성 분석에는 이러한 요구 사항이 없습니다. 정성 분석은 주관적이고 정량 분석은 객관적이다.
또한 정량 분석의 결과는 직관적이고 이해하기 쉽지만 정성 분석의 결과는 통일된 해석이 어렵다. 조직은 구체적인 상황에 따라 정성 또는 정량 분석 방법을 선택할 수 있다.