5-1 정보 보호 관리(정보 보호의 개요)

 

기타 특성

 

1. 책임 추적성은 내부 정보에 침해행위가 발생한 경우, 각 객체의 행위를 유일하게 추적할 수 있음을 보장하는 것

2. 인증성은 어떤 주체나 객체가 정당한 사용자임을 확인하는 것

3. 신뢰성은 의도한 행위에 따른 결과의 일관성을 보장하는 것

4. 부인 방지는 송신 부인방지, 수신 부인방지하는 것

5. 접근 통제는 비인가자의 접근 통제, 주어진 권한만 사용하는 것

 

 

정책, 표준, 지침, 절차의 정의 및 특성

 

1. 정책은 조직의 경영 목표를 반영하고, 정보보호 관련 상위 정책과 일관성 유지

2. 표준은 조직의 환경 또는 요구사항에 따라 관련된 모든 사용자가 준수하도록 요구되는 규정

3. 지침은 정보보호 정책에 따라 특정 시스템, 특정 분야별로 정보보호 활동을 필요한 세부 정보 설명

4. 절차을 만족하기 위하여 수행하야 하는 사항을 순서에 따라 단계적으로 설명

 

정보보호 정책의 목표, 필요성과 특징

 

1. 목표는 조직의 고위 경영진이 생각하는 신념과 지향하는 목표 그리고 달성하고자 하는 내용의 성명서(Statement)

2. 필요성은 정보보호 관리자가 네트워크의 안전 여부, 제공기능, 편의성에 관하여 결정할 때 만들어짐

3. 특징은 수용 가능한 지침 또는 다른 적절한 방법을 수립하고, 시스템 관리절차를 통한 구현이 가능해야 함

 

 

위험 관리 계획

1. 위험 분석은 통제되거나 수용할 필요가 있는 위험을 확인하는 거

2. 위험 평가의 목적은 적절하고 정당한 보안 대책은 선정하고 식별하기 위하여, 시스템 및 자산이 노출된 위험 평가

3. 대책 선정의 허용 가능 수준으로 평가된 위험을 줄이기 위하여 적절하고 정당한 대책을 식별 및 선정

 

위험분석 방법론

 

1. 베이스라인 접근법은 모든 시스템에 대하여 표준화된 보호 대책의 항목들을 체크리스트 형태로 제공

 

장점: 분석 비용과 시간 절약 / 단점: 과보호 또는 부족한 보호가 될 가능성이 있음

 

2. 비정형 접근법은 구조적인 방법론에 의하지 않고, 경험자의 지식을 사용하여 위험분석 수행

 

장점: 상세 위험 분석보다 빠르고 비용 절약 / 단점: 새롭게 나타나거나 경험이 적은 위험영역을 놓칠 가능성이 있음

 

3. 상세 위험 분석은 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험평가

 

장점: 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있으며, 자산, 위협, 취약성 목록을 작성 및 검토했기 때문에 이후 변경이 발생했을 때, 해당 변경에 관련된 사항만을 추가, 수정, 삭제해서 대처

 

단점: 채택한 위험분석 방법론을 잘 이해해야 하므로, 비정형 접근법과 마찬가지로 고급의 인적 자원 필요

 

4. 복합 접근법은 고위험 영역을 식별하여 상세위험 분석 수행하고, 다른 영역은 베이스라인 접근법을 사용

 

장점: 고위험 영역을 빠르게 식별하고, 적절하게 처리할 수 있음/ 단점: 고위험 영역을 잘못 식별했을 경우

 

 

 

정량적 위험 분석은 손실 및 위험의 크기를 금액으로 나타냄. 즉 위험을 손실액과 같은 숫자로 표현

 

1. 연간 예상 손실(ALE) = 단일예상손실* 연간 발생률 / 단일예상손실(SLE) = 자산 가치 * 노출 계수

 

2. 과거 자료 분석법은 과거의 자료를 통하여 위험 발생 가능성을 예측하는 방법

 

장점: 위협에 대한 과거 자료가 많을수록 분석의 정확도가 상승/ 단점: 과거 사건 중 빈도가 낮은 자료에 대한 적용 어려움

 

3. 수학 공식 접근법은 위협의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법

 

장점: 과거 자료의 획득이 어려운 경우 위험 발생빈도르 추정/ 단점: 기대 손실을 추정하는 자료의 양이 적음

 

4. 확률 분포법은 미지의 사건을 추정하는 데 사용되는 방법

 

장점: 미지의 사건을 확률적 편차를 이용하여 최저, 보통, 최고의 위혐평가를 예측할 수 있음

 

단점: 확률적으로 추정하는 방법이기 때문에 정확성 낮음

 

 

정성적 위험분석은 손실이나 위험을 개략적인 크기로 비교

 

1. 델파이법은 전문가 집단을 구성하고, 위험 분석, 평가하여 직면한 위협과 취약성을 토론을 통하여 분석하는 방법

 

장점: 위헙 분석을 짧은 기간에 도출할 수 있으므로 비용 절약/ 단점: 추정의 정확도 낮음

 

2. 시나리오법은 어떤 사건도 예상대로 발생하지 않는다는 사실에 근거하여, 일정 조건하에서 위협 발생 가능한 결과 추정

 

장점: 적은 정보를 가지고 전반적인 가능성 추론 / 단점: 발생 가능한 사건이 이론적인 추측에 불과하다

 

3. 순위 결정법은 비교운위 순위 결정표로, 위험 항목의 서술적 순위를 결정하는 방법

 

장점: 위험 분석 소요 시간과 분석해야 하는 자원의 양이 적음/ 단점: 위험 추정의 정확도 낮음