정보보호 위험 관리

정의
- 위험으로부터 자산을 보고하기 위해 비용 대비 효과적인 보호대책을 마련하는 것

1. 위험의 구성 요소

- 그림으로 이해하기

위험, 위협, 자산, 취약점

2. 위험분석 방법론
1) 기준 접근법
- 체크리스트 형태로 현재 구현되어 있는 것부터 파악하여 없는 것 구현
- 소규모 조직에 적합
2) 비정형화된 접근법
- 위험 분석을 개인의 지식과 전문성 활용
- 위험 분석 실시하는 전문가는 내부 전문가 일 수도 외부 컨설턴트 일 수도 있다.
- 중소규모 조직
   * 장점
- 개인의 지식과 전문성을 활용하기에 빠르고 비용이 적게 든다.
   * 단점
- 일부 위험들은 취약한 상태로 방치될 수 있다(why? 개인의 주관적인 방법때문에)
3) 상세위험분석
- 정형화되고 구조화된 프로세스
- 조직의 자산을 파악하고, 조직의 가치 및 중요도 산출 (정량적, 정성적 위험분석)
   * 장점
- 가장 상세하게 분석
   * 단점
- 시간, 자원, 분석 수행에 대한 비용이 많이 듦.
4) 통합된 접근법
- 고위험 영역 식별하여 상세위험분석 실시, 나머지 영역 기준 접근법 시행
   * 장점
- 위험평가의 유연성을 가짐
   * 단점
- 고위험 영역을 잘못 식별할 경우, 비용 낭비 및 잘못된 대응이 있을 수 있음.
- 기준 접근법 시행이 정확하지 않을 경우 일정시간 취약한 상태로 방치

* 정량적 위험분석 (외우기 쉽게 수량)
- 금전적 가치, 숫자값 부여(객관적), 수학적 접근
1. 자동위험분석방식
- 모든 데이터 수집 및 결과값 자동살출도구 이용
2. 정량적 위험분석의 단계
   1) 자산에 대한 가치 결정
   2) 잠재적손실계산
     - 노출계수(%)
     - SLE(한번 발생한 침해로 인한 손실액) = 자산가치 x 노출계수
   3) 연간 위협 발생률
     - ARO
   4) ALE(개별 위협마다 전체 손실액) = ARO x SLE

3. 분석법 종류 (과거에 수학공식 중 확률을 공부했으나, 점수 꼴지)

  1) 과거자료분석법

     - 과거 자료를 바탕으로 미래에 발생할 사건을 예측하는 방법, 과거자료가 많을 수록 정확도 높아짐.

     - 과거 자료 중 발생 빈도가 낮은 자료는 적용이 어려움.

  2) 수학공식 접근법

     - 위협의 발생 빈도를 계산하는 식을 이용하여 위험 수치를  확인하는 방법. 위험을 정량화하여 간결하게 볼 수 있음.

     - 기대 손실 자료 양이 적음

  3) 확률 분포법

     - 확률 편차를 이용하여 최저, 보통, 최고 등급으로 위험 분석 예층

     - 잘 안맞음

  4) 점수법

     - 위험 발생 요인에 집중하여 위험 예측하는 방법.

     - 소요시간 적고, 분석 빠르나, 정확성 떨어짐.

 

* 정성적 위험분석 (정성들여서 사람이 분석)
- 판단, 직관, 경험토대로 진행(주관적)
1. 분석법 종류 (영화 타짜 모여서 시나리오쓰고있네 대사기억하며, 순위잡는 화투)

   1) 델파이법

     - 전문가 집단이 모여 토론으로 위험 분석 및 평가

     - 지식과 토론으로만 위협요소 추정으로 정확도 낮음

   2) 시나리오법

     - 어떤 사건도 기대대로 일어나지않는다는 사실에 근거하여 일정 조건 하에 위협이 발생할 가능성을 측정

     - 이론적인 추측이며, 정확성 떨어짐

   3) 순위결정법

     - 위협의 우선순위 결정

     - 소요시간 및 분석량 적음, 정확성 낮음

   4) 퍼지 행렬법

     - 자산 가치의 크고 적음을 화폐가치로 표현, 위협발생확률의 높고 낮음을 수학적으로 계산

 

3. 위험처리

 1) 위험 수용

   - 위험을 받아들이고 수용함. 손실비용 감수

 2) 위험 감소

   - 위험결과를 줄이거나, 발생가능한 위험을 낮추는 대책

 3) 위험 전가

   - 제3자에게 전가(보험이나, 다른기관과 계약)

 4) 위험 회피

   - 위험이 존재하는 사업을 포기하거나, 위험이 실현되지 않게 함