차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판
이전 판
risk [2013/07/11 17:04]
wiki1122
risk [2013/08/23 12:41]
220.126.64.155
줄 1: 줄 1:
 ====== 위험분석 관리 ====== ====== 위험분석 관리 ======
-(출처 : KISA) 
- 
-===== 위험분석 방법론 ===== 
- 
-정보기술 보안 관리를 위한 국제 표준 지침인 ISO/IEC 13335-1에서는 위험분석 전략을 크게 4가지로 나눈다. 이들은 베이스라인 접근법(Baseline approach), 비정형 접근법(Informal approach), 상세 위험분석(Datailed risk analysis), 복합 접근법(Combined approach)이다. 
- 
-1. 베이스라인 접근법 
- 
-베이스라인 접근법은 모든 시스템에 대하여 표준화된 보호대책의 세트를 체크리스트 형태로 제공한다. 이 체크리스트에 있는 보호대책이 현재 구현되어 있는지를 조사하여,​ 구현되지 않은 보호대책을 식별한다. 
-  
-이러한 방식은 분석의 비용과 시간이 대단히 절약된다는 장점은 있으나, 과보호 또는 부족한 보호가 될 가능성이 상존하게 된다. 즉, 그 조직에 적합한 체크리스트가 존재하는 경우가 아니라면 위험분석을 하지 않는 것과 유사한 상태가 된다. 또한 이런 방식은 조직의 자산 변동이나 새로운 위협/​취약성의 발생 또는 위협 발생률의 변화 등 보안환경의 변화를 적절하게 반영하지 못한다는 점이 있다. 
-그리고 체크리스트 방식은 담당자로 하여금 보안 상태 자체보다 체크리스트를 통해 나타나는 점수에 집착하게끔 하여 보안요구사항에 따른 우선순위보다는 구현 용이성에 따라 정보보호대책을 구현하게 되는 경향이 나타나기 쉽다. 
- 
-2. 비정형 접근법 
- 
-비정형 접근법(Informal approach)은 구조적인 방법론에 기반하지 않고, 경험자의 지식을 사용하여 위험분석을 수행하는 것이다. 이 방식은 다음에 설명할 상세 위험분석보다 빠르고 비용이 덜 든다. 특정 위험분석 방법론과 기법을 선정하여 수행하지 않고 수행자의 경험에 따라 중요 위험 중심으로 분석한다. ​ 
-이러한 방식은 작은 규모의 조직에는 적합할 수 있으나 새로이 나타나거나 수행자의 경험분야가 적은 위험 영역을 놓칠 가능성이 있다. ​ 
-논리적이고 검증된 방법론이 아닌, 검토자의 개인적 경험에 지나치게 의존하므로 사업 분야 및 보안에 전문성이 높은 인력이 참여하여 수행하지 않으면 실패할 위험이 있다. 
- 
-3. 상세 위험분석 
- 
-상세 위험분석(Detailed risk analysis)은 ​ 자산분석,​ 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것이다. 방법론에 따라서는 취약성 분석과 별도로 설치된 정보보호대책에 대한 분석을 수행하기도 한다. 이러한 방식은 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있으며, 자산, 위협, 취약성의 목록이 작성, 검토되었으므로 이후 변경이 발생하였을 때 해당 변경에 관련된 사항만을 추가, 조정, 삭제함으로써 보안 환경의 변화에 적절히 대처할 수 있다. 
-그러나 이런 방식은 분석에 시간과 노력이 많이 소요되며 채택한 위험분석 방법론을 잘 이해해야 하므로 비정형 접근법과 마찬가지로 고급의 인적 자원이 필요하다. 
- 
- 
-4. 복합 접근법 
- 
-복합 접근방법(Combined approach)은 고위험(high risk) 영역을 식별하여 상세 위험분석을 수행하고,​ 그 외의 다른 영역은 베이스라인 접근법을 사용하는 방식이다. 이 방식은 비용과 자원을 효과적으로 사용할 수 있으며, 고위험 영역을 빠르게 식별하고 적절하게 처리할 수 있다는 장점이 있어 많이 사용된다. 그러나 고위험 영역을 잘못 식별하였을 경우 위험분석 비용이 낭비되거나,​ 부적절하게 대응될 수 있다. 
- 
  
 +  * [[:​risk:​위험분석 방법론]]
 +  * [[:​risk:​위험]]
 +  * [[:​risk:​취약점]]
 +  * [[:​risk:​위험관리]]