2011년 6월 3일 금요일

위험관리

PLT 30 위험관리
위험관리의 정의
  • l 조직이 업무를 수행함에 있어서 관련 정보시스템들을 식별하고, 정보시스템들이 가지고 있는 고유이 약점인 취약점을 파악하고, 이런 취약점을 이용하여 위험을 발생시키는 위협요소들을 도출하며, 위험이 주는 잠재적 영향을 조사하여 효과적인 보안대책을 수립하는 과정
  • l 조직의 목표를 달성하기 위해 필요한 정보시스템 자원들에 대해 영향을 있는 불확실한 사건들 , 위험요소를 식별, 평가 , 그리고 최소화시키는 일련의 과정

위험관리 일반모델

위험관리의 요소
자산정보시스템을 비롯해서 정보시스템 운영과관련된 모든 가치 있는 요소를 가르킨다. 즉, 정보시스템 운영과 관련된 요소들에 한정하며 하드웨어, 운영체제, 응용 소프트웨어, 네트워크, 데이터, 사용자, 환경적 요소 등이 있다.
취약성조직, 하드웨어, 소프트웨어, 절차, 관리 등과 같은 자산이 잠재적으로 갖고 있는 약점, 취약성은 그 자체로서 손상을 초래하지는 않으며 단순히 위협이 자산에 영향을 줄 수 있는 조건만 제공한다.
위협자산에 해를 줄수 있는 위험의 원천이며, 위협을 통해서 정보시스템이나 서비스가 취급하는 정보의 분실 또는 접근 불가, 직/간접적으로 비인가된 파괴, 누설, 수정 등과 같은 결과를 초래한다.
영향보안사고가 자산에 미치는 결과를 말하며, 결과는 특정 자산의 파괴, 기밀성/무결성/가용성의 상실, 또는 조직의 이미지 손상과 같은 간접적인 손실 등 모두 포함한다.
위험특정 위협이 취약성을 이용하여 자산을 공격해서 손상을 초래할 수 있는 잠재력이다. 위험은 보통 위험발생 확률과 영향의 결합에 의해 결정지어질 수 있으며 자산의 가치와 위협수준에 의해 결정될 수도 있다.


위험관리 절차
1. 위험 평가 단계
정보시스템을 운영하는데 필요한 모든 요소들에 관련된 잠재적인 위협을 식별하고, 위협을 통해 발생할 수 있는 위험을 분석하여 위험수준을 측정하는 활동을 말한다. 위협 평가, 취약성 평가, 영향 평가 및 대응책 결정 등의 과정을 거친다. 그리고 위험수준 산출은 취약성수준, 위협수준, 위협발생 확률, 영향 및 자산의 가치를 고려하여 산출한다.

2. 위험 감소 단계
위험평가 단계에서 나온 결과를 토대로 적절한 대응책을 구현하고, 평가하고, 우선순위를 결정하여 위험을 수용범위 수준까지 감소시키는 활동을 말한다. 평가된 위험 모두를 감소시키거나 위험을 100% 감소시키는 것은 현실적으로 불가능하기 때문에 조직의 목표, 보안정책, 보안예산 등을 반영하여 수용범위 수준으로 위험을 감소시키도록 한다.

3. 평가 단계
정보시스템 운영에 있어서 정보시스템의 확장, 변경, 갱신, 인력의 교체, 조직의 보안정책의 변경 등으로 나타날 수 있는 위험관리 프로세스 변경에 대해서 지속적으로 평가하고 수정해 나가는 일련의 활동을 말한다. 평가는 주기적으로 수행해야 하며, 평가를 통해서 식별된 변경사항에 대해서는 반드시 위험분석을 통해서 조직의 보안 목표와 정책에 맞게 위험관리 프로세스를 수정해야 한다.
위험평가 단계
위험감소 단계
평가 단계
- 자산식별
- 위협평가
- 취약성평가
- 영향평가
위험정도 결정
- 위험정도 우선순위에 따른 대응책 목록 작성
- 비용효과분석
- 적절한 대응책 설정
- 대응책 구현 계획 수립 및 실행
위험정도 우선 순위에 따른 최적의 대응책 실행
- 정보시스템들의 변경사항 식별
- 인력 변경 식별
- 보안정책 변경확인
- 위험관리 프로세스의 수정
- 주기적인 평가 활동 수행
실용적이고 효율적인 위험관리 프로세스 유지


위험관리 대상
위험요소
위험관리 대응조치
인력 부족
유능한 인력모집 또는 사전 확보, 팀 구성, 교육 수행
비현실적
일정/예산
더 세부적인 비용, 일정 예측, 원가 분석
잘못된 SW개발
사용자 회람, 프로토타이핑, 사용자 지침서의 조기 작성, 조직분석, 직능분석
잘못된 UI개발
프로토타이핑, 시나리오 작성, 태스크 분석, 사용자 분류(기능, 스타일, 업무)
계속된 요구 변경
최대 변경 상한선, 점증적 개발, 다음 버전까지 변경 연기
실시간 성능 빈약
시뮬레이션, 벤치마킹, 모델링, 프로토타이핑, 튜닝
기술적 취약
기술분석, 프로토타이핑


위험관리 향후 과제
  • 최근 해킹, 테러, 재난재해 등 정보시스템의 상시운영을 위협하는 다양한 사건들이빈번하게 일어나고 있으나, 대부분의 경우 주로 사후대책에 그치고 있음
  • 위험분야별 대응책에 대한 분류 및 표준화 방안수립이 요구됨
  • 기술적 보호대책 뿐만 아니라 관리적, 물리적인 위험관리 방안도 함께 수립되고 운영되어야 함
  • 기술적인 위험을 정략적으로 측정하기 위해 위험분석 자동화 도구의 개발 및 활용이 필요

댓글 없음:

댓글 쓰기

ETL 솔루션 환경

ETL 솔루션 환경 하둡은 대용량 데이터를 값싸고 빠르게 분석할 수 있는 길을 만들어줬다. 통계분석 엔진인 “R”역시 하둡 못지 않게 관심을 받고 있다. 빅데이터 역시 데이터라는 점을 볼때 분산처리와 분석 그 이전에 데이터 품질 등 데이...