[정보보안기사] 위험관리

- 위험의 구성요소

1. 자산 : 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소 (유/무형)

2. 위협 : 자산에 손실을 초래할 수 있는 사건의 잠재적 원이 또는 행위자

3. 취약점 : 위협의 이용 대상이 되는 것

 

- 위험분석 방법론

1. 기준접근법(Baseline Approach)

 - 체크리스트 형태로 제공

 - 큰 규모보단 작은 규모에 어울림

장점	단점
● 자원과 비용 절약 ● 보안 대책 시행하는데 시간 노력 최소화 ● 조직 내 시스템 동일 조치 조치 가능	● 조직의 특징과 시스템이 사용되는 방법에 따라 달라져 위험이 차이 고려 불가 ● 기본 통제 수준이 너무 높으면 비용 과다하게 지출 ● 반대로 낮으면 취약점 그대로 노출

 

2. 비정형화된 접근법(informal Approach)

 - 전문가 의존형 접근법으로서 내부 전문가일수도 있고, 외부 보안 컨설턴트 일 수 있음

 - 중소규모 조직에 추천

장점	단점
● 위험 분석이 비교적 빠르게 수행 및 비용이 적게 발생	● 전문성에 의존하므로 일부 위험 누락 가능성 발생 ● 수행자의 주관적 판단이므로 결과가 바뀔 수 있음

 

3. 상세 위험분석(Detailed risk analysis)

 - 자산의 식별, 자산에 대한 위협 및 취약점 식별, 위험이 일어날 가능성 및 조직에 미칠 결과 그리고 조직에 노출되는 위험을 결정하는 여러 단계

장점	단점
● 보안 위협에 대해 상세하게 살펴봄	● 상단한 비용 발생 ● 분석에 소요되는 시간 때문에 지연이 발생 가능성 있음

 

4. 통합된접근법(Combined Approach)

 - 복합 접근방법으로 위 3가지(정형화, 비정형화, 상세 위험 분석)을 상황에 맞게 복합적으로 사용

장점	단점
● 비용 및 자원 효과적으로 사용 ● 고위험 영역을 빠르게 식별 및 처리	● 초기위험평가(베이스라인 접근법)가 정확하지 않을 경우 위험 분석이 필요한 시스템 누락 발생 가능성 존재 ● 고위험 영역 잘못 식별 되었을 경우 비용 낭비