[정보보안기사] 위험관리3

1. 위험처리 전략

 1) 위험처리 절차

위험 식별
↓
                                       위험도 ≤ 목표 위험수준 Y→ 위험 수용(Acceprance)
N ↓
                                                        비용효과적 대책 존재 Y→ 위험 감소(Reduction, Mitigation)
N ↓
                                          적절한 보험 또는  Y→ 위험 전가(Transfer) 
전가 대상 존재
N ↓
위험 회피(Avoidance)

 

 2) 위험 수용 : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수함

 3) 위험 감소 : 사전 및 사후로 나뉨

 - 사전 : 자산의 취약점을 낮추는 통제수단으로 방화벽, 강한 인증 수단등

 - 사후 : 백업 프로세스 확립 또는 재난 복구 계획 개발 등 이중화

 4) 위험 전가 : 위험에 대한 책임을 제 3자와 공유함

 5) 위험 회피 : 자산 매각 또는 설계 변경 등 해당 위험이 실현되지 않도록 하는 것

 

2. 정량적 위험분석과 정성적 위험분석

 1) 정량적 위험 분석 : 위험분석 프로세스의 모든 요소에 대하여 금전적 가치와 숫자값을 부여하는데 사용

 2) 정량적 위험 분석 단계

 ① 자산에 가치 부여 : 자산에 가치 결정

 ② 각각의 위험에 대한 잠재적 손실 계산

  - 노출계수(%) 계산 : 조직이 입게되는 손실 비율

  - SLE(Single Loss Expectancy) 계산 : 한 번의 침해로 발생한 손실액으로 자산가치 * 노출계수

 ③ 위협 분석의 수행

  - ARO(Annualized Rate of Occurrence) 계산 : 1년 동안 특정한 위협이 발생할 수 있는 빈도

 ④ 개별 위협마다 전체 손실 예상액 도출

  - ALE(Annualized Loss Expectancy) 계산 : ARO * SLE

 

 3) 정성적 위험 분석 : 다양한 위험 가능성의 시나리오에 정성적 방법을 투영시켜 위험의 심각성과 자산 중요성의 순위를 정함

 

 4) 정량적, 정성적 방법 비교

구분	정량적 위험분석	정성적 위험분석
장점	● 객관적인 평가 ● 화페로 표현 되 납득이 더 잘됨 ● 위험관리 성능평가 용이 ● 이해하기 쉬움	● 가치를 평가 필요 없음
단점	● 계산이 복잡함하여 시간, 노력, 비용등 증가 ● 자동화 도구 사용 시 신뢰도가 벤더에 의존	● 측정기준이 주관적이어서 사람에 따라 달라짐 ● 위험 관리 성능 추적불가

 

5) 정량적, 정성적 방법 종류

구분	종류 및 해설
정량적 위험분석(객관적)	● 과거자료 분석법 : 과거의 자료를 통해 미래의 사건 발생 가능성 예측 ● 수학공식 접근법 : 위협의 발생빈도를 계산하는식으로 과거자료 획득의 어렵거나 위협 발생 빈도를 추정하여 분석하는데 용이 ● 확률 분포법 : 미지의 사건을 추정하는데 사용하는 방법으로 확률적 편차를 이용 단, 정확성은 낮다 ● 점수법 : 위험 발생 요인에 가중치를 두어 위험을 추정하는 방법
정성적 위험분석(주관적)	● 델파이법 : 전문적인 지식을 가진 전문가 집단이 다양한 위협과 취약점을 토론을 통해 분석 ● 시나리오법 : 일종조건 하의 위협에 대해 발생가능성 결과를 추정하는 방법 단, 정확성 완성도, 이용 기술 수준 등이 낮음 ● 순위결정법 : 비교 우위 순위결정표에 의해 위험항목들의 서술적 순위 결정 단, 위험 추정의 정확도가 낮음 ● 퍼지 행렬법 : 자산, 위험, 보안체계 등 위험분석 요소들을 정성적인 언어로 표현된 값을 사용하여 기대손실 평가