위험관리

위험은

예상되는 위협에 의하여 자산에 발생할 가능성이 있는 손실의 기대치로서

자산의 가치 및 취약성과 위협 요소의 능력, 보호 대책의 효과에 영향을 받는다.

[그림 1] 위험관리 흐름도

위험평가

- 자산에 대한 취약점 평가 후 자산에 대한 위협을 평가

- 위협의 발생 가능성, 위협에 대한 노출의 영향 평가

- 보안대책 평가, 잔여위험 평가

데이터 분류

정보자산을 그룹화하여 적절한 등급으로 분류하는 것

데이터 분류 기준

정형화 계층화 시키며 데이터의 가치와 유용성에 따라 분류한다.

Lifetime은 일정 기간이 지나면 자동으로 데이터의 분류를 해제한다.

Usefulness은 기존 데이터 대신 새 데이터가 만들어지면 분류를 해제한다.

1. 대다수 기업과 조직의 데이터 분류

- Public : 보호 없음

- Internal Use Only : 외부 노출 시 조직에 해를 입힐 수 있는 정보

(고객 명단, 납품단가, 정책, 내부 공지사항)

- Confidential : 노출될 경우 조직에 심각한 피해 발생

(영업비밀, 지적재산권, 신용정보, 건강기록 등)

2. 군/정부기관의 데이터 분류 기준

* Unclassified *

- Unclassified : 중요하지 않고 등급화되지 않은 데이터

- SBU (Sensitive But Unclassified)

: 노출되어도 심각한 피해를 입지 않는 데이터 

* Classified *

- Confidential : 노출되면 국가에 약간의 해를 끼치는 정보

- Secret : 노출되면 국가에 심각한 해를 끼치는 정보

- Top Secret : 노출되면 국가에 중대한 해를 끼치는 정보

3. 그 외의 데이터 분류 기준

- Sensitive : 민감한 정보이지만 심각하지 않음

- Private : IUO와 같은 의미로 회사 내 개인정보를 말함.

정성적 위험 분석(Qualitative Risk Analysis)

완화, 전이, 회피, 수용하기 위한 보안대책을 하고 잔여위험을 평가한다.

정량적 위험 분석(Quantitative Risk Analysis)

- 노출계수(%) 계산 : 특정 위협에 직면했을 때 입게 될 손실 비율

- SLE (Single Loss Expectancy) 계산 : 한 번의 침해로 발생한 손실액

   = 해당 자산가치 x 노출계수

- ARO (Annualized Rate of Occurrence) 계산

 : 위험이 1년 안에 성공적으로 발생할 확률

  과거 기록을 통해 추정한다.

  1년 안에 바이러스 감염 확률이 80%이면 ARO = 0.8 이다.

  보안대책 → 위험발생 억제 → 연간발생빈도 감소 → ARO 감소

- ALE (Annualized Loss Expectancy) 계산 : 연간 보안대책 계산

  = ARO X SLE

보안대책(Safeguard)으로 인한 가치 = (ALE1-ALE2)-ACS

ALE1 : 보안대책 전 ALE

ALE2 : 보안대책 후 ALE

ACS (Annual Cost of the Safeguard) : 보안대책의 연간 비용

어떤 보안대책 비용도 위험 비용을 넘어서는 안된다.

위험에 대한 대책

1. 위험 회피(Risk Avoidance)

다른 대안을 선택하여 해당 위험이 실현되지 않도록 하는 것

2. 위험 전이(Risk Transition)

다른 개체에 위험을 전이하는 것으로 비용을 동반한다.

3. 위험 완화(Risk Mitigation)

위험 수준을 제거하거나 감소시키는 것

4. 위험 수용(Risk Acceptance)

비용 대비 효과를 고려하여 비즈니스 목적상 위험을 수용하는 것

-----

정량적 과 정성적 위험 평가의 내용은 책을 참고해주시길 바랍니다.

위협원과 보고절차, 고려사항도 마찬가지입니다.