Study/Security
[정보보안기사 실기] 위험과 관련된 실기 기출 문제 정리
solze
2024. 11. 22. 00:29
728x90
내가 헷갈려서 정리하는 키워드 '위험', 뭐가 이렇게 많아?
하이라이트는 단답형 답으로 출제됐던 것들 😭
위험도
개인정보보호위원회와 한국인터넷진흥원에서 발간한 "개인정보영향평가 수행 안내서"의 위험도 산정 공식
자산가치(영향도) + (침해요인 발생 가능성 * 법적 준거성) * 2
위험 관리
자산 및 시스템의 위험을 평가하여, 수용 가능한 수준으로 위험을 완화하기 위한 대응책을 수립하는 일련의 과정
- 정보보호 대책 : 내외부 위협과 취약점으로 인해 자산에서 발생 가능한 위험을 감소시키기 위한 관리적, 물리적, 기술적 대책
- 잔여 리스크(위험) : 정보보호 대책을 적용한 이후에 잔재하는 위험
- 수용 가능한 위험 수준(DoA) : 조직에서 수용 가능한 목표 위험 수준을 의미하며 경영진의 승인을 받아 관리해야 함
- 자산 : 위협으로부터 보호해야 할 대상
- 위협 : 자산에 손실을 발생시키는 원인이나 행위
- 취약점 : 위협에 의해 손실이 발생하게 되는 자산에 내재된 약점
위험관리 3단계
- 위험 분석 : 자산의 위협과 취약점을 분석하여 보안 위험의 종류와 규모를 결정하는 과정
- 위험 평가 : 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 기존의 보호대책을 파악하고 위험의 대응 여부와 우선 순위를 결정하기 위한 평가 과정
- 대책 선정 : 허용가능 수준으로 위험을 줄이기 위해 적절하고 정당한 정보보호 대책을 선정하고 이행 계획을 수립하는 과정
위험관리를 위한 정보자산 분석 절차
- 정보자산 식별 : 보호받을 가치가 있는 자산을 식별하고, 이를 정보자산의 형태, 소유자, 관리자, 특성 등을 포함하여 자산 목록을 작성
- 자산 관리자 지정 : 식별된 정보자산에 대하여 책임자 및 관리자 지정
- 정보자산 중요도 평가 : 식별된 자산에 대해 침해 사고가 발생할 경우 그 영향을 기밀성, 무결성, 가용성 측면에서 파악하여 자산의 중요도를 산정
ISO/IEC에서 정의한 위험 관리 모델
위험 평가
ISO 31000 위험평가 방법론에 따른 위험평가 절차
- 위험 식별 : 운영 실패, 공급망 중단 또는 인재 격차와 같은 외부 및 내부 위험을 고려하여 잠재된 위험 식별
- 위험 분석 : 확인된 위험이 조직의 목표 및 운영에 미칠 가능성과 잠재적 영향을 분석
- 위험 평가 : 조직의 위험 감수성(Risk Appetite), 수용 능력, 위험과 보상 간의 균형을 고려하여 위험 허용 수준(DoA) 결정하고, 위험의 중요성에 따라 위험 처리 필요성을 결정
ISO 27005에 포함된 위험평가(Risk Assessment) 절차
- 위험 식별 : 잠재적인 손해 발생의 근원을 밝혀내기 위하여, 자산, 위협, 현 통제 현황, 취약점을 식별하는 단계
- 위험 분석 : 시나리오별 영향 및 발생 가능성을 객관적, 주관적인 방법으로 분석하는 단계
- 위험 수준 평가 : 사전에 마련된 기준에 따라 분석된 위험 목록의 우선순위를 산정하는 단계
ISMS-P 인증 평가 항목
- 1.2.1(정보자산 식별) : 조직의 업무특성에 따라 정보자산 분류 기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별/분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
- 1.2.3 (위험평가) : 조직의 대내외 환경분석을 통해 유형별 위협 정보를 수집하고, 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하여, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
중요도
위험 평가 수행 시 자산을 식별하고, 식별된 자산의 가치를 평가하는 기준으로 CIA(기밀성, 무결성, 가용성) 측면을 고려하여 자산의 중요도를 산정한다.
위험 분석
- DoA (Degree of Assurance, 위험 허용(수용) 수준 : 위험을 모두 제거하는 것은 현실적으로 불가능하므로, 수용가능한 수준으로 경감시키기 위한 보호대책을 마련하는 것이 중요하다.
- 위험이 낮으면 원칙적으로 비용절감을 위해 그냥 두는 것이 맞나? X (보호대책의 효과성을 주기적으로 평가하여, 위험수준을 지속적으로 모니터링 해야 함)
위험 분석 절차
- 자산 식별
- 자산 가치 및 의존도 평가
- 기존 보안대책 평가
- 취약성 평가
- 위험평가
위험분석 방법
| 델파이법 | 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법 |
| 시나리오법 | 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위험에 대한 발생가능한 결과들을 추정하는 방법 |
| 순위결정법 | 비교 우위 순위결정표에 따라 위험 항목들의 서술적 순위를 결정하는 방법 |
| 퍼지행렬법 | 자산, 위협, 보안체계 등 위험분석 요인들을 정성적 언어로 표현된 값을 사용하여 기대손실을 평가하는 방법 |
위험분석 접근법
| 베이스라인 (기준) 접근법 |
모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 표준화된 체크리스트를 기반으로 선택하는 방식 |
| 상세 위험 분석 | 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 방식 |
| 복합 접근법 | 고위험 영역을 식별하여 상세 위험분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식 |
위험 처리
| 위험 전가 | 보험, 보안관제 등 제3자에게 전가 |
| 위험 수용 | 잠재적 손실 비용 감수 |
| 위험 감소 | 백업, 프로세스 확립 및 이중화 |
| 위험 회피 | 사업 수행 포기 |
728x90