해당 가이드라인은 정보보호관리체계 인증 혹은 재평가 과정을 수행하는 조직을 위한 위험관리 가이드다. 위험 관리의 전반적인 프로세스와 ISO/IEC 13335-1을 기반으로 한 다양한 위험 분석 방법론에 대한 내용이 포함되어 있다. 자산, 취약성, 위협 평가를 바탕으로 위험을 분석하고, 이에 대한 위험 처리 전략 및 정보보호 계획 수립에 관한 내용을 다루고 있다. 종합적으로, 조직이 효과적으로 위험을 최소화하여 정보보호를 달성하기 위한 체계적인 접근법을 제시하고 있다.
출처
1. 개요
- 대상: 정보보호관리체계 인증을 수행하는 조직, 위험을 재평가하는 시점의 조직
- 가이드 시리즈 (현 가이드는 3에 해당)
2. 위험 관리 개요
- 위험 관리
- 자산 위험을 감수할 수 있는 수준으로 유지하기 위해 분석 및 대책 마련 과정
- 단계
- 위험 평가 + 위험 완화
- (위험 분석 + 위험 평가) + 위험 완화
- 이 모든 용어를 구분하지 않고 비슷한 뜻으로 사용하기도 함
- 정보보호 관리 과정에 위험 관리는 포함되어 있음
- 과정
- 전략과 계획 수립
- 위험 구성 요소 분석
- 분석에 기초에 위험 평가
- 필요한 정보보호 대책 선정
- 이를 구현할 계획 수립
3. 위험 분석 방법론
3.1. 위험의 구성요소
위험의 정의
- 원치 않은 사건의 발생으로 손실을 입을 가능성
- 확률 법칙으로 계산 가능
- f(자산, 위협, 취약성)
- 자산은 대응책이 없더라도 영향을 받지 않는 경우가 있음 → 취약점이 없다고 표현
위험 구성 요소
- 자산
- 조직이 보호해야 할 대상 (무형자산 포함)
- 위험 분석을 위해 사고 발생 시 자산의 손실이 파악되어야 함
- 자산이 회사에 대해 갖는 가치를 우선 평가한 후, 특정 위협에 손상되는 정도를 취약성으로 파악
- 위협
- 원치 않는 사건의 원인이자 행위자
- 환경적 요인과 인간에 의한 것으로 분류 가능, 인간에 의한 것은 의도적인 것과 우연한 위협으로 분류
- 각 위협의 발생 가능성이 파악되어야 함 (다만, 위협의 발생과 성공은 다름을 유의)
- 취약성
- 자산의 잠재적 속성으로, 위협의 이용 대상 혹은 정보보호대책의 미비
- 자산과 위협 간의 관계, 특정 위협이 발생할 때마다 어느 정도의 피해가 발생할지 취약성 값으로 표현
- 정보보호 대책
- 위협에 대응해 자산을 보호하는 관리적, 기술적 대책
- 조직의 환경과 문화에 적합한 대책을 선정하고, 구축 및 운영 비용을 동시에 고려해야 함
- 완벽한 보호대책은 없으므로, 위험 제거의 효과를 평가해야 함
3.2. 위험 분석 방법론
- ISO/IEC 13335-1에 근거하여 전략을 4가지로 분류
베이스라인 접근법
- 모든 시스템에 대해 표준화된 보안 대책 세트를 체크리스트로 제공
- 즉, 체크리스트에 있는 보안 대책이 구현되어 있는지를 판단하고, 없는 것은 구현
- 예시: BS 7799나 ISO 17799를 사용한 갭 분석
- 장점: 비용과 시간이 매우 크게 절약
- 단점: 적합한 체크리스트가 존재하지 않으면 적정 수준의 보호를 제공하기 어려움, 담당자가 체크리스트에만 주목해 구현 용이성에 따라 대책을 구현할 가능성 존재
비정형 접근법
- 경험자의 지식을 사용하여 분석 수행
- 장점: 빠르고 비용이 저렴함, 작은 규모 조직에 적합
- 단점: 검토자의 경험과 전문성에 크게 의존, 경험이 적은 위험 영역을 놓칠 수도 있음
상세 위험 분석
- 잘 정립된 모델에 기초해 자산, 위협, 취약성 분석의 각 단계를 수행 및 위험을 평가
- 장점: 자산 및 요구사항을 구체적으로 분석해 가장 적절한 대책 수립 가능, 상세 목록이 작성되었으므로 변경에 대처 용이
- 단점: 시간과 비용이 많이 소요됨, 고급 인적 자원이 요구됨
- 절차
- 자산 분석: 자산을 유형별로 분류해 목록 작성 및 요구 정도(비밀성, 무결성, 가용성) 평가, 이에 기초해 각 보안 사고가 자산에 미치는 영향(손실) 산정
- 위협 및 취약성 분석: 발생 가능한 위협을 목록화하고, 가능성을 예측. 또한, 취약성을 자산 별로 확인해 정도를 결정
- (기 설치된) 보안대책 평가: 위에서 파악된 원천 위험에 대해 이미 설치되어 있는 보호대책의 효과를 평가함
복합 접근법
- 고위험 영역을 식별해 상세 위험분석을 수행, 이외 영역은 베이스라인 접근법 사용
- 장점: 비용과 자원을 효율적으로 사용
- 단점: 고위험 영역이 잘못 식별되면, 부적절한 대응의 가능성 존재
3.3. 위험 평가
위험 규모 평가
- 위험 분석에서 산출된 자산의 가치와 위협, 취약성의 정도에 따라 기밀성, 무결성, 가용성 손상에 따른 잠재적 손실의 규모를 평가
- 정량적 방식: 자산을 금액으로, 위협을 연간 발생 횟수,. 취약성을 %로 평가
- 정성적 방식: 자산, 위협, 취약성이 3단계 또는 5단계로 평가
목표 위험 수준 및 우선순위 결정
- 모든 위험을 제거하는 것은 불가능, 불필요하므로 수용 가능한 목표 위험 수준을 설정하고 이상의 위험에만 대응
- 목표 위험 수준은 조직의 경영 책임자가 결정해야 함 (투자 규모, 현재 조직의 위험 수준 등을 고려)
- 위험의 존재를 경고하고 경영진에게 대안을 제시하는 것은 위험 분석 수행 책임자의 의무임
- 수용할 위험과 수용할 수 없는 위험을 분류하고, 위험의 규모에 따라 우선순위를 정함
4. 위험 처리
4.1. 위험 처리 전략
- 현재 상태가 조직의 위험 수용 범위를 넘는다면 이를 처리해야 함
- 위험 처리 방안을 어떤 순서와 조건으로 선택할지 전략을 먼저 수립해야 함
위험 수용
- 현재의 위험을 받아들이고, 잠재적 손실 비용을 감수
위험 감소
- 위험을 감소시킬 대책을 채택해 구현
- 대책 구현에 드는 비용과 실제 감소되는 위험의 크기를 비교하여 비용 효과 분석을 실시함
위험 회피
- 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기
위험 전가
- 보험, 외주 등 잠재적 비용을 제3자에게 이전하거나 할당
4.2. 정보보호 대책 선정
- 정보보호관리체계 인증을 목적으로 한다면, 심사기준에서 제시하는 통제사항과 이에 따른 대책을 선정할 수 있음
- 적용된 기술, 적용되는 법과 제도, 시간, 조직 문화 등 여러 제약 조건이 고려되어야 함
- 이렇게 선택된 각 통제사항이 비용, 효과 분석을 통해 정당화되어야 함
4.3. 정보보호 계획 수립
프로젝트 구성
- 위험 감소 대책이 마련되면, 유사 대책들을 효과적으로 구현할 수 있는 프로젝트로 통합
- 즉시 교정 가능한 취약점 제거
- 정책 및 절차 수립
- 정보보호 시스템 도입 및 관련 교육
- 모니터링 및 감사
- 프로젝트들의 우선순위 및 계획을 수립
구현 계획 수립
- 프로젝트별 예산, 구현 일정, 세부 내용, 책임 등이 포함된 계획 수립
- 실제 프로젝트를 수행하고, 영향 받는 부서들의 책임자와 실무자가 반드시 참여해야 함
- 해당 계획은 최고경영진이나 정보보호책임자 등의 최종 의사 결정권자가 명시적으로 승인해야 함
정보보호 대책 명세서 작성
- 모든 통제사항에 대해 선택한 이유나 선택하지 않은 이유를 기입한 명세서를 작성해야 함
- 선정된 정보보호 대책의 명세, 구현 확인 근거, 선정되지 않은 목록, 선정되지 않은 근거 등 포함