○ 정보자산에 대한 잠재적 및 알려진 취약점과 위협으로 인해 발생할 수 있는 조직의 피해와 현재 구현된 통제의 실패 가능성 및 영향을 평가시 위험수용수준을 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위 확보를 지원하여야 한다.
○ 위험관리기법
- 위험감소 : 위험에 대한 적절한 통제를 수행하는 것으로 위험 수준을 감소시키는 것
- 위험회피 : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것
- 위험전가 : 위험에 대한 책임을 제3자와 공유하는 것(보험가입)
- 위험수용 : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것
○ 정보보안의 목적 : 기밀성(C), 무결성(I), 가용성(A)
○ 위험관리계획 수립 시 업무영향분석(BIA)을 통해 업무의 우선순위 선정 및 보호대책수준을 도출한다.
○ ISO에서 제시하는 정보보호관리체계의 라이프사이클
- Plan - Do - Check - Act
○ 위험분석을 구성하는 요소
- 자산 : 조직이 보호해야할 대상으로 조직의 업무와 연관된 정보, 정보시스템 시설, 인력 등
- 위협 : 정보 및 유형 등에 피해를 주어 시스템이나 조직에 손실을 유발할 수 있는 잠재적인 요소
- 취약점 : 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의
○ 정보보호대책
- 예방통제 : 발생가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제
· 물리적 접근통제 : 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 통제
· 논리적 접근통제 : 승인을 받지 못한 사람이 정보통신망을 통하여 자산에 대한 접근을 막기 위한 통제
- 탐지통제 : 위험을 탐지하는 통제로 예방통제를 우회하여 발생되는 문제점을 찾아내기 위한 통제
- 교정통제 : 탐지된 위협이나 취약점에 대처하거나 위협을 줄이거나 취약점을 감소시키는 통제
○ 복합적 접근방법
- 개념 : 고위험 영역을 식별하여 해당영역은 세부위험분석을 수행, 다른 영역은 기준선 접근방식을 사용
- 장점 : 비용과 자원을 효율적으로 사용 가능, 고위험 영역을 빠르게 식별 및 처리
- 단점 : 고위험 영역이 잘못 식별되었을 경우 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있음
○ 정보보호목표
- 기밀성 : 오직 인가된 사람, 프로세스, 시스템만이 알 필요성에 근거하여 시스템에 접근
- 무결성 : 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 함
- 가용성 : 정당한 사용자는 필요시 항상 시스템에 접근하여 사용할 수 있어야 함
- 인증 : 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는 데 사용되는 성질
- 부인방지 : 행위나 이벤트의 발생을 증명하여 나중에 그런 행위나 이벤트를 부인할 수 없도록 하는 것
※ 함께 보면 좋은 글
'정보보안기사' 카테고리의 다른 글
| [정보보안기사] 2022년도 1회차(19회) 필기 시험 합격 후기 (0) | 2022.05.19 |
|---|---|
| [정보보안기사] 실기대비 요약 #15(정보보호 일반) (0) | 2022.04.19 |
| [정보보안기사] 실기대비 요약 #13(정보보호 일반) (0) | 2022.04.18 |
| [정보보안기사] 실기대비 요약 #12(침해사고 분석 및 대응) (0) | 2022.04.17 |
| [정보보안기사] 실기대비 요약 #11(침해사고 분석 및 대응) (0) | 2022.04.16 |