KR101616989B1 - 정보 보안 통제 상태 평가 방법 및 장치 - Google Patents

정보 보안 통제 상태 평가 방법 및 장치 Download PDF

Info

Publication number
KR101616989B1
KR101616989B1 KR1020140177428A KR20140177428A KR101616989B1 KR 101616989 B1 KR101616989 B1 KR 101616989B1 KR 1020140177428 A KR1020140177428 A KR 1020140177428A KR 20140177428 A KR20140177428 A KR 20140177428A KR 101616989 B1 KR101616989 B1 KR 101616989B1
Authority
KR
South Korea
Prior art keywords
security control
score
value
domain
security
Prior art date
Application number
KR1020140177428A
Other languages
English (en)
Inventor
이경호
유영인
김선주
조인현
윤현식
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020140177428A priority Critical patent/KR101616989B1/ko
Priority to US15/534,708 priority patent/US10452852B2/en
Priority to PCT/KR2015/008838 priority patent/WO2016093466A1/ko
Application granted granted Critical
Publication of KR101616989B1 publication Critical patent/KR101616989B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명에 따른 정보 보안 통제 상태 평가 방법은 각 도메인별로 각 보안 통제 항목의 준수 여부를 실사한 실사 데이터를 수신하는 단계, 각 통제 항목의 중요도 등급, 해당 통제 항목의 준수 정도 및 평가 관리자에 의하여 설정된 가중치에 기초하여 각 도메인별로 보안 통제 상태 평가 점수를 산출하는 단계, 각 도메인별 보안 통제 상태 평가 점수의 평균에 기초하여 각 도메인이 소속된 상위조직에 대한 보안 통제 상태 최종 평가 점수를 산출하는 단계, 및 산출된 보안 통제 상태 평가 점수 및 보안 통제 상태 최종 평가 점수를 출력하는 단계를 포함한다.

Description

정보 보안 통제 상태 평가 방법 및 장치 {METHOD AND APPARATUS FOR MEASUREMENT OF INFORMATION-SECURITY-CONTROLLING STATUS}
본 발명은 정보 보안 통제 상태 평가 방법 및 장치에 관한 것이다.
인터넷과 IT환경의 급속한 발전으로 정보화 사회로의 빠른 변화가 진행됨에 따라, 그 역기능으로써 정보유출 등의 문제가 발생되고 있다. 또한, 새로운 해킹 기법 및 바이러스의 출현, 내부자에 의한 보안 위험, 물리적인 보안 위험 등은 계속 증가하고 있는 실정이다.
기존의 위험 측정 시스템은 정보 보안과 관련된 모든 위협과 취약성을 종합 분석하여 정보 보안 위험을 도출함으로써 얻어지는 정보보안 위험 지수 산출 시스템이 아닌, 네트워크나 정보시스템 상에 내재하는 알려진 취약점을 점검하고, 네트워크나 시스템의 취약한 정도를 산출하는 취약점 분석 및 평가 시스템이었다.
한편, 일반적으로 가치는 개개인마다 평가 기준이 다르고, 특히 정보의 가치는 정보의 유기적인 연관성 때문에, 단순하게 단일 정보가 갖고 있는 현재의 가치만을 측정하기가 어렵다. 따라서, 통합적인 차원에서 정보의 가치를 평가하고, 평가된 결과에 적절한 정보보안통제가 필요하다.
이와 관련하여, 대한민국 공개특허 제 10-2002-0064639호(발명의 명칭: 사례 기반 추론과 구조적 위험 분석을 이용한 정보보안위험 분석 방법)에서는 과거의 가장 유사한 위험 분석 사례를 이용하여 새로운 조직의 위험분석 평가결과를 자동적으로 제공함으로써 신속하게 정보보안 위험을 분석하는 기술이 제안되었다.
하지만 이는, 특정조직의 속성정보에 의한 분석방법이기 때문에, 조직과 조직, 산업분야별, 및 국가 등의 광역 범위의 정보보안 위험의 정도를 산출하여 위험지수를 도출하기에는 어려움이 있었다.
즉, 조직의 업종별, 규모별, 및 조직간의 정보기술 환경이 고려되지 않고, 특정 조직을 기반으로 과거 유사 조직 분석 경험 및 지식을 재활용하고 있기 때문에, 광역 범위에서 정보보안통제를 측정할 수 없었다.
이로 인해 국가 등 광역 범위의 산업 분야별 수치화된 정보보안 위험 지수 관리는 이루어지지 않았으며, 각각의 산업 분야별 정보보안 위험 지수를 종합 분석하여 국가 등 광역 범위의 정보보안 위험 지수 관리는 더욱더 수행할 수 없었다.
본 발명의 목적은 정보 보호 관리 시스템의 정보 보안 통제 평가 장치 및 방법을 제공하는 데 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면에 따른 정보 보안 통제 상태 평가 방법은 각 도메인별로 각 보안 통제 항목의 준수 여부를 실사한 실사 데이터를 수신하는 단계, 각 통제 항목의 중요도 등급, 해당 통제 항목의 준수 정도 및 평가 관리자에 의하여 설정된 가중치에 기초하여 각 도메인별로 보안 통제 상태 평가 점수를 산출하는 단계, 각 도메인별 보안 통제 상태 평가 점수의 평균에 기초하여 각 도메인이 소속된 상위조직에 대한 보안 통제 상태 최종 평가 점수를 산출하는 단계, 및 산출된 보안 통제 상태 평가 점수 및 보안 통제 상태 최종 평가 점수를 출력하는 단계를 포함한다.
또한, 본 발명의 제 2 측면에 따른 정보 보안 통제 상태 평가 장치는 데이터 송수신부, 정보 보안 통제 상태 평가 애플리케이션이 저장된 메모리, 및 애플리케이션을 실행하는 프로세서를 포함한다. 이때, 프로세서는 애플리케이션의 실행에 따라, 각 도메인별로 각 보안 통제 항목의 준수 여부를 실사한 실사 데이터를 수신하고, 각 통제 항목의 중요도 등급, 해당 통제 항목의 준수 정도 및 평가 관리자에 의하여 설정된 가중치에 기초하여 각 도메인별로 보안 통제 상태 평가 점수를 산출하고, 각 도메인별 보안 통제 상태 평가 점수의 평균에 기초하여 각 도메인이 소속된 상위조직에 대한 보안 통제 상태 최종 평가 점수를 산출하고, 산출된 보안 통제 상태 평가 점수 및 보안 통제 상태 최종 평가 점수를 출력한다.
전술한 본 발명의 과제 해결 수단에 의하면, 정보 보안 통제 상태 평가 장치는 정보 보안의 취약성과, 정보 보안이 통제되지 않았을 때 발생되는 위협들을 종합 분석하여 정보 보안 위험 지수를 산출할 수 있다. 이로 인해, 정보 보안 위험에 대한 대응책을 제공할 수 있다.
또한, 조직의 특성을 고려하여 필수 이행항목을 식별하고, 평가 관리자의 필요에 따라 보안이 필요한 정보에 적절한 가중치를 설정할 수 있기 때문에, 정보 보안 통제 상태를 보다 효율적으로 평가할 수 있다.
도 1은 본 발명의 일 실시예에 따른 정보 보안 통제 상태 평가 장치를 나타낸 블록도이다.
도 2는 본 발명의 일 실시예에 따른 정보 보안 통제 상태 평가 방법을 설명하기 위한 순서도이다.
도 3은 본 발명의 일 실시예에 의한 보안 통제 상태 평가 점수를 산출하는 예시도 이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
본원 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함" 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 본원 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.
이하, 도면을 참조하여 본 발명의 일 실시예에 따른 정보 보안 통제 상태 평가 방법 및 장치에 대하여 자세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 정보 보안 통제 상태 평가 장치를 나타낸 블록도이다.
도 1을 참고하면, 정보 보안 통제 상태 평가 장치(10)는 데이터 송수신부(100), 정보 보안 통제 상태 평가 애플리케이션이 저장된 메모리(200), 및 애플리케이션을 실행하는 프로세서(300)를 포함한다.
데이터 송수신부(100)는 각각의 평가 관리자로부터 실사 데이터를 수신한다. 또한, 수신된 데이터에 따른 최종 평가 점수가 출력되면, 각각의 평가 관리자에게로 발신할 수 있다.
메모리(200)에는 정보 보안 통제 상태 평가를 제공하는 애플리케이션이 저장된다. 여기에서 메모리(200)는 휘발성 저장 장치 및 전원이 공급되지 않아도 저장된 정보를 계속 유지하는 비휘발성 저장 장치를 통칭하는 것이다. 예를 들어, 메모리(200)는 콤팩트 플래시(compact flash; CF) 카드, SD(secure digital) 카드, 메모리 스틱(memory stick), 솔리드 스테이트 드라이브(solid-state drive; SSD) 및 마이크로(micro) SD 카드 등과 같은 낸드 플래시 메모리(NAND flash memory), 하드 디스크 드라이브(hard disk drive; HDD) 등과 같은 마그네틱 컴퓨터 기억 장치 및 CD-ROM, DVD-ROM 등과 같은 광학 디스크 드라이브(optical disc drive) 등을 포함할 수 있다.
또한, 메모리(200)에 저장된 정보 보안 통제 상태 평가를 제공하는 애플리케이션은 소프트웨어 또는 FPGA(Field Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)와 같은 하드웨어 형태로 구현될 수 있으며, 소정의 역할들을 수행할 수 있다.
한편, 프로세서(300)는 메모리(200)에 저장된 정보 보안 통제 상태 평가를 제공하는 애플리케이션을 실행시킨다.
도 2를 참조하여 정보 보안 통제 상태 평가 방법을 자세히 설명하고자 한다.
도 2는 본 발명의 일 실시예에 따른 정보 보안 통제 상태 평가 방법을 설명하기 위한 순서도이다.
프로세서(300)는 정보 보안 통제 상태 평가 애플리케이션의 실행에 따라, 각 도메인별로 각 보안 통제 항목의 준수 여부를 실사한 실사 데이터를 수신하고(S200), 각 통제 항목의 중요도 등급, 해당 통제 항목의 준수 정도 및 평가 관리자에 의하여 설정된 가중치에 기초하여 각 도메인별로 보안 통제 상태 평가 점수를 산출하고(S210), 각 도메인별 보안 통제 상태 평가 점수의 평균에 기초하여 각 도메인이 소속된 상위조직에 대한 보안 통제 상태 최종 평가 점수를 산출하고(S220), 산출된 보안 통제 상태 평가 점수 및 보안 통제 상태 최종 평가 점수를 출력한다(S230).
좀더 상세하게 살펴보면, 프로세서(300)의 실행에 따라, 정보 보안 통제 상태 평가 장치(10)는 각 도메인별로 각 보안 통제 항목의 준수 여부를 실사한 실사 데이터를 수신한다(S200).
여기에서 실사 데이터는 해당하는 기관에서 보안 통제가 필요한 정보의 항목과, 이때의 보안 통제 항목의 중요도 등급과, 보안 통제 항목의 보안 통제 준수여부를 포함할 수 있다. 이때의 보안 통제 항목의 중요도 등급은 필수등급(Mandatory, M), 중요등급(Strongly Recommended,SR), 및 권고등급(Recommended, R)으로 분류될 수 있다. 또한, 보안 통제 항목의 보안 통제 준수 여부는 이행(Yes), 불이행(No), 부분이행(Partial), 및 업무와 관계없음(Not applicable, N/A)으로 구분될 수 있다.
예를 들어, 조직에 대한 법률, 시행령, 고시 등에서의 의무적용 사항이나, 조직의 존폐와 관련된 필수적인 조치사항에 연관된 정보는 필수등급으로 분류할 수 있다.
또한, 법률에 기반한 의무 적용요건은 아니나 가이드, 해설서, 안내서 등에서 권고하는 사항이거나, 보안을 통제하였을 때, 현시점에서 효과성 및 효율성이 뛰어난 정보는 중요등급으로 분류할 수 있다.
또한, 현시점에서 보안통제에 효과성 및 효율성이 있는 정보는 권고등급으로 분류할 수 있다.
한편, 도메인은 보안통제 항목 및 피 평가 조직의 특성에 따라 평가 관리자가 임의로 구분할 수 있으며, 도메인의 개수가 한정된 것은 아니다. 또한, 도메인에 해당하는 각각의 보안이 필요한 정보는 1개 이상을 포함할 수 있다. 예를 들면, 하나의 상위 조직은 복수의 하위 조직을 포함할 수 있고, 이와 같은 하위 조직은 도메인으로 정의될 수 있다. 즉, 상위조직은 하위조직을 나타내는 다수의 도메인으로 분류될 수 있다.
즉, 평가 관리자는 각각의 정보의 보안 항목을 도메인별로 분류할 수 있고, 보안 항목의 중요도 등급을 분류할 수 있고, 해당하는 보안 항목의 통제 준수 여부 상태를 실사하여 실사 데이터를 정보 보안 통제 상태 평가 장치(10)로 송신할 수 있다.
다음으로, 정보 보안 통제 상태 평가 장치(10)는 앞선단계(S200)에서 수신한 데이터의 각 통제 항목의 중요도 등급, 해당 통제 항목의 준수 정도 및 평가 관리자에 의하여 설정된 가중치에 기초하여 각 도메인별로 보안 통제 상태 평가 점수를 산출한다(S210).
여기에서, 부여된 중요도에 의해 각 보안 통제 항목이 분류된 도메인별로 보안평가 점수를 일차적으로 산출해 낼 수 있다. 이때, 각각의 중요도 등급에 의한 점수는 독립적으로 산출될 수 있고, 하기의 수학식을 참조하여 수행될 수 있다.
[수학식 1]
Figure 112014120070289-pat00001
이때, i는 도메인 번호를 의미하고, *는 연산자를 의미하고, D는 도메인을 의미하며, M은 필수등급(Mandatory)의 이행점수의 평균값, SR은 중요등급(Strongly Recommended)의 이행점수의 평균값, R은 권고등급(Recommended)의 이행점수의 평균값을 의미한다. 위 수식을 통하여, 중요도 등급에 따라 해당하는 조직의 우선조치가 필요한 도메인을 식별할 수도 있다.
한편, 각 중요도 등급별 이행점수의 평균값은 하기의 수학식 2 내지 4로 계산할 수 있다. 각 중요도 등급별 이행점수의 평균값은, 해당하는 도메인 내에 이행여부에 따른 점수를 합산하고, 해당하는 등급의 항목수로 나누어서 계산할 수 있다.
[수학식 2]
Figure 112014120070289-pat00002
[수학식 3]
Figure 112014120070289-pat00003
[수학식 4]
Figure 112014120070289-pat00004
여기에서, M은 필수등급의 이행점수의 평균값, SR은 중요등급의 이행점수의 평균값, 및 R은 권고등급의 이행점수의 평균값을 의미한다.
한편, 항목이 필수등급에 속해 있는 경우에는 하나 이상의 불이행 또는 부분이행이 나온 경우, 다른 항목이 이행여부와 상관없이 ‘0점’ 처리 되게 된다. 왜냐하면, 필수등급은 조직의 존폐여부와 관련 있는 정보이기 때문에, 보안 통제가 이루어 지지 않으면 심각한 문제를 초래할 수 있다. 하나 이상의 부분이행이나 불이행만으로도 조직에 치명적인 상황을 발생시킬 수도 있기 때문이다.
또한, 정보 보안 통제 상태 평가 장치(10)는 이렇게 계산된 각 통제 항목의 중요도 등급별 이행점수의 평균값을 각각 계산하고, 계산된 평균값과 각 통제 항목의 중요도 등급에 설정된 가중치에 기초하여 산출될 수 있다. 이때의 가중치는 평가 관리자에 의하여 설정될 수 있으며, 제 1 수치, 제 2 수치, 및 제 3 수치를 포함할 수 있다. 각 도메인별로 보안 통제 상태 평가 점수는 제 1 수치와, 중요등급의 이행점수의 평균값에 제 2 수치를 곱한 것과, 권고등급의 이행점수의 평균값에 제 3 수치를 곱한 것을 합한 것에, 필수등급의 이행점수의 평균값을 곱하여 산출될 수 있다.
먼저, 전술한 바와 같이 각 중요도 등급에 해당하는 등급별 이행점수의 평균값을 산출해야 한다. 예를 들어, 이행을 ‘1점’, 부분이행을 ‘0.5점’, 불이행을 ‘0점’, 업무와 관계없음을 ‘해당항목을 제함’으로 설정하고, 특정 도메인에 해당하는 중요등급의 개수가 2개이고 이행한 중요등급의 항목이 2개라면, 중요등급에 해당하는 점수는 1점이 될 수 있다. 또한, 특정 도메인에 해당하는 중요등급의 개수가 2개이고 이행한 중요등급의 항목이 1개라면, 중요등급에 해당하는 점수는 0.5가 될 수 있다. 만약, 중요등급의 개수가 2개이고 부분이행을 수행한 항목이 1개이면 중요등급에 해당하는 점수는 0.25가 될 수 있다.
다음으로, 하기의 식으로 도메인별로 산출되는 보안 통제 상태 평가 점수를 계산할 수 있다.
[수학식 5]
Di = M×(a+b×SR+c×R)
여기에서, i는 도메인 번호, D는 도메인, M은 필수등급의 이행점수의 평균값, SR은 중요등급의 이행점수의 평균값, R은 권고등급의 이행점수의 평균값, a는 제 1 수치, b는 제 2 수치, 및 c는 제3 수치를 의미한다. 이때의 제 1 내지 제 3 수치를 합한 값은 0이상 1 이하여야 한다.
보안 통제 상태 평가 점수를 산출하는 세부적인 방법의 설명은, 후술하는 도 3을 예를 들어 자세히 설명하도록 한다.
다음으로, 정보 보안 통제 상태 평가 장치(10)는 앞선단계(S210)에서 각 도메인별 보안 통제 상태 평가 점수의 평균에 기초하여 각 도메인이 소속된 상위조직에 대한 보안 통제 상태 최종 평가 점수를 산출한다(S220).
이때, 최종 평가 점수는 도메인별 보안 통제 상태 평가 점수의 평균을 의미할 수 있다. 즉, 모든 도메인의 보안 통제 상태 평가 점수의 합에서 도메인 개수를 나누어서 산출할 수 있다.
다음으로, 정보 보안 통제 상태 평가 장치(10)는 앞선단계(S220)에서 산출된 보안 통제 상태 평가 점수 및 보안 통제 상태 최종 평가 점수를 출력한다(S230).
한편, 도 3을 예를 들어, 보안 통제 상태 평가 점수를 산출하는 방법을 자세히 설명하도록 한다.
도 3은 본 발명의 일 실시예에 의한 보안 통제 상태 평가 점수를 산출하는 예시도 이다.
도 3을 참조하면, △△기관은 A, B, C, D의 4개의 도메인으로 보안 정보가 구분될 수 있고, 상이하게 설정될 수 있다. 또한, 여기에서 세부코드는 각각의 보안정보에 해당한다. A도메인의 경우, 중요도 등급이 필수등급(M)인 경우는 2개이며, 해당하는 항목의 통제여부는 이행(Yes)으로 확인할 수 있다. 하단의 산출근거를 확인해 보면, 필수등급의 2 항목을 모두 보안 통제가 확인되었기 때문에 점수는 해당 점수는 1점으로 산출될 수 있다.
한편, A도메인의 중요등급(SR)의 경우에는, 항목상에는 2개가 존재하지만 그 중 한가지 항목은 ‘업무와 관계없음(Not applicable, N/A)’이므로 해당사항을 제외한 1개의 응답항목 중 1개를 이행한 결과이므로 1점으로 산출될 수 있다.
한편, B도메인의 경우는 필수등급(M)인 경우가 3개이지만, 그 중 한 항목에 대하여 부분이행(Partial)을 수행하였기 때문에, 나머지 항목의 이행여부와 상관없이 0점으로 산출될 수 있고, 중요등급(SR)인 경우는 1개이고, 부분이행(Partial)을 수행하였기 때문에, 0.5점으로 산출될 수 있다.
이렇게 산출된 각 중요도 등급에 해당하는 점수를 수학식 3에 대입하여, 도메인별로 산출되는 보안 통제 상태 평가 점수를 계산할 수 있다. 이때의 가중치는, 평가 관리자가 설정할 수 있으며 가중치에 해당하는 제 1 내지 제 3 수치의 총합은 0이상 1이하여야 한다. 또한, 산출된 점수를 기초로 하여 하나의 단일 점수를 산출할 수 있다. 예를 들면, 평가하는 조직에 대한 보안 통제 상태 최종 종합 평가 점수를 산출할 수 있다.
한편, 정보 보안 통제 상태 평가 장치(10)는 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 커맨드 형태로 구현되어 컴퓨터로 판독 가능한 기록 매체에 기록될 수 있다. 이때, 컴퓨터로 판독 가능한 기록매체는 프로그램 커맨드, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 한편, 기록매체에 기록되는 프로그램 커맨드는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터로 판독 가능한 기록매체에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM, DVD와 같은 광기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 커맨드를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
한편, 이러한 기록매체는 프로그램 커맨드, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 또한, 프로그램 커맨드에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
10: 정보 보안 통제 상태 평가 장치
100: 데이터 송수신부
200: 메모리
300: 프로세서

Claims (11)

  1. 정보 보안 통제 상태 평가 방법에 있어서,
    각 도메인별로 각 보안 통제 항목의 준수 여부를 실사한 실사 데이터를 수신하는 단계;
    각 통제 항목의 중요도 등급, 해당 통제 항목의 준수 정도 및 평가 관리자에 의하여 설정된 가중치에 기초하여 각 도메인별로 보안 통제 상태 평가 점수를 산출하는 단계;
    상기 각 도메인별 보안 통제 상태 평가 점수의 평균에 기초하여 상기 각 도메인이 소속된 상위조직에 대한 보안 통제 상태 최종 평가 점수를 산출하는 단계; 및
    상기 산출된 보안 통제 상태 평가 점수 및 보안 통제 상태 최종 평가 점수를 출력하는 단계를 포함하되,
    상기 각 도메인별로 보안 통제 상태 평가 점수를 산출하는 단계는
    상기 각 통제 항목의 중요도 등급의 이행점수의 평균값을 각각 계산하고,
    상기 계산된 평균값과 상기 각 통제 항목의 중요도 등급에 설정된 상기 가중치에 기초하여 산출되되,
    상기 가중치는 각각 제 1 수치, 제 2 수치, 및 제 3 수치를 포함하고,
    상기 제 1 수치와, 중요등급의 이행점수의 평균값에 상기 제 2 수치를 곱한것과, 권고등급의 이행점수의 평균값에 상기 제 3 수치를 곱한 것을 합한 것에,
    필수등급의 이행점수의 평균값을 곱하여 산출되는 정보 보안 통제 상태 평가 방법.
  2. 제 1항에 있어서,
    상기 실사 데이터는
    상기 보안 통제 항목과,
    상기 보안 통제 항목의 중요도 등급과,
    상기 보안 통제 항목의 보안 통제 준수 여부를 포함하는 정보 보안 통제 상태 평가 방법.
  3. 제 2 항에 있어서,
    상기 보안 통제 항목의 중요도 등급은
    필수등급(Mandatory), 중요등급(Strongly Recommended), 및 권고등급(Recommended)으로 분류되는 것인 정보 보안 통제 상태 평가 방법.
  4. 제 2 항에 있어서,
    상기 보안 통제 항 목의 보안 통제 준수여부는
    이행(Yes), 불이행(No), 부분이행(Partial), 및 업무와 관계없음(Not applicable, N/A)으로 구분되는 것인 정보 보안 통제 상태 평가 방법.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 제 1 내지 3 수치를 합한 것은
    0이상 1이하인 것인 정보 보안 통제 상태 평가 방법.
  7. 제 1 항에 있어서,
    상기 보안 통제 상태 최종 평가 점수를 산출하는 단계는
    상기 각 도메인별 보안 상태 평가 점수의 평균값을 계산하는 것을 포함하는 정보 보안 통제 상태 평가 방법.
  8. 청구항 1 내지 청구항 4, 청구항 6 및 청구항 7 중 어느 한 항에 기재된 방법을 컴퓨터 상에서 수행하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
  9. 정보 보안 통제 상태 평가 장치에 있어서,
    데이터 송수신부;
    정보 보안 통제 상태 평가 애플리케이션이 저장된 메모리; 및
    상기 애플리케이션을 실행하는 프로세서를 포함하되,
    상기 프로세서는,
    상기 애플리케이션의 실행에 따라, 각 도메인별로 각 보안 통제 항목의 준수 여부를 실사한 실사 데이터를 수신하고,
    각 통제 항목의 중요도 등급, 해당 통제 항목의 준수 정도 및 평가 관리자에 의하여 설정된 가중치에 기초하여 각 도메인별로 보안 통제 상태 평가 점수를 산출하되,
    상기 각 통제 항목의 중요도 등급의 이행점수의 평균값을 각각 계산하고,
    상기 계산된 평균값과 상기 각 통제 항목의 중요도 등급에 설정된 상기 가중치에 기초하여 산출하되,
    상기 가중치는 각각 제 1 수치, 제 2 수치, 및 제 3 수치를 포함하고,
    상기 제 1 수치와, 중요등급의 이행점수의 평균값에 상기 제 2 수치를 곱한것과, 권고등급의 이행점수의 평균값에 상기 제 3 수치를 곱한 것을 합한 것에,
    필수등급의 이행점수의 평균값을 곱하여 산출하고,
    상기 각 도메인별 보안 통제 상태 평가 점수의 평균에 기초하여 상기 각 도메인이 소속된 상위조직에 대한 보안 통제 상태 최종 평가 점수를 산출하고,
    상기 산출된 보안 통제 상태 평가 점수 및 보안 통제 상태 최종 평가 점수를 출력하는 정보 보안 통제 상태 평가 장치.
  10. 제 9 항에 있어서,
    상기 실사 데이터는
    상기 보안 통제 항목과,
    상기 보안 통제 항목의 중요도 등급과,
    상기 보안 통제 항목의 보안 통제 준수 여부를 포함하는 정보 보안 통제 상태 평가 장치.
  11. 삭제
KR1020140177428A 2014-12-10 2014-12-10 정보 보안 통제 상태 평가 방법 및 장치 KR101616989B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020140177428A KR101616989B1 (ko) 2014-12-10 2014-12-10 정보 보안 통제 상태 평가 방법 및 장치
US15/534,708 US10452852B2 (en) 2014-12-10 2015-08-24 Method and apparatus for measurement of information-security-controlling status
PCT/KR2015/008838 WO2016093466A1 (ko) 2014-12-10 2015-08-24 정보 보안 통제 상태 평가 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140177428A KR101616989B1 (ko) 2014-12-10 2014-12-10 정보 보안 통제 상태 평가 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101616989B1 true KR101616989B1 (ko) 2016-04-29

Family

ID=55916007

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140177428A KR101616989B1 (ko) 2014-12-10 2014-12-10 정보 보안 통제 상태 평가 방법 및 장치

Country Status (3)

Country Link
US (1) US10452852B2 (ko)
KR (1) KR101616989B1 (ko)
WO (1) WO2016093466A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190018968A1 (en) * 2014-07-17 2019-01-17 Venafi, Inc. Security reliance scoring for cryptographic material and processes

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050093196A (ko) * 2004-03-18 2005-09-23 한재호 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템
KR101025422B1 (ko) * 2008-11-14 2011-03-29 한상용 정보유출 방지를 위한 정보 중요도와 사용자 행동 위험도의정량적 평가 방법
KR101166568B1 (ko) * 2012-03-05 2012-07-18 워치아이시스템주식회사 보안 위험도 산정방법 및 산정시스템, 그 기록매체
KR20140081071A (ko) * 2012-12-21 2014-07-01 한국과학기술원 실시간 보안수준 측정 관리 방법 및 시스템

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020064639A (ko) 2001-02-02 2002-08-09 정창덕 사례 기반 추론과 구조적 위험 분석을 이용한 정보보안위험 분석 방법
WO2009061689A1 (en) * 2007-11-05 2009-05-14 Avior Computing Corporation Monitoring and managing regulatory compliance among organizations
US8516594B2 (en) * 2009-04-24 2013-08-20 Jeff Bennett Enterprise information security management software for prediction modeling with interactive graphs
US8874685B1 (en) * 2009-09-22 2014-10-28 Threatguard, Inc. Compliance protocol and architecture
US8856936B2 (en) * 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050093196A (ko) * 2004-03-18 2005-09-23 한재호 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템
KR101025422B1 (ko) * 2008-11-14 2011-03-29 한상용 정보유출 방지를 위한 정보 중요도와 사용자 행동 위험도의정량적 평가 방법
KR101166568B1 (ko) * 2012-03-05 2012-07-18 워치아이시스템주식회사 보안 위험도 산정방법 및 산정시스템, 그 기록매체
KR20140081071A (ko) * 2012-12-21 2014-07-01 한국과학기술원 실시간 보안수준 측정 관리 방법 및 시스템

Also Published As

Publication number Publication date
WO2016093466A1 (ko) 2016-06-16
US20180357419A1 (en) 2018-12-13
US10452852B2 (en) 2019-10-22

Similar Documents

Publication Publication Date Title
US11683333B1 (en) Cybersecurity and threat assessment platform for computing environments
US9276951B2 (en) System and method for discovering optimal network attack paths
Gegick et al. Prioritizing software security fortification throughcode-level metrics
CN111160749B (zh) 一种情报质量评估和情报融合方法及装置
JP2021532488A (ja) データセットのための機械学習モデルの好適性の決定
Papamichail et al. User-perceived source code quality estimation based on static analysis metrics
Yu et al. Experience in predicting fault-prone software modules using complexity metrics
Cook et al. Measuring the risk of cyber attack in industrial control systems
US10394780B2 (en) Detecting interesting decision rules in tree ensembles
US10769866B2 (en) Generating estimates of failure risk for a vehicular component
Shanley et al. Selection of penetration testing methodologies: A comparison and evaluation
US20190361788A1 (en) Interactive analysis of a security specification
US20200090076A1 (en) Non-transitory computer-readable recording medium, prediction method, and learning device
US10332217B2 (en) Management of online community merge events
Dobaj et al. Towards integrated quantitative security and safety risk assessment
Krisper et al. RISKEE: a risk-tree based method for assessing risk in cyber security
Huynh et al. Interpretation of crowdsourced activities using provenance network analysis
CN110287703B (zh) 车辆安全风险检测的方法及装置
US11005869B2 (en) Method for analyzing cyber threat intelligence data and apparatus thereof
US9785541B1 (en) System, method, and computer program for generating test reports showing business activity results and statuses
KR101616989B1 (ko) 정보 보안 통제 상태 평가 방법 및 장치
Nisioti et al. Forensics for multi-stage cyber incidents: Survey and future directions
Lu et al. A robust locating multi-optima approach for damage identification of plate-like structures
US20140149798A1 (en) Dynamic concolic execution of an application
Haga et al. Breaking the cyber kill chain by modelling resource costs

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant