KR20050006554A - 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템 - Google Patents

업무 프로세스 기반의 위험 분석 평가 방법 및 시스템 Download PDF

Info

Publication number
KR20050006554A
KR20050006554A KR1020030046423A KR20030046423A KR20050006554A KR 20050006554 A KR20050006554 A KR 20050006554A KR 1020030046423 A KR1020030046423 A KR 1020030046423A KR 20030046423 A KR20030046423 A KR 20030046423A KR 20050006554 A KR20050006554 A KR 20050006554A
Authority
KR
South Korea
Prior art keywords
threat
vulnerability
asset
organization
risk
Prior art date
Application number
KR1020030046423A
Other languages
English (en)
Inventor
주영지
Original Assignee
주영지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주영지 filed Critical 주영지
Priority to KR1020030046423A priority Critical patent/KR20050006554A/ko
Publication of KR20050006554A publication Critical patent/KR20050006554A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0633Workflow analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Operations Research (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Educational Administration (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템에 관한 것으로, 보다 자세하게는 조직의 업무 프로세스를 분석하여 자산 가치 평가에 반영하고, 발생 빈도를 고려하여 위협을 평가하고, 영향을 고려하여 취약성을 평가함으로써, 새로운 자산-위협-취약성의 매핑 방법 및 시스템에 관한 것이다.
본 발명에 따른 위험 분석 평가 방법은 조직의 업무 프로세스를 분석하고, 상기 분석 결과에 기초하여 소정의 기준에 따라서 조직의 자산을 평가하는 단계와, 조직과 연관된 위협 정보를 생성하고, 상기 위협 정보와 연관된 위협 평가 측정값을 결정하는 단계와, 조직과 연관된 취약성 정보를 생성하고, 상기 취약성 정보와 연관된 취약성 평가 측정값을 결정하는 단계, 및 상기 자산 평가 결과, 상기 위협 평가 측정값, 및 상기 취약성 평가 측정값을 고려하여 리스크를 산정하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 각 자산의 가치와 업무 중요도를 더욱 정확하게 파악할 수 있도록 함으로써, 조직의 업무 특성이 반영된 특화된 위험 분석 평가 모델을 설계할 수 있다.

Description

업무 프로세스 기반의 위험 분석 평가 방법 및 시스템{METHOD AND SYSTEM FOR EVALUATING THE ANALYSIS OF THE RISKS BASED ON BUSINESS PROCESS}
본 발명은 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템에 관한 것으로, 보다 자세하게는 조직의 업무 프로세스를 분석하여 자산 가치 평가에 반영하고, 발생 빈도를 고려하여 위협을 평가하고, 영향을 고려하여 취약성을 평가함으로써, 새로운 자산-위협-취약성의 매핑 방법 및 시스템에 관한 것이다.
오늘날 정보 시스템이 눈부시게 발전하면서 공공 기관 및 민간 기관의 업무 처리에 있어서 통신망을 통한 정보 시스템의 접속 빈도가 빈번해지고, 정보 시스템에 대한 업무 의존도도 급격히 증가하고 있다.
이에, 정보 시스템에 대한 위협, 예를 들어 해킹, 바이러스의 침투, 외부 침입자에 의한 탈취, 지진 등의 재해로부터 정보 시스템을 보호할 필요성이 높아져 가고 있다. 그러나, 종래의 임시 방편적인 보안 체계로는 정보 시스템에 대한 상기의 위협들에 효과적으로 대응할 수 없고, 비상시에 복구 능력을 제대로 갖출 수 없게 되었다.
따라서, 효과적인 위험 관리 체계의 정립이 반드시 필요하며 이를 위해서는 위험 분석의 필요성이 절대적이라 할 수 있다. "위험 분석"이라 함은 안전한 정보 시스템을 구축하고 정보 자산에 대한 기밀성, 무결성, 가용성에 영향을 미칠 수 있는 다양한 위협 요소를 식별하고 평가하여 그러한 위협 요소를 적절하게 통제할 수 있는 수단을 합리적, 체계적으로 구현하고 운영하는 전반적인 행위 및 절차를 의미한다. 위험 분석은 자산, 위협, 취약성을 고려하여 위험을 측정하는 것이다. 따라서, 위험 분석의 3대 요소로 자산, 위협, 취약성을 꼽을 수 있다.
위험 분석을 위해서는, 먼저 조직이 소유하고 있는 자산(Asset)의 가치를 평가하는 단계가 필요하며, 여기서 자산은 자산 항목별 분류와 업무 처리별 분류의 2가지 관점에서 작성이 가능하다. 일반적으로 IT 위험 분석 수행시 자산을 중심으로 분석해 왔으나, 이는 대상 조직에 잠재하고 있는 위험의 실체를 파악하는데 미흡한 점이 있었다. 왜냐하면, 위험의 피해는 IT 자산 각각에 가해지기도 하지만 궁극적으로 IT 자산이 조합되어 수행되는 업무 처리에 대해 가해지기 때문이다. 따라서, 업무 처리와 자산간의 관계를 정립함으로써 각 자산의 가치와 중요도를 더욱 정확하게 파악할 필요가 있다.
그러나, 종래의 위험 분석 방법에서는 정보 자산을 식별하고, 그 가치를 산정하는데 있어 명확한 기준을 제시하지 못하고 있다. 따라서, 구체적이며 현실적인 자산 평가 방법에 대한 표준화가 미흡하여 컨설팅 업체별로 그 구현 방식이 상이하고, 그 결과값에 대한 신뢰성이 저하되는 원인이 되었다.
위험 분석의 또 다른 구성 요소로서 위협(Threat)을 들 수 있다. 자산은 다양한 종류의 위협에 처해 있고, 위협은 시스템 또는 조직에 피해를 주는 원하지 않는 사고를 일으킬 잠재성을 갖는다. 자산에 피해를 입히기 위하여 위협은 자산의 취약점을 이용한다.
도 1은 종래의 일반적 방법에 따른 위협의 분류를 도시한 것이다. 도 1에서 보는 바와 같이, 일반적으로, 위협을 분류하는 종래의 방법은 위협의 근원(source)에 따라 인간(human)과 비인간(non-human)으로 나누는 것이다. 인간 측면에서는 다시 접근 방식의 차이에 따라서 네트워크(network)와 물리적(physical) 접근 방법으로 분류하고 내부자(inside)와 외부자(outside)에 의한 의도적(deliberate) 또는 비의도적(accidental)으로 나뉜다. 비인간 측면에서는 시스템의 기술적(technical) 오류, 자연환경(environment)에 의한 분류로 나뉘어진다.
위험 분석의 또 다른 구성 요소로서 취약성(vulnerability)이 있다. 취약성이라 함은 정보 시스템에 손해를 끼치는 원인이 될 수 있는 조직, 절차, 인력 관리, 행정, 하드웨어, 및 소프트웨어의 약점을 뜻한다. 이와 같은 약점을 확인하고 분류하여 위협을 감소시키고자 하는 것이 취약성을 분석하는 목적이다. 취약성은 실시하는 대응책이 늘어날수록 일반적으로 감소하지만, 대응책 자체도 완벽할 수 없으므로 조직은 잠재적인 취약성을 항상 지니고 있으므로 취약성은 결코 0이 될 수 없다.
종래에는 취약성의 분류 기준으로서 ISO/IEC (International Electrotechnical Commission) JTC1/SC27에서 규정한 GMITS(Guidelines for the Management of IT Security)와 BS7799 (BSI)의 표준이 적용되어 왔다. 그러나, 상기 표준에서는 국내의 위협 환경을 제대로 반영하지 못한 국외의 위협 환경에 맞는 위협 목록을 작성하고, 위협과 취약성 분류를 혼동하여 쓰는 경우가 많고, 분류된 취약성에 대한 검증 단계를 거치지 않은 것들이 상당수 존재하여 정확한 취약성 분류 기준을 제시하지 못하고 있다. 또한, 기술적 측면에서 네트워크나 서버 자동진단 툴을 이용한 취약성 진단 결과의 반영 단계도 모호한 상황이다. 따라서, 취약성 평가 단계의 이러한 문제를 해결하기 위한 효율적인 모델이 필요하다.
조직의 위험을 측정하기 위해서는 리스크(Risk) 산정이 필요하며, 리스크 산정이라 함은 그 측정에 관한 세부적인 절차와 기술을 의미한다. 정보 자산이 노출되어 있는 위협을 파악하고 알맞은 대응책을 도출하기 위한 것이 리스크 산정의 목적이다. 리스크 산정 단계에서는 이미 분석된 결과(자산, 위협, 취약성)를 바탕으로 위험 수준을 결정한다.
과학적이고 정형적인 과정을 통하여 리스크를 산정하려는 노력은 전세계적으로 수백여 가지의 리스크 산정 방법의 개발로 이어졌다. 도 2는 지금까지의 리스크 산정 방법의 분류 및 그 특성들을 도시하고 있다.
그러나, 종래의 리스크 산정 방법들은 자산, 위협, 취약성의 값을 단순히 비례적으로 곱하여 리스크를 산정함으로써, 조직의 환경과 위협의 강도에 따른 변화를 리스크 산정에 제대로 반영하지 못하는 문제점이 있었다.
정보 보안의 필요성이 높아질수록 위험 분석의 비중도 비례하여 상승하고, 이에 대한 연구도 활발히 진행되고 있다. 그 결과, 국내 여러 기관이나 연구소 및 컨설팅 회사에서 자체적인 위험 분석 방법론을 발표하거나, 또는 국외의 위험 분석 방법론 내지는 위험 분석 소프트웨어를 여과 없이 도입해 적용하고 있다.
그러나, 지금까지 발표된 대부분의 위험 분석 방법론이 지침 형태의 상위 개념만을 언급하여 실제 위험 분석을 수행하는데 구체적인 도움을 주지 못하고, 국내의 위협 환경을 제대로 반영하지 못함으로써 다음과 같은 문제점이 발견되었다.
첫째, 위험 분석 단계의 평가 기준에 대한 일관성과 평가방법이 모호하고, 자산과 위협에 대한 매핑 단계가 존재하지 않는다.
둘째, 고객사 환경 특성을 고려하지 않은 단순한 위협의 식별 및 분석으로 인한 위험평가 결과의 신뢰도가 떨어진다.
본 발명에서는 효율적인 위험 분석 평가 모델을 새로이 제안한다. 또한, 수 차례의 위험 분석 프로젝트를 수행함으로써 도출된 여러 문제점들을 연구하여 국내의 환경적 특성을 반영하고, 각 위험 분석 단계에 대한 구체적인 기준과 절차를 제시함으로써, 정보 자산에 대한 신뢰성 있는 위험 분석 평가를 실시하도록 한다.
본 발명은 상기와 같은 종래 기술의 문제점들을 개선하기 위해 안출된 것으로서, 본 발명의 목적은 위험 분석 단계에 있어서 일관되고 분명한 평가 기준을 제시하고, 자산에 대한 위협과 취약성에 대한 매핑 방법을 제공하는 것이다.
본 발명의 다른 목적은 업무 처리와 자산간의 관계를 정립함으로써 각 자산의 가치와 중요도를 더욱 정확하게 파악할 수 있도록 하는 것이다.
본 발명의 또 다른 목적은 정보 자산을 식별하고 그 가치를 산정하는데 명확한 기준을 제시하는 것이다.
본 발명의 또 다른 목적은 고객사 환경 특성을 고려하여 위협을 식별하고 분석하는 것이다.
본 발명의 또 다른 목적은 국내의 환경을 고려하여 효과적인 위험 분석 방법을 제공하는 것이다.
도 1은 종래의 방법에 따른 위협의 분류를 도시한 도면.
도 2는 종래의 리스크 산정 방법의 분류를 도시한 도면.
도 3은 본 발명의 바람직한 실시예에 따라, 업무 프로세스 기반의 위험 분석 평가 방법에 관한 주요 단계들을 도시한 도면.
도 4는 도 3에 도시한 주요 단계들에 대한 보다 상세한 흐름도를 도시한 도면.
도 5는 위협 근원별로 도출한 위협의 인터뷰 리스트의 일례를 도시한 도면.
도 6은 본 발명의 바람직한 실시예에 따라, 드레드 기법에 의한 평가 기준표의 일례를 도시한 도면.
도 7은 본 발명의 바람직한 실시예에 따라, 실제 위협 평가표의 일례를 도시한 도면.
도 8은 위협 근원별로 도출한 취약성의 인터뷰 리스트의 일례를 도시한 도면.
도 9는 위협과 취약성에 대한 매핑 테이블의 일례를 도시한 도면.
도 10은 취약성 분석에 대한 평가 기준표의 일례를 도시한 도면.
도 11은 취약성 크기를 구하기 위한 취약성 평가표의 일례를 도시한 도면.
도 12는 본 발명에 따른 업무 프로세스 기반의 위험 분석 평가 시스템의 내부 구성을 도시한 블록도
도 13는 본 발명에 따른 위험 분석 평가 방법을 수행하는 데 채용될 수 있는 범용 컴퓨터 장치의 내부 블록도.
도 14는 본 발명에 따른 업무 프로세스 기반의 위험 분석 평가 모델을 각 단계별로 ISO위험 분석 표준 모델과 비교한 도면.
<도면의 주요부분에 대한 부호의 설명>
1200 : 위험 분석 평가 시스템
1210 : 자산 평가부
1220 : 위협 평가부
1230 : 취약성 평가부
1240 : 리스크 산정부
1250 : 마스터플랜 수립부
본 발명의 일면에 따르면, 조직의 업무 프로세스를 분석하고, 상기 분석 결과에 기초하여 소정의 기준에 따라서 조직의 자산을 평가하는 단계와, 조직과 연관된 위협 정보를 생성하고, 상기 위협 정보와 연관된 위협 평가 측정값을 결정하는 단계와, 조직과 연관된 취약성 정보를 생성하고, 상기 취약성 정보와 연관된 취약성 평가 측정값을 결정하는 단계, 및 상기 자산 평가 결과, 상기 위협 평가 측정값, 및 상기 취약성 평가 측정값을 고려하여 리스크를 산정하는 단계를 포함하는것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법이 제공된다.
본 발명의 다른 일면에 따르면, 조직의 업무 프로세스를 분석하고, 상기 분석 결과에 기초하여 조직의 자산을 평가하는 자산 평가부와, 조직과 연관된 위협 정보를 생성하고, 상기 위협 정보와 연관된 발생 빈도를 고려하여 위협 평가 측정값을 결정하는 위협 평가부와, 조직과 연관된 취약성 정보를 생성하고, 상기 취약성 정보와 연관된 영향을 고려하여 취약성 평가 측정값을 결정하는 취약성 평가부, 및 상기 자산 평가 결과, 상기 위협 평가 측정값, 및 상기 취약성 평가 측정값을 고려하여 리스크를 산정하는 리스크 산정부를 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 시스템이 제공된다.
본 발명에서는 지금까지의 위험 분석 평가 현황에 대한 분석을 통하여 도출된 여러 문제점들을 최소화 시키기 위하여 업무 프로세스 기반의 새로운 위험 분석 평가 모델을 설계하였다.
본 발명에 따른 위험 분석 평가 방법 및 시스템의 특징은 조직의 가치 체인과 업무 프로세스를 통한 주요 정보를 분석하여 관련 시스템 및 자산을 평가함으로써, 조직의 업무 중요도가 자산 가치 산정시 가중치로 반영된다는 점이다. 또 다른 특징은 위협에 발생 빈도(확률)를 반영하여 위협을 평가하고, 취약성에 영향(Impact)을 반영하여 취약성을 평가하여 이를 자산 가치와 연관시킴으로써 새로운 자산-위협-취약성의 매핑 방법을 제시하였다는 점이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템에 대하여 상세히 설명한다.
도 3은 본 발명의 바람직한 실시예에 따라, 업무 프로세스 기반의 위험 분석 평가 방법에 관한 주요 단계들을 도시한 것이다.
본 발명에 따른 평가방법은 전체적으로 정성적 방법이며, 자산 평가, 위협/취약성 평가의 각 단계는 5점 측도로 구현한다.
도 3에서 보듯이, 처음으로 단계(S310)에서는 업무 프로세스를 분석하고 자산을 평가하게 된다. 본 단계는 업무 프로세스 분석을 통하여 조직의 자산을 도출하고, 일정한 기준에 의하여 자산을 평가하는 단계이다. 자산 평가는 업무 중요도와 자산간의 관계를 정립함으로써 자산의 가치를 정확하게 파악할 수 있는 업무처리 방법을 채택하였다.
다음으로 단계(S320)에서는 단계(S310)에서 수행된 자산 평가 결과에 따라 조직과 연관된 위협과 취약성을 도출하여 그 측정값을 평가하게 된다.
마지막으로, 단계(S330)에서는 단계(S310, S320)의 수행 결과를 통하여 얻은 자산 평가 결과 및 위협, 취약성의 크기를 기초로 하여 리스크(Risk)를 산정하고, 산정된 리스크에 기초하여 마스터플랜을 수립하게 된다.
도 4는 도 3에 도시한 주요 단계들에 대한 보다 상세한 흐름도를 도시한 것이다. 도 4를 참고로 하여 도 3의 각 주요 단계들을 보다 상세히 설명하기로 한다.
도 4에서 보듯이, 업무 프로세스 분석 및 자산 평가 단계(S310)는 가치 체인 분석 단계(S311), 업무 프로세스 분석 단계(S312), 관련 시스템 분석 단계(S313), 자산 평가 단계(S314)를 포함할 수 있다.
가치 체인 분석 단계(S311)는 조직의 비젼과 목표를 기준으로 조직 존재의 이유를 조사하기 위해, 가치 체인을 분석하며 조직의 활동을 지원 활동과 주업무 활동으로 구분하게 된다. 즉, 본 단계에서는 위험 분석 평가의 대상 영역을 선정, 확정하게 된다.
업무 프로세스 분석 단계(S312)는 단계(S311)에서 선정된 영역의 업무를 단위 업무로 쪼개어 평가하게 된다. 조직의 비즈니스 프로세스 중 핵심 업무 프로세스를 파악하고, 도출된 핵심 업무 프로세스와 관련 시스템과의 관계를 맺기 위해 세부 작업을 수행하여 단위 업무를 도출한다. 본 단계의 수행결과 프로세스 맵이 작성될 수 있다.
관련 시스템 분석 단계(S313)는 현행 애플리케이션(application)이 핵심 업무 프로세스를 수행하는데 지원하는 정도를 파악하기 위해서 프로세스 분석 단계(S312)에서 도출된 단위 업무를 수행하는데 활용되는 시스템을 분석한다. 본 단계의 분석 결과 자산 목록표가 작성될 수 있다.
자산 평가 단계(S314)는 단계(S313)에서 작성된 자산 목록표를 바탕으로 순수 자산가치에 대해 평가하고, 자산별 업무 중요도를 반영하여 자산 평가표를 작성한다. 자산 가치의 평가 방법에 대한 일례로서, CIA 기법(Confidentiality, Integrity, Availability)이 사용될 수 있다. CIA 기법에서는 기밀성, 무결성, 가용성을 기준으로 5점 측도로 자산 가치를 평가하게 된다.
업무 프로세스 분석 및 자산 평가 단계(S310)의 수행 결과 자산 크기를 계산할 수 있으며, 그 일례로서 자산 크기는 순수자산가치 및 업무 중요도의 곱으로 구할 수 있다. 순수자산가치는 업무 중요도가 반영되지 않는 순수한 가치로서, 오직 CIA 관점에서(즉, 정보보호 관점)에서만 가치 평가하여 얻을 수 있다.
다음으로, 위협 및 취약성 도출 단계(S320)는 위협 도출 단계(S321), 위협 평가 단계(S322), 취약성 도출 단계(S323), 취약성 평가 단계(S324)를 포함할 수 있다.
위협 도출 단계(S321)는 정보 자산에 대한 위협을 도출하는 단계로서, 조직의 업무 담당자와 전문 컨설턴트 그룹이 위협 근원에 따라, 사람, 컴퓨터, 정보, 시스템 등으로 분류한 후 위협을 탑-다운(Top-Down)시켜 트리 형태로 위협분석을 실시하여 위협 정보를 생성한다. 상기 분류를 위한 기법으로 델파이 기법이 사용될 수 있다. 본 단계에서는 조직의 업무 환경이 반영된 위협을 크게 3가지의 그룹, 예를 들어, 기밀성(Disclosure Threats), 무결성(Integrity Threats), 가용성(Denial of Service Threats)을 잃게 되었을 때의 위협 그룹들로 나누어 보호 대책에 반영할 수 있다.
도 5는 위협 정보에 관한 본 발명의 바람직한 실시예로서, 위협 근원별로 도출한 위협의 인터뷰 리스트의 일례를 도시하고 있다.
위협 평가 단계(S322)에서는 각 자산별 위협에 대해 발생 빈도(확률)를 반영하여 위협 평가를 실시한다. 위협 평가의 실시 방법으로 손상 정도(Damage potential), 복구능력(Reproducibility), 활용 정도(Exploitability), 사용자의 영향 정도(Affected User), 위협 발견 가능성(Discoverability)의 5개 평가항목을 가진 드레드(DREAD: Damage potential, Reproducibility, Exploitability, AffectedUser, Discoverability) 기법이 사용될 수 있다. 도 6은 대상 자산에 위협이 발생했을 경우 드레드 기법에 의한 위협 평가 기준표의 일례를 도시한다.
드레드 기법에 따라서, 위협 평가에 대한 측정값은 5개의 평가항목을 평균하고 그 발생빈도를 곱한 아래의 [식 1]에 의하여 계산될 수 있다.
위협 평가 측정값 = AVERAGE(D,R,E,A,D) * 발생 빈도 ---- [식 1]
도 5 및 도 6에 도시한 위협의 인터뷰 리스트 및 기준표를 참고하여, 실제 위협 평가표를 작성한 예가 도 7에 나타나 있다.
도 7에서 보듯이, 위협 크기는 위협 합계를 전체 위협 개수로 나눈 값으로 구해질 수 있다.
취약성 도출 단계(S323)에서는 취약점에 대해 기존의 표준을 기준으로 조직의 업무 담당자와 전문 컨설턴트 그룹이 취약점을 식별하여 취약성 정보를 생성한다. 도 8은 취약성 정보에 관한 본 발명의 바람직한 실시예로서, 위협 근원별로 도출된 취약성 인터뷰 리스트의 일례를 도시한 것이다.
취약성 평가 단계(S324)에서는 자산별 취약점에 대해 영향(Impact)을 분석하여 취약성 평가를 실시한다. 여기서 "영향"이라 함은 위협이 대상 자산에 존재하는 취약성을 이용하여 원하지 않는 결과를 도출하는 정도를 의미한다. 대상 자산의 취약성은 조직이 원래 보유하고 있는 성질이므로, 취약성 평가 단계에서는 위협 평가시와 같이 발생 빈도는 반영하지 않는다.
도 9는 위협과 취약성에 대한 매핑 테이블(mapping table)의 예를 도시한 것이다. 매핑 테이블은 인터뷰 리스트를 해당 구성원들과 인터뷰를 통하여 잠재된 위협별 영향을 도출함으로써 작성될 수 있으며, 이러한 매핑 테이블은 취약성 크기 계산시 반영된다.
도 10은 취약성 분석에 대한 취약성 평가 기준표의 일례를 도시한다. 취약성 평가 측정값을 구하기 위한 방법의 일례로서 DID 기법이 사용될 수 있다. 취약성 평가 측정값을 DID 기법을 적용하여 도출하고, 도 9와 같은 위협과 취약성 매핑 테이블을 이용하여 도출된 영향의 값의 비례 관계를 반영한 후, 아래의 [식 2]에 의하여 취약성 평가 측정값을 계산할 수 있다.
취약성 평가 측정값 = AVERAGE(D,I, D) * 영향 ---- [식 2]
도 11은 취약성 크기를 구하기 위한 취약성 평가표의 예제를 도시한 것이다. 도 11에서 보듯이 취약성 크기는 취약성 합계를 전체 취약성 개수로 나눈 값으로 구해질 수 있다.
다음으로, 리스크 산정 및 마스터플랜 수립 단계(S330)가 포함하고 있는 상세한 단계들을 설명하기로 한다.
도 4에서 보듯이, 리스크 산정 및 마스터플랜 수립 단계(S330)는 리스크 산정 단계(S331), 리스크 평가 단계(S332), 보호대책 수립 단계(S333), 마스터플랜 수립 단계(S334)를 포함할 수 있다.
리스크 산정 단계(S331)에서는 자산, 위협, 취약성을 고려하여 리스크를 산정한다. 리스크를 산정하기 위한 일례로서, 자산 크기, 위협 크기, 취약성 크기의 곱으로서 리스크 산정값을 구할 수 있다.
리스크 평가 단계(S332)에서는 상기 리스크 산정값에 따라 자산별 리스크를 그룹화하여 등급을 부여하고, 조직의 예산과 환경을 고려하여 조직에서 수용 가능한 리스크(Acceptable Risk) 정도를 도출하여 리스크 평가서를 작성한다.
본 발명에 따른 리스크 평가 단계(S330)는 보호대책 수립 단계(S333)를 더 포함할 수 있다. 보호대책 수립 단계(S333)에서는 작성된 리스크 평가서를 기준으로 각 자산별 위험을 최소한으로 감소시킬 수 있는 보호대책에 대해 보고서를 작성한다.
본 발명에 따른 리스크 평가 단계(S330)는 마스터플랜 수립 단계(S334)를 더 포함할 수 있다. 마스터플랜 수립 단계(S334)에서는 리스크 그룹별 리스크의 정도를 분석하여, 조직의 예산과 보호 대책을 적용할 시간과 자산별 위협 분석 결과를 반영하여 마스터플랜을 수립한다.
본 발명에 따른 업무 프로세스 기반의 위험 분석평가 모델의 큰 특징은 자산식별과 자산평가 단계에서 조직의 가치체인과 업무프로세스정보를 분석하여 관련시스템 및 자산을 평가함으로써 조직의 업무 중요도가 자산가치 산정시 가중치로 반영된다는 점과 위협에 발생빈도(확률)을 반영하여 위협을 평가하고, 취약성에 영향(Impact)를 반영하여 취약성을 평가하여 자산가치와 곱하여 위험을 도출하는 새로운 자산-위협-취약성의 매핑 방법을 제시하였다는 점이다.
또한, 위험 분석을 실시하는 대상 조직에 보안대책과 마스터플랜을 수립하기 위한 연결단계도 포함하고 있어 정보보호컨설팅 프로젝트를 진행할 경우 실제적으로 적용할 수 있다.
도 12는 본 발명에 따른 업무 프로세스 기반의 위험 분석 평가 시스템의 내부 구성을 도시한 블록도이다.
도 12에서 보는 바와 같이, 위험 분석 평가 시스템(1200)은 자산 평가부(1210), 위협 평가부(1220), 취약성 평가부(1230), 리스크 산정부(1240)를 포함한다.
자산 평가부(1210)는 조직의 업무 프로세스를 분석하고 자산을 평가한다. 자산 평가부는 조직의 업무 프로세스를 분석하기 위해서 가치 체인 및 조직의 활동을 분석한다. 또한, 이러한 분석 결과 얻어지는 업무 중요도를 고려하여 자산을 평가하게 된다. 바람직한 실시예로서, 자산을 평가하기 위하여 자산의 크기를 산정하며 자산의 크기는 순수 자산가치 및 업무 중요도의 곱으로 결정할 수 있다.
위협 평가부(1220)는 조직의 정보 자산에 대한 위협을 도출하여 위협 정보를 생성한다. 일례로서, 델파이 기법을 이용하여 조직의 위협을 몇 개의 그룹으로 나누어 보호 대책에 반영될 수 있다. 위협 평가부(1220)는 위협의 발생 빈도를 고려하여 위협 평가 측정값을 결정한다.
취약성 평가부(1230)는 조직의 취약점을 식별하고 취약 정보를 생성한다. 취약성 평가부(1230)는 자산별 취약점에 대한 영향(Impact)을 분석하여 취약성을 평가하며, 위협과 취약성에 대한 매핑 테이블을 이용할 수 있다.
본 발명에 따르면, 위협 평가부(1220) 및 취약성 평가부(1230)는 위협 평가 및 취약성 평가를 위하여 여러 가지 평가 항목들을 고려할 수 있으며 이에 대한 상세한 내용들은 앞서의 실시예들에서 자세히 설명하였으므로, 그 부분을 참조하면 된다.
리스크 산정부(1240)는 자산, 위협, 취약성을 고려하여 리스크를 산정한다. 리스크 산정에 관한 일례로서, 리스크 산정부(1240)는 자산 크기, 위협 크기, 취약성 크기의 곱으로 리스크 산정값을 구한다. 추가로, 리스크 산정부(1240)는 리스크 산정값에 따라 조직에서 수용 가능한 리스크 평가서를 작성할 수 있다.
본 발명에 따른 위험 분석 평가 시스템은 마스터플랜 수립부(1250)를 더 포함할 수 있다. 마스터플랜 수립부(1250)는 리스크의 정도를 분석하여 마스터플랜을 수립한다. 마스터플랜 수립시 리스크 그룹별 리스크의 정도를 고려하고, 조직의 예산과 보호 대책 등이 반영될 수 있다.
본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
도 13은 본 발명에 따른 업무 프로세스 기반의 위험 분석 평가 방법을 수행하는 데 채용될 수 있는 범용 컴퓨터 장치의 내부 블록도이다.
컴퓨터 장치(1300)는 램(RAM: Random Access Memory)(1320)과 롬(ROM: Read Only Memory)(1330)을 포함하는 주기억장치와 연결되는 하나 이상의 프로세서(1310)를 포함한다. 프로세서(1310)는 중앙처리장치(CPU)로 불리기도 한다. 본 기술분야에서 널리 알려져 있는 바와 같이, 롬(1330)은 데이터(data)와 명령(instruction)을 단방향성으로 CPU에 전송하는 역할을 하며, 램(1320)은 통상적으로 데이터와 명령을 양방향성으로 전송하는 데 사용된다. 램(1320) 및 롬(1330)은 컴퓨터 판독 가능 매체의 어떠한 적절한 형태를 포함할 수 있다. 대용량 기억장치(Mass Storage)(1340)는 양방향성으로 프로세서(1310)와 연결되어 추가적인 데이터 저장 능력을 제공하며, 상기된 컴퓨터 판독 가능 기록 매체 중 어떠한 것일 수 있다. 대용량 기억장치(1340)는 프로그램, 데이터 등을 저장하는데 사용되며, 통상적으로 주기억장치보다 속도가 느린 하드디스크와 같은 보조기억장치이다. CD 롬(1360)과 같은 특정 대용량 기억장치가 사용될 수도 있다. 프로세서(1310)는 비디오 모니터, 트랙볼, 마우스, 키보드, 마이크로폰, 터치스크린 형 디스플레이, 카드 판독기, 자기 또는 종이 테이프 판독기, 음성 또는 필기 인식기, 조이스틱, 또는 기타 공지된 컴퓨터 입출력장치와 같은 하나 이상의 입출력 인터페이스(1350)와 연결된다. 마지막으로, 프로세서(1310)는 네트워크 인터페이스(1370)를 통하여 유선 또는 무선 통신 네트워크에 연결될 수 있다. 이러한 네트워크 연결을 통하여 상기된 방법의 절차를 수행할 수 있다. 상기된 장치 및 도구는 컴퓨터 하드웨어 및 소프트웨어 기술 분야의 당업자에게 잘 알려져 있다.
상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있다.
지금까지 본 발명에 따른 구체적인 실시예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서는 여러 가지 변형이 가능함은 물론이다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구의 범위뿐 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이, 본 발명에 따른 위험 분석 평가 모델은 자산 식별에 있어 업무처리 분류방법을 채택하여 업무처리와 자산간의 관계를 정립하여 각 자산의 가치와 중요도를 더욱 정확하게 파악할 수 있도록 함으로써, 조직의 업무 특성이 반영된 특화된 위험 분석 평가 모델을 설계할 수 있다.
본 발명에 따르면, 대상 조직에 필요한 보안 대책과 마스터플랜을 수립하기위한 연결 단계를 포함하고 있어 정보 보호 컨설팅 프로젝트를 효과적으로 수행할 수 있게 된다.
본 발명에 따르면, 국내 환경을 반영한 효과적이고 실효성 있는 위험 분석 평가 과정을 구체적으로 제시할 수 있다.
본 발명에 따르면, 위험 분석 결과를 조직의 정보 보호 체계 운영과 업무 연속성 관리 체계 및 내부 통제 구축과 연계할 수 있도록 설계할 수 있다.
본 발명에 따른 업무 프로세스 기반의 위험 분석 평가 모델을 각 단계별로 ISO위험 분석 표준 모델과 비교하면 도 14와 같이 정리할 수 있다.

Claims (12)

  1. (a) 조직의 업무 프로세스를 분석하고, 상기 분석 결과에 기초하여 소정의 기준에 따라서 조직의 자산을 평가하는 단계;
    (b) 조직과 연관된 위협 정보를 생성하고, 상기 위협 정보와 연관된 위협 평가 측정값을 결정하는 단계;
    (c) 조직과 연관된 취약성 정보를 생성하고, 상기 취약성 정보와 연관된 취약성 평가 측정값을 결정하는 단계; 및
    (d) 상기 자산 평가 결과, 상기 위협 평가 측정값, 및 상기 취약성 평가 측정값을 고려하여 리스크를 산정하는 단계
    를 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  2. 제1항에 있어서,
    상기 소정의 기준은 CIA 기법을 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  3. 제1항에 있어서, 자산을 평가하는 상기 단계는 조직의 업무 중요도를 반영하는 단계를 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  4. 제1항에 있어서, 자산을 평가하는 상기 단계는 상기 조직과 연관된 자산 크기를 결정하는 단계를 포함하고, 상기 자산 크기는 순수 자산가치 및 업무 중요도의 곱으로 결정되는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  5. 제1항에 있어서, 위협 평가 측정값을 결정하는 상기 단계는 상기 위협의 발생 빈도를 고려하는 단계를 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  6. 제1항에 있어서, 취약성 평가 측정값을 결정하는 상기 단계는 상기 취약성의 영향(Impact)을 고려하는 단계를 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  7. 제6항에 있어서, 상기 영향은 상기 위협과 상기 취약성에 대한 매핑 관계를 고려하여 결정되는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  8. 제1항에 있어서, 위협 평가 측정값을 결정하는 상기 단계는 손상 정도, 복구 능력, 활용 정도, 사용자의 영향 정도, 및 위협 발견 가능성을 고려하는 단계를 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  9. 제1항에 있어서, 취약성 평가 측정값을 결정하는 상기 단계는 기밀성, 무결성, 및 가용성을 고려하는 단계를 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  10. 제1항에 있어서, 리스크를 산정하는 상기 단계는 리스크 산정값을 구하는 단계를 더 포함하고,
    상기 리스크 산정값은 조직의 자산 크기, 위협 크기, 및 취약성 크기의 곱으로 결정되는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 방법.
  11. 제1항 내지 제10항의 방법 중 어느 하나의 항에 따른 방법을 컴퓨터에서 구현하는 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
  12. 조직의 업무 프로세스를 분석하고, 상기 분석 결과에 기초하여 조직의 자산을 평가하는 자산 평가부;
    조직과 연관된 위협 정보를 생성하고, 상기 위협 정보와 연관된 발생 빈도를 고려하여 위협 평가 측정값을 결정하는 위협 평가부;
    조직과 연관된 취약성 정보를 생성하고, 상기 취약성 정보와 연관된 영향을 고려하여 취약성 평가 측정값을 결정하는 취약성 평가부; 및
    상기 자산 평가 결과, 상기 위협 평가 측정값, 및 상기 취약성 평가 측정값을 고려하여 리스크를 산정하는 리스크 산정부
    를 포함하는 것을 특징으로 하는 업무 프로세스 기반의 위험 분석 평가 시스템.
KR1020030046423A 2003-07-09 2003-07-09 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템 KR20050006554A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030046423A KR20050006554A (ko) 2003-07-09 2003-07-09 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030046423A KR20050006554A (ko) 2003-07-09 2003-07-09 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20050006554A true KR20050006554A (ko) 2005-01-17

Family

ID=37220350

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030046423A KR20050006554A (ko) 2003-07-09 2003-07-09 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR20050006554A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007073063A1 (en) * 2005-12-22 2007-06-28 Kibo Technology Fund Method of technology valuation
KR100898701B1 (ko) * 2006-07-20 2009-05-20 성균관대학교산학협력단 정보시스템 보안을 위한 비즈니스-프로세스 중심의자산분석을 기반으로 한 위험평가 방법
WO2012030333A1 (en) * 2010-09-01 2012-03-08 Hewlett-Packard Development Company, L.P. Performing what-if analysis
CN116962090A (zh) * 2023-09-21 2023-10-27 华能信息技术有限公司 一种工业互联网安全控制方法和系统
CN117439824A (zh) * 2023-12-21 2024-01-23 山东科技大学 基于ai的智慧城市评价方法、系统、设备及存储介质

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007073063A1 (en) * 2005-12-22 2007-06-28 Kibo Technology Fund Method of technology valuation
KR100898701B1 (ko) * 2006-07-20 2009-05-20 성균관대학교산학협력단 정보시스템 보안을 위한 비즈니스-프로세스 중심의자산분석을 기반으로 한 위험평가 방법
WO2012030333A1 (en) * 2010-09-01 2012-03-08 Hewlett-Packard Development Company, L.P. Performing what-if analysis
US9183506B2 (en) 2010-09-01 2015-11-10 Hewlett-Packard Development Company, L.P. Performing what-if analysis
CN116962090A (zh) * 2023-09-21 2023-10-27 华能信息技术有限公司 一种工业互联网安全控制方法和系统
CN116962090B (zh) * 2023-09-21 2024-02-13 华能信息技术有限公司 一种工业互联网安全控制方法和系统
CN117439824A (zh) * 2023-12-21 2024-01-23 山东科技大学 基于ai的智慧城市评价方法、系统、设备及存储介质
CN117439824B (zh) * 2023-12-21 2024-03-12 山东科技大学 基于ai的智慧城市评价方法、系统、设备及存储介质

Similar Documents

Publication Publication Date Title
US10681056B1 (en) System and method for outlier and anomaly detection in identity management artificial intelligence systems using cluster based analysis of network identity graphs
US20180137288A1 (en) System and method for modeling security threats to prioritize threat remediation scheduling
US10630713B2 (en) Method and tool to quantify the enterprise consequences of cyber risk
CN106062719B (zh) 根据使用数据的结构化日志模式的服务度量分析
US20190228296A1 (en) Significant events identifier for outlier root cause investigation
US20100058114A1 (en) Systems and methods for automated management of compliance of a target asset to predetermined requirements
KR20090037538A (ko) 정보자산 모델링을 이용한 위험 평가 방법
Doynikova et al. CVSS-based probabilistic risk assessment for cyber situational awareness and countermeasure selection
US10320828B1 (en) Evaluation of security in a cyber simulator
CN105009132A (zh) 基于置信因子的事件关联
Achar Cloud computing forensics
KR102058697B1 (ko) 뉴럴네트워크를 이용한 자동학습 기반의 딥러닝 학습 모델을 위한 이상징후 탐지 시스템
KR20070061009A (ko) 보안 위험 관리 시스템 및 방법
CN109766697A (zh) 应用于Linux系统的漏洞扫描方法、存储介质、设备及系统
Beckers et al. A structured comparison of security standards
CN109711849B (zh) 以太坊地址画像生成方法、装置、电子设备及存储介质
In et al. A security risk analysis model for information systems
Dalezios et al. Digital forensics cloud log unification: Implementing CADF in Apache CloudStack
JP7174559B2 (ja) 脆弱性管理システム及びプログラム
Alshammari A Novel Security Framework to Mitigate and Avoid Unexpected Security Threats in Saudi Arabia
Alebrahim et al. Pattern-based and ISO 27001 compliant risk analysis for cloud systems
KR20050006554A (ko) 업무 프로세스 기반의 위험 분석 평가 방법 및 시스템
Li et al. Overview of risk management system of commercial bank data center
KR20040104853A (ko) 정보 자산의 위험 분석 시스템
Ekong et al. Securing Against Zero-Day Attacks: A Machine Learning Approach for Classification and Organizations’ Perception of its Impact

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application