KR20160004791A - System and method for evaluating risk of information assets - Google Patents

System and method for evaluating risk of information assets Download PDF

Info

Publication number
KR20160004791A
KR20160004791A KR1020140083787A KR20140083787A KR20160004791A KR 20160004791 A KR20160004791 A KR 20160004791A KR 1020140083787 A KR1020140083787 A KR 1020140083787A KR 20140083787 A KR20140083787 A KR 20140083787A KR 20160004791 A KR20160004791 A KR 20160004791A
Authority
KR
South Korea
Prior art keywords
value
vulnerability
asset
risk
threat
Prior art date
Application number
KR1020140083787A
Other languages
Korean (ko)
Other versions
KR101623843B1 (en
Inventor
신대현
김영진
홍정우
Original Assignee
(주)비트러스트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)비트러스트 filed Critical (주)비트러스트
Priority to KR1020140083787A priority Critical patent/KR101623843B1/en
Publication of KR20160004791A publication Critical patent/KR20160004791A/en
Application granted granted Critical
Publication of KR101623843B1 publication Critical patent/KR101623843B1/en

Links

Images

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16ZINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS, NOT OTHERWISE PROVIDED FOR
    • G16Z99/00Subject matter not provided for in other main groups of this subclass

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Disclosed are a system and a method for evaluating the risk of information assets. The system for evaluating the risk of information assets may comprise: an asset value calculation unit for quantifying asset classes inputted by each asset by using an asset class table to calculate an asset value; a vulnerability calculation unit for quantifying vulnerability classes inputted for each vulnerability item set by each asset by using a vulnerability class table to calculate a vulnerability value; a threat calculation unit for quantifying threat classes inputted for each of the vulnerability items set by each asset by using a threat class table to calculate a threat value; and a risk calculation unit for selecting an application rate for each of the vulnerability items set by each asset in response to an inputted selection signal, and performing an arithmetic operation with the vulnerability value, a value that reflects the application rate, the threat value, and the asset value so as to calculate a risk value.

Description

정보자산의 위험평가시스템 및 그 방법{System and method for evaluating risk of information assets}A system and method for evaluating information assets,

본 발명은 정보자산의 위험평가시스템 및 그 방법에 관한 것으로, 특히 사용자에게 위험도에 따른 관리대상의 우선순위를 제공할 수 있는 정보자산의 위험평가시스템 및 그 방법에 관한 것이다.The present invention relates to a risk assessment system and method for information assets, and more particularly, to a risk assessment system and method for information assets that can provide users with priorities of objects to be managed according to their risks.

정보자산의 위험평가는 보안관리를 수행하기 위한 필수적인 과정으로 위험을 분석하고 비용효과적인 대응책을 제시하여 보안 정책과 대응책 구현의 계획을 수립하는 위험관리의 핵심적인 과정이다. 정보 자산에 대한 위협은 물리적인 측면과 관리적인 측면, 그리고 기술적인 측면의 위협으로 나누어 볼 수 있다. 물리적인 측면의 위협은 재난, 재해에 의한 위협이나 테러에 의한 파괴 등의 물리적인 침입에 의한 위협을 들 수 있다. 관리적인 측면의 위협은 사람에 의한 도청/감청, 그리고 사회공학적인 위협을 들 수 있다. 기술적인 측면의 위협은 내부자 또는 외부자의 네트워크를 통한 위협을 들 수 있다.Risk assessment of information assets is an essential process for performing security management, and it is a key process of risk management that analyzes the risks and proposes cost-effective countermeasures to plan the implementation of security policies and countermeasures. Threats to information assets can be divided into physical, administrative, and technical threats. Physical threats are threats from physical intrusions such as disasters, catastrophic threats or destruction by terrorism. Administrative threats include eavesdropping / tapping by humans, and social engineering threats. Technological threats are threats through networks of insiders or outsiders.

위험 분석 과정은 일반적으로 자산평가 과정, 위협평가 과정, 취약성 평가과정, 그리고 위험 평가 과정으로 나눌 수 있다. 자산평가 과정은 보호해야할 자산을 식별하고 각 자산별 중요도를 파악하는 과정이다. 위협평가 과정은 정보 자산에 대한 다양한 위협요인을 파악하는 과정이다. 취약성 평가 과정은 파악된 위협요인에 대하여 파악된 각 자산의 취약점을 파악하고 침해 시 파급효과 정도를 파악하는 과정이다. 위험평가 과정은 전체 자산별 위험도 수준을 평가하고 보호대책 수립 시 우선순위 근거를 마련하는 과정이다. 이와 같은 위험분석의 일 예는 대한민국 등록특허 제10-0524649호 등에 개시되어 있다.The risk analysis process can be generally divided into an asset assessment process, a threat assessment process, a vulnerability assessment process, and a risk assessment process. The asset assessment process identifies the assets to be protected and identifies the importance of each asset. The process of threat assessment is the process of identifying various threats to information assets. The vulnerability assessment process identifies the vulnerability of each identified asset against the identified threat and identifies the extent of the ripple effect. The risk assessment process is a process of assessing the level of risk for an entire asset and establishing priorities for establishing protective measures. An example of such a risk analysis is disclosed in Korean Patent No. 10-0524649.

그런데 이러한 위험평가에 있어 자산별 취약점항목들에 대하여 중요도를 판별하지 않고 동일한 중요도로 위험을 평가하게 되어 실제로 사용자가 위험평가결과를 보고 사용자의 상황에 맞는 관리 및 보호대책 수립의 우선순위를 명확하게 설정하기 어려운 문제가 있다.However, in the risk assessment, the risk is assessed at the same level of importance without determining the importance level of the vulnerability items by asset. In fact, the user can see the risk assessment result clearly and prioritize the establishment of the management and protection measures There is a problem that is difficult to set.

본 발명이 해결하고자 하는 과제는 자산가치, 취약성 및 위협성을 분석하여 자산의 위험도를 산출함에 있어 자산별 취약점 항목들에 대하여 적용비율을 다르게 설정하여 산출된 위험도를 사용자에게 제공함으로써 사용자에게 위험도에 따른 관리대상의 우선순위를 제공할 수 있는 정보자산의 위험평가시스템을 제공하는데 있다.The problem to be solved by the present invention is to analyze the asset value, the vulnerability and the threat, and to calculate the risk of the asset, by setting the application rate differently for the vulnerability items according to the asset, And to provide a risk evaluation system of information assets that can provide priorities of management targets.

본 발명이 해결하고자 하는 다른 과제는 상기 위험평가시스템을 이용하여 자산의 위험을 평가할 수 있는 위험평가방법을 제공하는데 있다.Another problem to be solved by the present invention is to provide a risk assessment method that can evaluate the risk of an asset using the risk assessment system.

상기 과제를 달성하기 위한 본 발명의 일 실시예에 따른 위험평가시스템은, 자산별로 입력된 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 산출하는 자산가치산출부, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 산출하는 취약성산출부, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 산출하는 위협성산출부 및 입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하고, 상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 위험도산출부를 구비할 수 있다.According to an aspect of the present invention, there is provided a risk evaluation system including an asset value calculation unit for calculating an asset value by digitizing an asset class inputted for each asset using an asset class table, A vulnerability calculation unit for calculating a vulnerability value by quantifying the vulnerability class inputted for each vulnerability table using the vulnerability table, and a threat level inputted for each vulnerability item set for each asset, And selecting the application rate for each of the vulnerability items set for each asset in response to the input selection signal, and selecting a value reflecting the application rate to the vulnerable value, the threat value and the asset value And calculating a risk value by calculating the risk value.

상기 자산등급은 상기 자산의 가용성, 무결성 및 기밀성 각각에 대하여 입력된 등급이고, 상기 자산등급테이블은 상기 자산별로 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계가 설정되어 있을 수 있다.The asset class may be a rating entered for each of the availability, integrity, and confidentiality of the asset, and the asset class table may have a relationship between the level of availability, integrity, and confidentiality and the asset value for each asset.

상기 취약등급은 상기 취약점항목별로 노출성 및 심각성 각각에 대하여 입력된 등급이고, 상기 취약등급테이블은 상기 취약점항목별로 상기 노출성 및 심각성의 등급과 상기 취약값의 관계가 설정되어 있을 수 있다.The vulnerability rating is a rating inputted for each of the vulnerability items for each of the exposure and severity, and the vulnerability rating table may have a relation between the degree of vulnerability and the degree of vulnerability and the vulnerability value for each vulnerability item.

상기 위협등급은 상기 취약점항목별 영향력에 대하여 입력된 등급이고, 상기 위협등급테이블은 상기 취약점항목별로 상기 영향력의 등급과 상기 위협값의 관계가 설정되어 있을 수 있다.The threat grade is a rating inputted for the influence of each item of the vulnerability item, and the threat grade table may have a relationship between the degree of the influence and the threat value for each item of the vulnerability item.

상기 위험평가시스템은 상기 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단하는 판단부를 더 구비할 수 있다.The risk assessment system may further include a determination unit that compares the risk value with a reference value and determines that the corresponding vulnerability item is a management target when the risk value is greater than or equal to the reference value.

상기 자산은 데이터, 문서, 소프트웨어, 서버, 네트워크, 정보보호시스템, PC 및 노트북, 기타매체, 부대설비 및 부대시설 중 하나 또는 그 세부항목일 수 있다.The assets may be one or more of data, documents, software, servers, networks, information protection systems, PCs and laptops, other media, additional facilities and additional facilities.

상기 위험평가시스템은, 상기 자산별로 산출된 취약값들을 이용하여 취약점 점수를 산출하거나, 상기 자산별로 산출된 위험도값을 이용하여 위험도 점수를 산출하거나, 상기 자산들 전체에 대한 자산가치, 상기 취약점 점수 및 상기 위험도 점수를 이용하여 전체 위험도 점수를 산출하는 통계값산출부를 더 구비할 수 있다.The risk assessment system may be configured to calculate a vulnerability score using the vulnerability values calculated for each asset or to calculate a risk score using the risk value calculated for each asset or to calculate an asset value, And a statistical value calculating unit for calculating an overall risk score using the risk score.

상기 다른 과제를 달성하기 위한 본 발명의 일 실시예에 따른 위험평가방법은, 자산별로 입력되는 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 설정하는 단계, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 설정하는 단계, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력되는 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 설정하는 단계, 입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하는 단계 및 상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 단계를 포함할 수 있다.According to another aspect of the present invention, there is provided a risk evaluation method comprising: setting an asset value by quantifying an asset class input for each asset using an asset class table; Setting a vulnerability value by numerically expressing the vulnerability rating inputted to the vulnerability table using the vulnerability table, and setting a threat value by numerically calculating the threat level inputted for each vulnerability item set for each asset using the threat level table Selecting an application rate for each vulnerability item set for each asset in response to the input selection signal; calculating a value reflecting the application rate to the vulnerable value, the threat value and the asset value to calculate a risk value; And a step of calculating the number of steps.

상기 자산가치를 설정하는 단계는 상기 자산의 가용성, 무결성 및 기밀성 각각에 대하여 입력된 등급과 상기 자산등급테이블을 이용하여 상기 자산가치를 설정하는 단계이고, 상기 취약값을 설정하는 단계는 상기 취약점항목별로 노출성 및 심각성 각각에 대하여 입력된 등급과 상기 취약등급테이블을 이용하여 상기 취약값을 설정하는 단계이며, 상기 위협값을 설정하는 단계는 상기 취약점항목별로 영향력에 대하여 입력된 등급과 상기 위협등급테이블을 이용하여 상기 위협값을 설정하는 단계이고, 상기 위험도값을 산출하는 단계는 상기 취약값, 상기 적용비율 및 상기 위협값을 곱한 후 상기 자산가치를 더한 값을 자연수로 나눈 값을 상기 위험도값으로 산출하는 단계일 수 있다.Wherein the step of setting the asset value is to set the asset value using the input grade and the asset grade table for each of availability, integrity and confidentiality of the asset, and the step of setting the vulnerability value comprises: And setting the vulnerability value using the vulnerability rating table and the input rating for each of the vulnerability and severity, wherein the step of setting the threat value comprises: Wherein the step of calculating the risk value comprises the step of multiplying the vulnerability value, the application ratio and the threat value, and adding the value of the asset to the risk value, . ≪ / RTI >

상기 위험평가방법은 상기 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단하는 단계를 더 포함할 수 있다.The risk assessment method may further include comparing the risk value with a reference value, and determining that the corresponding vulnerability item is a management subject if the risk value is greater than or equal to the reference value.

본 발명의 기술적 사상에 의한 일 실시예에 따른 정보자산의 위험평가시스템 및 그 방법은 자산가치, 취약성 및 위협성을 분석하여 자산의 위험도를 산출함에 있어 자산별 취약점 항목들에 대하여 적용비율을 다르게 설정하여 산출된 위험도를 사용자에게 제공함으로써 사용자에게 위험도에 따른 관리대상의 우선순위를 제공할 수 있는 장점이 있다. 즉, 본 발명의 기술적 사상에 의한 일 실시예에 따른 정보자산의 위험평가시스템 및 그 방법은 사용자에 따라 다르게 설정된 중요도에 따라 위험평가를 하고 그 결과가 수치로 제공되므로 사용자는 평가결과를 보고 관리할 자산별 취약점항목의 우선순위를 쉽게 결정할 수 있는 장점이 있다.According to the technical idea of the present invention, the risk assessment system and the method of the information asset according to the embodiment of the present invention are designed to calculate the risk of the asset by analyzing the asset value, vulnerability and threat, And provides the calculated risk to the user, thereby providing the user with the priority of the management subject according to the risk. That is, according to the technical idea of the present invention, the risk assessment system and method according to one embodiment of the present invention performs risk assessment according to the importance set according to the user, and the result is provided as a numerical value, It is easy to determine the priorities of vulnerability items by assets to be managed.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 기술적 사상에 의한 일 실시예에 따른 위험평가시스템의 블록도이다.
도 2는 도 1의 위험평가시스템을 이용하여 위험을 평가하는 방법의 흐름도이다.
도 3a 및 도 3b는 도 1의 자산가치산출부의 동작을 설명하기 위한 도면이다.
도 4a 및 도 4b는 도 1의 취약성산출부의 동작을 설명하기 위한 도면이다.
도 5a 및 도 5b는 도 1의 위협성산출부의 동작을 설명하기 위한 도면이다.
도 6a 및 도 6b는 도 1의 위험도산출부의 동작을 설명하기 위한 도면이다.
도 7은 도 1의 위험도산출부에서 상기 위험도값을 산출하는 실시예를 설명하기 위한 도면이다.
도 8 및 도 9는 도 1의 통계값산출부의 동작을 설명하기 위한 도면이다.BRIEF DESCRIPTION OF THE DRAWINGS A brief description of each drawing is provided to more fully understand the drawings recited in the description of the invention.
1 is a block diagram of a risk assessment system according to an embodiment of the present invention.
2 is a flow chart of a method for assessing risk using the risk assessment system of FIG.
FIGS. 3A and 3B are diagrams for explaining the operation of the asset value calculation unit of FIG. 1. FIG.
4A and 4B are diagrams for explaining the operation of the vulnerability calculating unit of FIG.
5A and 5B are diagrams for explaining the operation of the threat calculation unit of FIG.
6A and 6B are diagrams for explaining the operation of the risk calculation unit of FIG.
FIG. 7 is a diagram for explaining an embodiment for calculating the risk value in the risk calculating unit of FIG. 1; FIG.
Figs. 8 and 9 are diagrams for explaining the operation of the statistical value calculating unit of Fig.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다. In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the present invention will be described in detail with reference to the preferred embodiments of the present invention with reference to the accompanying drawings. Like reference symbols in the drawings denote like elements.

도 1은 본 발명의 기술적 사상에 의한 일 실시예에 따른 위험평가시스템(100)의 블록도이고, 도 2는 도 1의 위험평가시스템(100)을 이용하여 위험을 평가하는 방법의 흐름도이다.FIG. 1 is a block diagram of a risk assessment system 100 in accordance with one embodiment of the present invention. FIG. 2 is a flow chart of a method for assessing risk using the risk assessment system 100 of FIG.

도 1 및 도 2를 참조하면, 위험평가시스템(100)은 자산가치산출부(110), 자산등급테이블(115), 취약성산출부(120), 취약등급테이블(125), 위협성산출부(130), 위협등급테이블(135) 및 위험도산출부(140)를 구비할 수 있다. 또한, 위험평가시스템(100)은 상기 구성요소들에 더하여 판단부(150) 및 통계값산출부(160)를 선택적으로 더 구비할 수도 있다.1 and 2, the risk assessment system 100 includes an asset value calculation unit 110, an asset rating table 115, a vulnerability calculation unit 120, a vulnerability rating table 125, a threat calculation unit 130 ), A threat level table 135 and a risk degree calculation unit 140. [ The risk assessment system 100 may further include a determination unit 150 and a statistic value calculation unit 160 in addition to the components.

자산가치산출부(110)는 자산별로 입력된 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 산출할 수 있다(S210). 상기 자산은 기술적 자산, 관리적 자산, 물리적 자산 등으로 나누어질 수 있고, 예를 들어, 데이터, 문서, 소프트웨어, 서버, 네트워크, 정보보호시스템, PC 및 노트북, 기타매체, 부대설비 및 부대시설 중 하나 또는 그 세부항목일 수 있다. 상기 세부항목은 상기 자산을 보다 구체적으로 세분화한 것으로, 예를 들어 소프트웨어의 세부항목은 패키지소프트, 응용소프트, 시스템소프트, 솔루션, OS, OA 등이 될 수 있고, 서버의 세부항목은 웹서버, 메일서버, FTP서버, DB서버, 기타서버 등이 될 수 있다. 다만, 본 발명의 자산이 이상의 경우에 한정되는 것은 아니며, 위험평가의 대상이 된다면 모두 상기 자산의 범위에 포함될 수 있다. 상기 자산등급은 키보드, 마우스, 터치패드 등의 입력수단을 통하여 입력된 등급일 수 있으며, 예를 들어, 상기 자산의 가용성의 등급, 무결성의 등급 및 기밀성의 등급일 수 있다. 상기 가용성은 상기 자산이 적절한 시간에 인가된 당사자에게 접근 가능한 정도를 의미하고, 상기 무결성은 상기 자산이 인가된 당사자에 의해서 인가된 방법으로 변경 가능한 정도를 의미하며, 상기 기밀성은 상기 자산이 인가된 당사자에 의해서만 접근하는 것을 보장하는 정도를 의미할 수 있다. 자산등급테이블(115)에는 상기 자산별로 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계가 설정되어 있다. 자산가치산출부(110)의 동작에 대하여는 도 3a 및 도 3b를 참조하여 보다 상세하게 설명한다.The asset value calculating unit 110 may calculate the asset value by converting the asset class inputted for each asset into a numerical value using the asset class table (S210). Such assets can be divided into technical assets, administrative assets, physical assets, and the like, for example, data, documents, software, servers, networks, information protection systems, PCs and laptops, other media, Or may be a subcategory thereof. For example, the detailed items of the software may be package software, application software, system software, solution, OS, OA, etc., and the details of the server may be a web server, A mail server, an FTP server, a DB server, and other servers. However, the assets of the present invention are not limited to those described above, and they may be included in the scope of the assets if they are subject to risk evaluation. The asset class may be a rating entered through input means such as a keyboard, a mouse, a touchpad, etc., and may be, for example, a rating of the availability of the asset, a rating of integrity and a rating of confidentiality. The availability means the degree to which the asset is accessible to the authorized party at the appropriate time and the integrity means the degree to which the asset can be altered in a manner authorized by the authorized party, But only to the extent that it is guaranteed to be accessed only by the parties. In the asset class table 115, the relationship between the above-mentioned availability, integrity and confidentiality grade and the asset value is set for each of the assets. The operation of the asset value calculation unit 110 will be described in more detail with reference to FIGS. 3A and 3B. FIG.

취약성산출부(120)는 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블(125)을 이용하여 수치화하여 취약값을 산출할 수 있다(S220). 상기 취약점항목들은 물리적, 관리적 또는 기술적으로 상기 자산에 대하여 취약성을 점검할 사항들에 관한 것으로, 상기 취약점항목들은 사용자가 입력한 사항일 수도 있고 또는 상기 자산별로 설정되어 있는 사항일 수도 있다. 상기 취약등급은 상기 자산등급과 마찬가지로 키보드, 마우스, 터치패드 등의 입력수단을 통하여 입력된 등급일 수 있으며, 예를 들어, 상기 취약점항목의 노출성의 등급 및 심각성의 등급일 수 있다. 상기 노출성은 상기 취약점항목의 외부 노출 가능성의 정도를 의미하고, 상기 심각성은 상기 취약점항목으로 인한 사고 발생 시 피해의 정도를 의미할 수 있다. 취약등급테이블(125)에는 상기 취약점항목별로 상기 노출성 및 심각성의 등급과 상기 취약값의 관계가 설정되어 있다. 취약성산출부(120)의 동작에 대하여는 도 4a 및 도 4b를 참조하여 보다 상세하게 설명한다.The vulnerability calculating unit 120 may calculate a vulnerability value for each of the vulnerability items set for each of the assets by using the vulnerability table 125 to numerically calculate the vulnerability value (S220). The vulnerability items may be physical, administrative or technological items to be checked for vulnerability, and the vulnerability items may be items entered by the user or items set for the respective assets. The vulnerability rating may be a rating inputted through an input means such as a keyboard, a mouse, a touch pad, and the like, for example, the rating level of the vulnerability item and the severity of the vulnerability item. The degree of vulnerability refers to the degree of possibility of external exposure of the vulnerability item, and the severity may indicate the degree of damage in case of an accident caused by the vulnerability item. In the vulnerability table 125, the relationship between the degree of vulnerability and severity and the vulnerability value is set for each vulnerability item. The operation of the vulnerability calculation unit 120 will be described in more detail with reference to FIGS. 4A and 4B.

위협성산출부(130)는 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 위협등급을 위협등급테이블(135)을 이용하여 수치화하여 위협값을 산출할 수 있다(S230). 상기 취약점항목들은 앞서 설명한 것과 같이 물리적, 관리적 또는 기술적으로 취약성을 점검할 사항들에 관한 것으로, 상기 취약점항목들은 사용자가 입력한 사항일 수도 있고 또는 상기 자산별로 설정되어 있는 사항일 수도 있다. 상기 위협등급은 키보드, 마우스, 터치패드 등의 입력수단을 통하여 입력된 등급일 수 있으며, 예를 들어, 상기 취약점항목의 영향력의 등급일 수 있다. 상기 영향력은 사고 발생 시 파급 효과의 정도를 의미할 수 있다. 위협등급테이블(135)에는 상기 취약점항목별로 상기 영향력의 등급과 상기 위협값의 관계가 설정되어 있다. 위협성산출부(130)의 동작에 대하여는 도 5a 및 도 5b를 참조하여 보다 상세하게 설명한다.The threat calculation unit 130 can calculate the threat value by quantifying the threat level inputted for each of the vulnerability items set for each asset using the threat grade table 135 at step S230. As described above, the vulnerability items refer to physical, administrative, or technological vulnerability checks. The vulnerability items may be items entered by the user or items set for the respective assets. The threat grade may be a rating inputted through an input means such as a keyboard, a mouse, a touch pad, or the like, and may be a rating of the influence of the vulnerability item, for example. This influence may mean the extent of the ripple effect in the event of an accident. In the threat level table 135, the relationship between the level of the influence and the threat value is set for each of the vulnerability items. The operation of the threat calculation unit 130 will be described in detail with reference to FIGS. 5A and 5B.

위험도산출부(140)에서는 입력된 선택신호에 응답하여 취약점항목들 각각의 적용비율을 선택할 수 있으며(S240), 이상에서와 같이 자산가치산출부(110)에서 산출된 자산가치, 취약성산출부(120)에서 산출된 취약값, 위협성산출부(130)에서 산출된 위협값과 상기 적용비율을 이용하여 위험도값을 산출할 수 있다(S250). 상기 선택신호는 키보드, 마우스, 터치패드 등의 입력수단을 통하여 입력된 신호일 수 있으며, 대응하는 취약점항목에 중요도에 따라 적용비율을 다르게 선택할 수 있는 신호일 수 있다. 위험도산출부(140)는 상기 선택신호에 응답하여 선택된 적용비율을 상기 취약값에 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 상기 위험도값을 산출할 수 있다. 상기 적용비율을 선택하는 방법과 상기 위험도값을 산출하는 방법에 대하여는 도 6a 내지 도 7을 참조하여 보다 상세하게 설명한다.The risk calculation unit 140 may select the application ratio of each of the vulnerability items in response to the input selection signal at step S240. The risk value calculation unit 140 may calculate an asset value, a vulnerability calculation unit The vulnerability value calculated by the threat calculation unit 130 and the application ratio may be used to calculate the risk value (S250). The selection signal may be a signal inputted through an input means such as a keyboard, a mouse, a touch pad, or the like, and may be a signal capable of selecting a different application ratio according to the importance of the corresponding vulnerability item. The risk calculator 140 may calculate the risk value by calculating the threat value and the asset value by reflecting the application rate selected in response to the selection signal to the vulnerability value. A method of selecting the application rate and a method of calculating the risk value will be described in detail with reference to FIGS. 6A to 7.

판단부(150)는 위험도산출부(140)에서 산출된 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단할 수 있다(S260). 상기 기준값은 미리 설정되어 있는 값일 수도 있고 상기 입력수단을 통하여 입력된 값일 수도 있으며, 상기 취약점항목이 관리대상이 될 것인지에 대한 기준이 되는 값일 수 있다.The determination unit 150 compares the risk value calculated by the risk calculation unit 140 with a reference value and determines that the corresponding vulnerability item is a management target when the risk value is equal to or greater than the reference value (S260). The reference value may be a preset value, a value input through the input means, or a value that is a criterion for determining whether the vulnerability item is to be managed.

통계값산출부(160)는 상기 자산별로 상기 취약값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 취약값들을 모두 합한 값의 비율을 이용하여 상기 취약점 점수를 산출할 수 있다. 또는, 통계값산출부(160)는 상기 자산별로 상기 위험도값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 위험도값들을 모두 합한 값의 비율을 이용하여 상기 위험도 점수를 산출할 수 있다. 통계값산출부(160)는 통계적인 값을 사용자에게 제공할 수 있도록 동작하며, 통계값산출부(160)의 동작에 대하여는 도 8 및 도 9를 참조하여 보다 상세하게 설명한다.The statistic value calculating unit 160 may calculate the vulnerability score using a ratio of a sum of all the maximum values that the vulnerable values have for each of the assets and a sum of the calculated vulnerabilities for each of the assets . Alternatively, the statistic value calculating unit 160 may calculate the risk score using a ratio of a sum of all the maximum values that the risk values can have for each of the assets and a sum of the calculated risk values for each of the assets . The statistical value calculator 160 operates to provide a statistical value to the user, and the operation of the statistical value calculator 160 will be described in more detail with reference to FIGS. 8 and 9. FIG.

도 3a 및 도 3b는 도 1의 자산가치산출부(110)의 동작을 설명하기 위한 도면이다.3A and 3B are diagrams for explaining the operation of the asset value calculation unit 110 of FIG.

도 1 내지 도 3b를 참조하면, 상기 자산별로 자산등급(310)이 입력될 수 있고, 도 3a의 310은 왼쪽부터 순서대로 가용성, 무결성 및 기밀성에 대하여 입력된 등급일 수 있다. 이와 같이 자산등급(310)이 입력된 경우 자산가치산출부(110)는 입력된 자산등급(310)과 도 3b와 같은 자산등급테이블(115)을 이용하여 수치화된 자산가치를 산출할 수 있다. 예를 들어, 도 3a와 같이 가용성, 무결성 및 기밀성의 등급이 모두 'High'로 입력된 경우 도 3b의 자산등급테이블(115)을 이용하면, 자산가치산출부(110)는 자산등급테이블(115)에서 가용성, 무결성 및 기밀성의 등급이 모두 'High'인 지점의 자산가치인 3점을 상기 자산의 자산가치로 설정할 수 있다. 그리고 도 3b의 좌측에 있는 등급을 참조하면, 상기 자산가치의 등급(320)은 'High'로 설정될 수 있다. 도 3a 및 도 3b는 본 발명 중 자산가치산출부(110)를 설명하기 위한 일 실시예에 불과하며, 자산등급테이블(115)에는 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계가 다른 형태로 설정되어 있을 수도 있다. 자산등급테이블(115)의 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계는 외부에서 입력된 정보를 이용하여 설정될 수도 있고 자산별로 미리 설정되어 있을 수도 있다. 이와 같은 방법으로 자산가치산출부(110)는 상기 자산들 전체에 대하여 각각 자산가치를 설정할 수 있다.Referring to FIGS. 1 to 3B, an asset class 310 may be input for each asset, and 310 of FIG. 3A may be an input grade for availability, integrity, and confidentiality in order from the left. When the asset class 310 is input in this manner, the asset value calculation unit 110 can calculate the asset value quantified using the input asset class 310 and the asset class table 115 shown in FIG. 3B. For example, when the availability, integrity, and confidentiality levels are all entered as 'High' as shown in FIG. 3A, the asset value calculation unit 110 uses the asset value table 115 of FIG. 3B, ), The asset value of the asset at the point where the availability, integrity, and confidentiality ratings are all 'High' can be set as the asset value of the asset. Referring to the class on the left side of FIG. 3B, the class 320 of the asset value may be set to 'High'. 3A and 3B are merely examples for explaining the asset value calculation unit 110 of the present invention. In the asset class table 115, the relation between the grade of availability, integrity and confidentiality and the asset value is different It may be set to the form. The relationship between the availability level, integrity level, and confidentiality level of the asset level table 115 and the asset value may be set using information input from the outside or predetermined for each asset. In this way, the asset value calculation unit 110 can set asset values for all of the assets.

도 4a 및 도 4b는 도 1의 취약성산출부(120)의 동작을 설명하기 위한 도면이다.4A and 4B are diagrams for explaining the operation of the vulnerability calculation unit 120 of FIG.

도 1 내지 도 4b를 참조하면, 상기 자산별로 설정된 취약점항목들 각각에 대하여 취약등급(410)이 입력될 수 있고, 도 4a의 410은 왼쪽부터 순서대로 심각성 및 노출성에 대하여 입력된 등급일 수 있다. 이와 같이 취약등급(410)이 입력된 경우 취약성산출부(120)는 입력된 취약등급(410)과 도 4b와 같은 취약등급테이블(125)을 이용하여 수치화된 취약값을 산출할 수 있다. 예를 들어, 도 4a와 같이 심각성의 등급이 'Low'이고 노출성의 등급이 'Middle'로 입력된 경우 도 4b의 취약등급테이블(125)을 이용하면, 취약성산출부(120)는 취약등급테이블(125)에서 심각성의 등급이 'Low'이고 노출성의 등급이 'Middle'인 지점의 취약성값인 2점을 상기 취약점항목의 취약값으로 설정할 수 있다. 그리고 도 4b의 좌측에 있는 등급을 참조하면, 상기 취약값의 등급(320)은 'Low'로 설정될 수 있다. 도 4a 및 도 4b는 본 발명 중 취약성산출부(120)를 설명하기 위한 일 실시예에 불과하며, 취약등급테이블(125)은 상기 심각성 및 노출성의 등급과 상기 취약값의 관계가 다른 형태로 설정되어 있을 수도 있다. 취약성등급테이블(125)의 상기 심각성 및 노출성의 등급과 상기 취약값의 관계는 외부에서 입력된 정보를 이용하여 설정될 수도 있고 취약점항목별로 미리 설정되어 있을 수도 있다. 이와 같은 방법으로 취약성산출부(120)는 상기 자산별 취약점항목들 전체에 대하여 각각 취약값을 설정할 수 있다.Referring to FIGS. 1 to 4B, a vulnerability level 410 may be input for each vulnerability item set for each asset, and the level 410 of FIG. 4A may be an input rating for severity and exposure . When the vulnerability class 410 is input as described above, the vulnerability calculation unit 120 can calculate the weakened value quantified using the vulnerability class 410 as shown in FIG. 4B and the vulnerability class table 125 as shown in FIG. 4B. For example, when the degree of severity is 'Low' and the degree of exposure is 'Middle' as shown in FIG. 4A, the vulnerability table 120 shown in FIG. The weakness value of the vulnerability item can be set to two points, which is the vulnerability value at the point where the severity level is 'Low' and the exposure level is 'Middle'. And referring to the class on the left side of FIG. 4B, the class 320 of the weak value may be set to 'Low'. 4A and 4B are merely examples for explaining the vulnerability calculating unit 120 of the present invention, and the vulnerability table 125 sets the severity and the degree of vulnerability to the vulnerability value in a different form . The relationship between the severity and the degree of vulnerability and the vulnerability value of the vulnerability class table 125 may be set using information input from the outside or preset for each vulnerability item. In this way, the vulnerability calculating unit 120 can set vulnerable values for all the vulnerability items by the asset.

도 5a 및 도 5b는 도 1의 위협성산출부(130)의 동작을 설명하기 위한 도면이다.5A and 5B are diagrams for explaining the operation of the threat calculation unit 130 of FIG.

도 1 내지 도 5b를 참조하면, 상기 자산별로 설정된 취약점항목들 각각에 대하여 위협등급(510)이 입력될 수 있고, 도 5a의 510은 영향력에 대하여 입력된 등급일 수 있다. 이와 같이 영향력등급(510)이 입력된 경우 위협성산출부(130)는 입력된 영향력등급(510)과 도 5b의 위협등급테이블(135)을 이용하여 수치화된 위협값을 산출할 수 있다. 예를 들어, 도 5a와 같이 영향력의 등급이 'Middle'로 입력된 경우 도 5b와 같은 위협등급테이블(135)을 이용하면, 위협성산출부(130)는 위협등급테이블(135)에서 영향력의 등급이 'Middle'인 지점의 위협값인 5점을 상기 취약점항목의 위협값으로 설정할 수 있다. 그리고 도 4b의 좌측에 있는 등급을 참조하면, 상기 위협값의 등급(520)은 'Middle'로 설정될 수 있다. 도 5a 및 도 5b는 본 발명 중 위협성산출부(130)를 설명하기 위한 일 실시예에 불과하며, 위협등급테이블(135)은 상기 영향력의 등급과 상기 위협값의 관계가 다른 형태로 설정되어 있을 수도 있다. 위협등급테이블(135)의 상기 영향력의 등급과 상기 위협값의 관계는 외부에서 입력된 정보를 이용하여 설정될 수도 있고 취약점항목별로 미리 설정되어 있을 수도 있다. 이와 같은 방법으로 위협성산출부(130)는 상기 자산별 취약점항목들 전체에 대하여 각각 위협값을 설정할 수 있다.Referring to FIGS. 1 to 5B, a threat grade 510 may be input for each vulnerability item set for each asset, and 510 of FIG. 5A may be an input rating for the influence. When the influence class 510 is input in this way, the threat calculation unit 130 can calculate the threat value quantified using the input influence class 510 and the threat grade table 135 of FIG. 5B. For example, when the influence level is inputted as 'Middle' as shown in FIG. 5A, using the threat level table 135 shown in FIG. 5B, the threat level calculation unit 130 calculates the degree of influence The threat value of the 'Middle' point can be set as the threat value of the vulnerability item. Referring to the left side of FIG. 4B, the threat level 520 may be set to 'Middle'. 5A and 5B are merely examples for explaining the threat calculation unit 130 of the present invention. The threat level table 135 may be configured such that the relationship between the level of the influence and the threat value is set differently It is possible. The relationship between the level of influence of the threat level table 135 and the threat value may be set using information input from the outside or may be set in advance for each vulnerability item. In this way, the threat calculation unit 130 can set the threat values for all of the vulnerability items by the asset.

도 6a 및 도 6b는 도 1의 위험도산출부(140)의 동작을 설명하기 위한 도면이고, 도 7은 도 1의 위험도산출부(140)에서 상기 위험도값을 산출하는 실시예를 설명하기 위한 도면이다.6A and 6B are diagrams for explaining the operation of the risk calculation unit 140 of FIG. 1, and FIG. 7 is a diagram for explaining an embodiment of calculating the risk value by the risk calculation unit 140 of FIG. 1 to be.

도 1 내지 도 7을 참조하면, 위험도산출부(140)는 앞서 설명한 것과 같이 자산가치산출부(110), 취약성산출부(120) 및 위협성산출부(130)에서 산출한 상기 자산가치, 상기 취약값 및 상기 위협값을 이용하여 위험도값을 산출할 수 있다. 도 6a에서 610은 상기 취약점항목들 각각에 대하여 취약성산출부(120)에서 산출된 취약값의 일 실시예이고, 620은 상기 취약점항목들 각각에 대하여 위협성산출부(130)에서 산출된 위협값의 일 실시예이다. 그리고, 도 6a에 도시된 취약점항목들은 하나의 자산에 대한 취약점항목들이므로, 도 6a의 취약점항목들과 관련하여 자산가치산출부(110)에서 산출한 자산가치는 모두 동일한 값을 가질 수 있다.Referring to FIGS. 1 to 7, the risk calculation unit 140 calculates a risk value using the asset value calculated by the asset value calculating unit 110, the vulnerability calculating unit 120, and the threat calculating unit 130, Value and the threat value can be used to calculate the risk value. 6A to 610 show an example of the vulnerability value calculated by the vulnerability calculation unit 120 for each of the vulnerability items, and 620 is a graph showing an example of the vulnerability value calculated by the threat value calculation unit 130 for each of the vulnerability items FIG. Since the vulnerability items shown in FIG. 6A are vulnerability items for one asset, the asset values calculated by the asset value calculation unit 110 in relation to the vulnerability items in FIG. 6A may all have the same value.

도 6b는 도 6a에서 적용비율(630)이 선택되고 취약값(610)에 적용비율을 반영한 값(640)을 산출되며 위험도값(650)이 산출된 경우를 도시한 도면이다. 즉, 위험도산출부(140)는 입력된 선택신호에 응답하여 상기 취약점항목들 각각의 적용비율(630)을 선택할 수 있는데, 도 6b에서는 상기 선택신호가 'O', 'X', 'P'의 3가지 중 하나인 경우에 대하여 도시하고 있다. 도 6b에서는 상기 선택신호가 'O'인 경우 상기 적용비율은 100%, 상기 선택신호가 'X'인 경우 상기 적용비율은 0%, 상기 선택신호가 'P'인 경우 상기 적용비율은 50%인 경우를 가정하고 있으나, 본 발명이 반드시 이 경우에 한정되는 것은 아니며 필요에 따른 다른 적용비율을 선택할 수 있도록 상기 선택신호를 설정할 수도 있다. 위험도산출부(140)는 선택된 적용비율(630)을 상기 취약점항목별 취약값(610)에 반영하여 640과 같이 값을 얻을 수 있다. 이와 같은 방법에 의하여 사용자는 취약점항목들 각각의 중요도에 따라 취약값에 다른 가중치를 설정할 수 있게 되어 사용자에게 위험도에 따른 관리대상의 우선순위를 제공할 수 있다.FIG. 6B is a diagram illustrating a case where the application ratio 630 is selected in FIG. 6A, a value 640 reflecting the application ratio to the vulnerability value 610 is calculated, and the risk value 650 is calculated. In other words, the risk calculation unit 140 can select the application ratio 630 of each of the vulnerability items in response to the input selection signal. In FIG. 6B, the selection signal is 'O', 'X' As shown in FIG. 6B, the application ratio is 100% when the selection signal is' 0 ', the application ratio is 0% when the selection signal is' X', the application ratio is 50% when the selection signal is' However, the present invention is not limited to this case, and it is also possible to set the selection signal so as to select another application ratio as needed. The risk calculation unit 140 may obtain the value 640 by reflecting the selected application ratio 630 to the weak point value 610 according to the vulnerability item. According to this method, the user can set different weights to the vulnerable values according to the importance of each of the vulnerability items, thereby providing the user with the priority of the managed object according to the risk.

위험도산출부(140)는 이상에서와 같이 산출된 값들, 즉 취약값(610)에 적용비율(630)을 반영한 값(640), 위협값(620) 및 상기 자산가치를 연산하여 상기 취약점항목별로 위험도값(650)을 산출하고 등급을 설정할 수 있다. 위험도산출부(140)에서 위험도값(650)을 산출하는 일 실시예는 도 7에 도시된 것과 같다. 예를 들어, 위험도산출부(140)는 상기 취약점항목별로 취약값(610)과 적용비율(630)과 위협값(620)을 곱한 값에 상기 자산가치를 더한 값을 자연수로 나눈 값일 수 있으며, 상기 자연수는 도 7에서는 '4'인 경우로 가정하고 있으나 본 발명이 반드시 이 경우에 한정되는 것은 아니다. 또한, 도 7과 같이 반드시 상기 취약값과 적용비율과 위협값을 곱한 값에 상기 자산가치를 더하여야 하는 것은 아니며, 필요에 따른 다른 연산을 통해 위험도값을 산출할 수도 있다.The risk calculation unit 140 calculates the value 640 reflecting the application ratio 630 to the vulnerability value 610, the threat value 620 and the asset value calculated as described above, The risk value 650 can be calculated and the rating can be set. One embodiment for calculating the risk value 650 in the risk calculation unit 140 is the same as that shown in Fig. For example, the risk calculation unit 140 may be a value obtained by multiplying the weak value 610, the application ratio 630, and the threat value 620 by the vulnerability item and the asset value, The natural number is assumed to be '4' in FIG. 7, but the present invention is not necessarily limited to this case. In addition, as shown in FIG. 7, the asset value is not always added to the value obtained by multiplying the vulnerability value, the application ratio, and the threat value, and the risk value may be calculated through other operations as needed.

도 7에서 'DoA'라고 표시된 부분은 상기 기준값에 해당하며, 위험도산출부(140)는 상기 위험도값과 상기 기준값을 비교하여 상기 취약점항목이 관리대상인지 판단할 수 있다. 예를 들어, 도 7과 같이 상기 기준값이 '5'인 경우, 도 6b의 실시예에서 위험도산출부(140)는 위험도값(650)이 기준값인 '5' 이상인 취약점항목들(No. 1, 4, 6, 10)을 관리대상으로 판단할 수 있고, 상기 위험도값이 높을수록 우선적으로 관리해야 할 대상으로 판단할 수 있다.In FIG. 7, a portion indicated by 'DoA' corresponds to the reference value, and the risk calculation unit 140 may compare the risk value with the reference value to determine whether the vulnerability item is a management target. For example, when the reference value is '5' as shown in FIG. 7, in the embodiment of FIG. 6B, the risk calculating unit 140 calculates the number of vulnerability items (No. 1, 4, 6, and 10) can be determined as objects to be managed. The higher the risk value, the more the objects to be managed can be determined.

도 8 및 도 9는 도 1의 통계값산출부(160)의 동작을 설명하기 위한 도면이다.8 and 9 are views for explaining the operation of the statistical value calculating unit 160 of FIG.

도 1 내지 도 9를 참조하면, 통계값산출부(160)는 상기 자산별로 산출된 취약값들을 이용하여 취약점 점수(810)를 산출하거나, 상기 자산별로 산출된 위험도값을 이용하여 위험도 점수(820)를 산출하거나, 상기 자산들 전체에 대한 자산가치, 상기 취약점 점수 및 상기 위험도 점수를 이용하여 전체 위험도 점수(910)를 산출할 수 있다.1 to 9, the statistic value calculating unit 160 may calculate the vulnerability score 810 using the vulnerabilities calculated for each asset, or may calculate the risk score 820 using the risk value calculated for each asset, ), Or calculate the total risk score 910 using the asset value, the vulnerability score, and the risk score for the entire assets.

예를 들어, 통계값산출부(160)는 상기 자산별로 상기 취약값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 취약값들을 모두 합한 값의 비율을 이용하여 상기 취약점 점수를 산출할 수 있다. 도 8의 경우, 통계값산출부(160)는 상기 자산별로 상기 취약값들이 가질 수 있는 최대값들을 모두 합한 값(811)을 분모로 하고 811 값에서 상기 자산별로 상기 산출된 취약값들을 모두 합한 값(815)을 뺀 값을 분자로 하여 백분율로 환산함으로써 취약성 점수(810)를 산출할 수 있다. 그리고, 통계값산출부(160)는 상기 자산별로 위험도값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 위험도값들을 모두 합한 값의 비율을 이용하여 상기 위험도 점수를 산출할 수 있다. 도 8의 경우, 통계값산출부(160)는 상기 자산별로 위험도값들이 가질 수 있는 최대값들을 모두 합한 값(821)을 분모로 하고 821 값에서 상기 자산별로 상기 산출된 위험도값들을 모두 합한 값(825)을 뺀 값을 분자로 하여 백분율로 환산하여 위험도 점수(820)를 산출할 수 있다. 또한, 통계값산출부(160)는 도 9와 같이 상기 자산들 전체에 대한 자산가치, 상기 취약점 점수 및 상기 위험도 점수를 이용하여 전체 위험도 점수(910)를 산출할 수 있다.For example, the statistic value calculator 160 may calculate the vulnerability score using a ratio of a sum of the maximum values that the vulnerable values can have for each of the assets and a sum of the calculated vulnerabilities for each of the assets Can be calculated. In the case of FIG. 8, the statistic value calculation unit 160 calculates a sum 811, which is a sum of the maximum values that the vulnerable values can have for each of the assets, as a denominator and adds the calculated weakened values The vulnerability score 810 can be calculated by converting a value obtained by subtracting the value 815 as a numerator as a percentage. The statistic value calculating unit 160 may calculate the risk score using a ratio of a sum of all the maximum values that the risk values can have on the respective assets and a sum of the calculated risk values for each of the assets have. In the case of FIG. 8, the statistic value calculating unit 160 calculates a statistic value 821, which is a sum 821 of all the maximum values that the risk values can have, The risk score 820 can be calculated by converting the value obtained by subtracting the value 825 from the numerical value as a percentage. In addition, the statistic value calculating unit 160 may calculate the total risk score 910 using the asset value, the vulnerability score, and the risk score for the entire assets as shown in FIG.

통계값산출부(160)의 동작 및 통계값산출부(160)에 의하여 산출된 값들과 관련하여 이상에서 설명한 것은 본 발명의 일 실시예에 불과하며, 본 발명의 통계값산출부(160)가 반드시 이상과 같은 동작을 하여야 하는 것은 아니고 필요에 따라 다른 통계방식을 이용하여 통계값을 산출할 수 있다.The operation and the statistic value calculation unit 160 of the statistic value calculation unit 160 described above are only examples of the present invention and the statistical value calculation unit 160 of the present invention It is not necessary to perform the above operation, but it is possible to calculate the statistical value by using other statistical methods as necessary.

이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, an optimal embodiment has been disclosed in the drawings and specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will appreciate that various modifications and equivalent embodiments are possible without departing from the scope of the present invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

Claims (13)

자산별로 입력된 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 산출하는 자산가치산출부;
상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 산출하는 취약성산출부;
상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 산출하는 위협성산출부; 및
입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하고, 상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 위험도산출부를 구비하는 것을 특징으로 하는 위험평가시스템.An asset value calculation unit for calculating an asset value by converting the asset class inputted by each asset into a numerical value using an asset class table;
A vulnerability calculating unit for calculating a vulnerability value by quantifying the vulnerability rating inputted for each vulnerability item set for each asset using the vulnerability rating table;
A threat calculation unit for calculating a threat value by quantifying the inputted threat grade for each of the vulnerability items set for each asset using a threat grade table; And
The method of claim 1, further comprising: selecting an application rate for each vulnerability item set for each asset in response to the input selection signal; calculating a risk value by calculating the threat value and the asset value, And a calculating unit for calculating a risk of the risk. 제1항에 있어서, 상기 자산등급은,
상기 자산의 가용성, 무결성 및 기밀성 각각에 대하여 입력된 등급이고,
상기 자산등급테이블은,
상기 자산별로 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계가 설정되어 있는 것을 특징으로 하는 위험평가시스템.The method of claim 1,
An input rating for each of the availability, integrity and confidentiality of the asset,
The asset class table includes:
And a relationship between the rating of availability, integrity and confidentiality and the asset value is set for each of the assets. 제1항에 있어서, 상기 취약등급은,
상기 취약점항목별로 노출성 및 심각성 각각에 대하여 입력된 등급이고,
상기 취약등급테이블은,
상기 취약점항목별로 상기 노출성 및 심각성의 등급과 상기 취약값의 관계가 설정되어 있는 것을 특징으로 하는 위험평가시스템.The method of claim 1,
The degree of vulnerability is classified according to the vulnerability item,
The vulnerability rating table includes:
Wherein a relationship between the degree of vulnerability and severity and the vulnerability value is set for each of the vulnerability items. 제1항에 있어서, 상기 위협등급은,
상기 취약점항목별 영향력에 대하여 입력된 등급이고,
상기 위협등급테이블은,
상기 취약점항목별로 상기 영향력의 등급과 상기 위협값의 관계가 설정되어 있는 것을 특징으로 하는 위험평가시스템.The method according to claim 1,
A rating inputted for the influence of each item of the vulnerability,
The threat level table includes:
And a relationship between the rating of the influence and the threat value is set for each of the vulnerability items. 제1항에 있어서, 상기 위험도산출부는,
상기 취약값과 상기 적용비율과 상기 위협값을 곱한 값에 상기 자산가치를 더한 값을 자연수로 나눈 값을 상기 위험도값으로 산출하는 것을 특징으로 하는 위험평가시스템.The risk assessment system according to claim 1,
Wherein the risk value is calculated by dividing the value obtained by multiplying the vulnerability value, the application ratio, and the threat value by the asset value, and dividing the value by a natural number. 제1항에 있어서, 상기 위험도산출부는,
상기 선택신호에 응답하여 100%, 50%, 0% 중 하나의 적용비율을 선택하는 것을 특징으로 하는 위험평가시스템.The risk assessment system according to claim 1,
And selects an application ratio of one of 100%, 50%, and 0% in response to the selection signal. 제1항에 있어서, 상기 위험평가시스템은,
상기 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단하는 판단부를 더 구비하는 것을 특징으로 하는 위험평가시스템.The risk assessment system according to claim 1,
Further comprising a determination unit for comparing the risk value with a reference value and determining that the corresponding vulnerability item is a management subject if the risk value is greater than or equal to the reference value. 제1항에 있어서, 상기 자산은,
데이터, 문서, 소프트웨어, 서버, 네트워크, 정보보호시스템, PC 및 노트북, 기타매체, 부대설비 및 부대시설 중 하나 또는 그 세부항목인 것을 특징으로 하는 위험평가시스템.The method of claim 1,
Data, documents, software, servers, networks, information protection systems, PCs and laptops, other media, additional facilities and additional facilities. 제1항에 있어서, 상기 위험평가시스템은,
상기 자산별로 산출된 취약값들을 이용하여 취약점 점수를 산출하거나, 상기 자산별로 산출된 위험도값을 이용하여 위험도 점수를 산출하거나, 상기 자산들 전체에 대한 자산가치, 상기 취약점 점수 및 상기 위험도 점수를 이용하여 전체 위험도 점수를 산출하는 통계값산출부를 더 구비하는 것을 특징으로 하는 위험평가시스템.The risk assessment system according to claim 1,
The vulnerability score is calculated using the vulnerabilities calculated for each asset or the risk score is calculated using the risk value calculated for each asset, or the asset value, the vulnerability score, and the risk score And calculating a total risk score based on the total score calculated by the total score calculating unit. 제9항에 있어서, 상기 통계값산출부는,
상기 자산별로 상기 취약값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 취약값들을 모두 합한 값의 비율을 이용하여 상기 취약점 점수를 산출하거나, 상기 자산별로 상기 위험도값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 위험도값들을 모두 합한 값의 비율을 이용하여 상기 위험도 점수를 산출하는 것을 특징으로 하는 위험평가시스템.The apparatus according to claim 9,
The vulnerability score may be calculated using a ratio of a sum of the maximum values that the vulnerabilities may have to the sum of the calculated vulnerabilities for each of the assets, And calculating the risk score using a ratio of a value obtained by summing all the maximum values and a sum of the calculated risk values for each of the assets. 자산별로 입력되는 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 설정하는 단계;
상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 설정하는 단계;
상기 자산별로 설정된 취약점항목들 각각에 대하여 입력되는 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 설정하는 단계;
입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하는 단계; 및
상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 단계를 포함하는 것을 특징으로 하는 위험평가방법.Setting an asset value by converting the asset class input by each asset into a numerical value using an asset class table;
Setting a weak value by quantifying the vulnerability class inputted for each vulnerability item set for each asset using a vulnerability class table;
Setting a threat value by quantifying the threat grade inputted for each of the vulnerability items set for each asset using a threat grade table;
Selecting an application rate for each of the vulnerability items set for each asset in response to the input selection signal; And
And calculating a risk value by calculating a value reflecting the application rate to the vulnerable value, the threat value, and the asset value. 제11항에 있어서, 상기 자산가치를 설정하는 단계는,
상기 자산의 가용성, 무결성 및 기밀성 각각에 대하여 입력된 등급과 상기 자산등급테이블을 이용하여 상기 자산가치를 설정하는 단계이고,
상기 취약값을 설정하는 단계는,
상기 취약점항목별로 노출성 및 심각성 각각에 대하여 입력된 등급과 상기 취약등급테이블을 이용하여 상기 취약값을 설정하는 단계이며,
상기 위협값을 설정하는 단계는,
상기 취약점항목별로 영향력에 대하여 입력된 등급과 상기 위협등급테이블을 이용하여 상기 위협값을 설정하는 단계이고,
상기 위험도값을 산출하는 단계는,
상기 취약값, 상기 적용비율 및 상기 위협값을 곱한 후 상기 자산가치를 더한 값을 자연수로 나눈 값을 상기 위험도값으로 산출하는 단계인 것을 특징으로 하는 위험평가방법.12. The method of claim 11, wherein the setting of the asset value comprises:
Setting the asset value using the input grade and the asset grade table for each of availability, integrity and confidentiality of the asset,
The step of setting the weak value comprises:
Setting the vulnerability value using the vulnerability rating table and the vulnerability rating table for each of the vulnerability items,
Wherein the setting of the threat value comprises:
Setting the threat value using the input grade and the threat grade table for each of the vulnerability items,
The step of calculating the risk value includes:
And calculating a value obtained by multiplying the vulnerability value, the application ratio, and the threat value, and then adding the asset value plus a natural number to the risk value. 제11항에 있어서, 상기 위험평가방법은,
상기 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 위험평가방법.The risk assessment method according to claim 11,
Comparing the risk value with a reference value, and determining that the corresponding vulnerability item is a management subject if the risk value is greater than or equal to the reference value.
KR1020140083787A 2014-07-04 2014-07-04 System and method for evaluating risk of information assets KR101623843B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140083787A KR101623843B1 (en) 2014-07-04 2014-07-04 System and method for evaluating risk of information assets

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140083787A KR101623843B1 (en) 2014-07-04 2014-07-04 System and method for evaluating risk of information assets

Publications (2)

Publication Number Publication Date
KR20160004791A true KR20160004791A (en) 2016-01-13
KR101623843B1 KR101623843B1 (en) 2016-05-24

Family

ID=55172681

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140083787A KR101623843B1 (en) 2014-07-04 2014-07-04 System and method for evaluating risk of information assets

Country Status (1)

Country Link
KR (1) KR101623843B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190111685A (en) * 2018-03-23 2019-10-02 한전케이디엔주식회사 Single windows server weakness check system and method for quantitative analysis of security weakness importance using the thereof
CN110991906A (en) * 2019-12-06 2020-04-10 国家电网有限公司客户服务中心 Cloud system information security risk assessment method
CN112132388A (en) * 2020-08-12 2020-12-25 辽宁省交通高等专科学校 Consciousness shape safety risk assessment model and method based on improved OCTAVE method
CN113553583A (en) * 2021-07-28 2021-10-26 中国南方电网有限责任公司 Information system asset security risk assessment method and device
CN116389171A (en) * 2023-06-05 2023-07-04 汉兴同衡科技集团有限公司 Information security assessment detection method, system, device and medium
CN116471131A (en) * 2023-06-20 2023-07-21 北京门石信息技术有限公司 Processing method and processing device for logical link information asset

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088310B1 (en) 2018-11-15 2020-03-16 주식회사 이글루시큐리티 Risk Index Correction System Based on Attack Frequency, Asset Importance, and Severity
KR20220083500A (en) 2020-12-11 2022-06-20 (주)시큐리티캠프 Method of supporting for risk response judgment

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4369724B2 (en) 2003-10-31 2009-11-25 株式会社富士通ソーシアルサイエンスラボラトリ Information security management program, information security management apparatus and management method
JP2005293267A (en) 2004-03-31 2005-10-20 Ricoh Co Ltd Information security management supporting system and program

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190111685A (en) * 2018-03-23 2019-10-02 한전케이디엔주식회사 Single windows server weakness check system and method for quantitative analysis of security weakness importance using the thereof
CN110991906A (en) * 2019-12-06 2020-04-10 国家电网有限公司客户服务中心 Cloud system information security risk assessment method
CN110991906B (en) * 2019-12-06 2023-11-17 国家电网有限公司客户服务中心 Cloud system information security risk assessment method
CN112132388A (en) * 2020-08-12 2020-12-25 辽宁省交通高等专科学校 Consciousness shape safety risk assessment model and method based on improved OCTAVE method
CN113553583A (en) * 2021-07-28 2021-10-26 中国南方电网有限责任公司 Information system asset security risk assessment method and device
CN116389171A (en) * 2023-06-05 2023-07-04 汉兴同衡科技集团有限公司 Information security assessment detection method, system, device and medium
CN116389171B (en) * 2023-06-05 2023-08-11 汉兴同衡科技集团有限公司 Information security assessment detection method, system, device and medium
CN116471131A (en) * 2023-06-20 2023-07-21 北京门石信息技术有限公司 Processing method and processing device for logical link information asset
CN116471131B (en) * 2023-06-20 2023-09-08 北京门石信息技术有限公司 Processing method and processing device for logical link information asset

Also Published As

Publication number Publication date
KR101623843B1 (en) 2016-05-24

Similar Documents

Publication Publication Date Title
KR101623843B1 (en) System and method for evaluating risk of information assets
de Gusmão et al. Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory
US10757127B2 (en) Probabilistic model for cyber risk forecasting
Yeboah-Ofori et al. Cyber threat predictive analytics for improving cyber supply chain security
CN108108624B (en) Product and service-based information security quality assessment method and device
WO2008004498A1 (en) Security risk management system, device, method, and program
TWI482047B (en) Information security audit method, system and computer readable storage medium for storing thereof
Marotta et al. Analyzing the interplay between regulatory compliance and cybersecurity (Revised)
Shin et al. Cyber security risk analysis model composed with activity-quality and architecture model
Maksimova “Smart decisions” in development of a model for protecting information of a subject of critical information infrastructure
KR102240514B1 (en) Method for supporting analyzing degrees of risk of events happened to system by calculating event danger degree using event ruleset and threat intelligence and device using the same
Onyshchenko et al. Business Information Security
Sakrutina et al. Towards the issue of the cybersecurity analysis of a significant object of critical information infrastructure
Maghrabi et al. Designing utility functions for game-theoretic cloud security assessment: a case for using the common vulnerability scoring system
KR101081875B1 (en) Prealarm system and method for danger of information system
You et al. Review on cybersecurity risk assessment and evaluation and their approaches on maritime transportation
Park et al. Security requirements prioritization based on threat modeling and valuation graph
Singh et al. Toward grading cybersecurity & resilience posture for cyber physical systems
Das et al. i-HOPE framework for predicting cyber breaches: a logit approach
Albanese et al. Formation of awareness
JP2022537124A (en) A software application for continuous real-time determination, treatment and remediation of cyber risk
Alodhiani Financial Technology (Fintech) and Cybersecurity: A Systematic Literature Review.
Pournouri et al. Improving cyber situational awareness through data mining and predictive analytic techniques
Bouke et al. SMRD: A Novel Cyber Warfare Modeling Framework for Social Engineering, Malware, Ransomware, and Distributed Denial-of-Service Based on a System of Nonlinear Differential Equations
Petrescu et al. The international experience in security risk analysis methods

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 4