Information Security

1. 위험수용 - 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 2. 위험 감소 - 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것을 말한다. 3. 위험 회피 - 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것을 말한다. 4. 위험 전가 - 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당하는 것을 말한다.

위험을 분석/평가하는 데는 정량적 방법과 정성적 방법이 있다. 1. 정성적 위험분석(평가) ● 델파이법 : 각 분야의 전문가 그룹을 구성하여 특정 분야에 대한 의사결정에 이용하는 방식 ● 순위결정법 : 비교 우위 순위 결정표를 통해 각각의 위협을 상호 비교하며 우선순위를 도출하는 방법 ● 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과들을 추정하는 방법 ● 퍼지행렬법 : 자산 가치의 크고 적음을 화폐가치로 표현하고 위협 발생확률의 높고 낮음을 변수로 표현하여 수학적으로 계산하는 방법 2. 정량적 위험분석(평가) ● 과거자료 분석법 : 미래 사건의 발생 가능성을 예측하는 방법으로 과거의 자료를 통해 위험발생 가능성을 예측한다. ● 수학공식..

● 베이스라인 접근법 - 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 선택하는 방식을 말한다. ● 비정형 접근법 - 정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라 위험을 분석하는 방식을 말한다. ● 상세 위험 분석 - 잘 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하며 위험을 평가하는 방식을 말한다. ●복합 접근법 - 고위험 영역을 식별하여 이 영역은 상세 위험분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식이다.

1. 자산(Assetes) : 조직이 보호해야 할 대상으로서 정보,하드웨어,소프트웨어,시설 등을 말하며 관련 인력, 기업 이미지 등의 무형자산을 포함하기도 한다. 2. 위협(Threats) : 자산에 손실을 초래할 수 있는 잠재적 원인 3. 취약성(Vulnerability) : 위협에 의한 모든 정보 보안상의 허점 4. 정보보호대책(Sageguard) : 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적 대책

1. 표준(Standards) : 정보보호정책의 달성을 위해 필요한 요구사항을 구체적으로 정의한 것으로 조직의 환경 또는 요구사항에 일치되어 관련된 모든 사용자들이 준수하도록 요구되어지는 강제 규정이다. 2. 지침(Guideline) : 정보보호정책에 따라 특정 시스템 또는 특정 분야별로 정보보호 활동에 필요하거나 도움이 되는 세부사항에 대한 규정이다. 3. 절차(Procedure) : 사용자, 관리자들이 정책, 표준, 지침을 따르기 위하여 구체적으로 어떻게 해야 하는지에 대하여 세부적이고 상세하게 설명한 문서 4. 기준선(Baseline) : 일관성있게 참조할 보호수준의 포인트로 최소보호수준을 정의하는데 사용한다.

- MAC(Mandatory Access Control, 강제적 접근 통제) : > 등급기반 통제라고도 한다. > 모든 객체(데이터)에 보안 레이블을 붙이고 정책적으로 접근을 제어하는 방식이다. > 모든 주체는 부여된 접근허가 범위에 따라 객체(데이터)의 보안 레이블과 비교하여 접근통제가 이루어진다. > 정보시스템 내에서 어떤 주체가 어떤 객체에 접근하려 할 때, 양자의 보안레이블 정보에 기초하여 높은 보안을 요구하는 정보가 낮은 주체에게 노출되지 않도록 접근을 제한하는 접근통제방법이다. > 보안성이 높다는 장점이 있지만 모든 주체에게 접근허가 범위를 부여하고 접근 데이터에 대한 보안레이블을 설정하고 보안정책을 확인해야 하기 때문에 구현의 어려움과 성능상의 문제가 발생할 수 있다. - DAC(Discre..