DOI QR코드

DOI QR Code

Methodology of Analyze the Risk Using Method of Determinated Quantity

정량적 방법을 이용한 위험분석 방법론 연구

  • Published : 2006.12.31

Abstract

The risk analysis's aim is analyze the risk for the asset of organization with asset assessment, vulnerability assessment, threat assessment. existing TTA risk analysis methodology model propose to overall flow, but can not propose to detail behavior or each level. That is, step of risk analysis is insufficient in classification of threat and detail proposal of considered the risk with classified threat. So this paper propose that analysis and evaluate the vulnerability and threat assessment with determinated quantity. this paper consider current national information system and threat of environment and technology. So can estimate the risk with determinated quantity. Finally, analyze the asset risk of organization.

위험분석은 조직의 특성을 반영하여 자산분석, 위협분석, 취약성 분석을 통하여 조직의 주요 자산에 대한 위험도를 분석하고 적절한 대응책을 제시하는 것을 목적으로 한다. 하지만, 기존의 TTA 위험분석 방법론은 전체의 개략적인 흐름은 제시하고 있으나, 각 단계에서의 구체적인 행위를 제시하지 못하고 있다. 즉 위협분석 단계에서는 어떠한 기준으로 각 위협을 어떻게 분류하여야 하는가하는 문제와 분류된 위협을 어떤 방식으로 위험도 계산에 반영해야하는가에 대한 구체적인 제시가 미흡한 현실이다. 또한 취약성 분석 단계에서는 발견되는 취약성을 어떠한 항목을 기준으로 분류하여야 하며, 발견되는 각 자산별 취약성을 위험분석의 위험도 산정에 어떤 과정을 통하여 반영해야하는가에 대한 제시 역시 미흡하다. 따라서 본 논문에서는 기존 TTA의 방법론에서 제시하고 있지 않은 위협분석과 취약성 분석 단계에서의 정량적인 평가가 가능한 방법론을 제시한다. 이를 위하여 본 논문에서는 자산 가치 평가에 조직의 비즈니스 프로세스를 기준으로 업무 영역 분류를 통한 유형자산 가치분석과 무형자산 가치분석을 수행하고 이를 바탕으로 취약성을 분석하고 위험도를 계산하였다 이러한 방법은 국내 정보시스템의 현실을 반영하고, 환경적 취약성과 기술적 취약성의 영향력을 반영하여, 조직의 자산별로 수치화된 위험도 산정을 가능하게 한다. 이는 위험분석 평가 대상조직의 자산별 위험도 분석이 가능하게 한다.

Keywords

References

  1. TTA, 공공정보시스템 보안을 위한 위험분석 표준 - 개념과 모델, TTAS.KO-12.007, 1998.11
  2. ISO/IEC TR 13335, 2000
  3. British Standards Institution(BSI), BS7799, 1999
  4. ISO17799-What is ISO17799(the ISO Security Standard)?, http://www.iso17799software.com, 2002. 8
  5. Implementing BS7799 - A Blueprint
  6. Where to find Consultants & Experties for ISO 17799 Worldwide, 2002. 8
  7. How ISO17799 Work, http://www.gammassl.co.uk/bs7799/works.html, 2002. 8
  8. David Brewer, Risk Assessment Models and Evolving Approaches, http://www.gammassl.co.uk/topics/IAAC.htm, 2000. 7
  9. David Brewer, Easy Ways to Manage your Risk, http://www.gammassl.co.uk, 1999. 6
  10. Gamma's Service, http://www.gammassl.co.uk, 2002. 8
  11. GAO, Information Security Risk Assessment - Practices of Leading Organizations, GAO/AIMD-00-33, 1999. 11
  12. GAO, Computer Security : Improvements Needed to Reduce Risk to Critical Federal Operations and Assets, GAO-02-231T, 2001. 11
  13. GAO, Homeland Security : A Risk Management Approach Can Guide Preparedness Efforts, GAO-02-208T, 2001. 10
  14. GAO/AIMD, Information Security : Computer Attacks at Department of Defense Pose Infreasing Risks, GAO/AIMD-96-84, 1996. 5
  15. i-SEC, http://www.i-sectesting.com, 2002. 8