18. 보안목표(4)
1. 보안관리(4/7)
전기적
(주로) 전기적
모든타입
Computer Security
Information Security
Information Assurance
비교
기술적
기술적우세
(인간, 관리요소일부포함)
시스템적접근
컴퓨터
보안기술
기술적
(인간, 조직고려)
다각적
(기술, 인간, 법)
19. 보안목표(5)
1. 보안관리(4/7)
지원시스템
지원시스템
(비즈니스를제한)
비즈니스통합
Computer Security
Information Security
Information Assurance
비교
기술직원
전용직원
기술직원
전용직원
중간관리층
기술직원
기술직원
전용중간관리층
전직원
기술적
보안
비즈니스
39. 보안프로그램(2)
3. 보안프로그램(2/4)
Plan
And
organize
Implement
Operate
And
Maintain
Monitor
And
Evaluate
보안프로그램개발단계
경영진의승인
수립및획득
역할과책임
할당
보안정책, 표준
개발및SLA 관리
로그, 감사결과
매트릭스, SLA 리뷰
40. 보안정책
3. 보안프로그램(3/4)
“프로그램의계층적구조를한마디로표현하면?”
정책
-기밀정보가올바르게보호되어야한다.
표준
-DB의모든고객정보는AES알고리즘으로암호화되어저장되어야하며,
암호화기술을사용하여전송해야한다.
절차
-AES와IPSEC을실행하는방법을실행
지침
-전송중데이터가우연히암호가풀리거나,손상되거나,침해되었을경우처리하는방법
“무엇을보호할것인가?”
“어떻게보호할것인가?”
50. 위험분석(3)
4. 위험관리(2/5)
정량적위험분석
정보시스템및관련자산에대한위협발생확률과잠재적손실크기를
곱해서이를화폐가치로환산하여위험의정도를측정하는방법
공식적인CBA(Cost Benefit Analysis) 제공
장점
a.의미있는통계적분석이지원되며, 정보의가치를이해하기쉽게표현함
b.객관성있는데이터제공-> 경영진설득이용이
단점
a. 계산이복잡하며, 자동화툴이없으면매우힘듦
b. 정성적인item을정량화하기어려우며, 주관적판단이들어가서정확성떨어짐
51. 위험분석(4)
4. 위험관리(2/5)
정량적위험분석단계
자산에
가치
부여
잠재적
손실
계산
1년ARO
개별ALE
계산
위험
완화전략
채택
위험분석단계
52. 위험분석(5)
4. 위험관리(2/5)
정성적, 정량적위험분석비교
특징
정성적
정량적
복잡한계산
X
○
Cost/Benefit 분석
X
○
추측작업요구
○
X
자동화지원(Tool)
X
○
대량의정보와관계됨
X
○
객관적Metrics
X
○
주관적의견사용
○
X
상당한시간과노력을요구
X
○