4.위험분석

- 위험분석 절차는 1.자산 분석  2.위협 평가 3.취약점 평가 4.기존 보안대책 평가 5.위험 평가 단계로 나눌 수 있다.

 

1.자산 분석 단계

- 자산 식별: 위험분석을 위해 가장 먼저 해야 할 작업으로 보호해야 할 자산을 식별하여 '자산 목록' 을 작성한다. 목록 작성시 중복이나 누락된 자산은 없어야 한다.

- 자산 가치 평가: 자산이 식별 되면 자산별 기밀성, 무결성, 가용성 측면에서 '중요도' 를 산정하고 중요도에 따라 자산의 가치를 평가 한다.

(중요도를 산정하는 이유는자산에 위험 발생시의 영향을 기밀성, 무결성, 가용성 측면에서 파악하여 자산의 가치를 평가하기 위함)

- 자산 그룹핑: 유형, 중요도 등이 유사한 자산을 그룹핑하여 동일한 위험분석 및 평가 작업을 반복하지 않음으로써 시간과 비용을 최소화할 수 있다.

 

2.위협 평가 단계

- 위협 식별: 자산에 대해 기존에 이미 발생한 위협과 발생할 수 있는 위협을 담당자와 협의 또는 실사하여 위협을 목록화 한다.

- 위협 평가: 식별된 위협이 자산에 미치는 영향을 평가한다. 즉 위협의 발생 가능성, 발생빈도, 영향 정도를 평가한다.

 

3.취약점 평가 단계

- 취약점 식별: 식별된 위협에 대해 자산이 어느정도 취약한가를 담당자와의 협의 또는 실사하여 취약점을 목록화 한다.

- 취약점 평가: 식별된 취약점이 자산에 미치는 영향을 평가한다.

- 우려사항 평가: 우려사항은 위협과 취약점을 통합하여 정의한 항목으로 위협과 취약점을 구분하기 어려운 경우 우려사항 항목으로 통합한다.

 

4.기존 보안대책 평가 단계

- 분석한 자산의 위협과 취약점에 이미 적용되어 있는 보안대책을 평가하여 위협의 규모와 취약점의 영향도를 낮춘다.

 

5.위험 평가 단계

- 위험도 평가: 자산분석, 위협 및 취약점 평가, 기존 보호대책 평가 결과를 이용하여 최종적으로 자산의 위험도(위험 수준, 잠재적 손실의 규모) 를 평가한다.

 

- 위험분석 방식에 따라 정량적, 정성적 위험분석 방식으로 구분 할 수 있다.

정량적 위험분석	1.연간 예상 손실(ALE) 계산법 2.과거자료 분석법 3.수학공식 접근법 4.확률 분포법 5.점수법
ALE 계산법 1.자산가치(AV) x 노출계수(EF) = 단일 예상 손실액(SLE) 2.단일 예상 손실액(SLE) x 연간 발생률(ARO) = 연간 예상 손실액(ALE) 3.연간 대책 비용 / 대책 적용 시 연간 순이익 = 투자 대비 수익률(ROI) 4.여러 보호대책중 투자 대비 수익률(ROI)이 높은 대책을 선정
정성적 위험분석	1.델파이법 2.시나리오법 3.순위결정법 4.퍼지행렬법