[USG]위험 관리를 위한 일반적인 접근법 #5, 6

[5주차] 위험 관리 프로세스 실행: 위험 처리

학습목표

1. 위험 처리의 개념을 설명한다.
2. 조직이 위험을 완화하고 이전하는 방법을 설명한다.
3. 조직이 위험을 피하거나 수용하는 방법을 나열한다.
4. 조직의 위험 관리 프로세스를 지속적으로 개선하는 데 사용되는 프로세스를 정의한다.

[5-1] 위험 처리 개요

위험 관리 프레임워크의 이 시점에서 위험 관리 프로세스 팀은 자사의 정보 자산에 현재 내재되어 있는 위험 수준을 파악, 분석 및 평가해 왔다. 위험 평가의 일환으로 팀은 이제 위험 선호도의 일환으로 위험 임계값과 비교할 때 과도하다고 간주되는 위험를 처리하는 데 관심을 돌려야 한다. 위험 처리가 시작되면 조직은 현재 허용할 수 없는 수준의 위험를 가진 정보 자산 목록을 갖게 된다. 이제 위험을 더욱 줄이기 위해 적절한 전략을 선택해야 한다. 대부분의 조직은 잔여 위험이 과도한 자산에 대해 이를 최소화하기 위해 여러 전략을 적용한다.

위험을 처리하는 것은 위험 처리 전략이 무엇인지 그리고 그것을 어떻게 공식화할 것인지에 대한 이해에서 시작된다. 선택된 전략은 위험 평가의 이전 단계에서 확인된 모든 자산과 취약성을 소환하기 위해 추가적이거나 새로운 통제를 적용하는 것을 포함할 수 있다. 조직의 일반 관리 팀이 정보 보안 위협으로 인한 위험이 임계값을 초과한다고 결정하면 해당 위험을 치료하기 위한 프로세스를 시작한다. 위험 관리 프로세스가 위험 치료 프로세스를 시작할 수 있는 권한이 부여되면 해당 자산에 대한 위험을 치료하기 위한 4가지 기본 전략 중 하나를 선택할 수 있다.

 

① 완화 전략은 통제되지 않은 나머지 위험을 제거하거나 줄이는 통제 및 안전 장치를 적용하는 것이다.

② 이전 전략은 위험을 다른 영역 또는 조직 외부의 다른 엔티티로 이동하는 것이다.

③ 수용 전략은 정보 자산의 취약성이 현재 수준의 위험에 직면한 상태를 유지하도록 선택한 결과를 이해하지만, 이 결정에 대한 공식적인 평가와 의도적인 승인이 끝난 후에만 가능하다.

④ 회피 전략은 조직의 운영 환경에서 정보 자산을 제거하거나 중단하는 것을 포함한다.

 

위험 관리 프로세스의 일부는 구현된 제어 장치가 정보 자산을 보호하지 못할 경우 정보 자산의 손실 또는 손상을 최소화할 수 있는 백업 프로세스와 제어 장치가 마련되어 있다는 보장이다. 성공적인 공격을 통해 정보 자산이 손상되는 것을 완화하기 위한 가장 일반적인 접근 방식은 컨틴전시 플랜(Contentity Planning)이다.

 

이러한 맥락에서 완화는 완화 위험 처리 전략과 혼동하지 않도록 하는 것이 중요한데, 이는 일부 조직이 혼란을 피하기 위해 이러한 전략을 방어 위험 처리 전략이라고 부르는 이유 중 하나다. 예상치 못한 부작용에 대비하는 전체 프로세스를 컨틴전시 플랜(Contentity Planning)이라고 한다. 컨틴전시 플랜을 수립하는 동안, IT 그룹과 정보 보안 그룹은 인적, IT 및 자본재를 포함한 정보 자원 및 자산의 보안을 위협하는 이벤트에 대비, 탐지, 대응 및 복구하기 위해 각각의 조직 단위를 배치한다. 컨틴전시 플랜의 주요 목표는 최소한의 비용과 부작용 발생 후 정상적인 비즈니스 활동에 중단을 가하면서 정상적인 운영 모드를 복구하는 것이다. 즉, 합리적인 기간 내에 상황이 원래대로 돌아가도록 해야 하는 것이다. 이상적으로, 비상 계획은 예상치 못한 상황에도 불구하고 정보 시스템을 조직에 지속적으로 가용하게 하는 것을 보장해야 한다. 비상 계획은 크게 네 가지 구성 요소로 구성된다.

 

첫 번째는 비즈니스 영향 분석이다. 이 작업은 비상 계획과 위험 관리 모두에 공통적인 준비 작업이다. 조직이 어떤 비즈니스 기능과 정보 시스템이 조직의 성공에 가장 중요한지 결정하는 데 도움이 된다. 사고 대응 계획은 사고에 대한 즉각적인 대응에 초점을 맞춘다. 대응 팀이 재해라고 간주하지 않는 한, 그리고 재난이라고 간주할 때까지 예상치 못한 부작용은 사고로 처리된다. 그런 다음 기본 사이트의 운영을 복구하는 데 초점을 맞춘 재해 복구 계획이 실행된다. 예를 들어, 기본 사이트의 운영이 중대하거나 장기적 또는 시간에 걸쳐 운영되는 조직에 영향을 미칠 경우, 비즈니스 연속성 계획은 재해 복구와 동시에 발생한다. 이를 통해 조직이 기본 사이트의 운영을 재개하거나 새로운 기본 사이트를 선택하고 구현할 수 있을 때까지 대체 사이트에서 비즈니스를 계속할 수 있다.

 

이러한 비상 계획 구성 요소를 만들고 개발하는 동안 최고 운영 책임자가 최고 정보 책임자, 최고 정보 보안 책임자, 주요 IT 및 비즈니스 직원 및 관리자를 포함하여 전반적인 비상 계획 작업을 주도하는 것이 이상적이다. 비상계획 프로세스를 시작하는 데 필요한 요소는 계획 방법론, 계획 프로세스를 가능하게 하는 정책 환경, 핵심 선행 활동의 원인과 결과에 대한 이해, 비즈니스 영향 분석, 계획 예산에 명시되고 개요가 설명된 재정 및 기타 자원에 대한 접근 등이다. 구성이 완료되면, 비상계획 관리팀은 다음 단계를 사용할 것을 권장하는 비상계획 문서의 개발을 시작하고, CP 또는 비상계획 정책 성명서를 개발한다. 공식 정책은 효과적인 비상계획을 수립하는 데 필요한 권한과 지침을 제공한다. 그리고 비즈니스 영향 분석을 수행한다. 이를 통해 조직의 미션과 비즈니스 프로세스를 지원하는 데 중요한 정보 시스템과 구성요소를 식별하고 우선순위를 지정하는 데 도움이 된다. 여기에 주어진 절차를 따를 경우, 이러한 작업의 많은 부분이 이미 위험 관리 프로세스의 일부로 수행되었다는 점은 좋은 소식이다. 다음으로 시스템 가용성 문제를 유발하고 비상 수명 주기 비용을 줄일 수 있는 시스템 중단의 효과를 줄이기 위해 수행되는 조치인 예방 통제를 식별한다. 비상 전략을 만들고, 복구 전략을 철저히 분석하여 시스템이 중단 후에도 신속하고 효과적으로 복구될 수 있도록 한다.

 

다음으로 비상계획을 개발한다. 비상계획에는 각 사업부 고유의 손상된 조직 시설을 복구하기 위한 자세한 지침과 절차가 포함되어야 한다. 여기서는 계획 테스트, 교육 및 연습을 보장한다. 테스트는 복구 능력을 검증하는 반면, 교육은 계획 활성화를 위해 복구 인력을 준비하고, 계획을 실행하는 것은 계획 격차를 식별한다. 이와 함께, 활동은 계획의 효율성과 전반적인 조직 준비를 향상시킨다.

 

마지막으로, 계획 유지 관리를 보장한다. 계획은 시스템 향상과 조직 변경 사항에 따라 최신 상태를 유지하도록 정기적으로 업데이트되는 살아있는 문서여야 한다. 전체적인 컨틴전시 플랜 프로세스를 위해 이러한 기타 활동을 수행하는 것 외에도 하위 계획, 발생 대응 계획, 재해 복구 계획, 비즈니스 연속성 계획에 대해 동일한 단계를 수행할 수 있다. 비즈니스 영향 분석은 컨틴전시 플랜 프로세스의 첫 번째 주요 구성 요소다. 다양한 부작용이 조직에 미칠 수 있는 영향을 조사하고 평가하는 역할을 하기 때문에 초기 계획 단계의 중요한 기반이 된다. BIA는 우선 위험 관리 프로세스에서 파악한 위협 및 취약성의 우선 순위 목록에서 시작하여 역경에 대응하는 데 필요한 정보를 추가하여 해당 목록을 강화한다. 분명 조직 보안 팀은 이러한 공격을 막기 위해 최선을 다한다.

 

NIST에 따르면, CPMT는 세 단계로 BIA를 수행합니다.

① 첫째, 미션, 비즈니스 프로세스 및 복구 중요도를 결정한다.

② 둘째, 리소스 요구 사항을 식별한다.

③ 셋째, 시스템 리소스에 대한 복구 우선 순위를 식별한다.

 

첫 번째 주요 BIA 작업은 조직의 미션과의 관계를 기반으로 조직 내 비즈니스 프로세스의 우선 순위를 분석하는 것이다. 각 비즈니스 부서, 유닛 또는 부서는 그 기능이 조직 전체에 얼마나 중요한지를 결정하기 위해 독립적으로 평가되어야 한다. 가중치 표 분석을 사용하여 해당 분석에 필요한 비즈니스 영향 정보를 수집하는 데 사용되는 BIA 설문지 및 도구의 프로세스 우선 순위 목록을 개발할 수 있다. 방금 설명한 분석을 위해 비즈니스 기능에 대한 정보를 식별하고 수집하는 도구로 유용하다. 또한 기능 관리자가 통제 가능한 영역 내의 비즈니스 프로세스, 비즈니스에 미치는 영향 및 기능에 대해 존재하는 종속성에 대한 정보를 특정 리소스 및 외부 서비스 공급자로부터 직접 입력할 수 있도록 하는 데 사용할 수 있다. 조직이 복구 중요도를 고려할 때 주요 복구 조치는 일반적으로 지정된 기간 내에 얼마나 많은 자산을 복구해야 하는지에 따라 설명된다. 이 값을 설명하는 데 사용되는 용어는 최대 허용 다운타임 또는 MTD다. 이는 시스템 소유자 또는 권한 부여 담당자가 비즈니스 프로세스 중단 또는 중단에 대해 수용할 의사가 있는 총 시간이다. MTD에는 모든 영향 고려 사항이 포함된다. 그리고 복구 지점 목표도 존재한다. 이는 중단 또는 시스템 중단이 발생한 후 가장 최근의 데이터 백업 복사본을 감안할 때 비즈니스 프로세스 데이터를 복구할 수 있는 시점이다. 복구 시간 목표, RTO는 시스템 리소스가 다른 시스템 리소스, 지원되는 비즈니스 프로세스에 허용할 수 없는 영향을 미치기 전에 시스템 리소스를 사용할 수 없는 상태로 유지할 수 있는 최대 시간 및 허용 가능한 최대 다운타임이다. 마지막으로 작업 복구 시간인 WRT가 있다. 이는 기술 요소가 복구된 후 비즈니스 기능이 다시 작동하도록 하는 데 필요한 경과된 시간으로 표현된 노력의 양이다. 이 복구 시간은 RTO에 의해 식별된다.

조직은 미션 및 비즈니스 프로세스의 우선 순위 목록을 작성한 후 해당 프로세스를 복구하는 데 필요한 리소스와 해당 프로세스와 관련된 자산을 결정해야 한다. 일부 프로세스는 리소스 집약적이기 때문에 많은 IT 기능이 이러한 범주에 속한다. 고객 데이터, 프로덕션 데이터 및 기타 조직 정보를 지원하려면 네트워킹을 통한 광범위한 양의 정보 처리, 저장 및 전송이 필요하다. 기타 비즈니스 생산 지향 프로세스를 운영하려면 복잡하거나 비용이 많이 드는 구성 요소가 필요하다. 이전 BIA 단계에서 식별된 각 프로세스 및 정보 자산에 대해 조직은 해당 프로세스를 제공하거나 지원하는 데 필요한 관련 리소스를 식별하고 설명해야 한다. 이러한 정보를 바탕으로 조직은 사고 대응, 재해 복구 및 비즈니스 연속성 계획을 수립할 수 있다. 

[5-2] 위험 처리: 완화 & 이전

완화는 정보 자산에 대한 성공적인 공격 가능성을 변경하기 위해 추가적인 통제 및 안전 장치의 적용을 통해 통제되지 않은 나머지 위험을 제거하거나 줄이려는 위험 처리 전략을 말한다. 이를 방어 전략이라고도 한다. 위험 방어 또는 단순히 위험 완화라고 한다. 이것은 선호되는 접근 방식이며 위협에 대응하고 최종 자산에 대한 취약성을 제거하며, 자산에 대한 액세스를 제한하고 보호 안전 장치를 추가하는 방식으로 이루어진다. 본질적으로 조직은 성공적인 공격 가능성 또는 확률을 줄임으로써 정보 자산의 보안을 개선하려고 시도한다. 완화 위험 처리 전략을 구현하기 위한 일반적인 접근 방식은 세 가지다.

 

우선, 정책 적용은 모든 수준의 관리자가 특정 절차를 항상 준수하도록 의무화할 수 있다. 예를 들어, 조직이 암호 사용을 더 엄격하게 제어해야 하는 경우 시스템 기반 시스템에 모든 정보 기술에 암호를 요구하는 정책을 구현할 수 있다. 그러나 정책만으로는 충분하지 않을 수 있다. 효과적인 관리는 항상 정책의 변화와 다른 접근 방식을 결합한다. 보안, 교육, 인식 프로그램의 적용을 통해서 말이다. 규정 준수 인식 교육 및 교육은 직원에게 단순히 더 새롭고 수정된 정책을 전달하는 것만으로는 안전하고 통제된 조직 환경을 만들고 최종 사용자 행동에 필요한 변화를 달성하는 데 필수적임을 보장하기에 충분하지 않을 수 있다. 그런 다음 위험을 효과적으로 줄이기 위해 정보 보안, 기술 제어 및 안전 장치의 일상적인 세계에서 기술을 적용하는 것이 자주 요구된다. 예를 들어 방화벽 관리자는 새로운 방화벽 및 침입 탐지 및 방지 시스템을 정책에 필요한 곳과 방법 및 관리자가 요구 사항을 인식하고 이를 구현하도록 훈련된 곳에 배포할 수 있다. 자산이 직면한 위협에 대응하거나 특정 자산의 노출, 노출을 최소화함으로써 위험을 완화할 수 있다. 위협이 제기하는 위험을 제거하는 것은 사실상 불가능하지만, 조직이 문서화한 위험 선호도에 따라 허용 가능한 수준으로 잔여 위험을 줄일 수 있다. 이 전략의 주요 단점은 기존 제어에 대한 새로운 제어 또는 개선에 비용이 들고 사이버 보안 부서는 항상 예산이 소요된다는 것이다. 현 시점과 위험 관리 프로세스에서 위험 관리 팀은 개선 사항에 대한 우선 순위를 정하거나 시행하는 것이 아니라, 단순히 개선 사항을 권고하는 것이므로, 개선 비용에 대한 걱정 없이 개선 사항을 이행해야 한다. 고위 경영진이 개선 사항에 동의하거나 변경하면, 팀이 다시 나타나 앞서 확인한 TVA 우선 순위에 따라 통제 사항을 시행하기 위한 지출의 우선 순위를 정하기 시작한다. 

 

즉, 최상위 레벨의 위협으로부터 최상위 레벨의 자산을 보호해야 한다. 전이 위험 처리 전략은 다른 자산, 다른 프로세스 또는 다른 조직으로 리스크를 이동하려고 시도하는 위험 처리 전략이다. 이 목표는 서비스 제공 방법을 재고하고, 구축 모델을 수정하고, 다른 조직에 아웃소싱하고, 보험을 구매하거나 공급업체와 서비스 계약을 이행함으로써 달성할 수 있다. 우수 관리 컨설턴트를 찾는 베스트셀러에서 토마스, 피터스, 로버트 워터먼은 성과가 높은 기업에 대한 사례 연구를 제시했는데, 저자들이 설명하는 우수한 조직의 8가지 특징 중 하나는 그들이 말하는 뜨개질에 집착하는 것이다. 즉, 그들은 자신이 알고 있는 기업에 합리적으로 가까이 머물러 있는데, 이것이 무엇을 의미할까? 즉, 나비스코는 스낵 식품의 제조와 유통에 집중하고, 일반 모터는 자동차와 트럭의 설계와 제조업체에 집중한다. 어느 회사도 웹사이트 확보에 집중하지 않는다. 그들은 에너지와 자원을 자신이 가장 잘 하는 일에 집중한다. 다른 유형의 심층적인 전문 지식을 컨설턴트나 계약자에게 의존하면서 말이다. 조직은 아웃소싱인 운영을 확장하기 시작할 때마다 이 점을 고려해야 한다. 여기에는 정보 관리, 정보 기술, 시스템 관리 및 심지어 정보 보안 기능의 상당 부분도 포함된다. 조직에 적절한 보안 관리 및 관리 경험이 없을 때는 해당 분야에 전문 지식을 제공하는 개인이나 조직의 고용을 고려해야 한다. 이러한 접근 방식을 통해 복잡한 시스템 관리와 관련된 위험을 해당 위험에 대처한 경험이 더 많은 다른 조직으로 이전할 수 있다. 효과적인 전이 위험 처리 전략의 핵심은 효과적인 서비스 수준 계약을 실행하는 것이다. 어떤 상황에서는 외부 조직이 보안 수준의 서비스를 구현한다는 유일한 보장이 SLA다. 고객 조직은 가치 있는 정보 자산을 원한다.

 

연방 예금 보험 회사가 기술 제공자를 관리하는 문서 도구에 따르면, 성과 위험 서비스 수준 계약은 다음과 같은 요소를 포함해야 한다. 일반적인 SLA에는 위의 그림과 같은 요소가 포함되어야 한다. 서비스 범주, 측정되는 것에 대한 서비스 품질 정의의 허용 가능한 범위, 측정 관련 크레딧을 계산하기 위한 공식, 성과 목표 달성 또는 실패에 대한 페널티, 측정 빈도 및 간격이 있다. 이러한 권장 사항은 쉽게 적용 가능하고 거의 모든 조직에 쉽게 적용할 수 있다. 기관의 전략적 비즈니스 요구사항을 검토하는 작업에는 일상적인 운영 환경, 위험 요소 및 시장 상황을 평가하는 작업이 포함된다. 그리고 아웃소싱 서비스가 조직의 전반적인 전략 계획에 어떻게 부합하는지에 대해 고려해야 한다. 예를 들어, 운영 효율성을 개선해야 할 필요성, 비용 절감 또는 보안 강화와 같은 요구사항을 정의하면 기관이 성능 요구사항을 정의하는 데 도움이 된다. 또한 조직이 아웃소싱 활동에 대한 전략적 목표와 목표를 달성하기 위해 서비스 제공자에게 필요한 서비스 수준을 파악하는 데 도움이 될 것이다. 전략적 요구와 운영 목표가 정의되면 설정, 측정, 명확하고 공정한 측정 또는 메트릭을 개발할 수 있다. 이러한 메트릭은 필요한 서비스 수준이 달성되었는지, 목표와 전략적 의도가 충족되었는지 확인하는 데 사용된다. 마지막으로 설명 책임을 설정하려면 메트릭이 명확하게 정의된 후 설명 책임을 보장할 프레임워크를 개발하고 채택하는 것이 유용하다. 서비스 제공자는 모든 작업에 대해 완전한 설명과 책임을 지는 경우가 거의 없다. 설명 책임을 설정하는 데는 일반적으로 결과에 대한 명확한 진술이 포함된다. 물론 아웃소싱에 자체 위험이 없는 것은 아니다. 아웃소싱 계약의 요구 사항이 충분하고 필요한 곳에 충족되었는지 여부는 정보 자산 IT 관리 및 정보 보안 팀의 소유자에게 달려 있다.

[5-3] 위험 처리: 회피 & 수용

마지막 두 가지 위험 처리 전략은 위험 회피와 위험 수용이다. 회피 위험 처리 전략, 즉 위험 회피 또는 위험 종료는 자산을 보호하지 않으려는 조직의 의도적 선택에 기반을 둔 것이다. 그러나 여기서 조직은 정보 자산이 위험 상태로 남아 있는 것을 원하지 않고, 정보 자산을 종료하거나 잠재적 위협에 대한 연결을 해제함으로써 운영 환경에서 자산을 제거한다. 공격자는 액세스 권한이 없기 때문에 자산을 완전히 종료하고 소독하는 것만이 완전한 보호를 제공한다. 단순히 프로그램 기능을 비활성화하거나 호스트 시스템을 네트워크에서 연결을 끊는다고 해서 데이터가 노출에서 제거되지 않을 수도 있다. 때로는 자산을 보호하는 비용이 자산의 가치보다 크다. 즉, 자산이 회사에 제공하는 가치나 이점에 비해 자산을 보호하는 것이 너무 어렵거나 비용이 많이 들 수 있다. 어쨌든 종료는 기술적으로 허용 자격이 있는 자산을 단순히 포기하는 것이 아니라 의식적인 비즈니스 결정이어야 한다. 수용 위험 처리 전략 또는 단순히 위험 수용은 정보 자산을 위험으로부터 보호하고 그로 인한 착취로부터 결과를 수용하기 위해 현재의 보호 수준 이상의 아무것도 하지 않기로 결정하는 것이다. 수용 위험 처리 전략은 조직이 현재 수준의 잔여 위험을 수용할 의사가 있음을 나타내는 위험 처리 전략이며, 결과적으로 조직은 정보 자산을 위험으로부터 보호하고 그로 인한 착취로부터 결과를 감수하기 위해 다른 어떤 것도 하지 않기로 의식적인 결정을 내린다. 이러한 치료 전략의 선택이 일부 조직에서 의식적인 비즈니스 결정이 아닐 수 있지만, 위험에 대한 무의식적인 수용은 위험 치료에 대한 생산적인 접근 방식이 아니다. 수용은 조직이 다음과 같은 활동을 수행하고 정보 자산에 제기되는 위험 수준을 결정하고, 공격 가능성과 취약점의 성공적인 공격 가능성을 평가하고, 성공적인 공격으로 인해 발생할 수 있는 잠재적 영향, 손상 또는 손실을 추정한 경우에만 유효한 전략으로 인정된다.

그런데 때로는 이런 게 가치가 없는 경우도 있다. 이 전략은 대안을 검토하고 자산을 보호하는 비용이 보안 지출을 정당화하지 않는다는 결론을 내리는 것이 현명한 비즈니스 결정이 될 수 있음을 가정한다. 예를 들어, 레거시 제품과 관련된 정보만 제공하는 오래된 웹 서버가 조직에 있다고 가정하면, 서버의 모든 정보는 공개된 것으로 간주되며 레거시 사용자의 이익을 위해 제공된다. 해당 정보는 중요한 가치가 없으며 조직이 보호해야 할 법적 의무가 있다는 정보도 포함하지 않는다. 처리 옵션에 대한 위험 평가 및 평가를 통해 서버의 보안을 업데이트하는 데 상당한 비용이 소요될 것으로 판단한다. 경영진은 운영에서 해당 자산을 제거하고 싶지 않지만, 기존 컨트롤을 업그레이드하거나 새로운 컨트롤을 추가하는 것은 불가능하다고 판단한다. 이들은 식별된 취약성에도 불구하고 현재 수준의 자산에 대한 잔여 위험을 수용하는 의식적인 비즈니스 결정을 내릴 수 있을 것이다. 이러한 상황에서 경영진은 위험을 감수하고 이 자산을 보호하기 위해 이 활동에 사용될 비용을 절약하는 것에 만족할 수 있다. 식별된 모든 손실 위험에 대한 전략으로 수용을 결정하는 조직은 사전 예방적 보안 활동을 수행하지 못할 수 있으며, 보안 전반에 대해 무신경한 접근 방식을 취할 수도 있다. 그러나 조직이 무지를 호소하여 직원 및 고객 정보를 보호하기 위한 법적 책임을 포기하는 것은 용납할 수 없다. 또한 경영진이 정보를 보호하려고 하지 않기를 바라는 것도 용납할 수 없다.

[5-4] 위험 처리 전략 구현

앞서 언급했듯이 사이버 보안의 목표는 잔여 위험을 제로로 만드는 것이 아니다. 오히려 조직의 위험 욕구에 맞춰 잔여 위험을 제로로 만드는 것이다. 의사 결정자에게 통제되지 않는 위험에 대한 정보를 전달하고 이해 관계 커뮤니티 내의 적절한 권한 그룹이 잔여 위험을 그대로 두기로 결정하면, 사이버 보안 프로그램은 그 주요 목표를 달성한 것이다.

이 다이어그램에서 볼 수 있듯, 정보 시스템이 설계된 후 조직은 시스템에 악용될 수 있는 취약점이 있는지 여부를 확인해야 한다. 실행 가능한 위협이 존재하는 경우 공격자가 성공적인 공격을 통해 얻을 수 있는 이점을 확인하는 것이다. 다음으로 취약점이 성공적으로 악용될 경우 조직이 겪을 예상 손실을 추정한다. 이 손실이 조직이 흡수할 수 있는 손실 범위 내에 있거나 공격자가 얻을 수 있는 가능한 공격 실행 비용보다 적으면 조직은 위험을 수용하기로 선택할 수 있다. 그렇지 않으면 다른 처리 전략 중 하나를 선택해야 한다.
 

처리 전략 선택에서 위협 수준과 자산의 가치가 중요한 역할을 해야 한다는 점을 염두에 두고 전략을 선택하기 위한 몇 가지 경험 규칙이 있다. 매우 중요한 자산에 결함이나 약점이 존재할 때는 보안 컨트롤을 사용하여 취약점이 악용될 가능성을 줄인다. 취약성이 악용될 수 있는 경우, 계층화된 보호, 아키텍처 설계 및 관리 제어를 적용하여 위험을 최소화하거나 공격 발생을 방지할 수 있다.

 

공격자의 잠재적 이득이 공격의 비용보다 클 경우, 보호를 적용하여 공격자의 비용을 증가시키거나 기술적 또는 관리적 제어를 사용하여 공격자의 이득을 줄인다. 공격자의 잠재적 이득은 조직이 아닌 자신의 관점에서 고려된다. 따라서 후자의 인지된 잠재적 손실은 공격자의 잠재적 이득보다 훨씬 작을 수 있다. 잠재적 손실이 상당할 경우 설계 원칙, 아키텍처 설계 및 기술적 및 비기술적 보호를 적용하여 공격 범위를 제한하여 손실 가능성을 줄인다.

처리 전략이 선택되고 실행되면 통제는 지속적으로 모니터링되고 측정되어 그 효과를 결정하고 남은 위험에 대한 지속적인 추정치를 유지해야 한다. 위 그림은 이러한 순환 프로세스가 위험을 통제한 상태로 유지하는 것을 보장하는 방법을 보여준다. 최소한 앞에서 설명한 위험 평가에서 개발된 각 정보 TVA에는 제안된 전략이 실행된 후 남은 잔여 위험을 명확하게 식별하는 문서화된 처리 전략이 있어야 한다. 이 접근 방식은 기본적인 위험 감소 전략 중 어떤 전략을 사용하고 여러 전략을 어떻게 조합할 수 있는지 명확히 설명해야 한다. 이 프로세스는 타당성 조사를 참조하여 선택된 처리 전략의 선택을 정당화해야 한다. 조직은 실행 계획에서 각 TVA 조합에 대한 처리 전략 선택 프로세스의 결과를 문서화해야 한다. 이 실행 계획에는 조직 단위 또는 개인에게 할당된 각 작업에 대한 책임이 있는 구체적인 작업이 포함된다. 계획에는 하드웨어 및 소프트웨어 요구 사항, 예산 추정치 및 세부 일정이 포함될 수 있다.

조직이 위험 처리 전략을 결정한 후, 제안된 처리를 실행한 후에 존재하게 될 잔여 위험에 대한 제안된 전략의 효과를 다시 추정해야 한다. 이를 위험 대응이라고 한다. 조직이 완화 위험 전략을 채택하기로 결정한 조직의 경우, 팀은 공격의 가능성과 영향을 줄이기 위해 모든 범주, 정책, 교육 및 인식, 기술에 대한 일반적인 통제를 구현하기 위한 권장 사항을 제시해야 한다.

그런 다음 위험 관리 프로세스 팀은 제안된 변경 사항의 추정 효과와 실현 가능성을 명시해야 하며, 제안된 변경 사항이 효과가 없거나 실행 불가능한 경우 새로운 제어 사항을 추가하거나 기존 제어 사항을 개선하거나 제안된 제어 사항을 생략하도록 권장 사항을 지정해야 한다. 그런 다음 팀은 제안된 변경 사항이 적용된 후에 존재할 잔여 위험 수준을 명시한다. 사전 및 사후 위험 처리 평가의 비교는 타당성에 대한 추가 평가 및 비용 편익 분석을 기반으로 제안된 통제의 실제 구매 및 구현을 위한 기반을 제공한다.

특정 TVA에 대한 처리 전략을 결정하기 전에 조직은 위협이 자산에 손실을 초래할 때 취약성의 악용으로 인한 경제적, 비경제적 결과에 대해 쉽게 접근할 수 있는 모든 정보를 탐색해야 한다. 이 탐색은 실제 및 인식된 불이익과 대조적으로 통제를 구현할 때의 실제 및 인식된 이점은 무엇인가라는 질문에 답하려고 시도한다. 즉, 조직은 우리가 이 자산을 보호하기 위해 추가적인 보호 메커니즘에 더 이상 시간이나 비용 또는 기타 자원을 소비하기 전에 단순히 질문에 답하려고 하는 것이다. 다양한 위험 처리 전략과 관련된 비용은 조직이 어떤 선택을 해야 할지 결정하는 데 도움이 될 수 있을 것이다.

새로운 컨트롤에 대한 비용 편익 분석을 계산하는 한 가지 방법은 정보 자산의 가치를 계산하는 것부터 시작한다. 조직은 정보 자산의 총 소유 비용을 고려해야 한다. 여기에는 획득 비용, 구축하는 경우 구축하는 비용, 유지 관리 비용, 보호하는 비용 및 다음 번에 손실되거나 파괴되는 경우 복구하는 비용이 포함된다. 다음으로 연간화된 손실 기대치를 계산하는데, 이는 연간 기준으로 조정하면 일정 기간 동안 손실될 것으로 예상되는 자산의 양이다. 먼저 단일 손실 기대치를 결정하는 것부터 시작한다. 이는 특정 공격이 한 번 발생했을 때 손실될 가능성이 가장 높은 것과 관련된 계산 값이다. 이는 영향력으로, 자산의 가치와 특정 공격으로 인해 발생할 것으로 예상되는 손실 비율을 모두 고려한다. 따라서 SLE 또는 단일 손실 기대치는 자산 가치에 노출 요소를 곱한 값과 같다.

 

노출 요인은 우리가 한 번의 공격으로 얼마나 많은 정보 자산을 잃을 것으로 예상하느냐다. 따라서, 연간화된 손실 기대치는 한 번의 손실 기대치에 연간화된 발생률 또는 ARO를 곱한 것이다. 기본적으로, 우리는 일년에 몇 번이나 성공적인 공격을 예상할까? 이것은 일년에 여러 번 있을 수도 있고 몇 년에 한 번 있을 수도 있다.

이를 통해 비용 편익을 계산할 수 있다. 비용 편익 분석은 통제장치를 새로 만들거나 변경하기 전의 현재 연간 손실 예상치에서 현재 통제장치를 개선하거나 새로운 통제장치를 구현할 경우의 연간 손실 예상치를 뺀 값으로 계산된다. 결과가 양의 값이면 새로운 통제장치를 구현할 가치가 있다. 0 또는 음의 값이면 보안을 개선하는 것보다 더 많은 비용을 지출하고 있는 것이다.

[6주차] 총 테스트

 

그래도 이번엔 5개만 틀렸다. 더 줄이도록 해야지..