[USG]주요 위험 관리 표준 및 프레임워크 #5, 6

[5주차] 위험 관리를 위한 기타 접근법 및 도구

학습목표

1. 비용 편익 분석의 요소와 위험 관리에 사용되는 방법을 정의한다.
2. 위험 관리에 대한 FAIR, OCTAVE 및 ENISA 접근 방식의 기본 특징을 설명한다.
3. 문서 기반 위험 관리 애플리케이션의 기본 기능과 용도를 설명한다.
4. 컴퓨터화된 위험 관리 애플리케이션의 기본 기능과 용도를 설명한다.

[5-1] 비용 편익 분석

경제적 타당성 조사나 분석으로 알려진 리스크 관리를 위한 비용-편익 분석 접근법은 전통적인 경영자들이 쉽게 이해할 수 있다는 큰 장점을 가지고 있다. 이전 방법론의 위험 중 하나는 정보 기술과 사이버 보안 영역을 벗어난 경영자들이 보안에 대한 위험 관리 접근법의 적용을 완전히 파악하지 못할 수 있다는 것이다. 수년 동안 보안 위험 관리를 위한 비용-편익 분석, 즉 CBA 접근법은 개선 사항이나 특정 정보 자산 세트를 보호하기 위해 지출하는 결정을 정당화하거나 반박하는 접근법으로 사용되었다. 조직이 정보 자산을 보호하기 위해 돈을 지출하기 전에 예산과 재정 지출을 담당하는 사람들은 그 돈이 잘 지출되고 지출이 수행되는 분야에 대한 명확한 개선 사항을 제공한다는 확신을 원한다. 다른 사람들은 다른 대안들 중에서 어떤 것은 다른 것들보다 더 많은 비용이 드는 선택을 돕기를 원할 수도 있다. 바로 여기서 비용-편익 분석이 나오는 것이다. CBA의 핵심은 비용과 이익이라는 두 가지 분야로 요약된다. 정보의 가치를 결정하는 것이 어렵듯이, 정보를 보호하는 비용도 결정하기 어렵다. 이는 다시 자산을 보호하기 위해 자산의 가치보다 더 많은 비용을 지출하지 말라는 보안 용어로 돌아간다.

 

정보 자산, 일부 보안 기술 또는 새로운 보안 프로세스 또는 접근 방식의 비용은 조직이 공급업체에 제공하거나 자체 팀이 개발하기 위해 지불한 비용보다 훨씬 크다. 이는 조직이 기술 또는 활동을 종료하거나 종료하거나 제거하기 위해 사용하는 전체 시간, 노력 및 비용과 마찬가지로 총 소유 비용의 함수다. 조직은 새로운 방화벽을 구입하거나 새로운 보안 교육 프로그램을 구축하는 등의 지출이 필요한 문제를 정의하는 데만 상당한 시간과 노력을 소비한다. 조직이 이 활동에 소비하는 시간은 최종적으로 선택되는 솔루션 비용의 일부다. 비용의 가장 쉽게 이해되는 부분은 솔루션을 구입하거나 구입하는 비용 또는 개선 사항일 것이다. 그러나 대부분의 솔루션에는 옵션이 함께 제공된다. 그리고서 이제 해야할 일은 구매 중인 제품 또는 서비스에 대해 기본 또는 핵심 제품 또는 서비스와 함께 어떤 옵션을 구입해야 하는지 결정하는 것이다. 제품 또는 솔루션이 선택되면, 조직은 사용자에게 이를 사용하도록 교육하고, 기술자가 이를 지원하도록 교육해야 한다. 물론, 솔루션을 선택할 때 이러한 교육 비용과 제품의 지속적인 유지 관리에 드는 비용을 고려해야 한다. 일부 솔루션에는 업데이트 및 패치 및 유지 보수를 위해 공급업체에 지불해야 하는 유지 보수 및 지원 비용이 있다. 자체적으로 개발된 항목은 솔루션이 의도한 대로 계속 작동하도록 보장하기 위해 프로그래머와 다른 개발자의 시간과 노력이 필요하다. 어느 시점에서 경영진은 제품에 사용 가능한 옵션을 확장하고 추가 비용이 필요할 수도 있다. 일부 제품에는 제품을 제대로 종료하고 폐기하기 위해 수수료가 부과될 수도 있다. 예를 들어, 배터리가 있는 모든 기술에는 적절한 폐기 방법이 포함되어야 하는 것처럼 말이다.

 

총 소유 비용의 구성 요소는 새로운 또는 개선된 통제 또는 안전 장치의 구현을 포함하여 특정 위험 처리 전략의 비용에 영향을 미치는 항목의 다음 부분 목록을 만든다. 이는 개발 또는 획득 비용이다. 여기에는 하드웨어 비용, 소프트웨어 비용, 구성 비용 및 후속 서비스 비용이 포함되어야 한다. 인력 교육 비용, 변경에 필요한 신규 인력 고용 비용도 말이다. 구현 비용에는 하드웨어, 소프트웨어 및 서비스의 설치, 구성, 테스트가 포함된다. 서비스 비용에는 일반적으로 유지 보수 및 업그레이드에 대한 공급업체 수수료 또는 정보 자산 보호 또는 보험 또는 기타 관련 비용이 포함된다. 유지 보수 비용과 업그레이드에 필요한 장비와 직원 및 소프트웨어를 확인하고 지속적으로 테스트, 유지 보수, 교육 및 업데이트하는 데 드는 인건비도 포함된다. 이는 최종적으로 서비스를 제거하거나 공격으로 인해 어느 시점에 타협할 때 자산 손실로 인한 잠재적 비용이다. 개별 조직과 특정 기술에는 식별되고 문서화되어야 하는 특정 자산 집합에 대한 기타 비용이 포함될 수 있다.

CBA의 나머지 절반은 조직에 대한 혜택이다. 혜택은 특정 취약성과 관련된 손실을 방지하기 위해 지정된 컨트롤을 사용하여 조직에 주는 가치다. 일반적으로 정보 자산이나 취약성에 노출된 자산의 가치를 평가한 다음, 그 가치 중 얼마나 위험에 처해 있는지, 자산에 얼마나 위험이 존재하는지를 결정함으로써 결정된다. 비용 편익 분석을 사용할 때 가장 큰 문제는 관련된 추측이나 추정의 정도다. 대부분의 경우 조직이 솔루션의 비용을 조회하거나 조직에 예상되는 혜택을 조회할 수 있는 문서나 표가 없다. 결과적으로 이 영역에서 논의되는 위험 관리에 대한 접근 방식은 일반적으로 비용 편익 분석만 의사 결정하는 것보다 선호된다. 그러나 이러한 방법론 중 하나를 사용하여 솔루션을 획득하기 위해 지출을 통제하는 것이 솔루션을 제공하기 위해 조직 내 사람들을 설득하고, 이를 제공하기 위해 의사 결정자를 설득해야 하며, 의사 결정자를 설득할 수 있는 최선의 도구가 CBA로 남아 있음을 확신하는 비용 편익 분석을 포함하는 것이 필요할 수 있다. 정보 자산은 분명 가치를 가지고 있다. 그러나 그 가치는 표현하기 매우 어려운 숫자일 수 있으며, 특히 매우 구체적이거나 세부적인 숫자일 것이다. 그렇기에 비용-편익 분석을 위해서는 CBA 계산을 완료하기 위해 동일한 총소유비용 접근법을 사용하여 최소한 비용에 대한 근본적인 추정이 필요할 것이다. 이전의 총소유비용 아래에 나열된 항목 외에도 이 논의에서는 정보 자산의 가치를 계산할 때 고려해야 할 다음과 같은 값을 가질 수 있다.

 

정보 자산을 만드는 것과 관련된 가치는 무엇일까? 자산이 전체 생애에 걸쳐 사용되고 있기 때문에 유지 관리와 관련된 가치는 무엇일까? 시간이 지남에 따라 자산을 개선하거나 대체하는 데 드는 비용은 얼마일까? 정보를 제공함으로써 얻게 되는 가치는 무엇일까? 정보를 보호하는 데 드는 비용은 얼마일까? 이 자산은 소유자와 어떤 가치를 갖을까? 자산에 표시된 지적 재산의 가치는 얼마일까? 이 자산이 적대자 또는 경쟁자에게 인식되는 가치는 얼마인일까? 이 정보 자산을 사용할 수 없는 경우 생산성 손실에 대한 조직의 비용은 얼마일까? 자산을 사용할 수 없는 경우 수익 손실에 대한 조직의 비용은 얼마일까?

 

이 모든 숫자는 상황과 세부 사항에 따라 총 소유 비용에 영향을 미치고, 영향을 미칠 것이다. 정량적 비용-편익 분석을 계산하는 전통적인 모델은 연간 발생률을 기반으로 공격 가능성을 추정하고, 손실에 대한 예상을 기반으로 공격의 영향을 추정하는 것이다. 조직이 다양한 자산의 가치를 추정하면, 취약성을 성공적으로 이용하여 잠재적인 손실을 계산하기 시작할 수 있다. 이 계산은 위험당 잠재적 손실의 추정치를 산출한다. 그렇다면 이 단계에서 반드시 물어야 할 질문은, 어떤 피해가 발생할 수 있으며 어떤 재정적 영향을 미칠 것인가 하는 것이다. 공격으로 인한 피해의 재정적 영향 외에 공격으로부터 복구하는 데 드는 비용은 얼마일까? 각 위험에 대한 단일 손실 기대는 얼마일까? 단일 손실 기대는 SLE라고도 하며, 계산된 값으로 특정 공격이 한 번 발생했을 때 가장 발생할 가능성이 높은 손실과 관련된 값이다. 이것은 영향 평가로, 자산의 가치와 특정 공격으로 인해 발생할 예상 손실 비율을 모두 고려한다. 즉, SLE는 자산 가치에 노출 요소를 곱한 값과 동일하며, 여기서 노출 요소는 악용되는 특정 취약성에서 발생할 자산 가치의 손실 비율이다. 예를 들어, 추정 자산 가치가 100만 달러인 자산에 대한 공격이라고 하면 손상, 파괴 또는 도난으로 인해 가치의 10%가 손실될 것으로 예상된다. 그러면 SLE는 1,000,000의 10%가 되어 100,000 달러의 SLE를 얻을 수 있다. 일반적으로 위협이 발생할 확률은 각 위협 유형의 공격이 주어진 기간 내에 얼마나 자주 발생할 수 있는지 보여준다. 예를 들어, x년에 한 번 또는 1년에 x번이다. 이 값은 일반적으로 연간 발생률, ARO라고 한다. 예를 들어, 공격이 성공적으로 2년에 한 번 정도 발생하면 ARO는 50% 또는 0.5가 된다. 한 달에 한 번 성공하는 공격의 연간 발생률은 12회다. 이 정보를 사용하면 연간 손실 기대지수, ALE로 표시되는 위험당 전체 손실 가능성을 계산할 수 있다. ARO 및 SLE 값을 $100,000,000의 ALE로 사용한 다음 ARO가 0.5이면 연간 손실 기대지수는 $50,000이 된다. 따라서 조직은 보안을 개선하지 않는 한 특정 자산 또는 자산 집합에 대해 연간 $50,000의 손실을 예상할 수 있다. 비용-편익 분석은 통제 대안을 사용하여 통제를 구현하고 유지하는 데 드는 비용이 가치가 있는지 여부를 결정한다. 가장 일반적인 비용-편익 분석 공식 중 하나는 방금 표시된 ALE를 사용하여 CBA를 계산하는 것이다. 예를 들어, CBA는 통제를 적용하기 전의 ALE와 같다. 그런 다음 이 값에서 통제를 적용한 후의 연간 손실 기대지수를 차감한다. 그런 다음 이 값에서 통제를 구현한 후의 연간화된 비용을 차감한다. 그것이 바로 ACS, 연간화된 안전장치 비용이다.

ACS는 솔루션 비용을 예상 수명을 몇 년으로 나눈 값이다. 연간 손실 예상액이 50,000달러인 100만 달러 상당의 자산이 있는데, 이 자산의 보안 솔루션을 개선해야 한다면 두 가지 옵션이 있을 수 있다. 하나의 옵션은 50,000달러이고 5년 동안 지속되며, 하나의 옵션은 100,000달러이고 7년 동안 지속된다. 물론 각각의 보호 수준은 다를 수 있다. 첫 번째 예를 들어, 대조군을 적용한 후 ALE를 20,000달러로 추정했다면 비용-편익 분석은 50,000달러에서 20,000달러를 뺀 값과 CBA가 20,000달러인 5년 동안의 스프레드 50,000달러가 같다. 그리고 다음의 예를 들어, 두 번째는 대조군을 적용한 후 연간 손실 예상액을 10,000달러로 추정할 것이다. 비용-편익 분석 계산을 사용하면 5만 달러에서 10,000달러를 뺀 값이 7년 동안 스프레드로 적용되어 CBA가 25,174달러가 된다. 옵션 2는 옵션 1보다 더 큰 결과를 제공하기 때문에 얻는 데 더 많은 비용이 들더라도 더 나은 장기 투자인 것이다. 이것이 순수하게 수치적, 양적 또는 재무적 관점에서 여러 옵션을 비교하는 비용-편익 분석의 기초가 된다. 어느 시점에서 우리는 이와 같은 CBA를 수행해야 할 것이다. 가장 큰 과제는 우리가 논의한 각 값에 대한 정확한 추정치를 찾는 것이다.

[5-2] FAIR, OCTAVE, ENISA

 

여기서는 여러 가지 대안적인 위험 관리 방법론을 살펴볼 예정인데, 그 중 첫 번째는 정보 위험 요인 분석인 FAIR다. 이 접근법은 잭 존스 보안 컨설턴트가 조직이 정보 리스크를 이해하고 분석하며 측정할 수 있도록 설계했다. 대부분의 방법론과 마찬가지로, FAIR도 여러 변수에 대한 값이 생성되는 형식적이지만 간단한 프레임워크를 따른다. 그런 다음 최종적으로 손실, 사건, 빈도 또는 가능성 및 손실 크기 또는 영향을 계산하고, 이를 결합하여 위험을 계산한다. 2011년 FAIR는 CXO 웨어에서 상업용 컨설팅 벤처의 초석이 되었고, FAIR는 risk calibratir라는 분석 소프트웨어 제품군을 구축했다. 2014년 FAIR는 오픈 그룹에 의해 리스크 관리를 위한 국제 표준으로 채택되었으며 오픈 페어로 브랜드가 변경되었다. 2015년에는 CXO 웨어는 리스크 렌즈로 브랜드가 변경되었다. 그리고 FAIR 모델은 정보 리스크에 대한 분류법을 제공하도록 설계되었다. 정보 위험 용어에 대한 표준 명명법, 데이터 수집 기준, 위험 요인에 대한 측정 척도를 설정하기 위한 프레임워크로 자리잡은 것이다.

 

위험 계산을 위한 계산 엔진 및 복잡한 위험 시나리오를 분석하기 위한 모델링 구성이 포함된다. 1단계에서는 시나리오 구성 요소를 식별한다. 1단계는 위험에 있는 자산을 식별하는 과정이다. 즉, 위험 분석 내에서 통제 및 가치 특성을 추정하려면 분석가가 평가 대상 자산 또는 객체를 먼저 식별해야 하는 것이다. 다단계 분석을 수행하는 경우, 분석가는 주요 자산 또는 위험에 있는 객체를 식별하고 평가해야 한다. 그리고 주요 자산과 위협 커뮤니티 사이에 존재하는 모든 금속 객체를 식별한다. 2단계는 고려 중인 위협 커뮤니티를 식별하는 것이다. TEF로 알려진 위협 이벤트 빈도를 추정하기 위해 TCap으로 알려진 위협 능력. 악성 행위와 관련된 위험을 평가할 때 특정 위협 커뮤니티를 먼저 식별해야 한다. 분석가는 위협 커뮤니티가 인간인지 아니면 악성 프로그램인지 결정해야 한다. 내부인지, 외부인지도 말이다. 2단계에서는 손실 이벤트 빈도를 평가한다. 3단계는 발생 가능한 위협 이벤트 빈도 또는 TEF를 추정한다. 위협 에이전트가 자산에 대해 조치를 취할 주어진 기간 내의 발생 가능한 빈도다. 이는 매우 낮은 수준에서 매우 높은 수준인 1부터 10까지 또는 조직이 선호하는 모든 것의 척도로 점수를 매길 수 있다. 4단계에서는 위협 능력 또는 TCap을 추정한다. 이것은 위협 에이전트가 자산에 대해 적용할 수 있는 가능한 크기에 대한 것이다. 5단계에서는 기본 수준의 크기에 대해 측정했을 때 주어진 시간 프레임에 대한 제어의 예상 효과인 제어 강도를 추정한다. 6단계에서는 취약성을 도출한다. 이것은 자산이 위협 에이전트의 조치에 저항할 수 없을 확률이다. 이 값은 위협 능력과 제어 강도의 비교 또는 계산에서 도출된다. 다음 7단계에서는 위협, 이벤트 빈도 및 취약성 값의 비교 또는 계산에서 결정된 주어진 기간 내에 위협 에이전트가 자산에 해를 가할 가능성 있는 빈도에 따른 손실을 도출한다. 3단계에서 발생 가능한 손실 크기를 평가하는 것이다. 8단계에서는 최악의 결과를 초래할 가능성이 가장 높은 위협 조치를 결정하는 3단계를 사용하여 결정된 최악의 경우 손실을 추정한다. 이것은 접근의 손실, 오용, 무단 공개, 원치 않는 수정 또는 사용 거부 또는 해당 위협 행동과 관련된 각 손실의 크기를 추정하는 것일 수 있다. 여기에는 생산성 반응, 경쟁 우위, 평판 또는 대체 비용, 벌금 또는 기타 법적 판단의 손실이 포함될 수 있다. 결과적인 손실은 달러 가치로 계산되거나 단순히 너무 심각하고 일부는 너무 낮은 규모로 계산될 수 있다. 크기로 인한 손실은 이전의 두 구성 요소에서 발생 가능한 손실을 계산한다. 9단계에서는 동일한 접근 방식을 사용하여 발생 가능한 손실을 추정한다. 최악의 경우 손실로, 조직은 성공적인 공격으로 인한 가장 가능성 있는 결과를 결정한다. 다음 10단계에서는 추정된 손실 빈도와 추정된 손실 크기를 결합하여 위험 값을 결정하는 위험을 도출하고 명확하게 설명한다. 이는 다시 너무 임계 값이 낮은 값으로 점수가 매겨지거나 수치로 계산될 수 있다.

 

정리하면, 초기 값은 후속 값을 결정하는 데 사용되며, 결국 LEF 또는 가능성과 PLM 또는 영향을 결정하는 데 사용된다. 그런 다음 이를 결합하여 특정 정보 자산 또는 정보 자산 집합에 대한 위험 값을 만드는 것이다. FAIR에는 FAIR-U라는 교육 아카데미가 있으며, 무료로 FAIR 방법론과 그 구현에 대한 실험 및 학습을 할 수 있다.

PLM 대신 LEF와 손실 크기를 사용하여 위험의 척도로 연간 손실 노출을 계산할 수 있다. 또한 원래 FAIR 차트에 표시된 계산이 현재 버전의 연간 손실 노출 추정으로 어떻게 발전했는지 알 수 있다. FAIR에 대해 주의해야 할 점은 표시된 애플리케이션은 위험 관리 프로세스의 일부일 뿐이며, 주로 위험 치료를 포함한 전체 FAIR 방법론에 대한 위험 평가에 중점을 두고 있다는 것이다.

 

OCTAVE 방법은 카네기 멜론 대학의 소프트웨어 엔지니어링 연구소가 개발한 보안 위험 평가 방법론이다. 이를 통해 조직은 중요 정보 자산의 보호와 형사 통제를 제공하는 비용의 균형을 맞출 수 있다. 이 프로세스를 통해 조직은 알려져 있거나 받아들여지는 우수한 보안 관행에 대해 자체적으로 측정한 다음 ,조직 전반의 보호 전략 및 정보 보안 위험 완화 계획을 수립할 수 있다. OCTAVE 라이브러리는 네 가지 변형을 촉진한다. OCTAVE 지식 체계의 기초를 형성하는 원래의 OCTAVE 방법은 300명 이상의 사용자를 가진 대규모 조직을 위해 설계되었다. OCTAVE-S는 약 100명의 사용자로 구성된 소규모 조직을 위해 개발되었다. OCTAVE-ALLEGRO는 사이버 보안 위험 평가를 위한 간소화된 접근 방식이다. 최근 SEI는 현재 조직을 위한 교육 제공에 중점을 둔 OCTAVE 방법론을 기반으로 기업 위험 관리를 위한 업데이트된 접근 방식을 개발했다. 원래 OCTAVE 방법은 여기에 인용된 문서에 따라 위험 관리에 대한 3단계 8단계 프로세스 접근 방식을 사용한다. 1단계에서는 정보 자산과 그 가치, 해당 자산에 대한 위협 및 보안 요구 사항을 표준 정보 카탈로그와 함께 조직 내 여러 수준의 직원이 알고 있는 지식을 사용하여 식별한다. 예를 들어, 알려진 위협 프로필과 우수한 조직 및 기술 관행을 사용하여 직원이 조직의 자산, 위협 및 현재 보호 전략을 알고 있는지 조사한다. 이 정보는 이후 OCTAVE 1단계의 목표인 기업의 보안 요구 사항을 수립하는 데 사용될 수 있다. OCTAVE 2단계에서는 조직의 정보 자산을 물리적 환경과 네트워크 IT 환경 모두의 정보 인프라 구성 요소에 매핑하여 1단계 동안 캡처된 정보를 기반으로 한다. 이는 우선 순위가 높은 인프라 구성 요소를 식별한다. 이 작업이 완료되면 인프라 취약성 평가가 수행되어 취약성을 식별한다. 1단계와 마찬가지로 표준 정보 카탈로그가 사용된다. 표준 침입 시나리오와 취약성 정보는 인프라 취약성 평가의 기초로 사용된다. 2단계가 끝날 때 조직은 우선 순위가 높은 정보 인프라 구성 요소, 누락된 정책 및 관행과 취약성을 식별한다. OCTAVE의 3단계는 1단계와 2단계 동안 캡처된 정보를 기반으로 한다. 표준 침입 시나리오의 맥락에서 이전 단계에서 확인된 자산, 위협 및 취약성을 분석하여 위험을 식별하는 것이다. 위험 속성이라고도 불리는 위험의 영향과 확률이 추정되고 이후에 위험의 우선 순위를 결정하는 데 사용된다. 위험의 우선 순위를 매기는 목록은 이전 단계의 정보와 함께 사용되어 기업에 대한 보호 전략을 개발하고 보안 위험을 관리하기 위한 포괄적인 계획을 수립한다. 이것이 3단계의 목표다. OCTAVE 방법론은 또한 각각의 규모가 큰 조직에 대한 위험 평가 및 위험 관리 프로세스를 수행하기 위한 펜 및 종이 양식을 제공한다.

 

마지막 모델은 ENISA로, 이는 유럽 연합의 기관이다. 그들의 위험 관리 모델은 22개의 다른 속성을 사용하여 12개의 도구의 순위를 매긴다. 또한, 사용자가 위험 관리 방법 또는 도구를 비교할 수 있도록 하는 유틸리티를 웹사이트에서 제공한다. ENISA가 추진하는 주요 위험 관리 프로세스는 알려진 다른 많은 위험 관리 모델과 접근 방식이 있다. 위험을 평가하고 관리하는 데 가장 좋은 접근 방식을 제공하기 위해 그들이 자신의 환경에 적용할 수 있는 방법을 검토하고 평가하고 선택하는 것은 조직에 달려 있다. 결국 가장 중요한 것은 방법론을 선택하고 엄격하게 따르는 것이다.

[5-3] 위험 관리 지원을 문서 기반 도구

OCTAVE Allegro는 중소기업을 위한 것이다. 오래된 OCTAVE Allegro는 여전히 위험 평가를 수행하는 간단한 방법을 제공한다. 이 문서에서는 방법론에 대한 자세한 설명과 부록에 있는 빈 워크시트 및 예시 워크시트를 모두 제공한다.

 

Allegro 프로세스는 이 방법론을 따른다. 1단계에서는 위험 측정 기준을 수립한다. OCTAVE Allegro 프로세스의 1단계에서는 위험이 조직의 임무와 비즈니스 목표에 미치는 영향을 평가하는 데 사용될 위험 측정 기준을 수립한다.

 

2단계에서는 정보 자산 프로파일을 개발한다. OCTAVE Allegro 방법론은 조직의 정보 자산에 초점을 맞추고 각 정보 자산의 고유한 특징, 자질, 특성 및 가치를 설명하는 프로파일 또는 표현을 만드는 프로세스를 시작한다.

 

3단계에서 정보 자산 컨테이너를 식별한다. 자산이 저장되고 처리되는 모든 컨테이너는 내부든 외부든 식별된다. 이 단계에서 분석팀은 정보 자산이 살고 있는 컨테이너에 정보 자산을 매핑하여 위험성을 검사해야 하는 경계와 고유한 상황을 정의한다. 정보 자산이 살고 있는 컨테이너에 대한 모든 위험은 정보 자산에 의해 상속된다.

 

4단계에서 관심 분야를 식별한다. 위험 식별 프로세스는 조직 정보 자산을 위협할 수 있는 가능한 조건이나 상황에 대한 브레인스토밍으로 시작된다. 이러한 실제 시나리오를 관심 분야라고 하며, 위협과 그에 상응하는 바람직하지 않은 결과를 나타낼 수 있다.

5단계에서는 위협 시나리오를 식별한다. 이전 단계에서 캡처된 관심 분야는 위협의 속성을 더욱 자세히 설명하는 위협 시나리오로 확장된 다음 위협 시나리오를 조사하여 추가 위협을 고려하는 것이다.

6단계에서는 위험을 식별한다. 위협이 실현될 경우 조직에 미치는 결과를 조사하고 캡처하여 위험 그림을 완성한다.

 

7단계에서는 위험을 분석한다. 위협에 의해 조직이 영향을 받는 정도에 대한 간단한 정량적 측정값이 계산된다. 이 상대적 위험 점수는 다양한 영향 영역의 상대적 중요성에 대해 위험의 결과가 조직에 영향을 미치는 정도와 해당 결과의 가능한 확률을 고려하여 도출된다.

8단계에서 완화 접근법을 선택한다. 조직은 자신이 식별한 위험 중 완화가 필요한 위험을 결정하고 해당 위험에 대한 완화 전략을 수립한다. 이는 우선 상대적인 위험 점수를 바탕으로 위험의 우선순위를 정함으로써 달성된다. 일단 위험의 우선순위가 정해지면, 자산의 가치와 보안 요구 사항, 자산이 살고 있는 컨테이너, 조직의 고유한 운영 환경을 고려한 완화 전략이 수립된다.

지금까지는 OCTAVE Allegro 방법론과 지금까지 논의한 각 이전 방법론 간에 동일한 공통점이 많이 존재한다는 것을 알아야 한다.

방법론의 각 단계에는 지원 워크시트, 양식 및 설명이 있다. 각 단계는 개요로 시작하는데, 그런 다음 재료에 접근하는 방법에 대한 자세한 지침을 제공한다. 그런 다음 필요한 정보를 캡처하는 데 사용할 수 있는 빈 워크시트를 제공하는 것이다.

그런 다음 작업을 진행하면서 자신의 작업을 분석하는 데 사용할 수 있는 완성된 워크시트의 예도 보여준다. 적절한 영역을 위해 이 문서에는 필요한 데이터를 수집하는 데 도움이 되는 설문지도 제공된다. 옥타브 알레그로는 일반적으로 위험 관리를 처음 접하는 중소기업 및 특히 위험 평가에 탁월한 최초 방법론을 제공한다고 할 수 있겠다.

[5-4] 위험 관리 지원을 위한 애플리케이션

 

상업용 위험 관리 애플리케이션의 기능을 보여드리기 위해 여기서 Clearwater Compliance Information Risk Management Analysis 애플리케이션 학습한다. Clearwater Compliance는 Bob and Mary Chaput에 의해 2009년에 설립되었다. Clearwater의 원래 사명은 의료 조직이 HIPAA 개인 정보 침해 알림 및 보안 규칙을 준수하고 유지할 수 있도록 지원하는 것이었다. 그러나 의료의 신속한 신기술 구현과 전자 보호 의료 정보의 확산에 대응하여 Clearwater의 사명은 발전했으며, 오늘날 Clearwater Compliance는 의료 기업의 사이버 위험 관리 솔루션을 모두 제공한다. 소프트웨어는 위험 평가 및 위험 관리를 위한 NIST SP 800-30 접근 방식을 기반으로 구축되었다. 위험 관리를 수행하기 위해 조직은 일반적으로 애플리케이션에서 평가할 정보 자산에 대한 리스크 임계값을 정의하는 것부터 시작한다. 위험 임계값은 5배의 영향 가능성 등급을 기준으로 1-25 척도로 점수를 매긴다. 기본 설정은 25배 중 10배이지만 쉽게 조정할 수 있다. 리스크 프레이밍의 일환으로 조직은 영향 설정에서 가능성을 지정하고 왼쪽 여백 메뉴에 표시된 것처럼 기타 전반적인 정보를 제공할 수도 있다.

 

조직의 다음 작업은 위험을 관리하고자 하는 정보 자산 또는 기타 자산 그룹을 입력하는 것이다. 각 자산 입력 화면에는 자산의 위치, 소유자, 자산 수 및 유형뿐만 아니라 자산의 복구 시간 및 복구 시점 목표를 포함한 자산을 설명하는 다양한 필드가 있다. 정보 자산을 지정하는 것 외에도 구성 요소 그룹이 정의되고 구성 요소와 관련된 정보 자산이 카탈로그화된다. 정보 자산을 저장, 사용, 처리 및 전송하는 데 사용되는 물리적 자산을 고려해 생각해 보면 된다. 여기에는 자산이 상주하는 서버, 라우팅되는 네트워킹 장치, 자산에 액세스하는 사용자 시스템 등이 포함된다. 소프트웨어의 핵심 기능 중 하나는 미디어라고 알려진 구성 요소의 알려진 취약성을 파악한 다음, 이러한 취약성을 정보 자산에 적용하여 평가하는 것이기 때문에 중요하다. 이는 특정 소프트웨어 취약성을 추적하는 것이 아니라 평가하고 해결해야 하는 일반적인 범주의 취약성을 추적한다. 조직이 CCIRM 분석을 사용하여 위험 평가를 완료하면, 모든 애플리케이션 및 운영 체제 특정 취약성도 고려해야 한다. 모든 정보 자산이 입력되고 관련 구성 요소 그룹이 결정되면 조직은 CCIRM 분석에서 위험 설문지를 사용하여 위험 결정으로 알려진 위험 평가를 수행한다. 소프트웨어는 각 잠재적 위협, 취약성 및 자산 트라이앵글을 살펴보고 사용자에게 일련의 모범 사례 컨트롤이 구현되었는지 또는 진행 중인지 묻는다. 조직이 사용자 지정 컨트롤 또는 권장 사항을 입력할 수 있는 버튼이 있는데, 이 정보를 입력하면 소프트웨어는 사용자가 이 트라이앵글에 대해 현재 추정된 가능성과 영향 수준을 지정할 수 있다. 이는 조직이 첫 번째 단계에서 정의한 사용자 지정 대안을 기반으로 할 수 있다. 가능성과 영향에 대한 결과 계산은 현재 위험 등급을 제공한다.

 

다음으로, 조직은 위험 결정에서 위험 대응으로, 또는 공통적인 위험 관리 용어로 위험 평가에서 위험 처리로 이동한다. 여기서, 조직은 위협, 취약성, 자산, 트라이앵글에 대한 계획된 처리법에 대한 정보를 제공하고, 예상되는 위험의 변화를 결정하기 위해 What-if 추정치를 사용한다. 조직은 현재 통제를 개선하거나 추가 통제를 추가하는 등 변경하기 위한 위험 관리 프로젝트 팀의 권장 사항에 대한 정보를 제공한다. 팀은 자신의 권장 사항이 얼마나 효과적이고 실현 가능한지 추정할 수 있는 분야를 가지고 있다. 또한, 팀은 권장 사항의 예상 비용을 지정할 수 있다. 이전에 다루었던 비용-편익 분석을 여기서 다룰 수 있다. 마지막으로, 경영진이 이러한 권장 사항의 일부 또는 전부를 구현하는 데 동의해야 하며, 팀은 실행 계획을 추적하고, 우선 순위를 지정하고, 통제 구현 또는 개선 사항을 모니터링하는 것에 대해 논의할 수 있다. 소프트웨어에는 전반적인 위험 관리, 프로젝트 진행 상황 및 다른 의사 결정자와 공유할 수 있는 보고서 검토를 위한 대시보드를 포함한 많은 추가 구성 요소가 있다.

[6주차] 총 테스트