티스토리 뷰
보안 위험
보안시험에서 위험평가의 역할
보안 테스트 목표는 보안 위험에 기반합니다. 이러한 위험은 보안 위험 평가를 수행하여 확인됩니다.
위험은 잠재적인 환경이나 사건에 의해 기업이 위협받는 정도를 측정하는 것이며, 일반적으로 다음과 같은 기능이다.
상황이나 사건이 발생하면 발생할 수 있는 악영향과 발생 가능성입니다.
정보 보안 위험은 정보 또는 정보 시스템의 기밀성, 무결성 또는 가용성 상실로 인해 발생하며 조직 운영(즉, 임무, 기능, 이미지 또는 평판), 조직 자산, 개인, 기타 조직 및 국가에 미칠 수 있는 잠재적인 악영향을 반영하는 위험이다. [NIST 800-30]
보안 위험 평가의 역할은 조직이 어떤 영역과 자산이 위험에 처할 수 있는지 이해하고 각 위험의 크기를 결정할 수 있도록하는 것입니다. 보안 테스터의 경우 보안 위험 평가는 보안 테스트를 계획하고 설계할 수 있는 풍부한 정보원이 될 수 있다. 또한 보안 위험 평가를 사용하여 보안 테스트의 우선순위를 정할 수 있으므로 최고 수준의 테스트 엄격함과 커버리지가 위험 노출이 큰 영역에 집중될 수 있다.
보안 위험 평가에 기초한 보안 테스트의 우선순위를 정함으로써 테스트는 비즈니스 보안 목표와 일치하게 됩니다. 그러나 이러한 정렬이 이루어지기 위해서는 보안 위험 평가가 조직의 보안 위협, 영향을 받는 이해 관계자 및 보호 대상 자산을 정확하게 반영해야 합니다.
위험 평가(보안 또는 다른 경우)는 주어진 시점의 스냅샷일 뿐이며 잘못된 가정과 결론으로 이어질 수 있는 제한된 정보에 기초한다는 것을 이해하는 것이 중요하다. 새로운 위협이 매일 등장한 이후 조직 및 프로젝트 내에서 보안 위험은 지속적으로 변화합니다. 따라서 보안 위험 평가는 정기적으로 수행되어야 한다. 보안 위험 평가를 수행하기 위한 정확한 시간 간격은 조직 및 조직이 경험하는 변화 정도에 따라 다릅니다. 일부 조직은 3개월에서 6개월 단위로 보안 위험 평가를 수행하는 반면, 다른 조직은 연간 기준으로 보안 위험 평가를 수행한다.
위험 평가의 또 다른 문제는 참가자들의 지식 수준이다. 상세한 정보가 부족하여 위험을 놓칠 수 있습니다. 또한 보안 위협과 위험을 이해하지 못하면 위험을 놓칠 수 있습니다. 이러한 이유로 다양한 사람들에게 의견을 구하고 그들이 제공하는 정보에 포함된 세부 사항의 수준에주의를 기울이는 것이 좋습니다.
평가에서 중요한 보안 위험을 놓칠 수 있는 잘못된 가정이 이루어질 수 있다는 것은 현실적인 기대다. 누락되거나 불완전한 위험 정보의 가능성을 다루는 방법에는 확립된 보안 위험 평가 방법론을 체크리스트로 사용하고 여러 사람의 입력을 받는 것이 포함됩니다. 그러한 방법론 중 하나는 [NIST 800-30]에서 찾을 수 있다.
1.1.2 자산 식별
보안해야 할 모든 정보가 복사된 문서(계약, 계획, 필기 노트, 로그인 및 암호)와 같은 디지털 형식으로 되어 있는 것은 아니다. 디지털 형식은 아니지만, 이 정보는 높은 가치를 가질 수 있다. 따라서 어떤 정보가 디지털이고 어떤 정보가 아닌지 질문을 해야 한다. 아마도 보호받을 자산은 디지털 형식과 물리적 형식으로 모두 존재할 것이다. 확보할 자산을 식별할 때 다음 질문을 해야 합니다.
조직에 가치 있는 자산은 무엇인가?
고부가가치 민감 정보의 예로는 다음과 같은 것들이 있다.
- 고객 데이터
- 사업계획서
- 그 회사가 개발한 독점 소프트웨어
- 시스템 문서화
- 회사의 재산인 그림과 도표
- 지적 재산(예: 프로세스, 영업 비밀)
- 금융 스프레드시트
- 발표 및 훈련 과정
- 문서 이메일
- 직원 기록
- 세무제표
많은 자산이 정보 기반이지만 조직의 일부 자산은 물리적이거나 무형의 성격일 수 있습니다. 이러한 자산의 예로는 다음과 같은 것들이 있다.
- 개발 중인 신제품의 물리적 프로토타입
- 서비스를 제공하는 능력
- 회사의 명성과 신뢰
자산은 얼마나 가치가 있는가?
많은 민감한 자산들은 가시적인 가치를 가지고 있다. 다른 것들은 손실의 비용과 결과에서 더 많이 측정된다. 예를 들어 경쟁업체가 경쟁업체의 사업 계획을 어떻게 할 것인가?
가치는 확실하게 평가하기 어려울 수 있습니다. 그러나 디지털 자산의 가치를 결정하는 일부 방법은 다음과 같습니다.
- 자산에 의해 창출될 미래 수익
- 정보를 얻을 수 있는 경쟁자에게의 값
- 자산을 재창조하는 데 필요한 시간과 노력
- 예를 들어, 감사나 소송에 대해 필요할 때 정보를 생산할 수 없는 것에 대한 벌금과 벌칙
- 고객 데이터 손실에 대한 벌금 및 벌칙
- Total
- Today
- Yesterday
- 상승자리
- 2022고혼진최저가
- rhghswlszmfla
- 고혼진크림
- 고혼진
- 방아뚜기의 탄생 원인과 배경
- 한국정보인증
- 최저가구매
- rhghswls
- 방아뚜기 탄생
- 공인인증서폐지수혜주
- 한국전자인증
- 장대음봉
- 바닥탈출신호
- 방아뚜기 배경
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |