티스토리 뷰
리스크 식별과 다양한 경감 방법
충격
위협 사건으로 인한 영향 수준은 무단 정보 공개, 무단 정보 수정, 무단 정보 파괴 또는 정보 또는 정보 시스템 가용성 상실의 결과로부터 발생할 수 있는 피해의 크기다. 그러한 해악은 다음을 포함한 다양한 조직 및 비 조직 이해 관계자가 경험할 수 있습니다.
기관장
- 선교 및 사업주
- 정보 소유자/스튜어드
- 미션/비즈니스 프로세스 소유자
- 정보 시스템 소유자
- 조직에 의존하는 공공 또는 민간 부문의 개인/그룹 - 본질적으로 조직의 운영, 자산 또는 개인에 기득권을 가진 사람, 조직과 제휴하는 다른 조직 또는 국가를 포함한 사람
조직에서 다음 정보를 명시 적으로 문서화해야 합니다.
- 충격 결정을 수행하는 데 사용되는 프로세스
- 영향 결정과 관련된 가정
- 충격 정보 획득을 위한 소스 및 방법
- 영향결정에 대한 결론의 근거
조직은 확립된 우선 순위와 가치가 고부가가치 자산의 식별과 조직 이해 관계자에게 미칠 수 있는 잠재적인 악영향을 어떻게 안내하는지 명시적으로 정의할 수 있습니다. 그러한 정보가 정의되지 않으면 위협 소스 및 관련 조직 영향의 대상을 식별하는 것과 관련된 우선 순위 및 가치는 일반적으로 전략적 계획 및 정책에서 도출 될 수 있습니다. 예를 들어, 보안 분류 수준은 다른 유형의 정보를 손상시키는 조직적 영향을 나타냅니다.
호감도
발생 가능성은 예상할 수 있는 피해의 크기에 관계없이 위협 사건이 악영향을 초래할 확률(또는 가능성)을 다룬다. 이것은 주어진 위협이 주어진 취약성(또는 취약성 집합)을 이용할 수 있다는 확률의 분석에 기초한 가중 위험 요소다. 가능성 위험 요소는 위협 이벤트가 시작될 가능성에 대한 추정치와 영향 가능성의 추정치를 결합한다(즉, 위협 이벤트가 악영향을 초래할 가능성).
적대 위협의 경우, 발생 가능성에 대한 평가는 일반적으로 다음을 기반으로 합니다.
- 적의
- 적의 능력
- 적의 표적
적대 위협 사건 이외의 경우, 발생 가능성은 역사적 증거, 경험적 데이터 또는 기타 요인을 사용하여 추정됩니다. 위협 이벤트가 시작되거나 발생할 가능성은 특정 시간 프레임(예: 다음 6개월, 다음 해 또는 지정된 이정표에 도달할 때까지의 기간)에 대해 평가된다는 점에 유의한다.
위협 이벤트가 (특정 또는 암시적) 시간 프레임에서 시작되거나 발생할 것이 거의 확실하다면, 위험 평가는 이벤트의 추정 빈도를 고려할 수 있다. 위협 발생의 가능성은 조직의 상태(예: 핵심/비즈니스 프로세스, 엔터프라이즈 아키텍처, 정보 보안 아키텍처, 정보 시스템 및 해당 시스템이 작동하는 환경 포함)에 기초할 수도 있다. 무단/불가능한 행동으로부터 보호하고, 피해를 탐지하고 제한하며, 임무/사업 능력을 유지하거나 회복하기 위해 배치된 보안 통제의 조건과 실효성을 고려해야 한다.
보안 위험 수준 결정
발생 평가의 가능성과 영향 평가를 결합하여 위험에 대한 모든 심각도를 계산할 수 있습니다. 특정 평가 점수는 완료 위험 행렬의 기초로 사용될 수 있다. 다른 경우에는 추정치(낮은, 중간 또는 높은)를 사용할 수 있다.
위험 행렬에 대한 채점은 0 - 9의 척도를 기반으로할 수 있으며, 여기서 숫자 값은 특정 기준에 의해 결정됩니다. 예를 들어, 위험 가능성 기준은 데이터 프라이버시에 대해 평가할 수 있다.
0 - 3 (낮은) 개인 데이터는 로컬 장치에 저장되지 않으며 보안 미디어에 저장될 때 암호화된다.3 - 6 (중간) 개인 데이터는 노트북 컴퓨터와 같은 장치에 상주할 수 있지만 암호화된다.6 - 9 (높은) 개인 데이터가 로컬 장치에 상주하는지는 정확히 알려지지 않았다. 암호화를 확인할 수 없습니다.
마찬가지로 위험 영향 기준은 특정 기준에 따라 동일한 0 - 9 척도로 평가할 수 있습니다. 예:0 - 3 (낮은) 개인 데이터의 타협은 200명 미만의 사람들에게 영향을 미칠 것이다.3 - 6 (중간) 개인 데이터의 타협은 200명에서 1,000명 사이의 사람들에게 영향을 미칠 것이다.6 - 9 (높은) 개인 데이터의 타협은 1,000명 이상의 사람들에게 영향을 미칠 것이다.
그러나 테스터는 가능성과 영향 추정치에 도달하며, 추정치는 위험 항목에 대한 최종 심각도 등급으로 결합될 수 있다.비즈니스 영향 정보가 좋은 경우, 기술 영향 정보 대신 사용해야 합니다.
- Total
- Today
- Yesterday
- 고혼진크림
- 최저가구매
- 상승자리
- 공인인증서폐지수혜주
- 바닥탈출신호
- 2022고혼진최저가
- 한국전자인증
- 방아뚜기 탄생
- 방아뚜기의 탄생 원인과 배경
- 고혼진
- 장대음봉
- rhghswlszmfla
- rhghswls
- 한국정보인증
- 방아뚜기 배경
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |