5. 위험평가 2004.10 신수정.

Slides:



Advertisements
Similar presentations
2016 년도 1 학기 정보보호관리체계 (ISMS) 인증 이 강 신
Advertisements

1 Lect. 2 : Introduction II Are you ready to begin?
Lakeside SysTrack 소개 기 명종 Login VSI 한국 대표 Lakeside Software SysTrack 국내 공급 Tel:
Certified Management Accountant [ 국제공인 관리회계사 ] ( 토 ) ~ ( 토 ) 년 제 6 기.
전국 통합대중교통체계 구축 중간연구 발표 행정부문: 대중교통 통합행정 및 관리 방안 모 창 환 실장 교통행정법제연구실.
제 56 차 미국 생물안전 프리컨퍼런스 참석 결과 교육기간 : ~10.20.
The Risk Management System 이 정 철 이 정 철. 목 차  INTORDUCTION  DEVELOPING A RISK MANAGEMENT FRAMEWORK  RISK IDENTIFICATION.
마이크로소프트 프리미어 지원 라이선스 (소개자료).
3차원 입체영상 pc방 사업제안서 2005.
사업관리 제안범위 End User Computing 재무관리 범위관리 계약관리 품질관리 의사소통관리 자원관리 위험관리 일정관리
Capstone Design - Concept & Management
Chapter 2 정보시스템 아키텍처 (IS Architecture)
Mar OSEK/VDK Woo Dong Kyun.
신수정 정보보호관리체계 수립 방법 신수정
마이다스 액티브 주식형 펀드 August 2007 마이다스에셋자산운용㈜ 마이다스 준법감시인 심사필 제 호
4. ITIL 개요 * ICT : Information & Communication Technology
영업연속성관리 준비 방법론 - BS 표준과 그 활용을 중심으로 –
핵심 인재 육성 전략 2006년 4월 우 하영.
ISO 9000 : 2000 설명회 <목차> 1) ISO 9000 패밀리 개정에 관하여 2) 개정판의 특징
ISO / KS A 9001:2000 전환을 위한 지침.
안전보건 교육 선진안전경영체제 구축.
1. 정보보호 관리체계(ISMS) 이해.
KOSHA 인증제도 안내.
한국 IBM Tivoli 사업부 박형근 과장 (CISA, CISSP)
KAI 장학생 모집 요강 선발개요 선발일정 지원내역 문 의 처
12. 데이터베이스 설계.
OWASP Mobile TOP 10 학번 : 이름 : 공 우 진 발표일 :
[2008년 상반기 신입사원 입문 교육] 비즈니스 프로세스 관리 기술지원센터 기술기획팀.
ISO 실무교육 교재.
10장 비상계획 신수정.
HDD 보안장치 소개 ㈜ 세 코 원
Open Access 정보자원의 장기보존 전략
무선인터넷 보안기술 컴퓨터공학부 조한별.
ISO 9001:2000 프로세스 접근방법의 이해와 적용 베스트경영컨설팅(BMC).
ISO/TS 품질경영시스템
- Make Processes Manageable -
BPR 추진전략 및 사례 1.
Network Management 김대환 김태훈 김숙흔 이근민.
품질경영(ISO/FDIS 9001:2008) 개정규격 핵심내용 설명
12장 기술 아키텍쳐 신수정.
바스프 안전 프로그램 소개 Safety First ! You First ! 한국바스프㈜ 울산화성공장 품질환경안전팀 팀장 전성국
기업의 보안 아키텍쳐 수립 및 인증대비 중심의 컨설팅 방안
제 1 장 소 개 시스템 분석 및 설계 허철회 2006학년도 2학기 상주대학교 컴퓨터공학과.
3. 위험관리.
1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS
제11장 정보전략계획과 정보시스템계획.
ERP 시스템의 구축 ERP 시스템의 구축 기업이 ERP 시스템의 도입을 검토하는 단계에서부터 실제 업무에 적용하고 사후관리에 들어가는 단계에 이르기까지 시스템을 효과적으로 사용하기 위해 필요한 모든 활동.
9장 아웃소싱 보안구조 신수정.
SK Telecom 2002 온라인광고 운영사례
서론 Introduction.. 동아대학교 산업경영공학과 윤 훈 용.
소프트웨어 형상관리: 목차 변경 및 형상관리의 기초 개념 형상항목 확인 및 버전관리 변경관리 감사 및 감사보고 99_11
제 5 장 ISO 9000 개요 및 QMS의 확립 및 활용 ISO 9000 개요 및 QMS 확립 및 활용방법.
현금흐름 분석 중심의 여신 심사 및 사후관리.
A Case Study of Innovation : Gunfire at sea by Elting Morison.
2. 고객(시장)의 요구변화 및 이슈-(3) 정보유출위협에 대한 대응
10장 OSI 7 Layer 강원도립대학교 정보통신개론.
디지털콘텐츠 개발 사업계획서 작성방법 (성공적 투자유치전략)
PI 추진 시 Change Agent의 역할.
제19장 호텔의 안전관리 제 3부 호텔 업무지원부문의 경영관리 1절 호텔 안전관리의 의의 2절 안전사고의 관리과정
16장 보안테스트 및 평가 신수정.
ISO규격에의 대응과 도입 Know-how ㈜드림힐
전략적 경영관리.
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
생산성 Level-Up을 위한 변화관리와 문제해결 실무 본 과정은 체계적인 변화관리와 문제 해결 방법론을 기반으로
1. 데이터베이스 환경.
PMBOK 9개 지식 영역 프로세스 요약 통합 범위 일정 원가 품질 인적자원 의사소통 위험 조달
HackersLab, Consulting Team
6장 정보분류 신수정.
현장학습후기 Present Date 화공생명공학과 김완수 한국플랜트 산업협회 안녕하십니까
7/25/2019 경계선 방어 기술 공급원 May
Presentation transcript:

5. 위험평가 2004.10 신수정

Reference Information Security Architecture – Tudor 4장 Risk Management Guide for Information Technology Systems – NIST SP 800-30 Guide for Developing Security Plans for Information Technology Systems – NIST SP 800-18 ISO 13335 BS7799 Part 1,2 기타 신수정의 내부 자료 - 더 자세한 내용은 ‘보안관리’(이재우교수님) 수업에서 공부하시길…

1. Introduction 위험평가 People 보안전략/조직 정책/정보분류 보안기술 아키텍쳐 Process Data Application User System Network Physical Data Application User System Network Physical Process Technology 기밀성 무결성 가용성 Identification Authentication Authorization Administration Audit 보안관리 아키텍쳐 모니터링 사고대응 사업연속 인력보안 보안교육 외주보안 Validation/Audit/Measure/Certification Enterprise Architecture & IT Planning

2. 기본 Concept Risk=f(value of Assets, likelihood of Threats, ease of exploitation of the Vulnerabilities by the threat , Existing Safeguard) Risk Management Risk Identification Risk Analysis(qualitative, quantitative) Risk Response planning Risk monitoring and control Risk Assessment Impact Likelihood/Probability Risk Assessment

2. 기본 Concept exploit Threat Threat(위협) Vulnerabilities Assets Control covers threat Threat circumvents control Unreliable over threat (safeguard) Vulnera-bility Threat(위협) Vulnerabilities (취약성) Assets expose Increase Protect against(방어) Increase Safeguard (보안대책) Risk have Indicate Increase Met by Protection Requirement Values

3. 위험관리 절차 Risk Analysis No Yes Establishment of Review Boundary 3. 위험관리 절차 Establishment of Review Boundary Risk Analysis Identification of Assets Valuation of assets and Establishment of dependencies between assets Threat Assessment Identification of existing/planned safeguard Assessment of Vulnerabilities Assessment of Risks Selection of safeguards Identification Review of constraints Risk Acceptance No Yes IT System security policy ISO: Risk Management involving Detailed risk analysis IT security plan

3. 위험관리 절차 NIST

4. 위험평가 기법 – 자산 조사 및 가치 부여 Asset are anything of value… 4. 위험평가 기법 – 자산 조사 및 가치 부여 Asset are anything of value… Within the review boundary physical Assets logical Data/information software System SW Application SW personnel hardware facilities documentation supplies Mainframe,minis, micro Peripherals, online/offline Storage media

4. 위험평가 기법 – 위협 및 빈도 조사 Threat source – target - likelihood 4. 위험평가 기법 – 위협 및 빈도 조사 A threat The potential for a threat-source(natural, human, environmental) to exercise a specific vulnerability some action or event that can lead to a loss. Possible source of harm for the IT system Threat source – target - likelihood Assess the Likelihood

4. 위험평가 기법 – 위협 및 빈도 조사

4. 위험평가 기법 – 취약성 분석 Vulnerability 4. 위험평가 기법 – 취약성 분석 Vulnerability Weakness which allow a threat to occur Vulnerability in itself does not cause harm 취약성 점검 방법 체크리스트: NIST, BS7799 Control 등 시스템 보안 테스팅: 자동화툴, 보안테스트, 침투테스트

4. 위험평가 기법 – 취약성 분석 위협-취약성 연계

4. 위험평가 기법 – 위험 계산 Risk=f(value of Assets, likelihood of Threats, ease of exploitation of the Vulnerabilities by the threat , Existing Safeguard)

4. 위험평가 기법 – 위험 계산 Level of threat Low Medium High Level of vul. L M H 4. 위험평가 기법 – 위험 계산 Level of threat Low Medium High Level of vul. L M H L M H L M H Asset Value L M H

Techniques for Risk response planning 5. 위험 대응(완화) 정책 Techniques for Risk response planning Avoidance: changing the situation(ex. Plan) to eliminate the risk or condition. Transference:seeking to shift the consequence of a risk to a third party together with ownership of the response Mitigation: seeking to reduce the probability or/and consequences of adverse risk event to an acceptable threshold. Acceptance: ‘contingency plan’(active) or ‘no action’(passive)

5. 위험 대응(완화) 정책

5. 위험 대응(완화) 정책 Controls Technical Management Operation Residual Risk

6. 정보보호 대책이행 계획

7. Case Study 조별로 1개의 시스템에 대해서 위험평가 및 보안계획 수립 SP 800-18, SP 800-30 Reading