회사에 어떤 종류의 사이버 위험이 숨어 있는지 정확하게 파악할 수 없다면 사이버 공격으로부터 자신을 보호 할 수 없습니다. Sun Tzu의 군사 기술은 "당신이 그를 알고 자신을 알고 있다면, 당신은 거의 어느 누구도 싸우지 않을 것입니다."
따라서 이번에는 자신을 알 수있는 방법으로 "위험 평가"를 소개합니다.
■ 먼저 "자산"식별
자산과 관련하여 현금과 부동산은 일반적인 해석이지만 사이버 보안 세계의 자산은 "IT 장비"및 "정보 (데이터)입니다.
우리는 일반적으로 정보를 말하지만 개인 정보 또는 기밀 제품 정보에 관계없이 광범위한 정보가 있으며 단일 회사 내에서 엄청난 양의 정보를 처리합니다.
자산 식별 자산은 어디에, 어떤 경로, 어떤 정보, 얼마, 얼마나 오래 지속되는지 이해하는 것을 의미합니다. 예를 들어, 고객이 웹 사이트에서 회원으로 등록하는 작업이있는 경우 그림 1과 같이 생각해야합니다.
■ 다음, "위험"식별
위험을 식별한다는 것은 정보가 변조되거나 도난당하는 등 자산이 식별 될 위험이 있는지 여부를 이해하는 것을 의미합니다. 현재 공격뿐만 아니라 악의적이든 아니든 장비 고장 또는 운영 오류와 같은 자산에 부정적인 영향을 줄 수있는 위험을 식별하는 것이 중요합니다.
■ 충격 레벨 X 발생 확률
정보 기술 프로모션 대행사 (IPA) "정보 보안 관리 및 PDCA 사이클"
(https : //www.ipa.go.jp/security/manager/protect/pdca/risk.html)
다음, 자산의 영향과 위험의 가능성은 해당 자산에 대한 자산의 가능성을 고려할 것입니다. 영향의 정도는 자산의 가치로 다시 제작 될 수 있으며 주로 크고 중간 및 소규모와 같은 3 점 척도로 평가됩니다. 보호되어야하는 자산의 가치를 명확히하기 위해서는 모든 자산을 "큰 중요성"으로 균일하게 평가하지 않는 것이 중요합니다.
위험이 발생할 가능성은 식별 된 자산이 저장되는 위치에 크게 영향을 받고 인터넷 연결이있는 서버는 위험을 경험할 가능성이 더 높습니다. 자산의 영향을 위험을 생성 할 가능성과 결합하여 위험 평가도 가능합니다. 이 평가를 바탕으로 식별 된 위험을 해결하기위한 정책을 결정할 수 있습니다. 적용 할 응답 정책은 그림 2를 사용하여 결정됩니다.
네 가지 범주의 의미는 다음과 같습니다 (1) ~ (4) :
- (1) 위험 회피
위험 요소를 제거하기 위해 불필요한 자산 파괴
예) 불필요한 비즈니스 정보의 삭제, 노화를 버리는 자산 - (2) 위험 감소
발생 가능성을 줄이기위한 사이버 보안 조치
예제) 보안 제품 소개, 교육 담당자 - (3) 위험 이전
다른 사람에게 발생할 때 일부 위험을 전송
예) 사이버 보험 계약, 개인 정보 관리 아웃소싱 - (4) 위험 보류
활성 조치가 구현되지 않음
예) 위험이 발생할 때 위험을 다루는 방법을 결정하고 훈련합니다
사이버 보안 조치를 효과적으로 구현하기 위해 여기에 도입 된 "위험 평가"를 구현하려는 노력에 감사드립니다.