ISO27001 정보보안 위험 평가 및 관리
27001은 앞서 밝혔듯이 시스템의 보안 수준의 적정성보다는 시스템 보안 프로세스의 적합성에 포커스를 맞춘다.
그리고 사후 심사 때는 이전에 미비되었던 사항들에 대한 정보보안 정도의 적정성을 평가한다.
그러면 정보보안의 기술을 어떻게 처리를 해야 프로세스의 적합성을 확보할 수 있으며 어떻게 해야 직면한 문제를 해결할 수 있을까?
위험 처리 전략
연수 내용에서는 이러한 문제를 처리하는 방법을 4가지로 구분한다.
위험 수용 : 위험수용이란 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수 없으므로, 일정 수준 이하의 위험은 어쩔 수 없는 것으로 인정하고 사업을 진행하는 것이다.
위험 수용 : 위험 감소란 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것이다. 대책의 채택 시에는 이에 따른 비용이 소요되기 때문에 이 비용과 실제 감소되는 위험의 크기를 비교하는 비용 효과 분석을 실시한다.
위험 회피 : 위험 회는 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다.
위험 전가 : 위험 전가란 보험이나 외주 등으로 잠재적 비용을 제 3자에게 이전하거나 할당하는 것이다.
위험관리 가이드-20041214 kisa 발췌
위의 내용은 사전적인 정의의 위험 처리 전략이다. 그러면 이걸 시스템에서 어떻게 적용할 수 있을까?
ISO27001에서는 해당 시스템을 요청>계획>조치>보고의 일련의 프로세스의 증적이 있는 것이 중요하다.
각 프로세스 단계별로 경영진까지의 결재를 받는 것도 포함된다.
사족 : 당연한 얘기지만.. 내가 너무 모르고 지금 회사가 이런걸 안하다보니 하나씩 같이 배워나가는 기분이다.
엔지니어의 역할로써 위험 처리 전략에서 가장 자주 접하게 될 것은 위험 감소 일것이다.
"취약점"이 있는 시스템에서 취약점을 제거하거나 취약점을 축소하는 역할을 할 수 있다.
해당 위에 내용을 내가 배운 내용을 갖고 시나리오를 작성해보자면..
위험 감소 처리 프로세스
A 회사의 시스템 서버 는 현재 1.6 버전이다. 그런데 며칠 전 1.6에 대한 새로운 CVE가 공고되었고 긴급하게 서버에 대한 조치를 취해야 하는 상황이다. 회사에서 보안 담당자는 해당 내용을 인지하고 작업 요청서를 제출하고 해당 내용을 결재를 받는다. 그리고 서버 업그레이드를 위한 조치 사항에 대한 계획서를 제출하고 해당 서버 사용자에 대해 서버 업그레이드 시간 사전 공고를 알린다. 그리고 해당 시간이 되면 조치를 취한다. 조치를 취하기전 이전 형상 이후 형상에 대한 자료를 확보한다. 해당 조치에 대한 보고서를 꾸민 후 경영진에 보고를 하고 해당 건을 마무리한다.