The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on Business Process Based Asset Evaluation Model and Methodology for Efficient Security Management over Telecommunication Networks

정보통신망의 효율적 보안관리를 위한 비즈니스 프로세스 기반의 자산평가모델 및 방법론에 관한 연구

  • 우병구 (국가보안기술연구소) ;
  • 이강수 (한남대학교 컴퓨터공학과) ;
  • 정태명 (성균관대학교 정보통신공학부)
  • Published : 2003.08.01
Download PDF
⟨ Previous Next ⟩

Abstract

It is essential suity management and standardized asset analysis for telecommunication networks, however existing risk analysis methods and tools are not enough to give shape of the method to evaluate value and asset. they only support asset classification schemes. Moreover, since the existing asset classification schemes are to evaluate comprehensive general risk, they are not appropriate for being applied telecommunication networks and they can´t offer any solutions to an evaluator´s subjectivity problem. In this paper, to solve these problems, we introduce the standardized definition of asset evaluation model new asset classification scheme, two-dimensional asset process classification scheme to consider business process and asset, various evaluation standards for quantitative value and qualitative evaluation. To settle an valuator´s subjectivity problem, we proposed $\beta$-distribution Delphi method.

정보통신망의 보안관리나 위험분석시 정형화된 자산분석ㆍ평가는 필수적이지만, 기존의 위험분석 방법론 및 도구에는 자산의 분규체계만 다수 제시되어 있을 뿐 구체적인 자산파악 및 가치평가방법은 알려져 있지 않다. 또한, 기존의 자산분류체계는 주로 정보자산이 아닌 일반적인 위험평가를 위한 것이므로, 정보통신망의 정보자산에 대한 분류체계 및 자산가치 평가방법으로는 부적합하다. 특히, 자산평가시의 평가자의 주관성 문제를 해결하는 구체적인 방법이 제시되어있지 못하다. 본 논문에서는 이러한 문제점들을 해결하기 위해, 정형화된 자산평가모델의 정의, 새로운 자산분류스키마, 업무처리(BP)와 자산을 고려한 2차원적 자산업무분류스키마, 다양한 정량가치와 정성가치의 평가방법을 제시하고 특히 무형자산 평가시의 평가자의 주관성 문제의 단점을 보완할 수 있는 베타분포형 델파이 방법은 제안하고자 한다.

Keywords

References

  1. NIST, 'A Introduction to Computer Security: The NIST Handbook,' pub., 800-12, 1991
  2. ISO/IEC TR 13335-1, 2, 3, IT 보안 개념 및 모델, 1996, IT 보안 관리 및 계획, 1997, IT 보안 관리 기법, 1998
  3. British Standards Institution(BSI), BS-7799, 1999
  4. R. Macmillan, Site Security Policy Development, http://www.auscert.org.au/Information/Auscert_info/Papers/Site_Security_Policy_Development.txt
  5. Alan Robiette, Developing an Information Security Policy, JISC Committee on Authentication and Security, February, 2001
  6. TTAS, '공공정보시스템 보안을 위한 위험분석 표준 - 개념과 모델', TTAS.KO-12.0007, 1998
  7. NIST, 'Risk Management Guide for Information Technology Systems,' NIST-SP-800-30, October, 2001
  8. Will Ozier, 'Risk Analysis and Assessment,' Information Security Management Handbookt-(4th Ed.), CRC Press, 2000
  9. CC, Common Criteria for Information Technology Security Evaluation, Version 2.1, CCIMB-99-031, August, 1999
  10. ISO/IEC PDTR 15446, 'Information technology-Security techniques-Guide for the production of protection profiles and security targets,' Draft, April, 2000
  11. ISO/IEC-9126 'IT-Software product evaluation-Quality characteristics and guidelines for their use, December, 1991
  12. ISO/IEC 14598, 'IT-Software product evaluation, Part 1, 1997, Part 5, 1997., Part 6, 1997
  13. D. Peeples, 'The Foundations of Risk Management,' 20'th NISSC, pp.577-602, May, 1997
  14. OCTAVE, 'OCATVE Criteria, Version 2.0,' Carnegie Mellon Software Engineering Institute, OCATVE Method Implementation Guide Version 2.0, OCTAVE, June, 2001
  15. 박순태, 보호프로파일 개발을 위한 위험분석, 정보보호뉴스, 정보보호뉴스, 2000.8 외 다수의 정보보호뉴스 수록자료
  16. 송관호(외), '정보시스템 보안을 위한 위험분석 소프트웨어 개발', 한국전산원 연구보고서, 1997
  17. CSE, 'A Guide to Security Risk Management for IT Systems,' Government of Canada, Communications Security Establishment(CSE),' 1996
  18. 김정덕(외), '위험 분석 도구 기초기술 개발에 관한 연구', ETRI 연구보고서, 2001
  19. CRAMM, 'A Practitioner's View of CRAMM.'
  20. A. Pagnoni, Project Engineering Computer oriented Planning and Operational Decision Making, Springer-Verlag, 1990
  21. W. Royce, 'Software Project Management-Unified Framework,' Addison Wesley, 1998
  22. 이광형, 오길록, Fuzzy이론 및 응용, 홍릉과학출판사, 1991
  23. B. Boehm, 'Software Engineering Economics,' PrenticeHall, 1981