OCTAVE Allegro 위험 평가 방법론 연구 및 소개

  • 박준용 (동국대학교 국제정보대학원 홈네트워크보안 연구소) ;
  • 임대운 (동국대학교 공과대학 정보통신공학과)
  • Published : 2011.10.31

Abstract

카네기멜론 대학의 SEI(Software Engineering Institute)는 개인 의료 정보의 보안을 규정한 HIPP A(Health Insurance Portability and Accountability Act)의 조항을 미 국방부(DoD)가 제청하면서 직면하게 된 보안 준수의 난항을 해결하기 위해서 TATRC(Telemedicine and Advanced Technology Research Center)와 공동으로 자산 식별 및 정보보호 위험평가를 위한 방법론인 OCTAVE를 개발하였다. 이후 조직의 운영 과정에서 발생하는 위험의 내성을 높이기 위한 질적 위험평가 기준이 개발되었으며 이를 통해 조직의 중요한 자산 및 잠재적 위협과 취약점을 식별하는 위험평가 방법으로 발전하였고, 2005년에는 100명이하의 소규모 조직에 적합한 OCTAVE-S가 발표되었다. 오늘날 급변하고 있는 IT 환경에서 기존의 OCTAVE 보다 간소화되고 최적화된 위험평가 프로세스를 제공하기 위해서 2007년에 OCTAVE Allegro 프레임워크가 개발되었다. 본고에서는 기존의 OCTAVE 방법론의 주요 특정을 살펴보고, 정보자산 중심의 OCTAVE Allegro 위험 평가 방법론을 소개한다.

Keywords

References

  1. Richard A. Caralli and James F. Stevens, "Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process", Technical Report of CMU/SEl, pp.1 Introduction, May 2007
  2. NIST Special Publication 800-39, "Managing Information Security Risk", Organization, Mission, and Information System View, pp.10, May 2011
  3. 이재우, 박성준, 홍기융, 신수정, 김학범, "사이버 보안과 홈네트워크", pp.214-219, 2010년 11월
  4. 한남대학교, "통합시스템 보안성 평가체계 및 방법 연구", 부록 G.위험분석, 2006년 11월
  5. OCTAVE 홈페이지, http://www.cert.org/octave/
  6. Richard A. Caralli, and James F. Stevens, "Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process", pp.1, May 2007.
  7. OCTAVE 홈페이지, http://www.cert.org/octave/
  8. Christopher Alberts, Audrey Dorofee, "OCTAVE-s Implementation Guide, Version 1.0, 2.2 Overview of OCTAVE-s, pp.3-4, Jan. 2005.
  9. Christopher Alberts and Audrey Dorofee, "Managing Information Security Risks", The$OCTAVE^{SM}$ Approach, pp.12, Jun. 2003.
  10. Christopher Alberts and Audrey Dorofee, "OCTAVE-s Implementation Guide, Version l.0," pp.3, Jan. 2005
  11. Christopher Alberts and Audrey Dorofee, "OCTAVESM Method Implementation Guide Version 2.0, pp.11, Jun. 2001.
  12. Richard A. Caralli and James F. Stevens, "Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process", pp.14, May 2007
  13. Richard A. Caralli and James F. Stevens, "OCTAVE Allegro Guidebook, v1.0," pp.26-28, May 2007
  14. Richard A. Caralli and James F. Stevens, "Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process", pp.23-25, May 2007
  15. Richard A. Caralli and James F. Stevens, "Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process", pp.27-30, May 2007.