• International Journal of Computer Science & Network Security
• /
• 제21권8호
• /
• pp.119-126
• /
• 2021

The study develops methodological aspects for modeling the determining impact of modernization on the enterprise's economic security in development competitive conditions using the model of speed, stability and spaciousness of modernization. Modeling the determining impact of modernization on the enterprise's economic security in a competitive conditions involves: firstly, the formation of estimated modeling indicators in accordance with the speed, stability and spaciousness of the enterprise's modernization; secondly, establishing the weight of indicators in the assessment system using the tools of cognitive judgment; thirdly, the establishment of reference values of sound evaluation indicators; fourthly, the calculations of the integrated impact assessment of the modernization's determining impact modeling on the enterprise's ensuring economic security in a competitive conditions; fifthly, conducting calculations and analytical summarization of the results. To determine a comprehensive integrated indicator of the modernization changes impact on the competitiveness and economic security of enterprises, we use the correlation method of the calculated value with the reference value, as well as use weights for groups of calculations. Approbation of modeling of determining influence of modernization on maintenance of economic safety of the enterprise in competitive conditions of development by authors was carried out concerning such enterprises, as: JSC "Ukrzaliznytsia", SE "Ukraerorukh", SE IA "Boryspil", SE "Ukrposhta", KP "Kyivpastrans".

• 디지털융복합연구
• /
• 제1권1호
• /
• pp.69-91
• /
• 2003

The purpose of this paper is to provide several considerations to be taken into account when institutionalizing the information security(Infosec) pre-assessment. Infosec pre-assessment is a necessary process to embed the security requirements into the information systems at the early stages in their development, resulting in more cost-effective infosec. In order to provide some institutional issues, domestic infosec assessment schemes and U.S. Infosec certification and accreditation schemes are reviewed. Also, the current status of infosec implementation in the public information systems projects is analyzed. Based on the analyses, the seven suggestions are proposed in developing and performing the infosec pre-assessment scheme.

• International Journal of Computer Science & Network Security
• /
• 제22권11호
• /
• pp.229-235
• /
• 2022

This study aims to substantiate an interdisciplinary methodology for automated analysis and qualitative assessment of legislation and court decisions. The development of this kind of methodology will make it possible to fill a number of methodological gaps in various research areas, including law effectiveness assessment and legal monitoring. We have defined a methodology based on the interdisciplinary principles and tools. In general, it should be noted that even at the level of qualitative assessment made with the use of the methodology described above, the accumulation of knowledge about the relationship between legal objectives, indicators and computer methods of their identification can reduce the role of expert knowledge and subjective factor in the process of assessment, planning, forecasting and control over the state of legislation and law enforcement. Automation of intellectual processes becomes inevitable in a digital society, but, releasing experts from routine work, simultaneously reorients it to development of interdisciplinary methods and control over their application.

• 한국재난정보학회 논문집
• /
• 제11권2호
• /
• pp.263-267
• /
• 2015

본 연구는 국가 주요에너지 시설에 대한 보안진단결과를 분석하여 국가주요 에너지 시설의 보안향상방안을 제안하고자 한다. 대부분의 대상시설은 보안인력, 보안시스템, 울타리, 초소 등에 대한 외형적 보안요소는 적절하게 구축되어 있으나 이러한 보안요소 운용에 대한 인식수준 및 효율성은 낮은 것으로 분석되었다. 보안인력 수요산출의 불균형, 보안시스템 운용에 대한 기본지식 부족, CCTV 운용에 있어 과도한 Pan/Tilt/Zoom 기능 적용으로 인한 사각감시지역 발생, 카메라 위치의 부적절, 모니터 감시효율 저하, 그리고 자체 방호능력과 무관하게 작성된 보안계획서 등 미흡한 점이 있는 것으로 나타났다. 이러한 문제점을 보완하기 위해서 보안관리자의 전문성 제고가 우선되어야 하며, 선발 시 전문성 고려가 없기 때문에 보안관리자를 위한 전문 교육과정 신설이 필요하다. 그리고 보안업무 표준화를 통해 방호업무의 일관성을 유지하고 자체적인 보안진단의 기본 도구로 활용함으로써 보안수준을 향상시킬 수 있을 것으로 보인다.

• 한국재난관리표준학회지
• /
• 제1권1호
• /
• pp.63-67
• /
• 2008

본 연구는 위험성 분석 기법을 통해 화학 산업 시설에서 발생 가능한 화학 테러에 대한 원인 을 규명하고, 기존의 테러 대응 방법에 대한 분석 및 평가를 함으로써 효과적 대응 개선 방안을 마련하기 위 한 프로그램 개발이다 테러 위험성 평가 프로그램은 자산 분석(Asset Characterization), 위협 평가(Threat Assessment), 취약성 분석(Vulnerability Analysis), 위험성 평가(Risk Assessment), 대응책 제시(New Countermeasure)의 총 5단계의 순차적 알고리즘으로 구성되어 있다. 개발된 프로그램을 항만에 위치한 석유 저장 및 정제 공정에 적용하여 테러 위험성과 그 원인을 분석함으로써 위험성 평가 프로그램의 효용성과 신뢰성을 검증하였다. 화학 산업 시설에서의 보안 및 테러리즘에 대한 문제성 제기를 통해 그 해결책을 제시하고 테러의 취약점과 원인을 규명함으로써 테러나 재해(extreme event) 발생 시 효과적인 대응책 마련이나 대응 전략 수립에 기여하고자 개발된 프로그램이다.

• 정보보호학회논문지
• /
• 제22권1호
• /
• pp.155-167
• /
• 2012

클라우드 컴퓨팅 서비스는 이용자 요구에 실시간으로 유연하게 컴퓨팅 자원을 제공하고 사용량만큼 과금하는 고효율의 차세대 IT 서비스이다. 그러나 이용자는 데이터를 '위탁'하고, 인프라, 플랫폼, 어플리케이션 서비스를 '제공'받는 '위탁/제공'의 서비스 구조와 적용기술, 자원공유, 데이터센터 위치 등으로부터 비롯된 많은 위협에 직면해 있다. 클라우드 서비스 도입의 가장 큰 걸림돌로 작용하는 보안과 신뢰성을 담보하기 위해서는 객관적인 평가 기준이 필요하다. 지금까지 정보보호관리체계는 조직의 보안관리 및 IT 운영의 보안 지표로 활용되어 왔다. 그러나 클라우드 컴퓨팅 서비스는 기존의 조직 내 IT 환경과는 다른 관점의 보안관리와 평가기준이 필요하다. 본 논문에서는 클라우드 특성에 맞는 정보보호관리체계를 설계하기 위하여 클라우드 서비스의 핵심요소를 위협관리영역으로부터 도출하고 기본적인 보안관리가 누락되지 않도록 기존 정보보호관리체계의 모든 통제영역을 포함하고 있다. 또 온라인 셀프환경에 따른 서비스 이용을 지원하고 서비스 계약, 제공자 사업현황을 포함하는 서비스 보안관리를 추가하여 설계한다.

• 정보보호학회논문지
• /
• 제23권1호
• /
• pp.127-142
• /
• 2013

2011년 9월 개인정보보호법의 발효로 공공기관의 개인정보영향평가가 의무화됨에 따라 영향평가 전문인력의 수요가 증가할 것으로 예상된다. 하지만 국내에는 이에 특화된 전문자격이 존재하지 않아 현 시점에서는 불가피하게 유사자격 등의 기준으로 영향평가 전문인력을 인정하고 있는 상황이나, 향후 중장기적으로 볼 때 이는 영향평가 시장의 걸림돌로 작용할 것으로 예상된다. 이에 본 논문에서는 유사자격과 영향평가 자격체계와의 비교를 통해 개인정보영향평가 자격요건에 대한 유사자격의 충족 여부를 분석하여 유사자격 인정의 타당성 여부를 확인한다. 비교 결과 유사자격의 타당성이 낮다고 판단됨에 따라 새로운 전문자격 수립, 유사자격에 추가 시험 또는 교육 운영, 전문자격의 모듈화 운영 등의 자격기준 개선방안을 제시하였으며, 세 가지 개선방안은 개인정보영향평가 시장의 품질 향상에 기여할 것으로 기대한다.

• 융합보안논문지
• /
• 제19권1호
• /
• pp.103-110
• /
• 2019

최근의 보안 관련 공격들은 시스템의 취약점을 악용하는 공격보다는 시스템을 운영하는 사람을 목표로 하는 공격들이 다양하게 발생하고 있다. 그러나 현재 사람을 주요 공격 목표로 하는 사회공학 공격들의 위험도를 분석하여 전략적으로 대응하고자 하는 연구는 매우 부족한 현실이다. 본 논문에서는 사회공학 공격의 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표 측면에서 사회공학 공격들을 분석한다. 아울러 동일한 공격에 대해 조직의 특성과 환경에 따라 위험도는 다름을 반영하여 사회공학 공격 위험도와 함께 조직의 특성과 환경을 고려한 조직의 위험도를 평가한다. 뿐만 아니라, 일반적인 공격 위험도 평가 방법인 CVSS, CWSS, OWASP Risk Rating Methodology를 분석하여 사회공학 공격에 대한 조직의 위험도 평가 방안을 제안한다. 제안한 방법론은 조직의 환경 변화에 따라 조직에 적절한 사회공학 공격에 대한 조치를 취할 수 있도록 평가 유연성이 있다.

• 융합보안논문지
• /
• 제20권4호
• /
• pp.187-196
• /
• 2020

정보보호 위험평가를 위해 다양한 정보보호 수준 평가와 정보보호 관리체계 인증이 그 어느때보다도 대규모로 이루어지고 있다. 그러나 정보보호 수준평가 우수기업과 정보보호 관리체계 인증 우수기업에 대한 정보보호 침해 사례가 지속적으로 발생하고 있는 실정이다. 기존의 정보보호 위험평가 방법론은 사이버 위협이 어디로부터 유입되는지에 대한 검토와 각 유입경로 구간에 대한 보안장비들의 적절한 운영여부에 대한 검토 없이 정보시스템 내부의 정보자산들을 식별하여 위험도를 정성적으로 판단하여 분석하고 있는 실정이다. 현재의 위험평가 방안을 개선하기 위해서는 사이버 위협이 어디로부터 유입되는지 살펴보고 각 유입구간별 봉쇄수준을 향상시켜 불필요하게 유입되는 사이버 위협을 절대적으로 감소시킬 필요가 있다. 이와 더불어 현재의 위험평가 방법론에서 간과되고 있는 보안장비의 적절한 구성과 운영수준에 대한 측정과 향상이 반드시 필요하다. 사이버 위협의 출입구를 최대한 봉쇄하고 어쩔 수 없이 열려 있는 틈새를 통과해서 내부로 유입되는 사이버 위협을 각 보안장비를 동원하여 탐지하고 대응하는 것이 필요한 것이다. 이에 본 논문에서는 ISMS-P 인증항목과 주요정보통신기반시설 취약점 분석평가 항목에 사이버 위협에 대한 봉쇄수준을 평가할 수 있는 심사항목과 각 유입경로 구간에 대한 보안장비 구성 수준을 측정하는 심사항목을 추가 제안하고자 한다. 이를 통해 사이버 위협의 유입 자체를 감소시키고 사이버 침해사고의 가능성을 원천적으로 차단하는데 기여하고자 한다.

• 정보보호학회논문지
• /
• 제31권6호
• /
• pp.1261-1266
• /
• 2021

기존의 정보보호 위험평가 방법은 정보자산의 취약성을 평가하는데 중점을 둔다. 그러나 정보자산의 형태가 바뀌고 새로운 유형의 정보자산이 나오면 그에 대한 평가기준도 추가하거나 삭제하는 등의 보완을 거쳐야 하는 한계가 있다. 기존 방법들은 사이버 위협이 유입되는 경로에 연구가 미흡하다. 특히, 공인 IP를 가지고 있는 웹기반 정보시스템을 대상으로 유입되는 유입경로의 봉쇄를 위한 연구가 매우 부족한 상황이다. 이에 본 논문에서는 BDLA (Blockade and Defense Level Analysis) 기반 정보보호 위험평가 모델의 주요 연구내용을 소개 한다. 또한, BDLA기반 정보보호 위험평가 모델을 적용하여 17개 공공기관의 봉쇄수준과 보안장비 수준 측정을 통하여 정보보호 위험 수준을 연구하였다.