'전체 글'에 해당되는 글 1425건

  1. 2006.03.29 정보보호컨설팅 방법론-인포섹
  2. 2006.03.29 정보보호컨설팅 방법론-안랩 1

인포섹은 고객사가 궁극적으로 추진하고자 하는 비즈니스 비젼과 정보시스템 인프라 구축 전략에 적합한
최적의 정보보안 컨설팅을 제공하고자 고객의 상황을 고려한 다양한 컨설팅 서비스를 제공하며,
정보보안 컨설팅을 통해 기업의 정보시스템에 대한 비밀성, 무결성, 가용성을 적정수준 이상으로
구현할 수 있도록 통합된 정보보안 체계를 구축하여 체계적이고 효율적으로 보안관리를 수행할 수 있도록
합니다.



인포섹의 "전사 보안 체계 컨설팅 방법론(Infosec Security Consulting Methodology : ISCM)"은 미국의 ALC의 위험평가방법론, ISO, BS7799 의 보안관리체계, 국내 정부/감독기관의 관리체계 등을 수용한 체계적인 보안컨설팅 방법론을 기초로, 다양한 보안 프로젝트 수행을 통해 축적된 경험과 지식이 반영된 인포섹㈜ 고유의 정보보호컨설팅 방법론입니다.



보안컨설팅 수행절차에 따른 활동의 결과로서 각 단계별 주요 산출물은 다음과 같습니다.
(* 컨설팅 수행범위에 따라 각 단계별 산출물은 달라질 수 있음.)

단 계

주요 산출물

설 명

프로젝트 준비

- 세부 추진 계획서

- 컨설팅 세부 일정, 작업요소 및 주요 담당자 정의

IT보안환경 및
요구분석

- 업무환경 및 요구사항
분석서

- 조직의 특성 및 업무환경 정보보안 설계의
  요구사항과 설계에 반영될 요소들을 정리

취약성 분석 및
위험평가

- 취약성 분석 및 수준평가
  보고서
- 모의해킹 보고서
- 위험평가 보고서

- 조직의 보안수준을 관리적, 물리적, 기술적
  영역에서 분석 및 평가
- 네트웍, 시스템, 어플리케이션, 데이터베이스 등
  시스템 전반에 대한 위험정도를 설문/인터뷰 조사,   Scanning 도구 및 실제 침입시험을 통해 분석
- A기업 정보시스템의 자산분석, 위협분석, 취약성   분석을 통하여 위험수준을 평가

중간보고

- 중간보고서

- 현황평가, 취약성 분석 및 위험평가 단계에서의
  평가 결과를 설명

전사 보안
체계 수립

- 정보보안 체계 설계서
- 정보보안 지침서

- 관리적, 물리적, 기술적 영역별 보안 체계 제시
- 관리적, 물리적, 기술적 영역별로 준수해야 할
  구체적인 보안 정책 및 지침을 정의

보안 솔루션
선정

- 이행계획서
  (Master Plan)

- 보안 솔루션별로 요구되는 기능과 선정시 고려
  해야 할 사항들을 정의

이행계획 수립

- 태스크 내용, 목적, 세부작업 및 진행계획, 예상
  기간, 비용 등 정보보안 구축 계획을 제시

완료보고

- 최종 보고서

- 전사 보안 체계 및 중,장기 이행 계획 수립에 대한    컨설팅 결과 설명



· 실무자와의 실무적/기술적 문제해결의 한계
· 경영층의 관심유도 미팅, 세미나의 강화
· 위험에 대한 인식 강화
· 조직의 구성 정당성 강화



· 보안실무에 있어서 제품개발자의 Approach가 아닌
System Administrator로서의 Approach
· 공격자 만큼 방어자/관리자의 역할 부각
· 보안이론이 아닌 실무보안관리



· 이행권고가 아닌 이행 template의 제시(관리, 기술 모두)
· 보안제품설계 뿐 아니라 보안이행구조설계



· 결국 대상 조직의 자체 이행, 유지보수 가능케 지원
· 세부분야는 지속적인 지원, 유지보수



· 고정적인 방법론 체계에 묶이지 않고 확장가능성 유지



http://www.skinfosec.co.kr/service/consulting.htm








'Security Consulting' 카테고리의 다른 글

Security Checklists..  (0) 2006.04.25
정보보호기술분류체계표  (0) 2006.03.29
컨설팅 방법론 -퓨쳐시스템  (0) 2006.03.29
에이쓰리시큐리티 컨설팅 자료  (0) 2006.03.29
정보보호컨설팅 방법론-안랩  (1) 2006.03.29
,

안철수연구소 특유의 정보보호컨설팅 수행을 위한 방법론 ASEM(AhnLab Security Engineering Methodology)은 과학적이며 체계적인 기법을 이용하여 기업이나 조직의 위험을 분석하고 대책을 수립하는 방법을 제시합니다.

본 방법론은 [계획수립-위험분석-대책수립-구현관리]의 4단계의 과정에서는 각 단계마다 실제 컨설팅 수행을 위해 사용될 수 있는 프로세스와 표준 템플릿이 제시되며, 마지막 5단계의 [마스터 플랜 및 프로젝트 관리]에 이르기까지 단계별 하부 프로세스가 존재합니다.
IT현황분석
   대상 정보 시스템의 전반적인 현황 분석

요구분석
   고객의 보안 요구 사항과 요구 수준을 분석

조직구성
   컨설팅을 위한 추진 조직과 컨설팅 수행 조직을
   확정

범위조정
   최종적인 수행 범위를 조정하고 확정

사업 수행계획서
- 프로젝트 수행 목적
- 수행방안 및 범위
- 프로젝트 수행계획과 관리방안
- 품질보증 계획

프로젝트 팀 구성도

프로젝트 관리 체계

보호수준 평가
   기업의 전반적인 보안 수준을 설문조사를 통해
   평가

자산분석
   사업 및 업무 지원을 위한 응용시스템과 연관
   시스템을 조사하고 중요도를 산정함으로써
   취약점 분석 대상 선정 및 정보시스템 등급에
   따른 보호수준 결정에 활용

위협분석
   사업 및 업무 지원을 위한 정보시스템에
   미칠 수 있는 위협을 식별하고 이에 대한 발생
   가능성과발생시 피해 정도를 산정하여 위협을
   최소화 할 수 있는 위협대응 시나리오 도출

취약점 분석
   자산분석을 통해서 선정된 자산을 7개의 Sub
   Process를 이용하여 소프트웨어, 서버, 네트워
   크, PC의 물리적/관리적 취약점 분석, 제거,
   개선할 수 있는 대책 제시

위험평가
   자산 분석을 통해 도출된 중요도와 정보시스템
   취약점 분석을 통해 산출된 취약도를 종합하여
   위험도를 산출하며위험 수용치에 기준으로
   대책수립 및 우선순위결정에 활용

보안수준 평가 보고서
- 관리자 및 경영진, 운영자 면담 및
   설문을 통한 보안수준 평가

GAP 분석 보고서

정보자산 분석 보고서

정보자산리스트
- 비즈니스에 따른 정보자산의 중요도
   분석 (무결성, 기밀성, 가용성)
- 정보자산 중요도 분석 리스트

위험분석 보고서
- 보호관리 취약점 분석 보고서
- 서버 보안 진단 보고서
- 네트워크 보안 진단 보고서
- 어플리케이션 보안 진단 보고서
- 정보보호시스템 진단 보고서
- 위험 평가 보고서

보호 전략 수립
   정보보호의 비젼을 제시하고 정보보호의 목표
   를 수립하며 정보보호 목표를 달성하기 위한
   정보보호 전략 수립

보호 체계 수립
   기업이나 조직의 업무나 사업을 안전하게 유지
   하고 위험을 최소화하기위해 만들어진 외형적
   구조, 정보보호를 위한 프로세스의 조합인 정보
   보호체계를 수립

세부 대책 도출
   도출된 대책들을 수행하거나 구축하는데 필요
   한 조직, 인력, 기술적용가능성, 타당성, 기대
   효과, 도입 및 구현비용 등의 세부 요건들을
   도출하고 이에 필요한 총비용 분석

추진 계획 수립
   세부 대책 수행을 위한 실행전략과 추진일정
   계획을정보보호전략 및 보호대책의 우선 순위
   에 근거하여 수립

정보보호 대책수립 보고서
- 정보보호전략 수립
- 정보보호체계 수립

마스터 플랜
- 추진 전략
- 비용 분석
- 기술 적용 가능성 분석
- 요구 솔루션 비교분석
- 수행 우선 순위 평가
- 기대 효과 분석
- 단기, 중기, 장기 계획
- 일회성, 주기성 대책 수행 계획
- 단기 계획에 대한 세부 일정
- 중장기 계획에 대한 추진 일정
- 보안 솔루션 도입 일정 계획
- 외부 전문 기관 협력 계획

정책수립
   기존 보안 정책/지침의 검토와 함께 이행여부
   를 점검하여 현재 운영 상황에 맞는 정보보호
   정책을 수립하고 검토 및 수정, 승인을 과정을
   통해 정보보호정책을 확정

솔루션 구현
   도출된 대책들에 대한 비용, 기술, 조직 등의
   타당성 분석

교육
   대책수립 과정에서 도출된 기술적 대책의 요구
   조건을 수용하는 정보보호솔루션을 도입하여
   정보시스템 인프라에 최적화될 수 있도록 검증
   및 테스트 과정을 거쳐 구현

점검
   수립된 정보보호 정책 및 구현된 정보보호 솔루
   션에 대한 전반적인 교육을 실시하고 필요 시
   실무자를 대상으로 전문적인 교육 수행

정책/지침
- 정보보안정책
- 정보보안조직운영지침
- 보안문서 관리 지침
- 인사보안지침
- 보안감사지침
- 정보자산분류지침
- 출입통제지침
- 클라이언트보안지침
- 재해복구지침
- 침해사고대응지침
- 서버보안지침
- 응용프로그램보안지침
- 네트워크보안지침
- 개발보안지침

정보보호솔루션 구현 보고서

정보보호 교육 수행 보고서

보안감사 보고서

ASEM은 [그림]에서와 같은 5가지 항목의 수행을 통해 결과를 도출합니다.

조직(기업)의 핵심사업 및 업무를 지원하는 응용시스템을 가장 우선적으로 분석 평가하고 이에 연관된 정보인프라의 위험을 분석함으로써 핵심사업의 안전성과 신뢰성을 위한 정보보호 대책을 제시한다.

Plan(계획), Do(수행), See(점검), Control(통제) 측면에 대한 분석·평가를 수행함으로써 정확하고 세밀하게 현황을 파악하고 최적의 정보보호 대책을 도출한다.
ManagementWhat(Noun)Do(Verb)
PlanPolicy,
Procedures
있는가?,
명문화되었는가?
DoEducation,
Perfomance
시행(수행,실시)되었는가?,
어느정도 수행되었는가?
SeeReview,
Authurization,
Report
검토(시험, 조사, 분석) 되었는가?
승인되었는가?
보고되었는가?
ControlDecision Making
Control (feedback)
Control (feedforward)
의사결정이 이루어졌는가?
반영되었는가?

각각의 프로세스를 모듈화 함으로써 다양한 환경에 대한 적용성이 뛰어나고 기업환경에 적합한 정보보호컨설팅 수행이 가능, 투자 대비 효과의 극대화


정보보호모델에 의해 보안수준과 보안수행목표를 설정하고 보안수행이 기업이나 조직의 사업목표나 전략수행에 미치는 기여도 측정지표(KPI)를 제시


기업이나 조직에 미칠 수 있는 위협에 대한 식별과 이에 대한 5단계의 대응 시나리오에 의해 도출된 정보보호대책을 검증함으로써 최적의 정보보호대책을 제시
출처:http://b2b.ahnlab.com/consulting/consulting_method.html
,