사이버 정보 자산의 분류 및 정량적 중요도 산출에 최적화된 지표 설계 Structure of indicators optimized for classification and quantitative importance calculation of cyber information assets원문보기
최근 국내·외 각 기업이나 기관들은 점점 지능적이고 지속적으로 발생하는 사이버 공격들, 예를 들어 DDoS(DRDoS), APT 공격 등으로 인해 작게는 조직, 크게는 국가의 정상적인 운영에 문제가 되는 것을 우려하고 있다.
이러한 사이버공격은 대게 조직의 정보를 가로채고 유출시키는 등의 행위를 수행하며, 특히 조직에 큰 피해를 입히기 위한 것을 목적으로 악의 적 행위를 야기하는 경우가 상당수이다. 따라서 국제표준기구에서는 ‘ISO/IEC 27000 시리즈’ 처럼 정보 자산의 보호를 위한 표준 문서를 가이드라인으로 제공하긴 했지만 해당 문서에는 자산의 보호를 위한 구체적인 방법이나 절차에 대한 설명은 존재하지 않을뿐더러 여타의 자산 보호 문서에서는 기초를 토대로 제안하는 방안만을 제시하고 있는 실태이다.
본 연구는 사이버 공격으로 인한 정보 자산들의 피해가 증가함으로 인해 기업이나 국가에 치명적인 피해를 초래할 수 있다는 우려와 국내의 정보 자산 보안에 대한 정량적인 척도의 부재와 자산 중요도 산출 시, 인간의 주관적인 설정과 판단으로 인한 자산 등급 경계의 모호성이 존재한다는 문제점을 직시하였다.
문제점을 보완하기 위해 본 논문은 사람의 주관적인 판단 외에 객관적인 수치라고 일컬을 수 있을만한 사이버 정보 자산들이 공통적으로 갖고 있는 자산의 특성을 사용하여 사이버 정보 자산 중요도 산출 및 등급화 시스템을 제안하고 설명한다.
제안한 시스템을 통해 기존 ...
최근 국내·외 각 기업이나 기관들은 점점 지능적이고 지속적으로 발생하는 사이버 공격들, 예를 들어 DDoS(DRDoS), APT 공격 등으로 인해 작게는 조직, 크게는 국가의 정상적인 운영에 문제가 되는 것을 우려하고 있다.
이러한 사이버공격은 대게 조직의 정보를 가로채고 유출시키는 등의 행위를 수행하며, 특히 조직에 큰 피해를 입히기 위한 것을 목적으로 악의 적 행위를 야기하는 경우가 상당수이다. 따라서 국제표준기구에서는 ‘ISO/IEC 27000 시리즈’ 처럼 정보 자산의 보호를 위한 표준 문서를 가이드라인으로 제공하긴 했지만 해당 문서에는 자산의 보호를 위한 구체적인 방법이나 절차에 대한 설명은 존재하지 않을뿐더러 여타의 자산 보호 문서에서는 기초를 토대로 제안하는 방안만을 제시하고 있는 실태이다.
본 연구는 사이버 공격으로 인한 정보 자산들의 피해가 증가함으로 인해 기업이나 국가에 치명적인 피해를 초래할 수 있다는 우려와 국내의 정보 자산 보안에 대한 정량적인 척도의 부재와 자산 중요도 산출 시, 인간의 주관적인 설정과 판단으로 인한 자산 등급 경계의 모호성이 존재한다는 문제점을 직시하였다.
문제점을 보완하기 위해 본 논문은 사람의 주관적인 판단 외에 객관적인 수치라고 일컬을 수 있을만한 사이버 정보 자산들이 공통적으로 갖고 있는 자산의 특성을 사용하여 사이버 정보 자산 중요도 산출 및 등급화 시스템을 제안하고 설명한다.
제안한 시스템을 통해 기존 자산 관리에서 고질적으로 문제가 되었던 인간의 주관적 판단 및 각 자산 등급에 대한 경계의 모호성이 해결되었고, 이에 따라 중요한 자산을 효율적으로 관리할 수 있을 것으로 예상한다.
최근 국내·외 각 기업이나 기관들은 점점 지능적이고 지속적으로 발생하는 사이버 공격들, 예를 들어 DDoS(DRDoS), APT 공격 등으로 인해 작게는 조직, 크게는 국가의 정상적인 운영에 문제가 되는 것을 우려하고 있다.
이러한 사이버공격은 대게 조직의 정보를 가로채고 유출시키는 등의 행위를 수행하며, 특히 조직에 큰 피해를 입히기 위한 것을 목적으로 악의 적 행위를 야기하는 경우가 상당수이다. 따라서 국제표준기구에서는 ‘ISO/IEC 27000 시리즈’ 처럼 정보 자산의 보호를 위한 표준 문서를 가이드라인으로 제공하긴 했지만 해당 문서에는 자산의 보호를 위한 구체적인 방법이나 절차에 대한 설명은 존재하지 않을뿐더러 여타의 자산 보호 문서에서는 기초를 토대로 제안하는 방안만을 제시하고 있는 실태이다.
본 연구는 사이버 공격으로 인한 정보 자산들의 피해가 증가함으로 인해 기업이나 국가에 치명적인 피해를 초래할 수 있다는 우려와 국내의 정보 자산 보안에 대한 정량적인 척도의 부재와 자산 중요도 산출 시, 인간의 주관적인 설정과 판단으로 인한 자산 등급 경계의 모호성이 존재한다는 문제점을 직시하였다.
문제점을 보완하기 위해 본 논문은 사람의 주관적인 판단 외에 객관적인 수치라고 일컬을 수 있을만한 사이버 정보 자산들이 공통적으로 갖고 있는 자산의 특성을 사용하여 사이버 정보 자산 중요도 산출 및 등급화 시스템을 제안하고 설명한다.
제안한 시스템을 통해 기존 자산 관리에서 고질적으로 문제가 되었던 인간의 주관적 판단 및 각 자산 등급에 대한 경계의 모호성이 해결되었고, 이에 따라 중요한 자산을 효율적으로 관리할 수 있을 것으로 예상한다.
In recent years, domestic and foreign companies and organizations have been concerned about the fact that cyber attacks that are increasingly intelligent and constantly occurring, for example, DDoS (DRDoS) and APT attacks, have.
These cyber attacks are often carried out by intercepting a...
In recent years, domestic and foreign companies and organizations have been concerned about the fact that cyber attacks that are increasingly intelligent and constantly occurring, for example, DDoS (DRDoS) and APT attacks, have.
These cyber attacks are often carried out by intercepting and releasing information from the organization, and in many cases, causing malicious behavior in order to cause serious damage to the organization. Therefore, although the International Organization for Standardization has provided standard documentation for the protection of information assets, such as the ISO/IEC 27000 series, as a guideline, there is no description of specific methods or procedures for the protection of assets, In the asset protection document, only the suggestions based on the basics are presented. This study is concerned with the fear that the damage of information assets caused by cyber attack may cause fatal damage to companies or countries, the absence of quantitative measure of security of information assets in Korea, And the existence of ambiguity in the asset class boundary due to the judgment.
To complement the problem, this paper proposes and explains cyber information asset importance calculation and rating system using characteristics of assets common to cyber information assets that may be called objective figures besides human subjective judgment.
Through the proposed system, subjective judgment of the human being which was a problem in the existing asset management and the ambiguity of the boundary of each asset class are solved, and it is expected that the important asset can be efficiently managed.
In recent years, domestic and foreign companies and organizations have been concerned about the fact that cyber attacks that are increasingly intelligent and constantly occurring, for example, DDoS (DRDoS) and APT attacks, have.
These cyber attacks are often carried out by intercepting and releasing information from the organization, and in many cases, causing malicious behavior in order to cause serious damage to the organization. Therefore, although the International Organization for Standardization has provided standard documentation for the protection of information assets, such as the ISO/IEC 27000 series, as a guideline, there is no description of specific methods or procedures for the protection of assets, In the asset protection document, only the suggestions based on the basics are presented. This study is concerned with the fear that the damage of information assets caused by cyber attack may cause fatal damage to companies or countries, the absence of quantitative measure of security of information assets in Korea, And the existence of ambiguity in the asset class boundary due to the judgment.
To complement the problem, this paper proposes and explains cyber information asset importance calculation and rating system using characteristics of assets common to cyber information assets that may be called objective figures besides human subjective judgment.
Through the proposed system, subjective judgment of the human being which was a problem in the existing asset management and the ambiguity of the boundary of each asset class are solved, and it is expected that the important asset can be efficiently managed.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.