정보시스템 감사를 위해 다양한 측면에서 활용되며, 조직이 보다 효율적으로 리스크를 식별하고 관리할 수 있도록 사용하는 시스템에 대해서 알아 보려고 합니다.
[1] 자산 평가 도구 (Asset Evaluation Tool) :
자산 평가 도구는 감사 대상의 자산을 식별하고 가치를 평가합니다. 자산은 정보시스템에서 데이터, 하드웨어, 소프트웨어, 네트워크, 사람 및 프로세스와 같은 것들을 포함합니다.
주요 자산을 식별하고 그 가치를 측정하여 잠재적인 위협에 대비하는 데 사용됩니다.
자산 목록 및 인벤토리 관리 하는 시스템으로 SolarWinds, ServiceNow, 또는 Lansweeper와 같은 시스템이 있습니다.
또한 자산 평가와 보안 취약성 스캐닝이 동시에 가능한 Nessus, Qualys, 또는 OpenVAS와 같은 보안 취약성 스캐닝 도구가 있습니다.
마지막으로 자산 생애주기를 관리할수 있는 IBM Maximo, SAP Enterprise Asset Management, 또는 Asset Panda와 같은 자산 생애주기 관리 소프트웨어가 있습니다.
[2] 위협 모델링 도구 (Threat Modeling Tool) :
위협 모델링 도구는 다양한 위협 요소를 식별하고 분석하여 시스템의 취약점을 파악하고 보안에 관련된 리스크를 평가합니다. 위협 모델링은 해커, 악의적인 소프트웨어, 자연재해, 내부 위협 등과 같은 다양한 위협을 고려합니다.
위험 평가및 관리가 가능한 NIST Risk Management Framework, FAIR (Factor Analysis of Information Risk)또는 ISO 27005와 같은 표준 및 프레임워크를 주로 사용합니다.
위협 모델링 및 시뮬레이션이 가능한 Microsoft Threat Modeling Tool, OWASP Threat Dragon, 또는 IBM AppScan 등의 시스템이 있습니다.
위협 정보 및 인텔리전스가 가능한 블랙헥스, AlienVault, 또는 Recorded Future와 같은 위협 인텔리전스 플랫폼을 사용하여 정보를 수집하고 분석 할수도 있습니다.
[3] 취약점 스캐닝 도구 (Vulnerability Scanning Tool) :
취약점 스캐닝 도구는 정보 시스템에서의 취약점을 검출하고 이를 기반으로 시스템의 보안 취약성을 식별합니다. 자동화된 스캐닝 프로세스를 통해 네트워크, 운영 체제, 응용 프로그램 등에서 취약점을 식별하고 조직이 이를 해결할 수 있도록 도와줍니다. 취약점 스캐닝 도구는 앞서 소개한것 처럼 Nessus,OpenVAS, Qualys 같은 시스템이 있습니다.
[4] 비즈니스 영향 분석 도구 (Business Impact Analysis Tool) :
비즈니스 영향 분석 도구는 비즈니스 연속성 및 재해 복구 관점에서 시스템의 리스크를 평가하고 비즈니스에 미치는 영향을 분석합니다. 비즈니스 영향 분석을 통해 각종 재해 상황에서의 업무 중단 가능성과 그에 따른 경제적 손실 등을 평가합니다. 이러한 업무를 돕는 시스템으로는 사이버 보안 이슈에 대한 대응 및 조치를 자동화하고 조정하는 데 사용되는 통합 보안 자동화 플랫폼인 IBM Resilient가 있습니다.
또한, BIA템플릿, RAR방법론, 기타 BCP소프트웨어를 통해 재해 발생 시 비즈니스 영향을 신속하게 이해하고 적절한 대응 전략을 수립할 수 있습니다.
[5] 확률 및 영향 평가 도구 (Probability and Impact Assessment Tool) :
확률 및 영향 평가 도구 위험의 발생 가능성과 그에 따른 영향을 평가하여 각 위험의 우선 순위를 결정합니다. 위험의 확률과 영향을 정량화하여 각각을 고려하여 보다 정확한 리스크 평가를 수행합니다.
방법론으로 FAIR 모델이 있으며 정보 시스템의 위험을 정량화하는 데 사용되는 방법론으로, 위험 요소를 분석하여 확률과 영향을 평가합니다. 시스템으로는 BRM과 RiskWatch 과 있습니다. Bowtie Risk Management 는 위험 관리를 위한 통합 솔루션으로, Bowtie 메소드를 기반하며 확률과 영향을 고려하여 위험을 시각적으로 표현하고 분석하는 데 사용됩니다.
RiskWatch는 위험 관리 소프트웨어로, 다양한 위험 요소를 고려하여 확률과 영향을 평가하고 관리하며 감사자가 정보 시스템의 위험을 평가하고 관리하는 데 필요한 데이터를 제공합니다.
'정보시스템 감사 도구(시스템)' 카테고리의 다른 글
| 정보시스템 감사를 위한 체크리스트 및 문서 도구 (0) | 2024.03.25 |
|---|---|
| 정보시스템 감사 프로젝트 관리 도구 (0) | 2024.03.21 |
| 정보시스템 감사 데이터 분석 도구 (0) | 2024.03.20 |
| 정보시스템 감사 자동화 도구 (0) | 2024.03.20 |