이글루시큐리티「BSPiCE」
상태바
이글루시큐리티「BSPiCE」
  • NETWORK TIMES
  • 승인 2002.10.22 00:00
  • 댓글 0
이 기사를 공유합니다

정보보안 현황 분석·진단 프로그램 ‘BSPiCE’
BS7799 표준·SPICE 모델 적용 … 보안정책 수립 가능
이글루시큐리티(대표 이득춘)는 최근 ‘BSPiCE’라는 독자적인 ISMS 툴을 개발했다. 이 제품은 BS7799를 통한 전사적 보안을 시행하기 위한 툴로써, 크게 ISSA, ISMSE, RAM, ISDE 등 4가지 모듈로 구성된다. 특히 ISSA(Information Security Self-Analysis)는 BSPiCE의 첫 번째 모듈이며, BS7799와 ISO 15504 SPICE 표준을 통해 조직의 정보보안 현황을 진단한다. <편집자>

기업 인프라가 복잡해지고 개방 환경으로 바뀌어 가면서 기업의 정보보안 관리가 점점 중요해지고 있다. 이러한 중요성을 감안해 영국과 같은 선진국에서는 1995년에 BS7799와 같은 정보보안관리 표준을 제정하여 조직의 정보에 대해 발생할 수 있는 위험을 미리 식별하고 이를 관리할 수 있는 대책을 세운 바 있다. BS7799에서는 ISMS(Information Security Management System : 정보보안관리시스템)를 구축하여 조직의 정보를 효과적으로 보호할 수 있도록 하고 있다.

이글루시큐리티는 최근 자사의 통합보안관리대행서비스와 통합보안관리(ESM: Enterprise Security Management) 시스템을 운영하고 구축하면서 쌓아온 정보보안관리에 대한 노하우를 바탕으로 ‘BSPiCE(Business Security Process Improvement and Capability dEtermination)’라는 독자적인 ISMS 툴(Tool)을 개발했다.

BSPiCE의 4가지 모듈

BSPiCE는 BS7799를 통한 전사적 보안을 시행하기 위한 툴로써, 조직의 정보보안현황을 분석 및 진단하고 그에 따라 보호할 자산과 자산을 보호할 보안 명제를 제시해 주는 역할을 한다. 또한 제시된 보안 명제를 바탕으로 기업에 필요한 보안 정책을 세우고 이를 관리할 수 있도록 한다. BSPiCE는 다음과 같이 크게 4가지 모듈로 구성된다.

  • ISSA(Information Security Self-Analysis) : 조직의 정보보안 현황 분석 및 진단

  • ISMSE(Information Security Management Systems Editor) : 정보보안 체계를 구축하기 위해 조직의 자산 중에서 정보보안 체계에 포함될 수 있는 자산을 선택하고 자산의 중요성을 평가

  • RAM(Risk Assessment and Management) : ISMSE의 결과를 바탕으로 각 자산의 위험을 평가. RAM에서 위험 평가된 자산은 사용자가 입력한 위험관리 대상 선정기준에 따라 위험관리를 실시할 대상 자산을 식별

  • ISDE(Information Security Document Editor) : ISDE는 조직에 필요한 정보보안 정책 지침서 제공. ISSA, ISMSE, RAM에서 나온 결과를 바탕으로 조직의 정보보안 정책을 수립, 편집 및 관리

왜 ISSA인가?

ISSA(Information Security Self-Analysis)는 BSPiCE의 첫 번째 모듈로서 BS7799와 ISO 15504 SPICE 표준을 통해 조직의 정보보안 현황을 진단한다. ISSA의 업무 프로세스는 정보보안 현황 분석 대상 조직에 대한 정의에서 시작한다. 그 후 본 프로젝트의 범위와 대상, 목적 등을 설정하는 정보보안 현황분석 프로젝트에 대한 정의를 거쳐 프로젝트의 버전 관리에 대한 부분으로 들어간다.

정보보안 현황을 분석하고 진단하는 것은 질의를 통해서 이루어진다. BS7799를 통해 조직의 정보보안에 필요한 세부적인 질의를 따라 조직의 정보보안 현황을 분석하기 때문이다. 그 후 SPICE의 방법론에 따라 조직의 정보보안 프로세스 성숙도를 측정하고, 이 측정 결과로 조직의 정보보안 현황에 대한 등급을 알 수 있게 된다.

ISSA에서 제공하는 모든 질의는 표준에 의해 한글화되어 있다. 이처럼 질의를 통해 도출된 결과는 사용자의 필요에 따라 MS워드 2000 파일로 만들어진 4가지 종류의 보고서로 만들어진다. ISSA를 사용하여 정보보안 현황을 분석하게 되면 손쉽게 정보보안 현황분석에 대한 보고서를 만들 수 있다.

ISSA를 통한 자가진단

ISSA를 통한 질의는 등급(Level)에 따라 나누어진다. ISSA에서 판단하는 정보보안 현황 등급은 0부터 5까지이며, 처음 입력하면 등급 1의 질의가 나오게 된다. 등급 1의 질의에 대한 응답결과에 따라 등급 0부터 등급 2를 취득할 수 있으며 등급 2를 취득하면 사용자는 등급 2에 해당하는 질의에 응답할 수 있게 된다.

등급 1을 위한 질의와 표준을 BC(Base Control)라 하고, 등급 2부터 등급 5까지를 위한 질의와 표준을 MC(Management Control)라 한다. 각 등급은 이를 취득할 수 있는 조건이 있으며, 이 조건을 CA(Control Attribute)라 한다. 각 CA는 세부적인 질의를 가지고 있다.

ISSA는 기존의 BS7799 표준과 SPICE 모델을 적절하게 적용한 정보보안에 대한 자가진단, 분석 프로그램이다. ISSA는 BSPiCE의 4개 모듈 가운데서도 정보보안관리에 대한 진단 기능을 독립적으로 수행할 수 있는 프로그램으로써, 질의 구조와 내용이 매우 세밀하고 정교하다.

특히 설문 결과를 SPICE 모델을 통해 적용하여 각 등급을 측정하기 때문에 일관된 결과를 도출해 낼 수 있다. 모든 템플릿이 표준화되어 있는 것도 큰 장점이며 차트와 그래프를 통한 시각적인 결과 보고서를 제공하기 때문에 보다 쉽게 자사의 정보보안관리 현황을 분석할 수 있는 이점이 있다.

■ 문의 : 김영임 대리
■ 02-3404-8630
■ Diana@igloosec.com


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.