IT프로젝트정보시스템구축관리
SW구축관리
SW개발보안 정책의 개념
- 소프트웨어 개발과정에서발생할수 있는 보안취약점을 최소화하여 보안위협으로 부터 안전한 소프트웨어를 개발하기 위한 일련의 보안활동
- SW개발 생명주기SDLC의 각 단계에서 요구되는 보안활동을 수행해 안전한 소프트웨어를 개발하는 것이 목적
SW 보안 취약점이 발생하는 경우
- 보안 요구사항이 정의되지 않은 경우
- 소프트웨어 설계 시 논리적 오류가 포함된 경우
- 기술 취약점을 갖고 있는 코딩 규칙을 적용한 경우
- 소프트웨어 배치가 적절하지 않은 경우
- 보안 취약점 발견 시 적절하게 대응하지 못한 경우
SW개발 보완 관련 기관
- 소프트웨어 개발 보안 관련 활동 주체
- 정책기관인 행정안전부
- 발주기관인 행정기관
- 전문기관인 인터넷진흥원
- 개발기관인 사업자
- 보안약점진단인 감리법인
SW개발 역할별 보안활동
- 프로젝트 관리자 PM
- 응용프로그램에 대한 보안 전략을 구성원들에게 설명하고 프로젝트 일정 및 보안위험의 상관관계등과 같은 보안 영향을 이해시키고 조직의 상태를 모니터링
- 요구사항 분석가 RM
- 아키텍트가 고려해야 할 보안 관련 비지니스 요구사항을 설명하고 프로젝트 팀이 고려해야할 구조에 존재하는 보안 요구사항과 유즈케이스에 대한 보안 고려사항을 기반으로 오용 사례를 정의
- 아키텍트 Architect
- 보안 오류가 발생하지 않도록 보안 기술 문제를 충분히 이해하고 시스템 사용되는 모든 리소스 정의 및 각 리소스별로 적절한 보안 요구사항 적용
- 설계자 Designer
- 특정 기술이 보안요구사항을 만족하는지 확인하고 애플리케이션 보안노력에 대한 품질 측정을 지원, 많은 비용이 필요한 수정 요구사항을 최소화하기 위한 방법을 제공, 타사의 소프트웨어 통합시 발생가능한 보안 위험을 이해하며 식별된 보안위협에 적절히 대응
- 구현개발자 Implementer
- 구조화된 소프트웨어 개발 환경에서 프로그램을 원활히 구현할 수 있도록 시큐어 코딩 표준을 준수하여 개발하며 제3자가 소프트웨어 안전 여부를 쉽게 판단할 수 있도록 문서화
- 시큐어 코딩
- 개발하고 있는 소프트웨어의보안상 취약점을 사전에 보완하면서 프로그래밍하는것
- 시큐어 코딩
- 구조화된 소프트웨어 개발 환경에서 프로그램을 원활히 구현할 수 있도록 시큐어 코딩 표준을 준수하여 개발하며 제3자가 소프트웨어 안전 여부를 쉽게 판단할 수 있도록 문서화
- 테스트분석가 Test Analyst
- 소프트웨어 개발 요구사항과 구현 결과를 반복적으로 확인하며 테스트 그룹은 반드시 보안전문가일 필요는 없지만보안 위험에 대한 학습이나 툴 사용법을 숙지함
SW개발 역할별 보안활동
- 보안 감시자 Security Auditor
- 프로젝트 전체단계에서 활동하며, 소프트웨어 개발 프로젝트의 현재 상태의 보안을 보장하고 요구사항 검토시 요구사항의 적합성과 완전성을 확인하고, 설계단계에서는 보안 문제로 이어질 수 있는 사항이 있는지 확인하며, 구현단계에서는 보안 문제가 있는지 확인
SW개발보안 관련 법령
- 개인정보보호법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
- 신용정보의 이용 및 보호에 관한 법률
- 표준 개인정보 보호 지침
- 개인정보의 안전성 확보 조치 기준
- 개인정보 영향평가에 관한 고시
IT기술 관련 규정
- RFID 프라이버시 보호 가이드라인
- 위치정보의 관리적, 기술적 보호조치 권고 해설서
- 바이오정보 보호 가이드라인
- 뉴미디어 서비스 개인정보 보호 가이드라인