보안 1일차 프로젝트 참여인원의 역할(Role)별 보안활동

프로젝트 참여인원의 역할(Role)별 보안활동

 

프로젝트 관리자 (Project Manager)

-      팀 구성원들에게 응용프로그램의 보안 전략을 공지

-      보안위험과 비즈니스에 응용프로그램 보안의 영향을 이해시킴

예) 프로젝트 일정과 보안 위험의 상관관계

- 조직의 상태를 모니터링

   기본적인 비즈니스 매트릭스 조합을 정의하고 단계별 적용

 

요구사항 분석가 (Requirement specifier)

-      아키턱트가 고려해야할 여러가지 보안관련 비즈니스 요구사항을 자세히 설명

-      프로젝트 팀이 고려해야할 구조를 정의하고 정의된 구조에 존재하는 자원에 대한 보안 요구사항이 무엇인지 결정

-      보안 수준을 추상화 할 때 다른 프로젝트에 적용되었던 보안 요구사항을 재활용

-      유즈케이스에 대한 보안 고려 사항을 기반으로 오용사례를 정의

 

아키턱트(Architect)

-      보안 오류를 도입하지 않도록 충분히 보안 기술의 문제를 이해 할 수있음

-      시스템에 사용되는 모든 리소스를 가능한 자세하게 정의

-      시스템에서 각각 리소스의 역할에 적절한 보안 요구사항이 적용되도록 진행

-      각 리소스가 시스템 라이프 사이클로 서로 간의 상호작용을 이해할 수 있게해야 한다

 

설계자(Designer)

-      특정기술이 설계보안항목을 만족하는지 확인하고 제대로 그 기술이 사용될 수 있는 방법을 파악

-      일반적인 결과를 평가하고 최선의 문제해결 방법을 결정

-      애플리케이션 보안 노력에 대한 품질 측정을 지원

-      예) 설계자는 모든 기존 개발 역할의 보안 관련 작업을 수행 할 수 있어야한다

-      고가의 수정을 요구하는 위험을 최소화 하기 위해 로드맵을 제공해야 한다

-      타사의 소프트웨어 통합 시 보안 위험을 이해하고 있어야 한다

-      일반적으로 소프트웨어에서 식별된 보안 위협에 대응할 수 있어야 한다

 

개발자(Implementer)

-      코드를 구현하는 개발자는 고도로 구조화된 개발 환경에서 프로그램을 구현하기 위해 안전한 코딩 표준을 준수하여 개발하여야 한다

-      제 3자가 소프트웨어 안전 여부를 쉽게 판단할 수 있도록 문서화해야 한다

 

테스트 분석가(Test Analyst)

-      테스트 분석가는 요구사항과 구현결과를 반복적으로 테스트 해야한다

-      테스트 그룹은 반드시 보안 전문가일 필요는 없으며 테스트가 가능할 정도의 위험에 대한 학습니다 툴 사용방법을 숙지

 

보안 감사자(Security Auditor)

-      보안 감사자는 프로젝트의 현재 상태를 검사하고 현재 상태의 보안을 보장

-      요구사항을 검토할 때는 요구사항이 적합하고 완전한지 확인

-      설계단계에서 일반적으로 취약성으로 이어질 수 있는 사항이 있는지 점검

-      구현단계에서는 보안 문제를 발견할 수 있도록 시도

-      프로젝트 전체 단계에서 활동

 

 

분석 설계 단계 보안

 

분석 설계단계 보안 필요성

-      분석 설계단계 : 기능 및 비기능 요구사항 충족을 위한 소프트웨어의 구조와 성분을 명확하게 준비

-                      분석 설계단계에서 사전에 보안항목을 반영하지 않으면 구현단계에서 소프트웨어의 일관성이 떨어지고 보안 항목을 만족시킬 수 없는 경우가 발생

-                      분석 설계단계에서 반영하지 못한 보안은 구현단계 5배 , 제품 출시 30배의 추가비용이 필요

 

보안항목 식별

권한을 가진 사용자만이 안전하게 수집,전송,처리,보관,폐기해야 하는 정보를 식별

외부 정책 자료

   개인정보 보호법, 정보통신망법, 금융거래법, 신용정보법 등

내부 정책 자료

   기관별 내부 정책 자료

 

외부환경 분석(법,제도,규정 등)

개인정보 보호법 : 개인 정보의 처리 미 보호에 관한 사항을 규정

신용정보의 이용 및 보호에 관한 법률 : 개인 신용정보의 취급 단계별 보호조치 및 의무사항에 관한 규정

위치정보의 보호 및 이용등에 관한 법률 : 개인위치정보 수집 이용 제공 파기 및 정보주체의 권리 등 규정

표준 개인정보보호 지침(표준지침) : 개인정보 보호법 제 12조 제 1항에 따른 개인정보의 처리에 관한 기준

                                  개인정보  침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정

개인정보의 안전성 확보 조치 기준 고시 : 개인정보보호법 제23조 제2항, 제24조제3하 및 제29조와 같은법 시행령 제21조

                                        및 제30조에 따라 개인정보처리가 개인정보를 처리함에 있어서 개인정보가

                                        분실 도난 유출 위조 변조 또는 훼손되지 안니하도록 안전성 확보에 필요한

                                        기술적 관리적 물리적 안전조치에 관한 최소한의 기준을 규정

개인정보 영향평가에 관한 고시 : 개인정보 보호법 제33조와 같은 법 시행령 제 38조에 따른 평가기관의 지정 및

                                영향평가의 절차 등에 관한 세부 규정

 

IT 기술 관련 규정

개인정보의 기술적 관리적 보호조치 기준 해설서 : 개인정보 보호법 제29조와 같은 법 시행령 제48조의 2제3항에 따라 정보통신

                                                서비스 제공자 등이 이용자의 개인정보를 처리함에 있어 안전성 확보를 위하여 필요한

                                                보호 조치의 기준에 대한 해설

 

자동처리 되는 개인정보 보호가이드 라인 : IoT 기기 등으로 개인정보를 자동처리 할 경우 , 기획 단계부터 개인정보 침해 가능성을 충분히

                                        고려하도록 처리 단계별 고려 사항을 사례중심으로 안내

 

온라인 개인 정보처리 가이드 라인 : 정보통신서비스제공자의 개인정보 수집,동의,파기,열람,보존 시 개인정보보호 조치 기준

                                   2020년 8월 통합 개인정보 보호법 시행으로 종전 정보통신망법 상의 정보통신 서비스 제공자등 의 개인정보

                                   처리에 대한 규정이 법 제6장의 특례로 이관됨

개인정보 위험도 분석 기준 및 해설서 : 개인정보 보호법 제24조제3항, 제29조와 같은 법 시행령 제30조에 따른 개인정보의 안전성 확보 조치 기준에

                                      따라 내부망에 고유식별정보를 저장하는 경우 암호화의 적용여부 및 적용범위 결정을 위한 위험도 분석 기준 제시

바이오 정보 보호 가이드 : 지문, 홍채 등 생체 정보 수집 이용 시 개인정보보호 조치 사항

위치정보의 관린적 기술적 보호조치 해설서 : 위치정보의 보호 및 이용 등에 관한 법률 제16조 및 같은법 시행령 제20조에 따라 위치정보사업자 및 위치기반서비스가

                                           취하여야 하는 관리적 기술적 보호조치 기순에 대한 권고

 

 

기타 중요정보 식별

시스템이 처리하는 정보들 중 법적 의무사항으로 필수적인 안전조치를 해야하는 정보들 이외에도 물리적 기술적 접근 허용 범위와 정보 유출시 예상되는 피해를

기준으로 보안등급을 결정하거나 정보의 자산가치를 기준으로 중요정보를 식별하고 법적 의무사항에 준하는 보안 강도를 적용하여 정보가 처리될 수 있도록 설계