ISMS-P 인증 기준 2.8.1.보안 요구사항 정의

From CS Wiki

개요[edit | edit source]

항목 2.8.1.보안 요구사항 정의
인증기준 정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.
주요 확인사항
  • 정보시스템을 신규로 도입‧개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립‧이행하고 있는가?
    • (가상자산사업자) 신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용하고 있는가?
  • 정보시스템을 신규로 도입‧개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가?
    • (가상자산사업자) 주요 작업관련 정보시스템 등 월렛 관련 응용프로그램 개발시에는 해당 가상자산의 월렛 관련 상세 위험평가(공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신 등)를 근거로 보안요구사항을 도출하여 이를 설계에 반영하고 있 는가?
  • 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?

세부 설명[edit | edit source]

보안성 검토 절차 수립 및 이행[edit | edit source]

정보시스템을 신규로 도입·개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립·이행하여야 한다.

  • 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획 수립
    • 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석
    • 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건
    • 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수
  • 정보보호 및 개인정보보호 측면의 요구사항을 제안요청서(RFP)에 반영하고 업체 또는 제품 선정 시 기준으로 활용
  • 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준 수립
    • 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립
    • 시스템 도입 과정에서 인수기준을 준수하도록 구매계약서 등에 반영

보안 요구사항 설계 단계에서 반영[edit | edit source]

정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하여야 한다.

  • 개인정보보호 관련 법적 요구사항 : 접근권한, 접근통제, 암호화, 접속기록 등
  • 상위 기관 및 내부 규정에 따른 정보보호 및 개인정보보호 요구사항
  • 정보보호 관련 기술적 요구사항 : 인증, 개발보안 등
  • 최신 보안취약점 등

개발 코딩 보안 표준 마련[edit | edit source]

정보시스템의 안전한 구현을 위한 코딩 표준을 마련하고 적용하여야 한다.

  • 알려진 기술적 보안 취약점으로 인한 위협을 최소화하기 위하여 안전한 코딩 표준 및 규약 마련
  • Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 및 환경을 모두 포함
  • 안전한 코딩 표준 및 규약에 대하여 개발자 대상 교육 수행

증거 자료[edit | edit source]

  • 정보시스템 인수 기준 및 절차
  • 정보시스템 도입 RFP(제안요청서) 및 구매계약서
  • 개발 산출물(사업수행계획서, 요구사항정의서, 화면설계서, 보안아키텍처 설계서, 시험계획서 등)
  • 시큐어 코딩 표준

결함 사례[edit | edit source]

  • 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
  • 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 정보시스템에 대하여 인수 시 보안요건에 대해 세부 기준 및 계획이 수립되지 않았으며, 이에 따라 인수 시 보안성검토가 수행되지 않은 경우
  • 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우
  • ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우

관련 인증 기준[edit | edit source]

2.8.2.보안 요구사항 검토 및 시험

  • 사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.

2.8.3.시험과 운영 환경 분리

  • 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다.

2.8.4.시험 데이터 보안

  • 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립·이행하여야 한다.

2.8.5.소스 프로그램 관리

  • 소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다.

2.8.6.운영환경 이관

  • 신규 도입·개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다.

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)