[K-ISMS 인증기준] 정보보호대책 8. 시스템 개발보안 #1

K-ISMS 인증기준 - 8. 시스템 개발보안 #1

---

8.1 분석 및 설계 보안관리

8.1.1 보안 요구사항 정의

신규 정보시스템 개발 및 기존 시스템 변경 시 정보보호 관련 법적 요구사항, 최신 보안취약점, 정보보호 기본요소(기밀성, 무결성, 가용성) 등을 고려하여 보안요구사항을 명확히 정의하고 이를 적용하여야 한다.

8.1.1.1 신규 정보시스템 개발 및 기존 시스템 변경 시 법적 요구사항을 포함한 보안 요구사항을 정의하고 설계 단계에서부터 반영하고 있는가?

ㅇ 신규 정보시스템 개발 및 기존 시스템 변경 시 (개인)정보 영향 평가 결과, 정보보호 기본요소, 최신 보안취약점 등을 고려하여 다음과 같은 항목이 포함된 보안 요구사항을 정의하여 설계 단계에서부터 구현, 시험, 이관까지 일관성있게 적용될 수 있도록 하여야 한다. - 개인정보처리에 관련된 법적 요구사항 (예 : 개인정보 취급자 권한 부여 기록, 접속기록, 암호화 대상 정보 등) - 사용자 부서 및 기관의 정보보호 요구사항 (예 : 접근권한 정의 및 통제 원칙, 암호화 대상 선정 등) - 정보보호 관련 기술적인 요구사항 등 (예 : 개발보안, 인증, 암호화 등) ※ 참고 ※ - 홈페이지 SW(웹) 개발보안 가이드 (KISA) - 웹서버구축 보안점검 안내서 (KISA) - 웹어플리케이션 보안 안내서 (KISA) - 홈페이지 개발보안 안내서 (KISA) - 소프트웨어 개발보안(시큐어 코딩) 관련 가이드 (JAVA, C, Android-JAVA) (안전행정부)

8.1.2 인증 및 암호화 기능

정보시스템 설계 시 사용자 인증에 관한 보안요구사항을 반드시 고려하여야 하며 중요정보의 입 ∙ 출력 및 송수신 과정에서 무결성, 기밀성이 요구될 경우 법적 요구사항을 고려하여야 한다.

8.1.2.1 정보시스템 설계 시 사용자 인증에 대한 보안 요구사항을 정의하여 반영하고 있는가?

ㅇ 정보시스템 설계 시 사용자 인증에 대해 다음과 같은 사항을 고려하여야 한다. (인증기준 10. 접근통제 참고) - 패스워드 관련 : 패스워드 잠김 임계치 설정, 패스워드 암호화  - 접근관련 : 동일사용자 동시세션 제한 등  - 추가적인 사용자 인증 절차 : 중요한 정보시스템(예 : 개인정보처리스시템)의 경우 추가적인 인증(예 : OTP, 공인 인증서 등) 요구  ※ 참고 ※ - 정보통신 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제4조(접근통제) - 정보통신 이용촉진 및 정보보호 등에 관한 법률 제23조의2(주민등록번호의 사용 제한)

8.1.2.2 중요정보에 대하여 암호화가 요구되는 경우 법적 요구사항을 고려한 적절한 암호화 방법을 사용하고 있는가?

ㅇ 법적 요구사항을 고려하여 중요정보에 대해 안전성이 입증된 알고리즘과 키 길이를 사용하여 암호화하여야 한다. (인증기준 9.1.1 암호 정책 수립 참고) - 법적 요구사항이외에 조직에 특성에 따라 암호화 대상을 정의한 경우 암호화를 고려하여야 한다. ※ 참고 ※ ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치) - 비밀번호 일방향 암호화 저장 - 주민등록번호 및 계좌번호 등 금융정보의 암호화 저장 ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화)  - 주민등록번호, 신용카드번호, 계좌번호의 암호화 저장 - 정보통신서비스 제공자의 개인용컴퓨터(PC)상에 저장된 이용자의 개인정보 암호화 ㅇ 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' 제7조(개인정보의 암호화) - 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록증번호) 암호화 - 비밀번호 및 바이오정보 암호화 (비밀번호는 일방향 암호화) - 개인정보처리자 개인용컴퓨터(PC)상에 저장된 고유식별번호 ㅇ KISA 안내서 - 암호기술 구현 안내서 (http://seed.kisa.or.kr) - 암호이용 안내서 - 암호정책 수립기준 안내서 등

8.1.2.3 개인정보 및 인증정보 등의 중요한 정보 전송 시 SSL보안서버 구축 등을 통하여 암호화하고 있는가?

ㅇ 정보통신망을 통해 중요정보를 송 ∙ 수신하는 경우, 법적 요구사항을 고려하여 보안서버 구축 등의 조치를 통한 암호화 통신이 이루어져야 한다. (인증기준 9.1.1 암호 정책 수립 참고) ※ 참고 ※ ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화) - 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송수신할때에 안전한 보안서버 구축 등의 조치 필요 (예 : SSL, 암호화 응용프로그램을 설치하여 전송정보 암호화) ㅇ 개인정보보호법 '개인정보의 안전성 확보조치 기준 고시 및 해설서' 제7조(개인정보의 암호화) - 개인정보처리자는 주민등록번호, 비밀번호, 바이오정보 등 정보통신망을 통하여 송수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 암호화 필요(보안서버 활용가능) ㅇ 보안서버구축 안내서 (KISA)

8.1.3 보안로그 기능

정보시스템 설계 시 사용자의 인증, 권한 변경, 중요정보 이용 및 유출 등에 대한 감사증적을 확보할 수 있도록 하여야 한다.

8.1.3.1 정보시스템 설계 시 보안관련 로그, 감사증적 등을 확보할 수 있는 기능을 반영하고 있는가?

ㅇ 보안사고 발생 시 책임 추적을 위하여 정보시스템에 다음과 같은 감사증적(로그)을 확보할 수 있도록 설계하여야 한다. (인증기준 11.6 로그관리 및 모니터링 참고) - 사용자 및 관리자의 접속기록 (로그인 및 로그아웃) - 사용자 권한 부여, 변경, 말소 기록 - 정보시스템 시작 및 중지 - 특수 권한으로의 접근 기록 - 주요업무관련 행위에 대한 로그 등

8.1.3.2 정보시스템 설계 시 보안로그를 보호하기 위한 대책을 마련하고 있는가?

ㅇ 정보시스템 설계 시 보안로그의 비인가된 변조 및 삭제를 방지하기 위한 대책을 마련하여야 한다. (예 : 로그에 대한 접근통제 등)

8.1.4 접근권한 기능

정보시스템 설계 시 업무의 목적 및 중요도에 따라 접근권한을 부여할 수 있도록 하여야 한다.

8.1.4.1 정보시스템 설계 시 시스템 사용자의 업무 목적, 기능, 중요도에 따라 접근권한이 부여될 수 있도록 접근권한 부여 기능을 보안 요구사항 및 설계에 반영하고 있는가?

ㅇ 정보시스템 설계 시 업무 성격, 프로세스, 보안 요구사항에 따라 다음과 같은 기준을 고려하여 접근권한 부여 기능을 마련하여야 한다. (인증기준 10.2.1 사용자 등록 및 권한 부여, 10.2.3 접근권한 검토 참고) - 사용자별 - 사용자 업무역할별 - 기능별 - 메뉴별 등