securityse lab

/ /
04-12 18:43

K-ISMS 인증기준 - 8. 시스템 개발보안 #1






8.1 분석 및 설계 보안관리


8.1.1 보안 요구사항 정의

신규 정보시스템 개발 및 기존 시스템 변경 시 정보보호 관련 법적 요구사항, 최신 보안취약점, 정보보호 기본요소(기밀성, 무결성, 가용성) 등을 고려하여 보안요구사항을 명확히 정의하고 이를 적용하여야 한다.


8.1.1.1 신규 정보시스템 개발 및 기존 시스템 변경 시 법적 요구사항을 포함한 보안 요구사항을 정의하고 설계 단계에서부터 반영하고 있는가?

ㅇ 신규 정보시스템 개발 및 기존 시스템 변경 시 (개인)정보 영향 평가 결과, 정보보호 기본요소, 최신 보안취약점 등을 고려하여 다음과 같은 항목이 포함된 보안 요구사항을 정의하여 설계 단계에서부터 구현, 시험, 이관까지 일관성있게 적용될 수 있도록 하여야 한다.


- 개인정보처리에 관련된 법적 요구사항 (예 : 개인정보 취급자 권한 부여 기록, 접속기록, 암호화 대상 정보 등)

- 사용자 부서 및 기관의 정보보호 요구사항 (예 : 접근권한 정의 및 통제 원칙, 암호화 대상 선정 등)

- 정보보호 관련 기술적인 요구사항 등 (예 : 개발보안, 인증, 암호화 등)


※ 참고 ※

- 홈페이지 SW(웹) 개발보안 가이드 (KISA)

- 웹서버구축 보안점검 안내서 (KISA)

- 웹어플리케이션 보안 안내서 (KISA)

- 홈페이지 개발보안 안내서 (KISA)

- 소프트웨어 개발보안(시큐어 코딩) 관련 가이드 (JAVA, C, Android-JAVA) (안전행정부)



8.1.2 인증 및 암호화 기능

정보시스템 설계 시 사용자 인증에 관한 보안요구사항을 반드시 고려하여야 하며 중요정보의 입 ∙ 출력 및 송수신 과정에서 무결성, 기밀성이 요구될 경우 법적 요구사항을 고려하여야 한다.


8.1.2.1 정보시스템 설계 시 사용자 인증에 대한 보안 요구사항을 정의하여 반영하고 있는가?

ㅇ 정보시스템 설계 시 사용자 인증에 대해 다음과 같은 사항을 고려하여야 한다. (인증기준 10. 접근통제 참고)


- 패스워드 관련 : 패스워드 잠김 임계치 설정, 패스워드 암호화 

- 접근관련 : 동일사용자 동시세션 제한 등 

- 추가적인 사용자 인증 절차 : 중요한 정보시스템(예 : 개인정보처리스시템)의 경우 추가적인 인증(예 : OTP, 공인 인증서 등) 요구 


※ 참고 ※

- 정보통신 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제4조(접근통제)

- 정보통신 이용촉진 및 정보보호 등에 관한 법률 제23조의2(주민등록번호의 사용 제한)


8.1.2.2 중요정보에 대하여 암호화가 요구되는 경우 법적 요구사항을 고려한 적절한 암호화 방법을 사용하고 있는가?

ㅇ 법적 요구사항을 고려하여 중요정보에 대해 안전성이 입증된 알고리즘과 키 길이를 사용하여 암호화하여야 한다. (인증기준 9.1.1 암호 정책 수립 참고)


- 법적 요구사항이외에 조직에 특성에 따라 암호화 대상을 정의한 경우 암호화를 고려하여야 한다.


※ 참고 ※

ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)

- 비밀번호 일방향 암호화 저장

- 주민등록번호 및 계좌번호 등 금융정보의 암호화 저장

ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화) 

- 주민등록번호, 신용카드번호, 계좌번호의 암호화 저장

- 정보통신서비스 제공자의 개인용컴퓨터(PC)상에 저장된 이용자의 개인정보 암호화

ㅇ 개인정보보호법 '개인정보의 안전성 확보조치 기준(고시)' 제7조(개인정보의 암호화)

- 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록증번호) 암호화

- 비밀번호 및 바이오정보 암호화 (비밀번호는 일방향 암호화)

- 개인정보처리자 개인용컴퓨터(PC)상에 저장된 고유식별번호

ㅇ KISA 안내서

- 암호기술 구현 안내서 (http://seed.kisa.or.kr)

- 암호이용 안내서

- 암호정책 수립기준 안내서 등


8.1.2.3 개인정보 및 인증정보 등의 중요한 정보 전송 시 SSL보안서버 구축 등을 통하여 암호화하고 있는가?

ㅇ 정보통신망을 통해 중요정보를 송 ∙ 수신하는 경우, 법적 요구사항을 고려하여 보안서버 구축 등의 조치를 통한 암호화 통신이 이루어져야 한다. (인증기준 9.1.1 암호 정책 수립 참고)


※ 참고 ※

ㅇ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제6조(개인정보의 암호화)

- 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송수신할때에 안전한 보안서버 구축 등의 조치 필요 (예 : SSL, 암호화 응용프로그램을 설치하여 전송정보 암호화)

ㅇ 개인정보보호법 '개인정보의 안전성 확보조치 기준 고시 및 해설서' 제7조(개인정보의 암호화)

- 개인정보처리자는 주민등록번호, 비밀번호, 바이오정보 등 정보통신망을 통하여 송수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 암호화 필요(보안서버 활용가능)

ㅇ 보안서버구축 안내서 (KISA)



8.1.3 보안로그 기능

정보시스템 설계 시 사용자의 인증, 권한 변경, 중요정보 이용 및 유출 등에 대한 감사증적을 확보할 수 있도록 하여야 한다.


8.1.3.1 정보시스템 설계 시 보안관련 로그, 감사증적 등을 확보할 수 있는 기능을 반영하고 있는가?

ㅇ 보안사고 발생 시 책임 추적을 위하여 정보시스템에 다음과 같은 감사증적(로그)을 확보할 수 있도록 설계하여야 한다. (인증기준 11.6 로그관리 및 모니터링 참고)


- 사용자 및 관리자의 접속기록 (로그인 및 로그아웃)

- 사용자 권한 부여, 변경, 말소 기록

- 정보시스템 시작 및 중지

- 특수 권한으로의 접근 기록

- 주요업무관련 행위에 대한 로그 등


8.1.3.2 정보시스템 설계 시 보안로그를 보호하기 위한 대책을 마련하고 있는가?

ㅇ 정보시스템 설계 시 보안로그의 비인가된 변조 및 삭제를 방지하기 위한 대책을 마련하여야 한다. (예 : 로그에 대한 접근통제 등) 



8.1.4 접근권한 기능

정보시스템 설계 시 업무의 목적 및 중요도에 따라 접근권한을 부여할 수 있도록 하여야 한다.


8.1.4.1 정보시스템 설계 시 시스템 사용자의 업무 목적, 기능, 중요도에 따라 접근권한이 부여될 수 있도록 접근권한 부여 기능을 보안 요구사항 및 설계에 반영하고 있는가?

ㅇ 정보시스템 설계 시 업무 성격, 프로세스, 보안 요구사항에 따라 다음과 같은 기준을 고려하여 접근권한 부여 기능을 마련하여야 한다. (인증기준 10.2.1 사용자 등록 및 권한 부여, 10.2.3 접근권한 검토 참고)


- 사용자별

- 사용자 업무역할별

- 기능별

- 메뉴별 등




저작자표시 비영리 변경금지

'ISMS' 카테고리의 다른 글

[K-ISMS 인증기준] 정보보호대책 9. 암호통제  (0) 2017.10.29
[K-ISMS 인증기준] 정보보호대책 8. 시스템 개발보안 #2  (0) 2017.10.17
[K-ISMS 인증기준] 정보보호대책 7. 물리적보안 #2  (0) 2017.08.24
[K-ISMS 인증기준] 정보보호대책 7. 물리적보안 #1  (0) 2017.08.24
[K-ISMS 인증기준] 정보보호대책 6. 인적보안  (0) 2017.06.23

리눅스 표준 입출력과 리다이렉션


1. 표준 입출력


표준입력 / stdin / 0

표준출력 / stdout / 1

표준에러 / stderr / 2



2. 리다이렉션(Redirection)


write / >

append / >>

read / <



3. 응용


명령어 > 파일명 / 명령어 결과 값을 파일명에 저장

명령어 2> 파일명 / 명령어 실행 중 결과는 표준 출력하고 에러만 파일명에 저장

명령어 > 파일명 2>&1 / 명령어 결과 및 에러에 대해서 파일명에 저장

명령어 &> 파일명 / 명령어 결과 및 에러에 대해서 파일명에 저장


명령어 실행 결과 및 에러를 출력하고 동일한 결과를 파일로 저장하려고 하면 tee 명령어를 같이 사용

명령어 2>&1 | tee 파일명


저작자표시 비영리 변경금지

'Tips' 카테고리의 다른 글

[Linux] UUID(Universally Unique IDentifier) 확인하기  (0) 2017.10.29
[DNS 캐시] 윈도우 DNS 캐시 삭제하기  (0) 2017.05.24
[SMTP] open relay smtp 서버 점검하기  (0) 2017.04.06
[stty] UNIX에서 backspace 키 설정  (0) 2017.04.02
[terminal] putty 화면 깨짐 복구  (0) 2017.04.02

K-ISMS 인증기준 - 7. 물리적보안







7.2 시스템 보안



7.2.1 케이블 보안

데이터를 송수신하는 통신케이블이나 전력을 공급하는 전력 케이블은 손상을 입지 않도록 보호하여야 한다.


7.2.1.1 전력 및 통신케이블이 외부로부터의 물리적 손상이나 전기적 영향(예 : 간섭)으로부터 보호되고 있는가?

ㅇ 전력 및 통신케이블 등이 외부의 영향 없이 안정적으로 전력 및 데이터 전송이 이루어질 수 있도록 다음과 같은 보호조치를 취하여야 한다.


- 전력 및 통신케이블은 물리적으로 구분하여 배선

- 전력 및 통신케이블에 대한 식별 (어느 시스템에 연결되어 있는 지 확인 필요)

- 전력 및 통신케이블 사이의 상호간섭을 방지하기 위한 거리유지

- 케이블을 지지하고 보호할 수 있는 설비 설치 (예 : 케이블 트레이)

- 도청이나 손상이 일어나지 않도록 케이블을 보이지 않게 매설할 것

- 약전실, 강전실, 배전반 등에 대한 접근통제 등


※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '집적정보 통신시설 보호지침(고시)'

- 방송통신설비의 기술기준에 관한 규정



7.2.2 시스템 배치 및 관리

시스템은 그 특성에 따라 분리하여 배치하고 장애 또는 보안사고 발생 시 주요 시스템의 위치를 즉시 확인할 수 있는 체계를 수립하여야 한다.


7.2.2.1 정보시스템의 특성을 고려하여 배치 장소를 분리하고 있는가?

 ㅇ 서버, 네트워크 장비, 정보보호시스템, 백업장치 등 정보시스템 특성에 따라 분리하여 배치하고 전산랙(Rack)등을 이용하여 시스템을 외부로부터 보호하여야 한다.


ㅇ 개인정보 또는 사내 기밀정보 등 중요정보를 저장하고 있는 서버나 중요 네트워크 장비(백본 등)의 경우 전산랙에 잠금장치를 설치하는 등 인가된 자에 한해 접근이 가능하도록 관리하여야 한다.


7.2.2.2 정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안(배치도, 자산목록 등)을 마련하고 있는가?

ㅇ 장애 또는 보안사고 발생 시 신속한 조치를 위하여 시스템의 위치를 담당자가 즉시 확인할 수 있도록 물리적 배치도(시설 단면도, 배치도 등) 또는 목록을 마련하여 최신본으로 관리하여야 한다. 


- 또한 시스템 정보자산목록에 물리적 위치 항목을 포함하여 목록에서 언제든지 물리적 배치를 확인 가능하도록 하여야 한다.






7.3 사무실 보안



7.3.1 개인업무 환경 보안

일정시간 동안 자리를 비울 경우에는 책상 위에 중요한 문서나 저장매체를 남겨놓지 않고 컴퓨터 화면에 중요정보가 노출되지 않도록 화면보호기 설정, 패스워드 노출 금지 등 보호대책을 수립하여야 한다.


7.3.1.1 개인업무 환경에서의 정보보호에 대한 정책을 수립 ∙ 이행하고 있는가?


- 자리 이석 시 중요문서 및 저장매체 방치 금지

- 자리 이석 시 컴퓨터 화면보호기 및 패스워드 설정

- 개인용컴퓨터 보안설정

- 중요문서 파기대책 등


ㅇ 일상업무를 수행하는 사무실 환경에 대해 다음과 같은 보호대책이 명시된 정책을 수립하고 이행하여야 한다.


- 일정시간 자리 이석, 퇴근, 휴가 시 책상 위에 중요문서, 저장매체방치 금지

- 중요 문서가 보관된 서랍장, 캐비넷 잠금장치 사용

- 일정시간 컴퓨터 미사용 시 화면보호기를 설정, 재시작 시 로그인 설정, 장기간 자리 이석 시 컴퓨터 로그오프 

- 안전한 로그인 비밀번호 사용 및 주기적 변경

- 개인용컴퓨터 백신설치, 최신 패치, 공유폴더 설정 제한 

- 개인용컴퓨터 및 업무시스템 안전한 로그인 비밀번호 사용 및 주기적 변경, 로그인정보(ID, 비밀번호) 노출 금지 (포스트잇 기록 부착 등)

- 중요 정보가 포함된 문서 폐기 시 세절기를 이용한 파쇄 등

7.3.1.2 개인업무 환경에서의 정보보호 준수여부를 주기적으로 점검하고 있는가?

ㅇ 임직원으로 하여금 개인업무환경에서의 정보보호 준수여부를 자가진단하게 하고 주기적으로 관리부서에서 정보보호 준수여부를 점검하여야 한다. 


- 또한 개인업무 환경보안 미준수자는 상벌규정에 따라 관리되어야 한다. 



7.3.2 공용업무 환경 보안

사무실에서 공용으로 사용하는 사무처리 기기, 문서고, 공용 PC, 파일서버 등을 통해 중요정보 유출이 발생하지 않도록 보호대책을 마련하여야 한다.


7.3.2.1 팩스, 복사기, 프린터, 공용 PC, 파일서버, 문서고 등 공용으로 사용하는 사무장비 및 시설에 대한 보호대책을 수립 ∙ 이행하고 있는가?

 ㅇ 공용으로 사용하는 사무기기, PC, 파일서버, 문서고 등에 대해 다음과 같은 보호대책을 수립하고 이행하여야 한다.


- 공용사무기기 : 팩스, 복사기, 프린트 등의 공용사무기기 주변에 중요정보문서 방치 금지

- 공용PC : 일정기간 미사용 시 화면보호기를 설정, 재 시작 시 로그인 암호설정, 공용패스워드 사용 시 주기적으로 패스워드 변경, 중요정보 저장 제한

- 파일서버 : 파일서버 접근권한을 부서별, 업무별 등으로 부여하여 불필요한 정보공개 최소화, 사용자 별도 접근계정 발급, 공용 PC 보안대책 적용

- 문서고 : 문서고에 대한 접근권한을 부서별 혹은 업무별로 부여하여 출입가능인원을 최소화하고 CCTV 혹은 출입통제시스템을 설치하여 출입이력 관리

- 공용 사무실 : 회의실, 프로젝트룸, 화상회의실 등 공용사무실 내 중요정보 문서 방치 금지 

- 기타 공용업무환경에 대한 보안대책 수립


7.3.2.2 공용업무 환경 보안에 대한 관리자를 지정하고 준수여부를 주기적으로 검토하고 있는가?

ㅇ 공용업무 환경 보안을 담당하는 관리자를 지정하고 각 사무기기, 파일서버, 문서고 등에 적용해야 할 보호대책 준수 여부를 주기적을 점검하여야 한다. 또한 미준수 사항 발견 시 관련 내용을 임직원들에게 공고 또는 교육을 수행하여 주의를 환기시켜야 한다.

(예 : 복사기 주변 프린트물 방치 발견 시, 관련 내용을 사내메일 등을 통해 공고하여 주의 환기를 통한 재발방지 유도)




저작자표시 비영리 변경금지

'ISMS' 카테고리의 다른 글

[K-ISMS 인증기준] 정보보호대책 8. 시스템 개발보안 #2  (0) 2017.10.17
[K-ISMS 인증기준] 정보보호대책 8. 시스템 개발보안 #1  (0) 2017.10.17
[K-ISMS 인증기준] 정보보호대책 7. 물리적보안 #1  (0) 2017.08.24
[K-ISMS 인증기준] 정보보호대책 6. 인적보안  (0) 2017.06.23
[K-ISMS 인증기준] 정보보호대책 5. 정보보호교육  (0) 2017.06.23

+ Recent posts

티스토리툴바