달력

4

« 2020/4 »

  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  •  
  •  

   

정보화사업 수주사업자 보안활동

정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동

   

   

1)사업자선정 •계약단계

사업자는 제안요청서의 내용을 반영하여 제안서와 사업수행계획서를 작성합니다.

   

  • SW 개발보안 적용계획(안) 수립
  • 제안서와 사업수행계획서에 SW 개발보안 적용계획 명시

   

   

2) 개발 •구축

사업자는 제안서의 내용이 충실히 수행될 수 있도록 필요한 개발보안 활동을 수행합니다.

   

  • 개발자 대상의 SW 개발보안 사전교육 • 수강
  • SW 개발보안가이드준수
  • SW보안약점 진단 및 제거 조치(검증된 진단도구 적용)
  • 보안약점 진단 및 제거에 관한 증적자료 작성

   

   

3) 감리

사업자는 감리업체의 진단보고서를 토대로 개발보안 활동이 충실히 수행될 수 있도록 합니다.

   

  • SW 보안약점 관련 시정요구 이행

   

   

4) 검사•종료

사업자는 사업종료를 위해 개발보안과 관련된 제반 조치 사항을 수행합니다.

   

  • SW 보안약점이 제거된 사업결과물 및 증빙서류등 제출

   

Posted by codedragon codedragon

댓글을 달아 주세요

   

정보화사업 발주기관 보안활동

정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동

   

   

1)기획 ·검토, 계획수립

행정기관등의 발주자는 신규 사업을 발굴하여 사업계획서를 작성 및 검토합니다.

사업계획서에는 수립된 SW 개발보안적용계획이 반영되어야 합니다.

   

  • 안전행정부주최 'SW 개발보안교육'수강(권장)
  • SW 개발보안 적용계획 수립
  • SW 개발보안 적용 및 결과 확인방법 마련
    • 감리 수행시, 감리법인 활용계획 수립
    • 감리 미수행시, 자체인력 또는 SW 보안약점 진단원 활용계획 수립

   

   

2) 사업자 선정 계약

행정기관등의 발주자는 제안요청서에 근거하여 사업자 선정 및 계약을 수행해야 합니다.

   

  • 제안요청서에 'SW 개발보안'요구사항 반영
  • 제안서 평가를 통해 요구사항을 만족하는 사업자 션정

   

   

3) 개발 구축 

행정기관등의 발주자는 전개된 사업자와 감리법인, SW 보안약점 진단원 등에게 제안요청서에 나와 있는 SW 개발보안 활동을 충실히 수행할 수 있도록 요청해야 합니다.

   

  • SW 개발보안 준수여부 점검

   

   

4) 감리

행정기관등의 발주자는 진단능력을 갖춘 감리법인 및 SW 보안약점 진단원 등을 선정합니다.

   

  • 감리법인 선정 및 계획 협의
  • (감리 비대상) SW 보안약점 진단원 등 외부전문가 선정 및 계획 협의

   

   

5) 검사 ·종료 

행정기관등의 발주자는 사업종료와 관련하여 SW개발보안 준수여부를 최종 확인합니다.

   

  • 사업결과물 및 감리보고서 등 중요서류 확인
  • 증빙서류의 검토를 통한 SW 개발보안 준수여부 최종 확인

   

Posted by codedragon codedragon

댓글을 달아 주세요

정보화사업 단계/활동

   

행정기관등의 정보화사업 단계

기획 · 검토, 계획수립, 사업자선정 · 계약, 개발 및 구축, 감리, 검사 · 종료 단계로 구분

   

   

정보화사업 주체별 보안활동

사업단계

발주기관

사업자

감리법인

기획·검토

(SW 개발보안 교육수강)

-

-

계획수립

SW 개발보안계획수립

-

-

사업자 선언 및 계약

  • 제안요청서에 SW개발 보안 요구사항 반영
  • SW개발보안 능력을 갖춘 사업자 선정

SW개발보안 관련 기술수준 및 적용계획 명시

  • 감리계획 수립 및 협의
  • 진단도구 적용 및 진단원 투입여부등 포함

개발 및 구축

  • SW개발보안 준수여부 점검
  • 사전교육 실시, 자체진단/제거 활동, 진단도구 적용여부 등
  • SW개발보안 교육수강
  • SW개발보안 가이드 준수
  • SW보안약점 진단 및 제거 조치
  • 검증된 진단도구 적용
  • SW개발보안 중간점검
  • 사전교육수강, 진단도구 적용여부 등

감리

  • SW 개발보안 진단능력을 갖춘 감리법인 선정
  • 검증된 진단도구 및 진단원 활용여부 등 고려

SW보안약점 관련 시정 요구 이행

  • SW개발보안 최종확인
  • 보안 약점 존재여부 확인 및 필요시 시정요구 및 이행점검

검사 및 종료

  • 사업결과물 및 증빙서류 등 최종 확인
  • 필요시 전문가 활용

SW보안약점이 제거된 사업결과물 및 증빙서류 등 제출

-

 

Posted by codedragon codedragon

댓글을 달아 주세요

   

SW 개발보안 체계

   

SW 개발보안관련 활동주체는 발주기관(행정기관등), 사업자, 감리법인 등이며

각 활동주체별로 잘 정의된 개발보안 활동과 서로간의 유기적인 협력이 필요합니다

   

   

활동 주체별 개발보안의 역할

구분

내용

기관

안전행정부

•국정원과 협의하여 'SW 개발보안 가이드' 공지

•진단원 양성과 관련된 업무 수행

•교육 및 자격부여, 자격유무 확인 등

KISA

(정책·기술지원)

발주기관

•SW 개발보안 계획 수립

•제안요청서에 'SW 개발보안 적용 명시

•SW 개발보안 능력을 갖춘 사업자 선정

•SW 개발보안 준수여부 점검

•SW 개발보안 진단능력을 갖춘 감리법인 선정

•사업종료 결과물 및 증빙서류 등 최종 확인

발주자

사업자

•SW 개발보안 관련 기술수준 및 적용계획 명시

•개발인력 대상 SW 개발보안 관련 교육 실시

•SW 개발보안 가이드를 참조하여 개발

•자체적으로 보안약점 진단 및 제거

•SW 보안약점 관련 시정요구 이행

•SW 보안약점이 제거된 사업결과물 및 증빙서류 등 제출

 -

감리법인

•감리계획수립 및 협의

•SW 보안약점 제거여부 진단 및 조치결과 확인

진단도구 사용시, CC인증(국정원)받은 도구 사용('2014년 1월부터 적용)

진단원활용

   

   

출처

안행부, SW개발보안가이드

Posted by codedragon codedragon

댓글을 달아 주세요

   

목적

구분

설명

목적

정보화 사업 수행 시 안전한 SW 개발을 위한 시큐어코딩 기법 제시

대상

전자정부 SW 개발자

범위

신규로 개발되거나 유지보수로 변경되는 소스코드 개발시 적용

(행정기관등이 추진하는 정보화 사업 단계 중 구현단계에 초점) 

   

행정기관 등

전자정부법 제2조에서 정의하는 행정기관, 공공기관

구분

설명

행정기관

  • 국회·법원·헌법재판소·중앙선거관리위원회의 행정사무를 처리하는 기관,
  • 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다. 이하 같다) 및 그 소속 기관,
  • 지방자치단체

공공기관

  • 「공공기관의 운영에 관한 법률」 제4조에 따른 법인·단체 또는 기관
  • 「지방공기업법」에 따른 지방공사 및 지방공단
  • 특별법에 따라 설립된 특수법인
  • 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교
  • 그 밖에 대통령령으로 정하는 법인·단체 또는 기관

http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%84%EC%9E%90%EC%A0%95%EB%B6%80%EB%B2%95/%EC%A0%9C2%EC%A1%B0/

   

   

가이드 구성

구분

설명

2장

SW 개발보안 의무화 대상 · 범위 · 기준과 정보화사업 단계별 · 기관별(주체별) 개발보안활동 소개

3장

SW 보안약점에 대한 설명 및 보안대책과 JAVA 및 C 언어로 작성된 안전 하지 않은 코딩 예제 기반의 시큐어코딩 예시 소개

부록

용어정리,

SW 보안약점 항목,

참고자료

   

   

활용

구분

설명

발주자

SW 보안약점 진단 • 제거 요구사항 도출시 활용

사업자

시큐어코딩을 적용한 SW 개발시 활용

기 타

SW 보안약점 제거 진단 및 조치 확인 시 활용

 

Posted by codedragon codedragon

댓글을 달아 주세요

SW 개발보안

SW 개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW 개발단계에서 사전에 제거하고 SW 개발생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발 · 운영하기 위한 목적으로 적용하는 개발체계입니다.

   

가이드에는

  • SW 개발과정 중 소스코드 구현단계에서 보안약점을 배제하기 위한 '시큐어코딩' 중심
  • 발주자, 사업자, 감리법인 등 다양한 참여 주체가 기획 · 검토 단계부터 개발, 검사 · 종료에 이르는 다양한 단계에서의 수행해야 할 활동을 포괄적으로 정의

   

   

20138월에 개정 · 고시된 '행정기관및 공공기관 정보시스댐 구축 · 운영 지침(안전행정부고시 2013-36)'

개발보안과 관련하여 행정기관 및 공공기관이 정보화사업을 추진할 경우 준수해야 할 SW 개발보안 기준 및 절차 등이 정의되어 있습니다.

   

구분

설명

비고

대상

• 정보시스템 감리대상 정보화사업

-('14.1월) 사업규모 20억원 이상 ('15.1월) 감리대상 전사업

단계적확대

범위

•소스코드(신규개발 전체, 유지보수로 변경된 부분)

상용SW 제외

기준

•SW 보안약점 기준(SQL 삽입 등 47개 항목)

-행정기관 및 공공기관 정보시스템 구축 • 운영 지침 '별표3'

정보시스템 감리기훈(제110조 제11항 세부검사항목)에 포함

진단기준

기타

• 감리법인이 진단도구 사용시, 국정원장이 인증한 도구 사용

-정보보호시스템 평가 • 인증 지침

'14.1월부터 적용

기타

• 감리법인은 SW 보안약점 진단시, 진단원을 우선적으로 배치

-감리대상外 사업은 자체적으로 SW 보안약점 진단 • 제거결과 확인

-행정기관 및 공공기관 정보시스템 구축 • 운영 지침 '별표4'

진단원활용

   

'행정기관및 공공기관 정보시스템 구축운영 지침'에 따른 SW 개발보안 적용 의무화

구분

설명

2014년1월~

정보시스템 감리대상 정보화사업(사업규모 20억 원 이상〉을 대상으로 시행

~2015년까지

전체 감리대상 정보화사업으로 의무화 대상을 확대

   

비용대비 효과를 고려하여 개발단계 중 구현과정에서 SW보안취약점의 원인이 될수 있는 SW 보안약점이 발생하지 않도록 SW 개발자가 안전하게 SW를 구현할 수 있는 시큐어코딩 기법 가이드

Posted by codedragon codedragon

댓글을 달아 주세요

   

   

국내의 개발보안 현황

구분

현황

2009년~

SW 개발단계에서 SW 보안약점을 진단하여 제거하는 SW 개발보안 (시큐어코딩) 관련 연구 진행

2009년~2011년

전자정부지원사업을 대상으로 SW 보안약점 진단 시범사업 수행

2012년~

SW 보안약점 제거 · 조치 성과에 따라 2012년SW 개발보안 제도가 도입되어 12월부터는 행정/공공기관들의 시큐어코딩 의무제 시행

 

Posted by codedragon codedragon

댓글을 달아 주세요

   

   

미국

   

  • SW 개발보안의 중요성을 인식한 미국
  • 국토안보부(DHS)를 중심으로 시큐어코딩을 포함한 SW 개발 전 과정(설계 · 구현 · 시험 등)에 대한 보안활동 연구를 활발히 진행
  • 2011년 11월 발표한 "안전한사이버 미래를 위한 청사진(Blueprint for a Secure Cyber Fututure))"에도 개발보안의 중요성이 나타나 있습니다.
  • NIST를 통해 국토안보부는 각 단계별 보안활동 및 절차를 표준화하고 연방정부에서 정보시스템 구축 · 운영시 참고하도록 하고 있습니다.

   

   

Posted by codedragon codedragon

댓글을 달아 주세요

Microsoft

Benefits of the SDL

http://www.microsoft.com/security/sdl/about/benefits.aspx

   

Posted by codedragon codedragon

댓글을 달아 주세요

SW 개발보안 중요성 

취약점으로 인한 수정 비용 증가

보안에 대한 고려 없이 개발된 소프트웨어의 유지보수(추후 수정)비용은 시큐어코딩에 드는 비용의 수십 배에 달하기 때문에 시큐어코딩은 비용적면에서도 매우 효과적인 개발방식으로 평가되고 있습니다. 

   

SDLC 단계별 비용

구분

설계단계

코딩단계

통합단계

베타제품

제품출시

설계과정

1배

5배

10배

15배

30배

코딩과정

-

1배

10배

20배

30배

통합과정

-

-

1배

10배

20배

개발의 가장 기초과정인 설계과정에서부터 보안에 초점을 맞추고 제작 후에 발생할 수 있는 취약 가능성을 최소화하여 안전한 소프트웨어를 만들어야 한다는 필요성에 대해 널리 알려지고 인식되어지고 있습니다.

   

 

 

   

출처:

http://www.microsoft.com/security/sdl/about/benefits.aspx

   

NIST, The Economis Impacts of Inadequate Infrasturcture for Software Testing, 200205

http://www.nist.gov/director/planning/upload/report02-3.pdf

Table 5-2. Preliminary Estimates of Relative Cost Factors of Correcting Errors as a Function of

Where Errors Are Introduced and Found (Example Only)

Posted by codedragon codedragon

댓글을 달아 주세요