| 양쪽 이전 판이전 판다음 판 | 이전 판마지막 판양쪽 다음 판 |
| wiki_security_corp:a_금융사_정보시스템_개발_보안컨설팅_사례 [2014/08/26 06:41] – wiki1122 | wiki_security_corp:a_금융사_정보시스템_개발_보안컨설팅_사례 [2015/04/13 02:11] – wiki1122 |
|---|
| {{keywords>정보보안컨설팅,보안컨설팅,정보시스템개발,사례,금융보안,개발보안,보안위협시나리오,보안설계,잔존위험,소스보안취약점진단,보안적용가이드,개발자보안교육,보안취약점조치,보안사고,보안성심의,정보보안요구사항,정보보안요건,프로젝트성공요인,컨설팅산출물}} | {{keywords>정보보안컨설팅,보안컨설팅,정보시스템개발,사례,금융보안,개발보안,보안위협시나리오,보안설계,잔존위험,소스보안취약점진단,보안적용가이드,개발자보안교육,보안취약점조치,보안사고,보안성심의,정보보안요구사항,정보보안요건,프로젝트성공요인,컨설팅산출물}} |
| | |
| | * 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) [[info@wikisecurity.net]] |
| | |
| ===== A 금융사 정보시스템 개발 보안컨설팅 사례 ===== | ===== A 금융사 정보시스템 개발 보안컨설팅 사례 ===== |
| |
| ==== [ IT 및 정보보안 환경 ]==== | ==== [ IT 및 정보보안 환경 ]==== |
| * 비즈니스 및 IT 환경 | * 비즈니스 및 IT 환경 |
| 고객사의 제1금융기관으로써 기존의 PC기반의 인터넷뱅킹 서비스와 더불어 스마트폰을 이용한 다양한 금융거래 및 상품소개 서비스를 제공하기 위하여 지속적인 개발과 업그레이드를 추진하고 있다.\\ | 고객사 제1금융기관으로서 기존의 PC기반의 인터넷뱅킹 서비스와 더불어 스마트폰을 이용한 다양한 금융거래 및 상품소개 서비스를 제공하기 위하여 지속적인 개발과 업그레이드를 추진하고 있다.\\ |
| 전국의 스마트폰 사용자가 3천만명을 넘어선 현 상황은 고객사의 비즈니스 측면에서 스마트폰을 이용하여 다양한 고객 확보와 손쉬운 금융거래서비스를 제공함으로써 기존 고객에 대한 금융상품 확대와 신규고객 확보를 위한 좋은 고객 채널이다. \\ | 전국의 스마트폰 사용자가 3천만명을 넘어선 현 상황은 고객사의 비즈니스 측면에서 스마트폰을 이용하여 다양한 고객 확보와 손쉬운 금융거래서비스를 제공함으로써 기존 고객에 대한 금융상품 확대와 신규고객 확보를 위해 스마트폰은 좋은 고객 채널이다. \\ |
| * 정보보호 환경 | * 정보보호 환경 |
| 금융감독위원회의 감독하에 있는 A은행은 정보시스템 개발시 준수해야 하는 절차와 방법들을 표준화하여 운영하고 있으며 하이브리드 앱 방식의 신규 서비스상의 관련 규정 및 지침의 부합 여부와 기술적 보안 취약점을 방지하기 위하여 개발 단계별 보안성 검토와 취약점 진단을 수행하였다. | 금융감독위원회의 감독아래 있는 A은행은 정보시스템 개발시 준수해야 하는 절차와 방법들을 표준화하여 운영하고 있으며 하이브리드 앱 방식의 신규 서비스상의 관련 규정 및 지침의 부합 여부와 기술적 보안 취약점을 방지하기 위하여 개발 단계별 보안성 검토와 취약점 진단을 수행하였다. |
| |
| ==== [ 주요 Activity와 산출물 ]==== | ==== [ 주요 Activity와 산출물 ]==== |
| | 분석 단계 보안 | - 관련 법, 규정, 지침상의 보안요구사항 분석 \\ - 개발된 정보시스템 분석 및 기술적 보안 요구사항 분석 \\ - 개발환경 보안요구사항 파악 \\ - 관련 보안사고 관련사례 원인파악 및 요건반영|- 보안 요구사항 정의서 \\ (개발환경, 기술요소, 법/제도적 요건 등) | | | 분석 단계 보안 | - 관련 법, 규정, 지침상의 보안요구사항 분석 \\ - 개발된 정보시스템 분석 및 기술적 보안 요구사항 분석 \\ - 개발환경 보안요구사항 파악 \\ - 관련 보안사고 관련사례 원인파악 및 요건반영|- 보안 요구사항 정의서 \\ (개발환경, 기술요소, 법/제도적 요건 등) | |
| | 설계 단계 보안 | - 발생가능한 보안 위협시나리오 분석 \\ - 보안요건별 보안대책 가이드 \\ - 개발자 보안 정책,가이드의 개발 및 교육 |- 보안위협 시나리오 분석서 \\ - 보안요건별 보안적용 가이드 \\ - 개발자 보안가이드 | | | 설계 단계 보안 | - 발생가능한 보안 위협시나리오 분석 \\ - 보안요건별 보안대책 가이드 \\ - 개발자 보안 정책,가이드의 개발 및 교육 |- 보안위협 시나리오 분석서 \\ - 보안요건별 보안적용 가이드 \\ - 개발자 보안가이드 | |
| | 개발 단계 보안 | - 정보보안 요건 적용시 이슈사항 자문 \\ - 보안 솔루션 구축 \\- 개발소스에 대한 보안점검 수행 및 교정\\ - 정보시스템 구성요소별 취약점 진단 점검 계획수립 |- 소스 취약점 진단결과서 \\ - 보안취약점 진단 계획서 | | | 개발 단계 보안 | - 정보보안 요건 적용시 이슈사항 자문 \\ - 보안 솔루션 구축 - 개발소스에 대한 보안점검 수행 및 교정\\ - 정보시스템 구성요소별 취약점 진단 점검 계획수립 |- 소스취약점 진단결과서 \\ - 보안취약점 진단계획서 | |
| | 테스트 단계 보안 | - 구성요소별 보안취약점 진단 및 조치방안 제시 \\ - 발견된 취약점의 조치와 취약점 진단 반복수행 \\ - 잔존위험 파악 및 대책수립 |- 보안 취약점 진단 결과보고서 \\ - 보안 취약점 진단 종합보고서 | | | 테스트 단계 보안 | - 구성요소별 보안취약점 진단 및 조치방안 제시 \\ - 발견된 취약점의 조치와 취약점 진단 반복수행 \\ - 잔존위험 파악 및 대책수립 |- 보안취약점 진단 결과보고서 \\ - 보안취약점 진단 종합보고서 | |
| |
| ==== [ 프로젝트 CSF ]==== | ==== [ 프로젝트 CSF ]==== |
| * 보안요건을 개발자가 구현할 수 있도록 정확한 구현 방안 수준의 가이드 제시 | * 보안요건을 개발자가 구현할 수 있도록 정확한 구현 방안 수준의 가이드 제시 |
| * 정보시스템 개발 요구사항 변경에 따른 즉시적 보안요건 변경관리 | * 정보시스템 개발 요구사항 변경에 따른 즉시적 보안요건 변경관리 |
| * 반복적인 보안 취약점 진단과 조치에도 불구하고 상존할 수 밖에 없는 보안 취약점에 대한 유효 적절한 보안대책 수립 | * 반복적인 보안 취약점 진단과 조치에도 불구하고 상존할 수밖에 없는 보안 취약점에 대한 유효 적절한 보안대책 수립 |
