차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

wiki_security_corp:a_금융사_정보시스템_개발_보안컨설팅_사례 [2015/03/17 12:51]
wiki1122
wiki_security_corp:a_금융사_정보시스템_개발_보안컨설팅_사례 [2017/08/21 15:18]
줄 1: 줄 1:
-{{keywords>​정보보안컨설팅,​보안컨설팅,​정보시스템개발,​사례,​금융보안,​개발보안,​보안위협시나리오,​보안설계,​잔존위험,​소스보안취약점진단,​보안적용가이드,​개발자보안교육,​보안취약점조치,​보안사고,​보안성심의,​정보보안요구사항,​정보보안요건,​프로젝트성공요인,​컨설팅산출물}} 
-===== A 금융사 정보시스템 개발 보안컨설팅 사례 ===== 
  
-==== [ 고객사 ]==== 
-A금융사(제1금융권 금융업체) 
- 
-==== [ 프로젝트 배경 및 주제 ]==== 
-제1금융권인 고객사는 전자금융감독규정에 따라 정보시스템 개발 또는 구축시 보안성심의를 하도록 규정하고 있으며, 신규 개발되는 정보시스템은 스마트폰을 이용한 금융서비스가 주요 내용이기 때문에 기존의 감독규정이외에도 신규로 하달되는 각종 지침, 종합대책 등과 같은 Compliance측면의 (개인)정보보호요건들을 분석, 설계, 개발, 테스트 단계에 반영하여 보안상의 안전성을 확보하는 것이 목적이다. 
- 
-==== [ 프로젝트 기간 ]==== 
-2013년 약 6개월간 수행 
- 
-==== [ IT 및 정보보안 환경 ]==== 
-  * 비즈니스 및 IT 환경 
-고객사 제1금융기관으로서 기존의 PC기반의 인터넷뱅킹 서비스와 더불어 스마트폰을 이용한 다양한 금융거래 및 상품소개 서비스를 제공하기 위하여 지속적인 개발과 업그레이드를 추진하고 있다.\\ ​ 
-전국의 스마트폰 사용자가 3천만명을 넘어선 현 상황은 고객사의 비즈니스 측면에서 스마트폰을 이용하여 다양한 고객 확보와 손쉬운 금융거래서비스를 제공함으로써 기존 고객에 대한 금융상품 확대와 신규고객 확보를 위해 스마트폰은 좋은 고객 채널이다. \\ 
-  * 정보보호 환경 ​ 
-금융감독위원회의 감독아래 있는 A은행은 정보시스템 개발시 준수해야 하는 절차와 방법들을 표준화하여 운영하고 있으며 하이브리드 앱 방식의 신규 서비스상의 관련 규정 및 지침의 부합 여부와 기술적 보안 취약점을 방지하기 위하여 개발 단계별 보안성 검토와 취약점 진단을 수행하였다. 
- 
-==== [ 주요 Activity와 산출물 ]==== 
-^  수행 단계 ​ ^  주요 수행 내용 ​ ^  결과 산출물 ​ ^ 
-|  분석 단계 보안 ​ | - 관련 법, 규정, 지침상의 보안요구사항 분석 \\ - 개발된 정보시스템 분석 및 기술적 보안 요구사항 분석 \\ - 개발환경 보안요구사항 파악 \\ - 관련 보안사고 관련사례 원인파악 및 요건반영|- 보안 요구사항 정의서 \\ (개발환경,​ 기술요소,​ 법/​제도적 요건 등) | 
-|  설계 단계 보안 ​ | - 발생가능한 보안 위협시나리오 분석 \\ - 보안요건별 보안대책 가이드 \\ - 개발자 보안 정책,​가이드의 개발 및 교육 |- 보안위협 시나리오 분석서 \\ - 보안요건별 보안적용 가이드 \\ - 개발자 보안가이드 | 
-|  개발 단계 보안 ​ | - 정보보안 요건 적용시 이슈사항 자문 \\ - 보안 솔루션 구축 - 개발소스에 대한 보안점검 수행 및 교정\\ - 정보시스템 구성요소별 취약점 진단 점검 계획수립 ​ |- 소스취약점 진단결과서 \\ - 보안취약점 진단계획서 | 
-|  테스트 단계 보안 ​ | - 구성요소별 보안취약점 진단 및 조치방안 제시 \\ - 발견된 취약점의 조치와 취약점 진단 반복수행 \\ - 잔존위험 파악 및 대책수립 |- 보안취약점 진단 결과보고서 \\ - 보안취약점 진단 종합보고서 ​ | 
- 
-==== [ 프로젝트 CSF ]==== 
-  * 구축되는 정보시스템에 대한 정확한 이해 (시스템 구성요소,​ 프로트콜 등) 
-  * 상위감독기관 및 관련 지침, 가이드에서 언급된 정확한 보안요건의 도출 
-  * 보안요건을 개발자가 구현할 수 있도록 정확한 구현 방안 수준의 가이드 제시 
-  * 정보시스템 개발 요구사항 변경에 따른 즉시적 보안요건 변경관리 
-  * 반복적인 보안 취약점 진단과 조치에도 불구하고 상존할 수밖에 없는 보안 취약점에 대한 유효 적절한 보안대책 수립