체크 리스트 / 보안 요구사항

[체크 리스트]

● 시스템의 성능을 평가하거나 동작을 점검할 때 여러가지 기준에 대한 질문을 나열한 검사용 표

 

{정보보안 체크 리스트}

• 목적: 보안 컨설팅, 모의해킹 등의 정보자산을 보호하기 위한 점검 수행 시 취약점 점검 및 보안 상태를 확인
• 활용: 점검 항목을 나열하고 차후 테스트의 기준으로 활용

(보안 컨설팅 체크리스트)

• 대상: 전사적인 보안 상태를 확인할 수 있도록 점검 항목 구성 필요
• 고려 항목:
  • 현재 보안 수준 확인 (사전 체크리스트)
  • 법률
  • 정책
  • 인적 관리
  • 설비 (물리적)
  • 기술적 보안

(모의해킹 체크리스트)

• 목표: 기술적 보안
• 확인 항목:
  • 사전 정보 수집을 바탕으로 작성
  • 이미 알려진 리스트 또는 권고 가이드 바탕으로 작성

(고려 항목)

• 점검 대상:
  • 시스템
  • 서비스
  • 네트워크
  • 프로그램 등의 자원의 취약점 확인 점검 항목 필요
• 체크리스트 항목을 기준으로 모의해킹 시나리오 작성 가능 (위협 모델링)

---

[보안 요구사항]

{요구사항}

• 정의: 소프트웨어 공학에서 파생된 용어로, 문제 해결 또는 목적 달성을 위해 사용자에 의해 요구되거나, 표준이나 명세들을 만족시키기 위해 정보 시스템이 가져야 하는 서비스 또는 제약사항에 대한 명세
• 목적: 계약 수행, 표준 맞춤, 시스템 전체 또는 일부의 조건, 능력, 요구의 총체는 시스템의 장래 발전의 기반이 될 수 있음

{정보보호에서의 요구사항}

• 정의: 정보보호 측면에서의 질문 등으로 정보보호에 대한 미흡사항이나 취약사항이 발생되지 않도록 면밀히 검토해야 함
• 목적: 정보보호 업무 수행을 위한 관리적, 물리적, 기술적 보호대책의 구현을 위해 기업의 정보보안 정책에 명시되어야 하는 제약사항

{보안요구사항 타당성 분석}

• 목적: 보안 엔지니어링 구축 단계에서의 실현 가능성을 관리적, 물리적, 기술적 관점을 고려하여 미리 다각적으로 검토함으로써 해당 요구사항의 실질적 구축 가능성, 다양한 제약 요건을 고려한 요구사항으로서의 적절성을 판단

(관리적 타당성 분석 항목)

• 목표: 보안 요구사항 중 관리적 타당성 분석에 매핑되는 사항들 분석
  • 분석 내용:
    • 보안 관련 법령 및 제도 준수 여부
    • 보안 관련 내부 정책 및 절차 마련
    • 보안 관련 내부 조직 구성
    • 보안 관련 예산과 인력의 가용 여부
  • 필요 지식:
    • 보안 관련 법령 및 제도
    • 보안 관련 내부 정책 및 절차
    • 보안 관련 내부 조직
    • 보안 관련 예산 및 수행 인력

(물리적 타당성 분석 항목)

• 목표: 보안 등급에 따른 보안 시설 관리, 재난 복구 (전력 및 통신 포함), 사업 연속성 계획 등
  • 분석 내용:
    • 물리적 보안과 관련된 요구사항 항목 이해 및 판단
  • 필요 지식:
    • 보안 요구사항의 물리적 타당성 분석 기준 마련 (예시)

(기술적 타당성 분석 항목)

• 목표: 관리적·물리적 타당성 분석 항목 대비 많은 항목과 다양한 요소 분석
  • 분석 내용:
    • 현행 시스템 현황 조사·분석 결과에 따라 보안 기술 난이도와 가변성 고려
    • 최신 기술의 적용 필요성 분석
      • 기술 노후화로 인한 보안 취약성
      • 법령 및 제도 준수 이유로 최신 기술 적용 필요성
      • 오픈 아키텍처 기반의 호환성과 확장성을 지원할 수 있는 보안 기술
  • 보안 기술의 마인드맵:
    • 최신 보안 기술의 기능 이해
    • 보안 기술의 정의 및 관련 보안 기술과의 연관성
    • 보안 기술 적용 방안
    • 중장기관점에서의 보안 기술 아키텍처 이해
    • 원천 기술의 핵심 원리 이해
    • 향후 발전 방향성 이해

---

{보안 요구사항 중요도 결정}

• 목표: 사용자 요구사항 적용의 우선순위 정의를 위해 각 요구사항의 중요도 설정
  • 필요 지식:
    • 보안 요구사항의 관리적·물리적·기술적 중요도 설정
    • 보안 침해 발생 시 영향도 평가 방법
    • 보안 침해 예방 측면에서의 중요도 평가 방법

(보안 침해 시 발생할 수 있는 영향도 산정)

• 보안 관련 중요도: 보안 침해 발생 가능성과 보안 침해 시 파급 효과를 정량화하여 설정
  • 보안 침해 발생 가능성:
    • 실제 보안 침해로 인한 피해 정도
    • 특정 조건을 넘어섰을 때의 보안 침해 발생 가능성
    • 점수 매기기 또는 점수에 대한 상대적 비중 설정을 통한 계산 결과값 환산
  • 보안 침해 시 파급 효과:
    • 자산 가치 또는 파급 효과에 대한 점수 매기기 방식
    • 일반적인 파급 효과를 가정하여 점수 매기기
    • 보안의 3요소인 기밀성/무결성/가용성 기준에 따른 점수 매기기 방식

---

{보안 요구사항 우선순위결정}

(보안 요구사항의 우선순위 설정 기준과 항목)

• 목표: 보안 요구사항의 우선순위를 설정하는 기준을 정의
  • 필요 지식:
    • 중요도뿐만 아니라 시급성 및 용이성의 관점에서 우선순위 설정을 위한 각각의 세부 항목 도출
  • 평가 방법:
    • 도출된 항목을 기반으로 한 설문 방식으로 우선순위를 평가

(보안 요구사항의 우선순위 설정 기준과 항목)

• 중요도 기준
  • 보안 침해 발생 가능성
  • 보안 침해 시 피해 규모
  • 관리적 중요도
  • 물리적 중요도
  • 기술적 중요도
  • 각 세부 항목으로 우선순위 평가를 묻는 설문 구성 가능
• 시급성 기준
  • 보안 요구사항을 시스템으로 구현하지 않았을 경우 단기적인 보안 위협이 심각하게 대두될 수 있는 세부 내용들로 시급성 관련 세부 항목 설정 필요
  • 일반적으로 우선순위 설정에 있어 시급성 관련한 설문은 보안 요구사항을 1년 이내에 구축하지 않을 경우 발생할 문제에 대한 이해 관계자의 판단을 묻는 경우가 많음
• 용이성 기준
  • 최신 보안 기술의 적용 성숙도 및 상용화 정도 등 보안 요구사항의 구축 용이성을 판단하여 세부 항목 설정 필요
  • 용이성 관련하여 기술 자체의 성숙도와 공급 가능성을 분석
  • 조직 내부에서 보안 요구사항 관련 프로젝트와 외부 업체를 관리하여 성공적으로 사업을 수행할 수 있는 인력 보유 여부도 중요한 잣대로 간주