소프트웨어 개발 수명주기(SDLC)(시스템 개발 수명주기라고도 함)는 소프트웨어 시스템을 생성하거나 변경하는 프로세스와 사람들이 이러한 시스템을 개발하는 데 사용하는 모델 및 방법론입니다.
NIST SP 800-64 개정 2에는 3.2.1항의 설명 섹션이 포함되어 있습니다.
이 섹션에서는 두 번째 SDLC 단계에 고유한 보안 고려 사항을 설명합니다. 이 단계의 주요 보안 활동은 다음과 같습니다.
위험 평가를 수행하고 결과를 사용하여 기본 보안 제어를 보완합니다.
보안 요구 사항을 분석합니다.
기능 및 보안 테스트를 수행합니다.
시스템 인증 및 인정을 위한 초기 문서를 준비합니다. 그리고
보안 아키텍처를 설계합니다.
이 출판물을 검토하면서 개발/인수를 선택할 수도 있습니다. 시작하는 것이 괜찮은 선택이기는 하지만 이 단계에서는 보안 요구 사항에 대한 아이디어만 브레인스토밍한다고 말하는 것이 옳습니다. 하드웨어/소프트웨어 구성 요소를 개발하고 획득하기 시작하면 이에 대한 보안 제어도 개발하게 됩니다. 아래의 Shon Harris 참조도 정확합니다.
Shon Harris의 저서(올인원 CISSP 인증 시험 가이드)에서는 SDLC를 다음과 같이 구분합니다.
프로젝트 착수 기능 설계 분석 및 기획 시스템 설계 사양 소프트웨어 개발 설치 유지보수 지원 수정 및 교체
저자(Shon Harris)에 따르면 보안 요구사항은 기능 설계 분석 및 계획 단계에서 개발되어야 합니다.
NIST 800-64에서 SDLC 포지셔닝
기업에서의 SDLC 포지셔닝 정보 시스템 보안 프로세스 및 활동은 IT 시스템 및 개발 관리에 귀중한 입력을 제공하여 위험 식별, 계획 및 완화를 가능하게 합니다. 위험 관리 접근 방식에는 전체 정보 시스템 개발 수명 주기 전반에 걸쳐 기관 정보 및 자산 보호와 보안 통제 비용 및 완화 전략의 균형을 지속적으로 맞추는 것이 포함됩니다(위의 그림 2-1 참조). 위험 관리를 구현하는 가장 효과적인 방법은 기관 전체의 시스템적 취약점은 물론 중요한 자산과 운영을 식별하는 것입니다. 위험은 공유되며 조직, 수익원 또는 토폴로지에 구속되지 않습니다. 중요한 자산과 운영 및 상호 연결에 대한 식별 및 검증은 시스템 보안 계획 프로세스뿐만 아니라 CPIC(자본 계획 및 투자 통제) 및 EA(엔터프라이즈 아키텍처) 프로세스의 정보 편집을 통해 달성될 수 있습니다. 기관의 핵심 사업 운영, 지원 자산, 기존 상호의존성 및 관계.
중요한 자산과 운영이 파악되면 조직은 비즈니스 영향 분석(BIA)을 수행할 수 있고 수행해야 합니다. BIA의 목적은 시스템 및 자산을 제공하는 중요한 서비스와 연결하고 중단의 결과를 평가하는 것입니다. 이러한 시스템을 식별함으로써 기관은 우선 순위를 설정하여 보안을 효과적으로 관리할 수 있습니다. 이를 통해 보안 사무실은 IT 프로그램의 비용 효율적인 성능을 촉진할 뿐만 아니라 해당 기관에 대한 비즈니스 영향과 가치를 명확하게 설명할 수 있습니다.
NIST 800-64의 SDLC 개요 NIST 800-64 개정 2의 SDLC 개요
NIST 800-64 개정 2는 NIST 표준 내 출판물 중 하나입니다.
SDLC에 대한 자세한 내용을 살펴보는 것이 좋습니다. 무엇인지 아주 자세하게 설명되어 있습니다.
활동이 발생하며 각 단계에 대한 멋진 다이어그램이 있습니다.
SDLC. 다음에서 사본을 찾을 수 있습니다:
http://csrc.nist.gov/publications/nistpubs/800-64-Rev2/SP800-64-Revision2.pdf
논의:
단계 이름에 관한 한 소스마다 약간 다른 정보가 표시됩니다.
사람들은 때때로 일부 NIST 표준과 혼동을 느낍니다. 예를 들어 NIST
800-64 정보 시스템 개발 수명주기의 보안 고려 사항은
이름은 약간 다르지만 활동은 대부분 동일합니다.
NIST는 보안 요구 사항이 모든 과정에서 고려되어야 함을 명확하게 지정합니다.
단계. 어떤 단계에 대한 질문이 있는 경우 여기의 키워드가 고려됩니다.
기능적 디자인 분석보다 개발하는 것이 올바른 선택이 될 것입니다.
NIST 표준 내에서는 다른 단계를 사용하지만 두 번째 단계에서는
보안 기능 요구사항 분석에 대해 구체적으로 이야기하는 것을 보게 될 것입니다.
아직 초기 단계가 아니라는 것을 확인시켜주기 때문에 답을 찾기가 더 쉬워집니다.
이 질문. 다음은 명시된 내용입니다.
보안기능요구사항 분석에서는 기업정보보안정책, 기업보안아키텍처 등 시스템 보안환경을 고려한다. 분석에서는 정보의 기밀성, 무결성 및 가용성에 대한 모든 요구 사항을 다루어야 하며 관련 법률, 규정 및 지침에 포함된 모든 법적, 기능적 및 기타 보안 요구 사항에 대한 검토가 포함되어야 합니다.
초기 단계에서는 아직 보안 요구 사항을 생성할 만큼 세부적인 내용이 충분하지 않습니다. 나열된 모든 문제에 대해 주로 브레인스토밍을 하고 있지만 해당 단계에서 모든 문제를 개발하지는 않습니다.
정보 시스템 개발 수명 주기(SDLC) 초기에 보안을 고려하면 나중에 더 높은 비용을 방지하고 처음부터 보다 안전한 시스템을 개발할 수 있습니다.
NIST에 따르면 NIST의 정보 기술 연구소는 최근 Tim Grance, Joan Hash 및 Marc Stevens가 작성한 정보 시스템 개발 수명 주기의 보안 고려사항인 특별 간행물(SP) 80064를 발행하여 조직이 모든 계획에 보안 요구 사항을 포함할 수 있도록 지원했습니다. 시스템 수명주기 단계에서 적절하고 비용 효율적인 보안 제어를 선택, 획득 및 사용합니다.
이 모든 것이 매우 까다롭다는 점을 인정해야 하지만, 이 시험에서는 독해 능력과 핵심 단어에 주의를 기울이는 것이 필수입니다.
참고자료:
HARRIS, Shon, 올인원 CISSP 인증 시험 가이드, McGraw-Hill/Osborne, 5판, 956페이지 및 NIST S-64 개정 2(http://csrc.nist.gov/publications/nistpubs/800-64) -Rev2/SP800-64Revision2.pdf 및 http://www.mks.com/resources/resource-pages/software-development-life-cycle-sdlcsystem-development
