BSIMM은 무엇?

BSIMM은 무엇?

소프트웨어 보안의 측도 BSIMM(Building Security In Maturity Model)

소프트웨어가 안전한가? 안전하다면 얼마나 안전한 걸까? 에대해 많은 이들은 수치화 하여 보여 주기를 원한다. 이 요구사항을 충족시켜주는 보안 활동중의 하나가 BSIMM(비심이라고 읽으면 됨) 이라고 볼수 있다.  BSIMM은 단순 관찰과 보고 기능만 수행하는 소프트웨어 보안의 측도라고 할 수 있다.

BSIMM은 수년에 걸친 78개 기업(금융서비스-33, 독립소프트웨어 공급업체-27, 가전제품-13, 의료-10 일부중첩된 경우도 있음)들로 부터 얻은 데이터를 분석한 실제 소프트웨어 보안 계획에 대한 연구결과이며, 서로 다른 기관들의 실천과제를 수량화하여 다수의 기관들에서 나타나는 일반적인 근거와 각각의 기관들의 고유한 계획을 측정한 것이다.  

즉 BSIMM은 소프트웨어 보안의 "현재상황"을 수치화해서 보여주는 것이다.

2008년 첫번째 버전부터 시작해서 현재 6번째 버전인 BSIMM6을 적용하고 있다. 어떤 기술이든 용어에 대한 정의가 중요하다. 이 문서가 무엇을 말하고 있는지 어떻게 이해해야 하는지에 대한 정의이기 때문이다.

BSIMM 에서 사용하는 용어

SSG(소프트웨어 보안 그룹): 소프트웨어 보안을 실행하고 원활하게 진행되도록 전담하는 인력들이다. 아마도 보안 계획의 첫번째 단계는 우수한 SSG를 구성하는 것이다.

SSF(소프트웨어 보안 프레임워크): 소프트웨어 보안활동의 기본 틀이다. BSIMM은  4개도메인에 12개의 실천과제로 구성된 프레임워크를 사용한다.

SSDL(시큐어 소프트웨어 개발 생명주기): 통합 소프트웨어 보안 체크 포인트 및 활동이 포함된 모든 소프트웨어 개발 생명주기를 의미한다.

SDL(시큐어 개발 생명주기): 마이크로소프트에서 자사의 소프트웨어를 안전하게 개발하기 위해 적용한 개발방법론이다.

활동 : 실천과제의 일환으로 SSG에서 수행하거나 진행시키는 활동

실천과제 : BSIMM의 SSF는 4개의 도메인으로 구성되고,  

              각 도메인은 3가지의 실천과제로 구성되어 있다.

도메인 : 관리, 정보, SSDL 접점 및 전개로 나뉜다.

BSIMM6의 구조

4도메인, 12개의 실천과제로 구성 되어 있다.

Goverance : 소프트웨어 보안 계획의 구성 및 관리, 측정  관련 활동.

                 인력개발도 주요 실천과제중의 하나이다.

Intelligence : 조직전반에서 소프트웨어 보안 활동을 수행하는데 사용된 기업정보 수집관련 활동 

                 선제적 보안지침과 조직 위협모델링이 포함된다. 

SSDL Touchpoints : 특정소프트웨어 개발 산출물 및 프로세스의 분석, 보증 관련된 활동 

                 모든 소프트웨어 보안 방법에는 이 실천과제들이 포함 된다.

Deployment : 네트워크 보안 및 소프트웨어 유지보수 조직과 소통 관련 활동

                 소프트웨어 보안에 직접적인 영향을 미치는 소프트웨어 구성 및 유지보수, 기타 환경문제가 포함 된다.

BSIMM7.PDF(영문) 다운로드 :  BSIMM7.pdf

BSIMM6.PDF(한글) 다운로드 :  eNsecure_BSIMM6_kor.pdf