ISMS-P 인증심사원 인증 기준 풀이 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
*'''상위 문서: [[ISMS-P 인증심사원 교본]]''' | *'''상위 문서: [[ISMS-P 인증심사원 교본]]''' | ||
결함을 찾는 문제가 헷갈리는 이유는 | 결함을 찾는 문제가 헷갈리는 이유는 1. 일부 심사가준에 제목으로 유추하기 힘든 확인사항들이 포함된 경우, 2. 하나의 원인으로 인해 여러 심사기준상의 결함이 발생한 경우가 많기 때문이다. 1번의 경우엔 심사 기준을 정독함으로써 어느 정도 해결이 가능하나, 2번은 가장 근본 적인 원인(root cause)이 되는 결함을 찾는 매커니즘의 이해와 훈련이 필요하다. 모의고사 등을 통해 하나의 원인으로 여러 기준상의 결함이 발생하는 사례들을 확인하고, 해설지 등을 통해 root cause를 찾는 방법을 파악해야 한다. 이는 중복되는 기준들에 따라 판단 근거가 매번 달라지므로 일관된 규칙이나 공식은 없다. 심지어는 심사 현장에서 관례적으로 이루어지는 내용들도 있으므로 사례를 많이 접하고 익히는 것이 중요하다. | ||
== 유사한 인증 기준 == | == 유사한 인증 기준 == | ||
* [[ISMS-P 인증 기준 1.1.3.조직 구성|'''1.1.3.조직 구성''']] vs [[ISMS-P 인증 기준 1.1.6.자원 할당|'''1.1.6.자원 할당''']] | * [[ISMS-P 인증 기준 1.1.3.조직 구성|'''1.1.3.조직 구성''']] vs [[ISMS-P 인증 기준 1.1.6.자원 할당|'''1.1.6.자원 할당''']] | ||
16번째 줄: | 13번째 줄: | ||
** 위험평가 결과에 맞는 보호대책을 선정하고 이행 계획을 승인 받는 과정이 미흡할 경우엔 1.2.4 | ** 위험평가 결과에 맞는 보호대책을 선정하고 이행 계획을 승인 받는 과정이 미흡할 경우엔 1.2.4 | ||
** 선정된 보호대책이 일부 이행되지 않았거나 미흡하게 이행된 경우 1.3.1 | ** 선정된 보호대책이 일부 이행되지 않았거나 미흡하게 이행된 경우 1.3.1 | ||
* [[ISMS-P 인증 기준 3.1.1.개인정보 수집 제한|'''3.1.1 개인정보 수집 제한''']] vs [[ISMS-P 인증 기준 3.1.2.개인정보의 수집 동의|'''3.1.2 개인정보 수집 동의''']] | |||
* [[ISMS-P 인증 기준 1.4.2.관리체계 점검|'''1.4.2.관리체계 점검''']] vs [[ISMS-P 인증 기준 1.4.3.관리체계 개선|'''1.4.3.관리체계 개선''']] | * [[ISMS-P 인증 기준 1.4.2.관리체계 점검|'''1.4.2.관리체계 점검''']] vs [[ISMS-P 인증 기준 1.4.3.관리체계 개선|'''1.4.3.관리체계 개선''']] | ||
** 관리체계 점검에 따른 문제점이 제대로 고쳐지지 않은 경우 1.4.3이라고 쉽게 생각할 수 있으나, 1.4.2 결합인 경우가 더 많다. | ** 관리체계 점검에 따른 문제점이 제대로 고쳐지지 않은 경우 1.4.3이라고 쉽게 생각할 수 있으나, 1.4.2 결합인 경우가 더 많다. | ||
** 1.4.2는 관리체계의 점검뿐만 아니라 기본적인 이행 및 조치 결과 보고까지의 범위를 아우른다. | ** 1.4.2는 관리체계의 점검뿐만 아니라 기본적인 이행 및 조치 결과 보고까지의 범위를 아우른다. | ||
** 1.4.3의 경우 반복적으로 발생하는 문제에 대해 근본적인 해결을 하는 것을 주안점으로 한다. 즉 단순히 점검 결과의 미이행은 1.4.2에 해당한다. | ** 1.4.3의 경우 반복적으로 발생하는 문제에 대해 근본적인 해결을 하는 것을 주안점으로 한다. 즉 단순히 점검 결과의 미이행은 1.4.2에 해당한다. | ||
== 제목으로 유추가 어려운 인증 기준 == | == 제목으로 유추가 어려운 인증 기준 == | ||
아래 내용들은 암기가 필요하다. 세션 타임아웃에 관한 내용이 문제로 나왔을 경우, 상식적으로 "응용프로그램 접근"이나 "정보시스템 접근"과 같은 "접근 통제"와 관련되어 보이는 제목의 인증 기준이 답일 것이라고 유추하기 힘들다. 인증 기준들을 꼼꼼히 읽어보았거나, 역으로 깊게 생각해보면 시스템에 오랫동안 로그인이 유지되어 있으면 자리를 비운 사이 누군가가 접근을 할 수 있게 되는 등의 접근 통제와 관련되었다고 볼 수 있지만, 훈련이 되어 있지 않다면 실전에선 다른 항목에서 결함을 찾으려고 할 가능성도 매우 높기 때문이다. | 아래 내용들은 암기가 필요하다. 세션 타임아웃에 관한 내용이 문제로 나왔을 경우, 상식적으로 "응용프로그램 접근"이나 "정보시스템 접근"과 같은 "접근 통제"와 관련되어 보이는 제목의 인증 기준이 답일 것이라고 유추하기 힘들다. 인증 기준들을 꼼꼼히 읽어보았거나, 역으로 깊게 생각해보면 시스템에 오랫동안 로그인이 유지되어 있으면 자리를 비운 사이 누군가가 접근을 할 수 있게 되는 등의 접근 통제와 관련되었다고 볼 수 있지만, 훈련이 되어 있지 않다면 실전에선 다른 항목에서 결함을 찾으려고 할 가능성도 매우 높기 때문이다. | ||
[[ISMS-P 인증 기준 1.1.3.조직 구성|'''1.1.3.조직 구성''']] | |||
*조직이 구성되어 있으나 조직이 구성만 되어 있고 운영되지 않는 경우도 포함됨 | *조직이 구성되어 있으나 조직이 구성만 되어 있고 운영되지 않는 경우도 포함됨 | ||
[[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|'''2.6.3.응용프로그램 접근''']] | |||
*중요정보의 필요최소한의 노출 구현 | *중요정보의 필요최소한의 노출 구현 | ||
*세션 타임아웃 설정 | *세션 타임아웃 설정 | ||
[[ISMS-P 인증 기준 2.6.2.정보시스템 접근|'''2.6.2.정보시스템 접근''']] | |||
*세션 타임아웃 설정 | *세션 타임아웃 설정 | ||
49번째 줄: | 35번째 줄: | ||
*주요 서비스 독립 서버 운영 | *주요 서비스 독립 서버 운영 | ||
[[ISMS-P 인증 기준 2.6.4.데이터베이스 접근|'''2.6.4.데이터베이스 접근''']] | |||
*테이블 목록 등 정보 식별 | *테이블 목록 등 정보 식별 | ||
[[ISMS-P 인증 기준 2.10.8.패치관리|'''2.10.8.패치관리''']] | |||
* 패치관리시스템의 접근 통제 | * 패치관리시스템의 접근 통제 | ||
'''가상자산 사업자의 [[ISMS-P 인증 기준 1.2.3.위험 평가|1.2.3.위험 평가]]''' | |||
* 가상자산 사업자의 경우 위험평가 대상으로 다음을 포함한다. | * 가상자산 사업자의 경우 위험평가 대상으로 다음을 포함한다. | ||
69번째 줄: | 48번째 줄: | ||
* 자칫 1.2.1 정보자산 식별, 2.6.1 네트워크 접근, 2.6.2 정보시스템 접근, 2.5.2 사용자 인증 등의 결함으로 보일 수 있다. | * 자칫 1.2.1 정보자산 식별, 2.6.1 네트워크 접근, 2.6.2 정보시스템 접근, 2.5.2 사용자 인증 등의 결함으로 보일 수 있다. | ||
* 하지만 가상자산 사업자이고, 파악되지 않은 위협들이 여러가지 등장하는 경우 1.2.3이 정답일 확률이 높다. | * 하지만 가상자산 사업자이고, 파악되지 않은 위협들이 여러가지 등장하는 경우 1.2.3이 정답일 확률이 높다. | ||
== 빈출 결함 사례 == | == 빈출 결함 사례 == | ||
109번째 줄: | 65번째 줄: | ||
*'''개인정보 Like 검색됨''' | *'''개인정보 Like 검색됨''' | ||
**▶ (ISMS 인증인 경우) [[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|'''2.6.3.응용프로그램 접근''']] '''결함''' | **▶ (ISMS 인증인 경우) [[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|'''2.6.3.응용프로그램 접근''']] '''결함''' | ||
** | **▶ (ISMS-P 인증인 경우) [[ISMS-P 인증 기준 3.2.3.개인정보 표시제한 및 이용 시 보호조치|'''3.2.3.개인정보 표시제한 및 이용 시 보호조치''']] 결함 | ||
*'''보안감사(관리체계 점검) 수행 시 수행인력에 평가대상 조직의 구성원이 있는 경우''' | *'''보안감사(관리체계 점검) 수행 시 수행인력에 평가대상 조직의 구성원이 있는 경우''' | ||
**▶ [[ISMS-P 인증 기준 1.4.2.관리체계 점검|'''1.4.2.관리체계 점검''']] 결함 | **▶ [[ISMS-P 인증 기준 1.4.2.관리체계 점검|'''1.4.2.관리체계 점검''']] 결함 | ||
116번째 줄: | 72번째 줄: | ||
**[[ISMS-P 정책의 유지관리|정책의 유지관리]]나 [[ISMS-P 백업 및 복구관리|백업 및 복구관리]] 결함이 아님을 주의 | **[[ISMS-P 정책의 유지관리|정책의 유지관리]]나 [[ISMS-P 백업 및 복구관리|백업 및 복구관리]] 결함이 아님을 주의 | ||
*'''새롭게 도입한 장비, 시스템에 대한 보안성 검토가 이루어지지 않았다.''' | *'''새롭게 도입한 장비, 시스템에 대한 보안성 검토가 이루어지지 않았다.''' | ||
** | **▶ [[ISMS-P 인증 기준 2.8.1.보안 요구사항 정의]] 결함 | ||
**검토가 이루어지지 않았다고 해서 [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]] 결함이 아님을 주의 | **검토가 이루어지지 않았다고 해서 [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]] 결함이 아님을 주의 | ||
*'''정보 자산들에게 잘못된 보안등급이 부여되어 있거나 보안등급이 최신화되지 않음''' | *'''정보 자산들에게 잘못된 보안등급이 부여되어 있거나 보안등급이 최신화되지 않음''' | ||
** | **▶ [[ISMS-P 인증 기준 1.2.1.정보자산 식별]] 결함 | ||
**[[ISMS-P 인증 기준 1.2.3.위험 평가|1.2.3.위험 평가]] 결함이 아님을 주의 | **[[ISMS-P 인증 기준 1.2.3.위험 평가|1.2.3.위험 평가]] 결함이 아님을 주의 | ||
== 중첩된 인증 기준 판단 사례 == | == 중첩된 인증 기준 판단 사례 == | ||
137번째 줄: | 88번째 줄: | ||
** B에 대한 문제인데, 1번 인증기준은 A, B, C에 모두 해당될 수 있는 경우이고 2번 인증 기준은 B에만 해당될 수 있다면 2번 인증 기준이 정답이 된다. | ** B에 대한 문제인데, 1번 인증기준은 A, B, C에 모두 해당될 수 있는 경우이고 2번 인증 기준은 B에만 해당될 수 있다면 2번 인증 기준이 정답이 된다. | ||
위 두 가지 기준으로 판단된 실제 사례들은 아래를 통해 확인할 수 있다.<blockquote>'''사용자 계정 발급 절차 없이 하나의 계정을 여러 명이 쓰거나 한 명이 여러 개의 계정을 만들어 사용하여 계정별 사용자에 대한 식별이 불가한 경우'''</blockquote> | |||
*'''(참고)''' 관련 인증 기준 | *'''(참고)''' 관련 인증 기준 | ||
157번째 줄: | 108번째 줄: | ||
**인과 관계상 명백히 잘못 구성된 정보보호위원회(조직)의 결정에 따라 발생한 문제이므로, 현 사안에선 가장 근본적인(root cause) 조직 구성 결함 사례로 봄 | **인과 관계상 명백히 잘못 구성된 정보보호위원회(조직)의 결정에 따라 발생한 문제이므로, 현 사안에선 가장 근본적인(root cause) 조직 구성 결함 사례로 봄 | ||
**'''답) [[ISMS-P 인증 기준 1.1.3.조직 구성]]''' | **'''답) [[ISMS-P 인증 기준 1.1.3.조직 구성]]''' | ||
<blockquote>'''PMS(패치 관리 시스템)에 접근통제가 제대로 되지 않아 외주 직원이 상시 접근 가능한 경우'''</blockquote> | <blockquote>'''PMS(패치 관리 시스템)에 접근통제가 제대로 되지 않아 외주 직원이 상시 접근 가능한 경우'''</blockquote> | ||
163번째 줄: | 115번째 줄: | ||
**[[ISMS-P 인증 기준 2.6.2.정보시스템 접근|2.6.2.정보시스템 접근]] | **[[ISMS-P 인증 기준 2.6.2.정보시스템 접근|2.6.2.정보시스템 접근]] | ||
**[[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|2.6.3.응용프로그램 접근]] | **[[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|2.6.3.응용프로그램 접근]] | ||
**[[ISMS-P 인증 기준 2.10.8.패치관리|2.10.8.패치관리]] | **[[ISMS-P 인증 기준 2.10.8.패치관리|2.10.8.패치관리]] | ||
*'''(정답 및 판단근거)''' | *'''(정답 및 판단근거)''' | ||
**경우에 따라 다를 수 있으나, 2.10.8 패치관리 인증 기준에 PMS에 대한 접근통제 요구사항이 있다는 점을 주의해야 한다. | **경우에 따라 다를 수 있으나, 2.10.8 패치관리 인증 기준에 PMS에 대한 접근통제 요구사항이 있다는 점을 주의해야 한다. | ||
**네트워크 망 구성의 전반적인 통제 미흡으로 PMS에 접근 통제가 미흡해진 상황이라면 2.6.1 네트워크 접근이 root cause로 판단되어 정합일수도 있지만, 대상이 PMS라면 굳이 상황판단이 애매한 문제는 출제하지 않을 가능성이 높다. 2.6.2 정보시스템은 서버 등 운영체제에 직접 접근하는 경우가 대상이라 해당사항이 없다. | **네트워크 망 구성의 전반적인 통제 미흡으로 PMS에 접근 통제가 미흡해진 상황이라면 2.6.1 네트워크 접근이 root cause로 판단되어 정합일수도 있지만, 대상이 PMS라면 굳이 상황판단이 애매한 문제는 출제하지 않을 가능성이 높다. 2.6.2 정보시스템은 서버 등 운영체제에 직접 접근하는 경우가 대상이라 해당사항이 없다. | ||
**2.6.3 응용 프로그램 접근도 큰 의미에서는 현재 상황을 포함한다고 볼 수 | **2.6.3 응용 프로그램 접근도 큰 의미에서는 현재 상황을 포함한다고 볼 수 있으나, PMS에 대한 접근 통제는 2.10.8에서 직접적으로 다루고 있는 사안이고, 2.6.3이 2.10.8의 root cause가 될 순 없으므로 2.6.3과 2.10.8이 경합하는 상황이라면 best fit에 해당하는 2.10.8이 정답이다. | ||
**'''답) [[ISMS-P 인증 기준 2.10.8.패치관리|2.10.8.패치관리]]''' | **'''답) [[ISMS-P 인증 기준 2.10.8.패치관리|2.10.8.패치관리]]''' | ||
219번째 줄: | 170번째 줄: | ||
**다만 불필요한 방화벽 정책이 삭제되지 않고 남아 있으므로 2.10.1. 보안시스템 운영 결함으로 볼 수 있다. | **다만 불필요한 방화벽 정책이 삭제되지 않고 남아 있으므로 2.10.1. 보안시스템 운영 결함으로 볼 수 있다. | ||
**'''답) [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]''' | **'''답) [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]''' | ||
<br /><blockquote>'''내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우''' | |||
*ex) 지침에선 영문+숫자 10자 이상으로 설정토록 하였으나, OOO 시스템의 비밀번호 설정 규칙을 검증하는 로직에는 영문+숫자로 8자리 이상으로 설정토록 하고 있는 경우 | |||
</blockquote> | |||
*'''(참고)''' 관련 인증 기준 | |||
**[[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4.비밀번호 관리]] | |||
**[[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]] | |||
*'''(정답 및 판단근거)''' | |||
**논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다. | |||
**하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 더 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다. | |||
**참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다. | |||
**'''답) [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]]'''<br /> | |||
<blockquote>'''시스템 유지보수 등 부수적인 업무를 담당하는 계열사 직원들의 계정이, 직원이 퇴사한 이후에도 삭제되지 않고 그대로 존재하고 있는 경우'''</blockquote> | <blockquote>'''시스템 유지보수 등 부수적인 업무를 담당하는 계열사 직원들의 계정이, 직원이 퇴사한 이후에도 삭제되지 않고 그대로 존재하고 있는 경우'''</blockquote> | ||
228번째 줄: | 193번째 줄: | ||
**다만 계열사 직원이 외부인이고, 상시적으로 접근을 하지 않으며, 다소 특수한 업무를 하는 경우엔 2.5.5에 대한 결함으로 판단될 가능성이 높다. 특히 "<u>정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용</u>"이라는 내용이 명시적으로 들어가 있으므로 '시스템 유지보수'와 관련된 외부 직원일 경우 대부분 2.5.5에 대한 결함으로 볼 수 있다. | **다만 계열사 직원이 외부인이고, 상시적으로 접근을 하지 않으며, 다소 특수한 업무를 하는 경우엔 2.5.5에 대한 결함으로 판단될 가능성이 높다. 특히 "<u>정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용</u>"이라는 내용이 명시적으로 들어가 있으므로 '시스템 유지보수'와 관련된 외부 직원일 경우 대부분 2.5.5에 대한 결함으로 볼 수 있다. | ||
**'''답) [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리]]''' | **'''답) [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리]]''' | ||
<blockquote>'''사내에 들어와서 일하는 위탁업체 | <blockquote>'''사내에 들어와서 일하는 위탁업체 직원들의 노트북에 백신 설치가 되어 있지 않은 경우'''</blockquote> | ||
*'''(참고)''' 관련 인증 기준 | *'''(참고)''' 관련 인증 기준 | ||
**[[ISMS-P 인증 기준 | **[[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안]] | ||
**[[ISMS-P 인증 기준 | **[[ISMS-P 인증 기준 2.3.3.외부자 보안 이행 관리]] | ||
*'''( | *'''(판단근거)''' | ||
**논란이 있을 수 있다. 다만, 외부자 보안 이행 관리는 위탁 계약서, 내부정책 등에 보안조치 미이행에 대한 인증 기준이므로 계약서나 내부정책의 내용이 있어어야 확실하다. | **논란이 있을 수 있다. 다만, 외부자 보안 이행 관리는 위탁 계약서, 내부정책 등에 보안조치 미이행에 대한 인증 기준이므로 계약서나 내부정책의 내용이 있어어야 확실하다. | ||
**내규에 따라서 위탁직원들이 사내 업무용 단말기를 사용하도록 되어 있으면 2.10.6 결함으로 판단될 수도 있다. | **내규에 따라서 위탁직원들이 사내 업무용 단말기를 사용하도록 되어 있으면 2.10.6 결함으로 판단될 수도 있다. | ||
**하지만 노트북을 외부에서 가져와서 사용하는 경우엔 2.3.3 결함으로 판단될 가능성이 높다. | **하지만 노트북을 외부에서 가져와서 사용하는 경우엔 2.3.3 결함으로 판단될 가능성이 높다. | ||
<blockquote>'''시스템 시간이 UTC로 되어 있어서 시간을 잘못 파악하여 보안 사고나 컴플라이언스 위반이 나타난 경우'''</blockquote> | <blockquote>'''시스템 시간이 UTC로 되어 있어서 시간을 잘못 파악하여 보안 사고나 컴플라이언스 위반이 나타난 경우'''</blockquote> | ||
258번째 줄: | 222번째 줄: | ||
**백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다. | **백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다. | ||
**'''답) [[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]''' | **'''답) [[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]''' | ||
== 같이 보기 == | == 같이 보기 == | ||