ISMS-P 인증 기준 2.10.8.패치관리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
14번째 줄: | 14번째 줄: | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
*서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제 (OS)와 소프트웨어의 패치관리 정책 및 절차를 | *서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 수립‧이행하고 있는가? | ||
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 | *주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 주기적으로 관리하고 있는가? | ||
*서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가? | *서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가? | ||
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가? | *주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가? | ||
*패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가? | *패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가? | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
42번째 줄: | 37번째 줄: | ||
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다. | 주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다. | ||
*주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 | *주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용 현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리 | ||
*최신 보안패치 적용 필요 여부를 주기적으로 확인 | *최신 보안패치 적용 필요 여부를 주기적으로 확인 | ||
50번째 줄: | 45번째 줄: | ||
*레드햇 리눅스: https://access.redhat.com/support/policy/updates/errata | *레드햇 리눅스: https://access.redhat.com/support/policy/updates/errata | ||
*CentOS: https://wiki.centos.org/About/Product | *CentOS: https://wiki.centos.org/About/Product | ||
*AIX: | *AIX: http://www-01.ibm.com/support/docview.wss?uid=isg3T1012517 | ||
*HP-UX: https://hpe.com/info/hpuxservermatrix | *HP-UX: https://hpe.com/info/hpuxservermatrix | ||
*Solaris: https://www.oracle.com/technetwork/server-storage/solaris/overview/releases-jsp-140987.html | *Solaris: https://www.oracle.com/technetwork/server-storage/solaris/overview/releases-jsp-140987.html | ||
62번째 줄: | 57번째 줄: | ||
====공개 인터넷 접속을 통한 패치 제한==== | ====공개 인터넷 접속을 통한 패치 제한==== | ||
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다. | 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다. | ||
*다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용 | *다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용 | ||
====패치관리시스템 보호대책==== | ====패치관리시스템 보호대책==== | ||
'''패치관리시스템(PMS)을 활용하는 경우''' 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다. | '''패치관리시스템(PMS)을 활용하는 경우''' 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다. | ||
*패치관리시스템 자체에 대한 접근통제 조치 : 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등 | *패치관리시스템 자체에 대한 접근통제 조치: 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등 | ||
*업데이트 파일 배포 시 파일 무결성 검사 등 | *업데이트 파일 배포 시 파일 무결성 검사 등 | ||
84번째 줄: | 79번째 줄: | ||
*상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우 | *상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우 | ||
==같이 보기 == | ==같이 보기== | ||
*[[정보보호 및 개인정보보호관리체계 인증]] | *[[정보보호 및 개인정보보호관리체계 인증]] | ||
92번째 줄: | 87번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |