ISMS-P 인증 기준 2.6.1.네트워크 접근 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
| 최신판 | 당신의 편집 | ||
| 9번째 줄: | 9번째 줄: | ||
!2.6.1.네트워크 접근 | !2.6.1.네트워크 접근 | ||
|- | |- | ||
| style="text-align:center | | style="text-align:center" |'''인증기준''' | ||
|네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. | |네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. | ||
|- | |- | ||
| 15번째 줄: | 15번째 줄: | ||
| | | | ||
*조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가? | *조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가? | ||
*서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가? | *서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가? | ||
*네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가? | *네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가? | ||
*물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가? | *물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가? | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
====네트워크 접근통제 관리절차 수립==== | ==== 네트워크 접근통제 관리절차 수립 ==== | ||
조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고, 네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방·대응할 수 있도록 네트워크 접근통제 관리절차를 수립·이행하여야 한다. | 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고, 네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방·대응할 수 있도록 네트워크 접근통제 관리절차를 수립·이행하여야 한다. | ||
*정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제 | *정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제 | ||
*비인가자 및 단말의 내부 네트워크 접근 통제 | *비인가자 및 단말의 내부 네트워크 접근 통제 | ||
* 네트워크 장비에 설치된 불필요한 서비스 및 포트 차단 등 | *네트워크 장비에 설치된 불필요한 서비스 및 포트 차단 등 | ||
====네트워크 영역 분리 및 안전한 접근통제==== | ==== 네트워크 영역 분리 및 안전한 접근통제 ==== | ||
서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하여야 한다. | 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하여야 한다. | ||
| 49번째 줄: | 40번째 줄: | ||
| | | | ||
* 외부 서비스를 위한 웹서버, 메일서버 등 공개서버는 DMZ에 위치 | * 외부 서비스를 위한 웹서버, 메일서버 등 공개서버는 DMZ에 위치 | ||
*DMZ를 경유하지 않은 인터넷에서 내부 시스템으로의 직접 연결은 차단 | * DMZ를 경유하지 않은 인터넷에서 내부 시스템으로의 직접 연결은 차단 | ||
|- | |- | ||
|'''서버팜''' | |'''서버팜''' | ||
| | | | ||
*다른 네트워크 영역과 구분하여 구성 | * 다른 네트워크 영역과 구분하여 구성 | ||
*인가받은 내부 사용자의 접근만 허용하도록 접근통제 정책 적용 | * 인가받은 내부 사용자의 접근만 허용하도록 접근통제 정책 적용 | ||
|- | |- | ||
|''' | |'''데이터베이스팜''' | ||
| | | | ||
*개인정보 등 중요정보가 저장된 데이터베이스가 위치한 네트워크 영역은 다른 네트워크 영역과 분리 | * 개인정보 등 중요정보가 저장된 데이터베이스가 위치한 네트워크 영역은 다른 네트워크 영역과 분리 | ||
|- | |- | ||
|'''운영자 환경''' | |'''운영자 환경''' | ||
| | | | ||
*서버, 보안장비, 네트워크 장비 등을 운영하는 운영자 네트워크 영역은 일반 사용자 네트워크 영역과 분리 | * 서버, 보안장비, 네트워크 장비 등을 운영하는 운영자 네트워크 영역은 일반 사용자 네트워크 영역과 분리 | ||
|- | |- | ||
|'''개발 환경''' | |'''개발 환경''' | ||
| | | | ||
*개발업무(개발서버, 테스트서버 등)에 사용되는 네트워크는 운영 네트워크와 분리 | * 개발업무(개발서버, 테스트서버 등)에 사용되는 네트워크는 운영 네트워크와 분리 | ||
|- | |- | ||
|'''외부자 영역''' | |'''외부자 영역''' | ||
| | | | ||
*외부 인력이 사용하는 네트워크 영역(외주용역, 민원실, 교육장 등)은 내부 업무용 네트워크와 분리 | * 외부 인력이 사용하는 네트워크 영역(외주용역, 민원실, 교육장 등)은 내부 업무용 네트워크와 분리 | ||
|- | |- | ||
|'''기타''' | |'''기타''' | ||
| | | | ||
*업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영 | * 업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영 | ||
*클라우드 서비스를 이용하는 경우 클라우드 환경의 특성을 반영한 접근통제 기준을 수립·이행 | * 클라우드 서비스를 이용하는 경우 클라우드 환경의 특성을 반영한 접근통제 기준을 수립·이행 | ||
*다만 기업의 규모 등을 고려하여 서버팜과 데이터베이스팜 등을 구분하기 어려운 경우 위험평가 결과 등을 기반으로 보완대책을 적용할 필요가 있음 (호스트 기반 접근통제 등). | * 다만 기업의 규모 등을 고려하여 서버팜과 데이터베이스팜 등을 구분하기 어려운 경우 위험평가 결과 등을 기반으로 보완대책을 적용할 필요가 있음 (호스트 기반 접근통제 등). | ||
|} | |} | ||
*접근통제 정책에 따라 분리된 네트워크 영역 간에는 침입차단시스템, 네트워크 장비 ACL 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제 | *접근통제 정책에 따라 분리된 네트워크 영역 간에는 침입차단시스템, 네트워크 장비 ACL 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제 | ||
====사설·공인 등 IP주소 부여 기준 마련==== | ==== 사설·공인 등 IP주소 부여 기준 마련 ==== | ||
네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우 사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다. | 네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우 사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다. | ||
*IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리 | *IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리 | ||
*내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용 | *내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용 | ||
*사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용 | *사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | ||
'''※ 사설 IP주소 대역''' | |||
*A Class: 10.0.0.1 ~ 10.255.255.255 | |||
* A Class: 10.0.0.1 ~ 10.255.255.255 | |||
*B Class: 172.16.0.1 ~ 172.31.255.255 | *B Class: 172.16.0.1 ~ 172.31.255.255 | ||
*C Class: 192.168.0.1 ~ 192.168.255.255 | *C Class: 192.168.0.1 ~ 192.168.255.255</div> | ||
====외부 거점간 안전한 연결 사용==== | ==== 외부 거점간 안전한 연결 사용 ==== | ||
물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시 전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다. | 물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시 전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다. | ||
| 121번째 줄: | 110번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | ||
