ISMS-P 인증 기준 2.6.2.정보시스템 접근 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증기준 2.6.접근통제 |2.6.접근통제 ]]
*'''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.6.2.정보시스템 접근
!2.6.2.정보시스템 접근
|-
|-
| style="text-align:center; width:15%" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다.
|서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다.
|-
|-
| style="text-align:center; width:15%" |'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에  접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
* 서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에  접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
*정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
* 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
*정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
* 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
*주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?
* 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?
*(가상자산사업자) 월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리, 추가인증, 보안토큰 등) 대책을 마련하고 있는가?
|-
| style="text-align:center; width:15%" |'''관련법규'''
|
*개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제6조(접근통제)
|}
 
==세부 설명==
 
==== 정보시스템별 접근 통제====
서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하여야 한다.
 
*계정 및 권한 신청·승인 절차
* 사용자별로 개별 계정 부여 및 공용 계정 사용 제한
*계정 사용 현황에 대한 정기 검토 및 현행화 관리
**장기 미사용 계정, 불필요한 계정 존재 여부 등
*접속 위치 제한
**접속자 IP주소 제한 등
*관리자 등 특수권한에 대한 강화된 인증수단 고려
**인증서, [[OTP]] 등
*안전한 접근수단 적용
**[[SSH]], [[SFTP]]
*동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치 등
 
====세션 타임아웃 설정====
정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치 하여야 한다.
 
*서버별 특성, 업무 환경, 위험의 크기, 법적 요구사항 등을 고려하여 세션 유지시간 설정
 
====취약한 서비스 및 포트 관리====
정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다.
 
*안전하지 않은 서비스, 프로토콜, 데몬에 대해서는 추가 보안기능 구현
*Netbios, File-Sharing, Telnet, FTP 등과 같은 안전하지 않은 서비스 프로토콜은 불가피한 사유가 없는 한 사용을 제한하고  SSH, SFTP, IPSec VPN 등과 같은 안전한 기술 사용
 
{| class="wikitable"
|'''※ 주요 OS별 서비스 확인 방법(예시)'''
*리눅스: /etc/xinetd.conf 파일의 서비스 목록 확인 또는 /etc/xinetd.d 디렉터리에 서비스 파일 사용 여부 확인
*윈도우: [시작] → [제어판] → [관리 도구] → [서비스]에서 서비스별로 사용 여부 점검
|}
|}
== 세부 설명 ==


====주요 서비스 독립 운영 ====
* 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하여야 한다.
주요서비스를 제공하는 서버는 독립된 서버로 운영하여야 한다.
** 계정 및 권한 신청·승인 절차
 
** 사용자별로 개별 계정 부여 및 공용 계정 사용 제한
*외부에 직접 서비스를 제공하거나 민감한 정보를 보관·처리하고 있는 웹서버, 데이터베이스 서버, 응용 프로그램 등은 공용 장비로 사용하지 않고 독립된 서버 사용
** 계정 사용 현황에 대한 정기 검토 및 현행화 관리 : 장기 미사용 계정, 불필요한 계정 존재 여부 등
 
** 접속 위치 제한 : 접속자 IP주소 제한 등
==증거 자료==
** 관리자 등 특수권한에 대한 강화된 인증수단 고려 : 인증서, OTP 등
 
** 안전한 접근수단 적용 : SSH, SFTP
*정보시스템 운영체제 계정 목록
** 동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치 등
*서버 보안 설정
* 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치 하여야 한다.
** 서버별 특성, 업무 환경, 위험의 크기, 법적 요구사항 등을 고려하여 세션 유지시간 설정
* 정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다.
** 안전하지 않은 서비스, 프로토콜, 데몬에 대해서는 추가 보안기능 구현
** Netbios, File-Sharing, Telnet, FTP 등과 같은 안전하지 않은 서비스를 보호하기 위하여 SSH, SFTP, IPSec VPN 등과 같은 안전한 기술 사용
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 주요 OS별 서비스 확인 방법(예시)
* 리눅스 : /etc/xinetd.conf 파일의 서비스 목록 확인 또는 /etc/xinetd.d 디렉터리에 서비스 파일 사용 여부 확인
* 윈도우 : [시작] → [제어판] → [관리 도구] → [서비스]에서 서비스별로 사용 여부 점검</div>
* 주요서비스를 제공하는 서버는 독립된 서버로 운영하여야 한다.
** 외부에 직접 서비스를 제공하거나 민감한 정보를 보관·처리하고 있는 웹서버, 데이터베이스 서버, 응용 프로그램 등은 공용 장비로 사용하지 않고 독립된 서버 사용
== 증거 자료 ==
* 정보시스템 운영체제 계정 목록
* 서버 보안 설정
* 서버접근제어 정책(SecureOS 관리화면 등)
* 서버접근제어 정책(SecureOS 관리화면 등)
*서버 및 네트워크 구성도
* 서버 및 네트워크 구성도
*정보자산 목록
* 정보자산 목록
 
== 결함 사례 ==
==결함 사례==
* 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나, 터미널 서비스에 대한 세션 타임아웃 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우
 
* 서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우
*사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나, 터미널 서비스에 대한 세션 타임아웃 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우
* 타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우
*서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우
== 같이 보기 ==
*타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우
* [[정보보호 및 개인정보보호관리체계 인증]]
*모든 서버로의 접근은 서버접근제어 시스템을 통하도록 접근통제 정책을 가져가고 있으나, 서버접근제어 시스템을 통하지 않고 서버에 접근할 수 있는 우회 경로가 존재하는 경우
* [[ISMS-P 인증 기준]]
 
* [[ISMS-P 인증 기준 세부 점검 항목]]
==같이 보기==
== 참고 문헌 ==
 
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)