ISMS-P 인증 기준 2.6.4.데이터베이스 접근 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증기준 2.6.접근통제 |2.6.접근통제 ]]
*'''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.6.4.데이터베이스 접근
!2.6.4.데이터베이스 접근
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.
|테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*데이터베이스의 테이블 목록 등 저장‧관리되고 있는 정보를 식별하고 있는가?
* 데이터베이스의 테이블 목록 등 저장‧관리되고 있는 정보를 식별하고 있는가?
**(가상자산사업자) 가사자산 거래 관련 중요 DB(월렛관련 DB, 회원 DB, 가상자산 보유현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별하고 있는가?
* 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?
*데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?
|}
|}
==세부 설명==
== 세부 설명 ==
 
==== 테이블 목록 등 정보 식별 ====
데이터베이스의 '''테이블 목록 등 저장·관리되고 있는 정보를 식별'''하고 지속적으로 '''현행화'''하여 관리하여야 한다.
 
*데이터베이스에서 사용되는 테이블 목록, 저장되는 정보, 상관관계 등을 식별
*중요정보 및 개인정보의 저장 위치(데이터베이스 및 테이블명·컬럼명) 및 현황(건수, 암호화 여부 등) 식별
*데이터베이스 현황에 대하여 정기적으로 조사하여 현행화 관리
 
==== 사용자 식별 및 접근통제 ====
데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하여야 한다.
 
*데이터베이스 접속 권한을 관리자(DBA), 사용자로 구분하여 직무별 접근통제 정책 수립·이행(최소권한 원칙에 따른 테이블, 뷰, 컬럼, 쿼리 레벨에서 접근통제 등)
*중요정보가 포함된 테이블, 컬럼은 업무상 처리 권한이 있는 자만 접근할 수 있도록 제한
*DBA 권한이 부여된 계정과 조회 등 기타 권한이 부여된 계정 구분
*응용프로그램에서 사용하는 계정과 사용자 계정의 공용 사용 제한
*계정별 사용 가능 명령어 제한
*사용하지 않는 계정, 테스트용 계정, 기본 계정 등 삭제
*일정시간 이상 업무를 수행하지 않는 경우 자동 접속차단
*비인가자의 데이터베이스 접근 제한
*개인정보를 저장하고 있는 데이터베이스는 DMZ 등 공개된 네트워크에 위치하지 않도록 제한
*다른 네트워크 영역 및 다른 서버에서의 비인가 접근 차단
*데이터베이스 접근을 허용하는 IP주소, 포트, 응용프로그램 제한
*일반 사용자는 원칙적으로 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 조치 등
 
==증거 자료==
 
*데이터베이스 현황(테이블, 컬럼 등)
*데이터베이스 접속자 계정/권한 목록
*데이터베이스 접근제어 정책(데이터베이스 접근제어시스템 관리화면 등)
*네트워크 구성도(데이터베이스존 등)
*정보자산 목록
 
==결함 사례==
 
*대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
*개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
*내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터 베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
*데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터 베이스에 접속하고 있는 경우
*개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
* 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보를 식별하고 지속적으로 현행화하여 관리하여야 한다.
** 데이터베이스에서 사용되는 테이블 목록, 저장되는 정보, 상관관계 등을 식별
** 중요정보 및 개인정보의 저장 위치(데이터베이스 및 테이블명·컬럼명) 및 현황(건수, 암호화 여부 등) 식별
** 데이터베이스 현황에 대하여 정기적으로 조사하여 현행화 관리
* 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하여야 한다.
** 데이터베이스 접속 권한을 관리자(DBA), 사용자로 구분하여 직무별 접근통제 정책 수립·이행(최소권한 원칙에 따른 테이블, 뷰, 컬럼, 쿼리 레벨에서 접근통제 등)
** 중요정보가 포함된 테이블, 컬럼은 업무상 처리 권한이 있는 자만 접근할 수 있도록 제한
** DBA 권한이 부여된 계정과 조회 등 기타 권한이 부여된 계정 구분
** 응용프로그램에서 사용하는 계정과 사용자 계정의 공용 사용 제한
** 계정별 사용 가능 명령어 제한
** 사용하지 않는 계정, 테스트용 계정, 기본 계정 등 삭제
** 일정시간 이상 업무를 수행하지 않는 경우 자동 접속차단
** 비인가자의 데이터베이스 접근 제한
** 개인정보를 저장하고 있는 데이터베이스는 DMZ 등 공개된 네트워크에 위치하지 않도록 제한
** 다른 네트워크 영역 및 다른 서버에서의 비인가 접근 차단
** 데이터베이스 접근을 허용하는 IP주소, 포트, 응용프로그램 제한
** 일반 사용자는 원칙적으로 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 조치 등
== 증거 자료 ==
* 데이터베이스 현황(테이블, 컬럼 등)
* 데이터베이스 접속자 계정/권한 목록
* 데이터베이스 접근제어 정책(데이터베이스 접근제어시스템 관리화면 등)
* 네트워크 구성도(데이터베이스존 등)
* 정보자산 목록
== 결함 사례 ==
* 대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
* 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
* 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터 베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
* 데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터 베이스에 접속하고 있는 경우
* 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.6.4.데이터베이스_접근"