ISMS-P 인증 기준 2.6.4.데이터베이스 접근: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제 ]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.6.4.데이터베이스 접근
!2.6.4.데이터베이스 접근
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.
|테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 데이터베이스의 테이블 목록 등 저장‧관리되고 있는 정보를 식별하고 있는가?
*데이터베이스의 테이블 목록 등 저장‧관리되고 있는 정보를 식별하고 있는가?
* 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?
*데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 테이블 목록 등 정보 식별 ====
데이터베이스의 '''테이블 목록 등 저장·관리되고 있는 정보를 식별'''하고 지속적으로 '''현행화'''하여 관리하여야 한다.
 
*데이터베이스에서 사용되는 테이블 목록, 저장되는 정보, 상관관계 등을 식별
*중요정보 및 개인정보의 저장 위치(데이터베이스 및 테이블명·컬럼명) 및 현황(건수, 암호화 여부 등) 식별
*데이터베이스 현황에 대하여 정기적으로 조사하여 현행화 관리
 
==== 사용자 식별 및 접근통제 ====
데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하여야 한다.
 
*데이터베이스 접속 권한을 관리자(DBA), 사용자로 구분하여 직무별 접근통제 정책 수립·이행(최소권한 원칙에 따른 테이블, 뷰, 컬럼, 쿼리 레벨에서 접근통제 등)
*중요정보가 포함된 테이블, 컬럼은 업무상 처리 권한이 있는 자만 접근할 수 있도록 제한
*DBA 권한이 부여된 계정과 조회 등 기타 권한이 부여된 계정 구분
*응용프로그램에서 사용하는 계정과 사용자 계정의 공용 사용 제한
*계정별 사용 가능 명령어 제한
*사용하지 않는 계정, 테스트용 계정, 기본 계정 등 삭제
*일정시간 이상 업무를 수행하지 않는 경우 자동 접속차단
*비인가자의 데이터베이스 접근 제한
*개인정보를 저장하고 있는 데이터베이스는 DMZ 등 공개된 네트워크에 위치하지 않도록 제한
*다른 네트워크 영역 및 다른 서버에서의 비인가 접근 차단
*데이터베이스 접근을 허용하는 IP주소, 포트, 응용프로그램 제한
*일반 사용자는 원칙적으로 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 조치 등
 
==증거 자료==
 
*데이터베이스 현황(테이블, 컬럼 등)
*데이터베이스 접속자 계정/권한 목록
*데이터베이스 접근제어 정책(데이터베이스 접근제어시스템 관리화면 등)
*네트워크 구성도(데이터베이스존 등)
*정보자산 목록
 
==결함 사례==
 
*대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
*개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
*내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터 베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
*데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터 베이스에 접속하고 있는 경우
*개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보를 식별하고 지속적으로 현행화하여 관리하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 데이터베이스에서 사용되는 테이블 목록, 저장되는 정보, 상관관계 등을 식별
** 중요정보 및 개인정보의 저장 위치(데이터베이스 및 테이블명·컬럼명) 및 현황(건수, 암호화 여부 등) 식별
** 데이터베이스 현황에 대하여 정기적으로 조사하여 현행화 관리
* 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하여야 한다.
** 데이터베이스 접속 권한을 관리자(DBA), 사용자로 구분하여 직무별 접근통제 정책 수립·이행(최소권한 원칙에 따른 테이블, 뷰, 컬럼, 쿼리 레벨에서 접근통제 등)
** 중요정보가 포함된 테이블, 컬럼은 업무상 처리 권한이 있는 자만 접근할 수 있도록 제한
** DBA 권한이 부여된 계정과 조회 등 기타 권한이 부여된 계정 구분
** 응용프로그램에서 사용하는 계정과 사용자 계정의 공용 사용 제한
** 계정별 사용 가능 명령어 제한
** 사용하지 않는 계정, 테스트용 계정, 기본 계정 등 삭제
** 일정시간 이상 업무를 수행하지 않는 경우 자동 접속차단
** 비인가자의 데이터베이스 접근 제한
** 개인정보를 저장하고 있는 데이터베이스는 DMZ 등 공개된 네트워크에 위치하지 않도록 제한
** 다른 네트워크 영역 및 다른 서버에서의 비인가 접근 차단
** 데이터베이스 접근을 허용하는 IP주소, 포트, 응용프로그램 제한
** 일반 사용자는 원칙적으로 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 조치 등
== 증거 자료 ==
* 데이터베이스 현황(테이블, 컬럼 등)
* 데이터베이스 접속자 계정/권한 목록
* 데이터베이스 접근제어 정책(데이터베이스 접근제어시스템 관리화면 등)
* 네트워크 구성도(데이터베이스존 등)
* 정보자산 목록
== 결함 사례 ==
* 대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
* 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
* 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터 베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
* 데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터 베이스에 접속하고 있는 경우
* 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 23:20, 25 June 2022


개요

항목 2.6.4.데이터베이스 접근
인증기준 테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.
주요 확인사항
  • 데이터베이스의 테이블 목록 등 저장‧관리되고 있는 정보를 식별하고 있는가?
  • 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?

세부 설명

테이블 목록 등 정보 식별

데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보를 식별하고 지속적으로 현행화하여 관리하여야 한다.

  • 데이터베이스에서 사용되는 테이블 목록, 저장되는 정보, 상관관계 등을 식별
  • 중요정보 및 개인정보의 저장 위치(데이터베이스 및 테이블명·컬럼명) 및 현황(건수, 암호화 여부 등) 식별
  • 데이터베이스 현황에 대하여 정기적으로 조사하여 현행화 관리

사용자 식별 및 접근통제

데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하여야 한다.

  • 데이터베이스 접속 권한을 관리자(DBA), 사용자로 구분하여 직무별 접근통제 정책 수립·이행(최소권한 원칙에 따른 테이블, 뷰, 컬럼, 쿼리 레벨에서 접근통제 등)
  • 중요정보가 포함된 테이블, 컬럼은 업무상 처리 권한이 있는 자만 접근할 수 있도록 제한
  • DBA 권한이 부여된 계정과 조회 등 기타 권한이 부여된 계정 구분
  • 응용프로그램에서 사용하는 계정과 사용자 계정의 공용 사용 제한
  • 계정별 사용 가능 명령어 제한
  • 사용하지 않는 계정, 테스트용 계정, 기본 계정 등 삭제
  • 일정시간 이상 업무를 수행하지 않는 경우 자동 접속차단
  • 비인가자의 데이터베이스 접근 제한
  • 개인정보를 저장하고 있는 데이터베이스는 DMZ 등 공개된 네트워크에 위치하지 않도록 제한
  • 다른 네트워크 영역 및 다른 서버에서의 비인가 접근 차단
  • 데이터베이스 접근을 허용하는 IP주소, 포트, 응용프로그램 제한
  • 일반 사용자는 원칙적으로 응용프로그램을 통해서만 데이터베이스에 접근 가능하도록 조치 등

증거 자료

  • 데이터베이스 현황(테이블, 컬럼 등)
  • 데이터베이스 접속자 계정/권한 목록
  • 데이터베이스 접근제어 정책(데이터베이스 접근제어시스템 관리화면 등)
  • 네트워크 구성도(데이터베이스존 등)
  • 정보자산 목록

결함 사례

  • 대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
  • 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
  • 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터 베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
  • 데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터 베이스에 접속하고 있는 경우
  • 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)