ISMS-P 인증 기준 2.6.1.네트워크 접근: Difference between revisions

From IT Wiki
(Imported from text file)
 
No edit summary
 
(7 intermediate revisions by 4 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증기준 2.6.접근통제 |2.6.접근통제 ]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.6.1.네트워크 접근
!2.6.1.네트워크 접근
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center; width:10%" |'''인증기준'''
|네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.
|네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?
*조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?
* 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?
**(가상자산사업자) 가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근을 제어하고 있는가?
* 네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?
**(가상자산사업자) 노드서버들에  대하여 필수적으로 필요한 포트만 허용하고 있는가?
* 물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?
***(권고)1024이후 포트로 적용
*서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?
**(가상자산사업자) 월렛 접근 인원·시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가?
*네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?
*물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?
|-
|'''관련 법규'''
|
* 개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제6조(접근통제)
|}
|}
== 세부 설명 ==
==세부 설명==
 
====네트워크 접근통제 관리절차 수립====
조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고, 네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방·대응할 수 있도록 네트워크 접근통제 관리절차를 수립·이행하여야 한다.
 
*정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제
*비인가자 및 단말의 내부 네트워크 접근 통제
* 네트워크 장비에 설치된 불필요한 서비스 및 포트 차단 등
 
====네트워크 영역 분리 및 안전한 접근통제====
서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하여야 한다.
 
*위험평가를 통하여 핵심 업무영역의 네트워크 분리 및 영역 간 접근통제 수준 결정
 
{| class="wikitable"
!접근통제 영역
!접근통제 적용 예시
|-
|'''DMZ'''
|
* 외부 서비스를 위한 웹서버, 메일서버 등 공개서버는 DMZ에 위치
*DMZ를 경유하지 않은 인터넷에서 내부 시스템으로의 직접 연결은 차단
|-
|'''서버팜'''
|
*다른 네트워크 영역과 구분하여 구성
*인가받은 내부 사용자의 접근만 허용하도록 접근통제 정책 적용
|-
|'''DB존'''
|
*개인정보 등 중요정보가 저장된 데이터베이스가 위치한 네트워크 영역은 다른 네트워크 영역과 분리
|-
|'''운영자 환경'''
|
*서버, 보안장비, 네트워크 장비 등을 운영하는 운영자 네트워크 영역은 일반 사용자 네트워크 영역과 분리
|-
|'''개발 환경'''
|
*개발업무(개발서버, 테스트서버 등)에 사용되는 네트워크는 운영 네트워크와 분리
|-
|'''외부자 영역'''
|
*외부 인력이 사용하는 네트워크 영역(외주용역, 민원실, 교육장 등)은 내부 업무용 네트워크와 분리
|-
|'''기타'''
|
*업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영
*클라우드 서비스를 이용하는 경우 클라우드 환경의 특성을 반영한 접근통제 기준을 수립·이행
*다만 기업의 규모 등을 고려하여 서버팜과 데이터베이스팜 등을 구분하기 어려운 경우 위험평가 결과 등을 기반으로 보완대책을 적용할 필요가 있음 (호스트 기반 접근통제 등).
|}
 
*접근통제 정책에 따라 분리된 네트워크 영역 간에는 침입차단시스템, 네트워크 장비 ACL 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제
 
====사설·공인 등 IP주소 부여 기준 마련====
네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우 사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다.
 
*IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리
*내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용
*사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용
 
{| class="wikitable"
|'''※ 사설 IP주소 대역'''
* A Class: 10.0.0.1 ~ 10.255.255.255
*B Class: 172.16.0.1 ~ 172.31.255.255
*C Class: 192.168.0.1 ~ 192.168.255.255
|}
 
====외부 거점간 안전한 연결 사용====
물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시 전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다.
 
==증거 자료==
 
*네트워크 구성도
*IP 관리대장
*정보자산 목록
*방화벽룰
 
==결함 사례==
 
*네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어 지고 있지 않은 경우
*내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우
*서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우
*외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우
*내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고, 네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방·대응할 수 있도록 네트워크 접근통제 관리절차를 수립·이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
** 정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제
** 비인가자 및 단말의 내부 네트워크 접근 통제
** 네트워크 장비에 설치된 불필요한 서비스 및 포트 차단 등
* 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하여야 한다.
** 위험평가를 통하여 핵심 업무영역의 네트워크 분리 및 영역 간 접근통제 수준 결정<table><thead><tr><th>접근통제 영역</th><th>접근통제 적용 예시</th></tr></thead><tbody><tr><td>DMZ</td><td>외부 서비스를 위한 웹서버, 메일서버 등 공개서버는 DMZ에 위치<br>DMZ를 경유하지 않은 인터넷에서 내부 시스템으로의 직접 연결은 차단</td></tr><tr><td>서버팜</td><td>다른 네트워크 영역과 구분하여 구성<br>인가받은 내부 사용자의 접근만 허용하도록 접근통제 정책 적용</td></tr><tr><td>데이터베이스팜</td><td>개인정보 등 중요정보가 저장된 데이터베이스가 위치한 네트워크 영역은 다른 네트워크 영역과 분리</td></tr><tr><td>운영자 환경</td><td>서버, 보안장비, 네트워크 장비 등을 운영하는 운영자 네트워크 영역은 일반 사용자 네트워크 영역과 분리</td></tr><tr><td>개발 환경</td><td>개발업무(개발서버, 테스트서버 등)에 사용되는 네트워크는 운영 네트워크와 분리</td></tr><tr><td>외부자 영역</td><td>외부 인력이 사용하는 네트워크 영역(외주용역, 민원실, 교육장 등)은 내부 업무용 네트워크와 분리</td></tr><tr><td>기타</td><td>업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영<br>클라우드 서비스를 이용하는 경우 클라우드 환경의 특성을 반영한 접근통제 기준을 수립·이행<br>다만 기업의 규모 등을 고려하여 서버팜과 데이터베이스팜 등을 구분하기 어려운 경우 위험평가 결과 등을 기반으로 보완대책을 적용할 필요가 있음 (호스트 기반 접근통제 등).</td></tr></tbody></table>
** 접근통제 정책에 따라 분리된 네트워크 영역 간에는 침입차단시스템, 네트워크 장비 ACL 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제
* 네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우 사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다.
** IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리
** 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용
** 사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 사설 IP주소 대역
* A Class : * 10.0.0.1 ~ * 10.25* 5.25* 5.255
* B Class : 17* 2.1* 6.0.1 ~ 17* 2.3* 1.25* 5.255
* C Class : 19* 2.16* 8.0.1 ~ 19* 2.16* 8.25* 5.255</div>
* 물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시 전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다.
== 증거 자료 ==
* 네트워크 구성도
* IP 관리대장
* 정보자산 목록
* 방화벽룰
== 결함 사례 ==
* 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어 지고 있지 않은 경우
* 내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우
* 서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우
* 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우
* 내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 22:58, 13 March 2024


개요[edit | edit source]

항목 2.6.1.네트워크 접근
인증기준 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.
주요 확인사항
  • 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?
    • (가상자산사업자) 가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근을 제어하고 있는가?
    • (가상자산사업자) 노드서버들에 대하여 필수적으로 필요한 포트만 허용하고 있는가?
      • (권고)1024이후 포트로 적용
  • 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?
    • (가상자산사업자) 월렛 접근 인원·시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가?
  • 네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?
  • 물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?
관련 법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제6조(접근통제)

세부 설명[edit | edit source]

네트워크 접근통제 관리절차 수립[edit | edit source]

조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고, 네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방·대응할 수 있도록 네트워크 접근통제 관리절차를 수립·이행하여야 한다.

  • 정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제
  • 비인가자 및 단말의 내부 네트워크 접근 통제
  • 네트워크 장비에 설치된 불필요한 서비스 및 포트 차단 등

네트워크 영역 분리 및 안전한 접근통제[edit | edit source]

서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하여야 한다.

  • 위험평가를 통하여 핵심 업무영역의 네트워크 분리 및 영역 간 접근통제 수준 결정
접근통제 영역 접근통제 적용 예시
DMZ
  • 외부 서비스를 위한 웹서버, 메일서버 등 공개서버는 DMZ에 위치
  • DMZ를 경유하지 않은 인터넷에서 내부 시스템으로의 직접 연결은 차단
서버팜
  • 다른 네트워크 영역과 구분하여 구성
  • 인가받은 내부 사용자의 접근만 허용하도록 접근통제 정책 적용
DB존
  • 개인정보 등 중요정보가 저장된 데이터베이스가 위치한 네트워크 영역은 다른 네트워크 영역과 분리
운영자 환경
  • 서버, 보안장비, 네트워크 장비 등을 운영하는 운영자 네트워크 영역은 일반 사용자 네트워크 영역과 분리
개발 환경
  • 개발업무(개발서버, 테스트서버 등)에 사용되는 네트워크는 운영 네트워크와 분리
외부자 영역
  • 외부 인력이 사용하는 네트워크 영역(외주용역, 민원실, 교육장 등)은 내부 업무용 네트워크와 분리
기타
  • 업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영
  • 클라우드 서비스를 이용하는 경우 클라우드 환경의 특성을 반영한 접근통제 기준을 수립·이행
  • 다만 기업의 규모 등을 고려하여 서버팜과 데이터베이스팜 등을 구분하기 어려운 경우 위험평가 결과 등을 기반으로 보완대책을 적용할 필요가 있음 (호스트 기반 접근통제 등).
  • 접근통제 정책에 따라 분리된 네트워크 영역 간에는 침입차단시스템, 네트워크 장비 ACL 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제

사설·공인 등 IP주소 부여 기준 마련[edit | edit source]

네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우 사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다.

  • IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리
  • 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용
  • 사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용
※ 사설 IP주소 대역
  • A Class: 10.0.0.1 ~ 10.255.255.255
  • B Class: 172.16.0.1 ~ 172.31.255.255
  • C Class: 192.168.0.1 ~ 192.168.255.255

외부 거점간 안전한 연결 사용[edit | edit source]

물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시 전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다.

증거 자료[edit | edit source]

  • 네트워크 구성도
  • IP 관리대장
  • 정보자산 목록
  • 방화벽룰

결함 사례[edit | edit source]

  • 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어 지고 있지 않은 경우
  • 내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우
  • 서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우
  • 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우
  • 내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)