ISMS-P 인증 기준 2.10.8.패치관리: Difference between revisions
From IT Wiki
(Imported from text file) |
No edit summary |
||
(3 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | |||
* '''분류''': [[ISMS-P | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.10.시스템 및 서비스 보안관리|2.10.시스템 및 서비스 보안관리]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.10.8.패치관리 | !2.10.8.패치관리 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. | |소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 | *서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제 (OS)와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하고 있는가? | ||
* 주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 | *주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하고 있는가? | ||
* 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가? | *서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가? | ||
* 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가? | *주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가? | ||
* 패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가? | *패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가? | ||
|- | |||
| style="text-align:center" |'''관련법규''' | |||
| | |||
*개인정보 보호법 제29조(안전조치의무) | |||
*개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지) | |||
|} | |||
==세부 설명== | |||
====OS 및 소프트웨어 패치관리 정책 수립·이행==== | |||
서버, 네트워크시스템, 보안시스템, PC 등 '''자산별 특성 및 중요도에 따라''' OS와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하여야 한다. | |||
*패치 적용 대상: 서버, 네트워크시스템, DMMS, 응용프로그램, 상용 소프트웨어 오픈소스, 보안시스템, PC 등 | |||
*패치 주기: 자산 중요도 및 특성 반영 | |||
*패치 정보 확인 방법 | |||
*패치 배포 전 사전 검토 절차 | |||
*긴급 패치 적용 절차 | |||
*패치 미적용 시 보안성 검토 | |||
*패치 담당자 및 책임자 | |||
*패치 관련 업체(제조사) 연락처 등 | |||
====주요 자산 패치 현황 주기적 관리==== | |||
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다. | |||
*주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리 | |||
*최신 보안패치 적용 필요 여부를 주기적으로 확인 | |||
{| class="wikitable" | |||
|'''※ 주요 OS별 서비스 지원 종료(EOS 또는 EOL) 시점 확인 사이트(예시)''' | |||
*MS 윈도우: https://support.microsoft.com/ko-kr/lifecycle/search | |||
*레드햇 리눅스: https://access.redhat.com/support/policy/updates/errata | |||
*CentOS: https://wiki.centos.org/About/Product | |||
*AIX: https://www-01.ibm.com/support/docview.wss?uid=isg3T1012517 | |||
*HP-UX: https://hpe.com/info/hpuxservermatrix | |||
*Solaris: https://www.oracle.com/technetwork/server-storage/solaris/overview/releases-jsp-140987.html | |||
|} | |} | ||
====최신 패치 적용 곤란 시 보완대책==== | |||
서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하여야 한다. | |||
*운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 운영시스템의 중요도와 특성을 고려하여 영향도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 적용 | |||
*운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리 | |||
====공개 인터넷 접속을 통한 패치 제한==== | |||
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다. | |||
*다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용 | |||
====패치관리시스템 보호대책==== | |||
'''패치관리시스템(PMS)을 활용하는 경우''' 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다. | |||
*패치관리시스템 자체에 대한 접근통제 조치 : 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등 | |||
*업데이트 파일 배포 시 파일 무결성 검사 등 | |||
==증거 자료== | |||
*패치 적용 관리 정책·절차 | |||
*시스템별 패치 적용 현황 | |||
*패치 적용 관련 영향도 분석 결과 | |||
==결함 사례== | |||
*일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우 | |||
*일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우 | |||
*상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우 | |||
== 증거 자료 == | |||
* 패치 적용 관리 정책·절차 | ==같이 보기 == | ||
* 시스템별 패치 적용 현황 | |||
* 패치 적용 관련 영향도 분석 결과 | *[[정보보호 및 개인정보보호관리체계 인증]] | ||
== 결함 사례 == | *[[ISMS-P 인증 기준]] | ||
* 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우 | *[[ISMS-P 인증 기준 세부 점검 항목]] | ||
* 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우 | |||
* 상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우 | ==참고 문헌== | ||
== 같이 보기 == | |||
* [[정보보호 및 개인정보보호관리체계 인증]] | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) | ||
* [[ISMS-P 인증 기준]] | |||
* [[ISMS-P 인증 기준 세부 점검 항목]] | |||
== 참고 문헌 == | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, |
Latest revision as of 16:41, 25 January 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.10.시스템 및 서비스 보안관리
개요[edit | edit source]
항목 | 2.10.8.패치관리 |
---|---|
인증기준 | 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. |
주요 확인사항 |
|
관련법규 |
|
세부 설명[edit | edit source]
OS 및 소프트웨어 패치관리 정책 수립·이행[edit | edit source]
서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 OS와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하여야 한다.
- 패치 적용 대상: 서버, 네트워크시스템, DMMS, 응용프로그램, 상용 소프트웨어 오픈소스, 보안시스템, PC 등
- 패치 주기: 자산 중요도 및 특성 반영
- 패치 정보 확인 방법
- 패치 배포 전 사전 검토 절차
- 긴급 패치 적용 절차
- 패치 미적용 시 보안성 검토
- 패치 담당자 및 책임자
- 패치 관련 업체(제조사) 연락처 등
주요 자산 패치 현황 주기적 관리[edit | edit source]
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.
- 주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리
- 최신 보안패치 적용 필요 여부를 주기적으로 확인
※ 주요 OS별 서비스 지원 종료(EOS 또는 EOL) 시점 확인 사이트(예시)
|
최신 패치 적용 곤란 시 보완대책[edit | edit source]
서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하여야 한다.
- 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 운영시스템의 중요도와 특성을 고려하여 영향도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 적용
- 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리
공개 인터넷 접속을 통한 패치 제한[edit | edit source]
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.
- 다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용
패치관리시스템 보호대책[edit | edit source]
패치관리시스템(PMS)을 활용하는 경우 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.
- 패치관리시스템 자체에 대한 접근통제 조치 : 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등
- 업데이트 파일 배포 시 파일 무결성 검사 등
증거 자료[edit | edit source]
- 패치 적용 관리 정책·절차
- 시스템별 패치 적용 현황
- 패치 적용 관련 영향도 분석 결과
결함 사례[edit | edit source]
- 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우
- 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우
- 상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)