ISMS-P 인증 기준 2.6.5.무선 네트워크 접근: Difference between revisions

From IT Wiki
(Imported from text file)
 
No edit summary
 
(4 intermediate revisions by 3 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증기준 2.6.접근통제 |2.6.접근통제 ]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.6.5.무선 네트워크 접근
!2.6.5.무선 네트워크 접근
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다.
|무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위해 인증, 송수신 데이터 암호화 등 보호대책을 수립‧이행하고 있는가?
*무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립·이행하고 있는가?
* 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립‧이행하고 있는가?
*인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하고 있는가?
* AD Hoc 접속 및 조직내 허가 받지 않은 무선 AP 탐지‧차단 등 비인가된 무선네트워크에 대한 보호대책을 수립‧이행하고 있는가?
*AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선네트워크에 대한 보호대책을 수립·이행하고 있는가?
*(가상자산사업자) IDC 내부에 무선통신망 설치 및 운용을 금지하고 있는가?
|-
|'''관련법규'''
|
*개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제6조(접근통제)
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 업무용 무선 네트워크 보호대책 수립·이행 ====
무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 다음의 사항을 고려하여 보호대책을 수립·이행하여야 한다.
 
*무선네트워크 장비(AP 등) 목록 관리
*사용자 인증 및 정보 송수신 시 암호화 기능 설정(WPA2-Enterprise mode, WPA3-Enterprise mode 등)
*무선 AP 접속 단말 인증 방안(MAC 인증 등)
*SSID 숨김 기능 설정
*무선네트워크에 대한 ACL 설정
*무선 AP의 관리자 접근 통제(IP제한) 등
 
==== 무선 네트워크 사용 인가 관리 ====
인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하여야 한다.
 
*무선네트워크 사용권한 신청 및 승인 절차(사용자 및 접속단말 등록 등)
*퇴직, 기간 만료 등의 사유로 무선네트워크 사용이 필요하지 않은 경우 접근권한 해지 절차
*외부인에게 제공하는 무선네트워크는 임직원이 사용하는 무선네트워크와 분리 등
 
==== [[Ad-hoc]] 등 비인가 네트워크 차단 ====
AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선네트워크에 대한 보호대책을 수립·이행하여야 한다.
 
*WIPS(무선침입방지시스템) 설치·운영, 주기적으로 비인가 AP(Rogue AP) 설치 여부 점검 등
 
==증거 자료==
 
*네트워크 구성도
*AP 보안 설정 내역
*비인가 무선 네트워크 점검 이력
*무선네트워크 사용 신청·승인 이력
 
==결함 사례==
 
*외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제 없이 내부 네트워크에 접근이 가능한 경우
*무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나, 안전하지 않은 방식으로 설정한 경우
*업무 목적으로 내부망에 연결된 무선AP에 대하여 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
*[[이블 트윈]]
 
==참고 문헌==


* 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 다음과 같은 보호대책을 수립·이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
** 무선네트워크 장비(AP 등) 목록 관리
** 사용자 인증 및 정보 송수신 시 암호화 기능 설정(WPA2-Enterprise mode 등)
** 무선 AP 접속 단말 인증 방안(MAC 인증 등)
** SSID 숨김 기능 설정
** 무선네트워크에 대한 ACL 설정
** 무선 AP의 관리자 접근 통제(IP제한) 등
* 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하여야 한다.
** 무선네트워크 사용권한 신청 및 승인 절차(사용자 및 접속단말 등록 등)
** 퇴직, 기간 만료 등의 사유로 무선네트워크 사용이 필요하지 않은 경우 접근권한 해지 절차
** 외부인에게 제공하는 무선네트워크는 임직원이 사용하는 무선네트워크와 분리
* AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선네트워크에 대한 보호 대책을 수립·이행하여야 한다.
** WIPS(무선침입방지시스템) 설치·운영, 주기적으로 비인가 AP(Rogue AP) 설치 여부 점검 등
== 증거 자료 ==
* 네트워크 구성도
* AP 보안 설정 내역
* 비인가 무선 네트워크 점검 이력
* 무선네트워크 사용 신청·승인 이력
== 결함 사례 ==
* 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제 없이 내부 네트워크에 접근이 가능한 경우
* 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나, 안전하지 않은 방식으로 설정한 경우
* 업무 목적으로 내부망에 연결된 무선AP에 대하여 SSID 브로드캐스팅 허용, 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 00:59, 28 January 2024


개요[edit | edit source]

항목 2.6.5.무선 네트워크 접근
인증기준 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 보호대책을 수립·이행하고 있는가?
  • 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하고 있는가?
  • AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선네트워크에 대한 보호대책을 수립·이행하고 있는가?
  • (가상자산사업자) IDC 내부에 무선통신망 설치 및 운용을 금지하고 있는가?
관련법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제6조(접근통제)

세부 설명[edit | edit source]

업무용 무선 네트워크 보호대책 수립·이행[edit | edit source]

무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위하여 인증, 송수신 데이터 암호화 등 다음의 사항을 고려하여 보호대책을 수립·이행하여야 한다.

  • 무선네트워크 장비(AP 등) 목록 관리
  • 사용자 인증 및 정보 송수신 시 암호화 기능 설정(WPA2-Enterprise mode, WPA3-Enterprise mode 등)
  • 무선 AP 접속 단말 인증 방안(MAC 인증 등)
  • SSID 숨김 기능 설정
  • 무선네트워크에 대한 ACL 설정
  • 무선 AP의 관리자 접근 통제(IP제한) 등

무선 네트워크 사용 인가 관리[edit | edit source]

인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행하여야 한다.

  • 무선네트워크 사용권한 신청 및 승인 절차(사용자 및 접속단말 등록 등)
  • 퇴직, 기간 만료 등의 사유로 무선네트워크 사용이 필요하지 않은 경우 접근권한 해지 절차
  • 외부인에게 제공하는 무선네트워크는 임직원이 사용하는 무선네트워크와 분리 등

Ad-hoc 등 비인가 네트워크 차단[edit | edit source]

AD Hoc 접속 및 조직 내 허가받지 않은 무선 AP 탐지·차단 등 비인가된 무선네트워크에 대한 보호대책을 수립·이행하여야 한다.

  • WIPS(무선침입방지시스템) 설치·운영, 주기적으로 비인가 AP(Rogue AP) 설치 여부 점검 등

증거 자료[edit | edit source]

  • 네트워크 구성도
  • AP 보안 설정 내역
  • 비인가 무선 네트워크 점검 이력
  • 무선네트워크 사용 신청·승인 이력

결함 사례[edit | edit source]

  • 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제 없이 내부 네트워크에 접근이 가능한 경우
  • 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나, 안전하지 않은 방식으로 설정한 경우
  • 업무 목적으로 내부망에 연결된 무선AP에 대하여 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
Retrieved from "https://itwiki.kr/index.php?title=ISMS-P_인증_기준_2.6.5.무선_네트워크_접근&oldid=39004"