ISMS-P 인증 기준 2.10.8.패치관리: Difference between revisions

From IT Wiki
No edit summary
No edit summary
 
(One intermediate revision by one other user not shown)
Line 14: Line 14:
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 수립‧이행하고 있는가?
*서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제 (OS)와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하고 있는가?
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 주기적으로 관리하고 있는가?
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하고 있는가?
*서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?
*서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
*주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
*패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
*패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
|-
| style="text-align:center" |'''관련법규'''
|
*개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지)
|}
|}
==세부 설명==
==세부 설명==


==== OS 및 소프트웨어 패치관리 정책 수립·이행 ====
====OS 및 소프트웨어 패치관리 정책 수립·이행====
서버, 네트워크시스템, 보안시스템, PC 등 '''자산별 특성 및 중요도에 따라''' OS와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하여야 한다.
서버, 네트워크시스템, 보안시스템, PC 등 '''자산별 특성 및 중요도에 따라''' OS와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하여야 한다.


Line 34: Line 39:
*패치 관련 업체(제조사) 연락처 등
*패치 관련 업체(제조사) 연락처 등


==== 주요 자산 패치 현황 주기적 관리 ====
====주요 자산 패치 현황 주기적 관리====
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.


*주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용 현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리
*주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리
*최신 보안패치 적용 필요 여부를 주기적으로 확인<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
*최신 보안패치 적용 필요 여부를 주기적으로 확인
'''※ 주요 OS별 서비스 지원 종료(EOS 또는 EOL) 시점 확인 사이트(예시)'''


{| class="wikitable"
|'''※ 주요 OS별 서비스 지원 종료(EOS 또는 EOL) 시점 확인 사이트(예시)'''
*MS 윈도우: https://support.microsoft.com/ko-kr/lifecycle/search
*MS 윈도우: https://support.microsoft.com/ko-kr/lifecycle/search
*레드햇 리눅스: https://access.redhat.com/support/policy/updates/errata
*레드햇 리눅스: https://access.redhat.com/support/policy/updates/errata
*CentOS: https://wiki.centos.org/About/Product
*CentOS: https://wiki.centos.org/About/Product
*AIX: http://www-01.ibm.com/support/docview.wss?uid=isg3T1012517
*AIX: https://www-01.ibm.com/support/docview.wss?uid=isg3T1012517
*HP-UX: https://hpe.com/info/hpuxservermatrix
*HP-UX: https://hpe.com/info/hpuxservermatrix
*Solaris: https://www.oracle.com/technetwork/server-storage/solaris/overview/releases-jsp-14098* 7.html</div>
*Solaris: https://www.oracle.com/technetwork/server-storage/solaris/overview/releases-jsp-140987.html
|}


==== 최신 패치 적용 곤란 시 보완대책 ====
====최신 패치 적용 곤란 시 보완대책====
서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하여야 한다.
서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하여야 한다.


Line 54: Line 61:
*운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리
*운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리


==== 공개 인터넷 접속을 통한 패치 제한 ====
====공개 인터넷 접속을 통한 패치 제한====
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.  


*다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용
*다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용


==== 패치관리시스템 보호대책 ====
====패치관리시스템 보호대책====
'''패치관리시스템(PMS)을 활용하는 경우''' 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.
'''패치관리시스템(PMS)을 활용하는 경우''' 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.  


*패치관리시스템 자체에 대한 접근통제 조치: 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등
*패치관리시스템 자체에 대한 접근통제 조치 : 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등
*업데이트 파일 배포 시 파일 무결성 검사 등
*업데이트 파일 배포 시 파일 무결성 검사 등


Line 77: Line 84:
*상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우
*상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우


==같이 보기==
==같이 보기 ==


*[[정보보호 및 개인정보보호관리체계 인증]]
*[[정보보호 및 개인정보보호관리체계 인증]]
Line 85: Line 92:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 16:41, 25 January 2024


개요[edit | edit source]

항목 2.10.8.패치관리
인증기준 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다.
주요 확인사항
  • 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제 (OS)와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하고 있는가?
  • 주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하고 있는가?
  • 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?
  • 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
  • 패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
관련법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지)

세부 설명[edit | edit source]

OS 및 소프트웨어 패치관리 정책 수립·이행[edit | edit source]

서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 OS와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하여야 한다.

  • 패치 적용 대상: 서버, 네트워크시스템, DMMS, 응용프로그램, 상용 소프트웨어 오픈소스, 보안시스템, PC 등
  • 패치 주기: 자산 중요도 및 특성 반영
  • 패치 정보 확인 방법
  • 패치 배포 전 사전 검토 절차
  • 긴급 패치 적용 절차
  • 패치 미적용 시 보안성 검토
  • 패치 담당자 및 책임자
  • 패치 관련 업체(제조사) 연락처 등

주요 자산 패치 현황 주기적 관리[edit | edit source]

주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.

  • 주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리
  • 최신 보안패치 적용 필요 여부를 주기적으로 확인
※ 주요 OS별 서비스 지원 종료(EOS 또는 EOL) 시점 확인 사이트(예시)

최신 패치 적용 곤란 시 보완대책[edit | edit source]

서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하여야 한다.

  • 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 운영시스템의 중요도와 특성을 고려하여 영향도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 적용
  • 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리

공개 인터넷 접속을 통한 패치 제한[edit | edit source]

주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.

  • 다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용

패치관리시스템 보호대책[edit | edit source]

패치관리시스템(PMS)을 활용하는 경우 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.

  • 패치관리시스템 자체에 대한 접근통제 조치 : 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등
  • 업데이트 파일 배포 시 파일 무결성 검사 등

증거 자료[edit | edit source]

  • 패치 적용 관리 정책·절차
  • 시스템별 패치 적용 현황
  • 패치 적용 관련 영향도 분석 결과

결함 사례[edit | edit source]

  • 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우
  • 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우
  • 상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)