ISMS-P 인증 기준 2.11.3.이상행위 분석 및 모니터링: Difference between revisions
From IT위키
No edit summary |
(→세부 설명) |
||
Line 20: | Line 20: | ||
** 이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함. | ** 이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함. | ||
*** 이벤트 로그를 수집하거나 모니터링 하여야 할 대상 및 범위 | *** 이벤트 로그를 수집하거나 모니터링 하여야 할 대상 및 범위 | ||
** 수집 및 분석, 모니터링 방법 | *** 수집 및 분석, 모니터링 방법 | ||
*** 담당자 및 책임자 지정 | *** 담당자 및 책임자 지정 | ||
** 분석 및 모니터링 결과 보고 체계 | *** 분석 및 모니터링 결과 보고 체계 | ||
*** 이상행위 발견 시 대응 절차 등 | *** 이상행위 발견 시 대응 절차 등 | ||
** 조직의 규모 및 정보시스템의 중요도가 높은 경우 24시간 실시간 모니터링 고려 | ** 조직의 규모 및 정보시스템의 중요도가 높은 경우 24시간 실시간 모니터링 고려 | ||
Line 29: | Line 29: | ||
** 설정된 기준 및 임계치를 주기적으로 검토하여 최적화 | ** 설정된 기준 및 임계치를 주기적으로 검토하여 최적화 | ||
** 이상행위가 확인된 경우 규정에 따라 긴급 대응, 소명 요청, 원인 조사 등 사후조치 수행 | ** 이상행위가 확인된 경우 규정에 따라 긴급 대응, 소명 요청, 원인 조사 등 사후조치 수행 | ||
== 증거 자료 == | == 증거 자료 == | ||
* 이상행위 분석 및 모니터링 현황 | * 이상행위 분석 및 모니터링 현황 |
Revision as of 21:45, 6 March 2023
- 영역: 2.보호대책 요구사항
- 분류: 2.11.사고 예방 및 대응
개요
항목 | 2.11.3.이상행위 분석 및 모니터링 |
---|---|
인증기준 | 내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지·대응할 수 있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다. |
주요 확인사항 |
|
세부 설명
- 내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보 시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링 하여야 한다.
- 이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함.
- 이벤트 로그를 수집하거나 모니터링 하여야 할 대상 및 범위
- 수집 및 분석, 모니터링 방법
- 담당자 및 책임자 지정
- 분석 및 모니터링 결과 보고 체계
- 이상행위 발견 시 대응 절차 등
- 조직의 규모 및 정보시스템의 중요도가 높은 경우 24시간 실시간 모니터링 고려
- 이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함.
- 침해시도, 개인정보유출 시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고, 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지도록 하여야 한다.
- 이상행위 판단을 위한 이상행위 식별기준 및 임계치를 설정하고, 필요시 시스템에 반영
- 설정된 기준 및 임계치를 주기적으로 검토하여 최적화
- 이상행위가 확인된 경우 규정에 따라 긴급 대응, 소명 요청, 원인 조사 등 사후조치 수행
증거 자료
- 이상행위 분석 및 모니터링 현황
- 이상행위 발견 시 대응 증적
결함 사례
- 외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는 상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우
- 외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁하고 있으나, 위탁 업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나, 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계를 갖추고 있지 않은 경우
- 내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나, 이에 대한 대응조치가 이루어지고 있지 않은 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)