ISMS-P 인증 기준 2.10.8.패치관리

From IT Wiki
Revision as of 23:12, 7 May 2022 by Maintenance script (talk | contribs) (Imported from text file)

개요

항목 2.10.8.패치관리
인증기준 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다.
주요 확인사항
  • 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 수립‧이행하고 있는가?
  • 주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 주기적으로 관리하고 있는가?
  • 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?
  • 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
  • 패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?

세부 설명

  • 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 OS와 소프트웨어의 패치관리 정책 및 절차를 수립·이행하여야 한다.
    • 패치 적용 대상 : 서버, 네트워크시스템, DMMS, 응용프로그램, 상용 소프트웨어 오픈소스, 보안시스템, PC 등
    • 패치 주기 : 자산 중요도 및 특성 반영
    • 패치 정보 확인 방법
    • 패치 배포 전 사전 검토 절차
    • 긴급 패치 적용 절차
    • 패치 미적용 시 보안성 검토
    • 패치 담당자 및 책임자
    • 패치 관련 업체(제조사) 연락처 등
  • 주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치 적용 현황을 주기적으로 관리하여야 한다.
    • 주요 서버, 네트워크시스템, 보안시스템 등에 설치된 운영체제 및 소프트웨어의 버전 정보, 패치 적용 현황, 패치별 적용일자 등을 확인할 수 있도록 목록으로 관리
    • 최신 보안패치 적용 필요 여부를 주기적으로 확인
  • 서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하여야 한다.
    • 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 운영시스템의 중요도와 특성을 고려하여 영향도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 적용
    • 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리
  • 주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하여야 한다.
    • 다만 불가피한 경우 사전 위험분석을 통하여 보호대책을 마련하여 책임자 승인 후 적용
  • 패치관리시스템(PMS)을 활용하는 경우 내부망 서버 또는 PC에 악성코드 유포지로 악용될 수 있으므로 패치관리시스템 서버, 관리 콘솔 등에 접근통제 등 충분한 보호대책을 마련하여야 한다.
    • 패치관리시스템 자체에 대한 접근통제 조치 : 허가된 관리자 외 접근 차단, 기본 패스워드 변경, 보안 취약점 제거 등
    • 업데이트 파일 배포 시 파일 무결성 검사 등
  • 증거 자료

    • 패치 적용 관리 정책·절차
    • 시스템별 패치 적용 현황
    • 패치 적용 관련 영향도 분석 결과

    결함 사례

    • 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우
    • 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우
    • 상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우

    같이 보기

    참고 문헌

    • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)