ISMS-P 인증 기준 2.6.3.응용프로그램 접근

From IT Wiki


개요

항목 2.6.3.응용프로그램 접근
인증기준 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
주요 확인사항
  • 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?
  • 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
  • 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
  • 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?

세부 설명

접근권한 차등 부여

중요정보의 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하여야 한다.

  • 내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별
  • 응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별
  • 최소권한 원칙에 따른 사용자 및 개인정보취급자 접근권한 분류체계(권한분류표 등) 마련
  • 중요정보 및 개인정보 처리(입력, 조회, 변경, 삭제, 다운로드, 출력 등) 권한을 세분화하여 설정할 수 있도록 응용프로그램 기능 구현
  • 식별된 응용프로그램 및 개인정보처리시스템에 대한 계정 및 권한을 부여하는 절차 수립·이행
  • 권한 부여·변경·삭제 관련 기록을 보관하여 접근권한의 타당성 검토

중요정보의 필요최소한의 노출 구현

중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하여야 한다.

  • 응용프로그램(개인정보처리시스템 등)에서 개인정보 등 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화
  • 개인정보 검색 시에는 과도한 정보가 조회되지 않도록 일치검색(equal검색)이나 두 가지 조건 이상의 검색조건 사용 등 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하여야 한다.

보안강화를 위한 세션 제한 조치

일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하여야 한다.

  • 응용프로그램 및 업무별 특성, 위험의 크기 등을 고려하여 접속유지 시간 결정 및 적용
  • 개인정보처리시스템의 경우 법적 요구사항에 따라 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치
  • 동일 계정으로 동시 접속 시 경고 문자 표시 및 접속 제한

관리자 전용 기능 접근 통제

관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제 하여야 한다.

  • 관리자 전용 응용프로그램의 외부 공개 차단 및 IP주소 등을 통한 접근제한 조치
  • 불가피하게 외부 공개가 필요한 경우 안전한 인증수단(OTP 등) 또는 안전한 접속수단(VPN 등) 적용
  • 관리자(사용자), 개인정보취급자의 접속 로그 및 이벤트 로그에 대한 정기적 모니터링
  • 이상징후 발견 시 세부조사, 내부보고 등 사전에 정의된 절차에 따라 이행

증거 자료

  • 응용프로그램 접근권한 분류 체계
  • 응용프로그램 계정/권한 관리 화면
  • 응용프로그램 사용자/관리자 화면(개인정보 조회 등)
  • 응용프로그램 세션 타임 및 동시접속 허용 여부 내역
  • 응용프로그램 관리자 접속로그 모니터링 내역
  • 정보자산 목록

결함 사례

  • 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인 정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
  • 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우
  • 응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우
  • 응용프로그램을 통하여 개인정보를 다운로드받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
  • 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)