ISMS-P 인증 기준 2.11.3.이상행위 분석 및 모니터링 편집하기

[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증 기준 2.11.사고 예방 및 대응|2.11.사고 예방 및 대응]]
== 개요 ==
{| class="wikitable"
!항목
!2.11.3.이상행위 분석 및 모니터링
|-
| style="text-align:center"|'''인증기준'''
|내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지·대응할 수 있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다.
|-
|'''주요 확인사항'''
|
* 내‧외부에 의한 침해시도, 개인정보 유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링하고 있는가?
** (가상자산사업자) 월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축하고 있는가?
*** 월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립·이행하고 있는가?
**** 24시간 운영되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요
* 침해시도, 개인정보유출시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지고 있는가?
|}
== 세부 설명 ==

* 내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보 시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링 하여야 한다.
** 이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함.
*** 이벤트 로그를 수집하거나 모니터링 하여야 할 대상 및 범위
*** 수집 및 분석, 모니터링 방법
*** 담당자 및 책임자 지정
*** 분석 및 모니터링 결과 보고 체계
*** 이상행위 발견 시 대응 절차 등
** 조직의 규모 및 정보시스템의 중요도가 높은 경우 24시간 실시간 모니터링 고려
* 침해시도, 개인정보유출 시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고, 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지도록 하여야 한다.
** 이상행위 판단을 위한 이상행위 식별기준 및 임계치를 설정하고, 필요시 시스템에 반영
** 설정된 기준 및 임계치를 주기적으로 검토하여 최적화
** 이상행위가 확인된 경우 규정에 따라 긴급 대응, 소명 요청, 원인 조사 등 사후조치 수행

== 증거 자료 ==
* 이상행위 분석 및 모니터링 현황
* 이상행위 발견 시 대응 증적
== 결함 사례 ==
* 외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는 상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우
* 외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁하고 있으나, 위탁 업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나, 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계를 갖추고 있지 않은 경우
* 내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나, 이에 대한 대응조치가 이루어지고 있지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
@@ 7번째 줄: / 7번째 줄: @@
 !2.11.3.이상행위 분석 및 모니터링
 |-
-| style="text-align:center; width:10%;" |'''인증기준'''
+| style="text-align:center"|'''인증기준'''
-|내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지·대응할 수있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다.
+|내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지·대응할 수 있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다.
 |-
-| style="text-align:center; width:10%;" |'''주요 확인사항'''
+|'''주요 확인사항'''
 |
-*내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링하고 있는가?
+* 내‧외부에 의한 침해시도, 개인정보 유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링하고 있는가?
-**(가상자산사업자)
+** (가상자산사업자) 월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축하고 있는가?
-***월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축하고 있는가?
+*** 월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립·이행하고 있는가?
-***월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립ㆍ이행하고 있는가?
+**** 24시간 운영되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요
-&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;※ 24시간 운영되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요
+* 침해시도, 개인정보유출시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지고 있는가?
-*침해시도, 개인정보유출시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지고 있는가?
-|-
-| style="text-align:center; width:10%;" |'''관련법규'''
-|
-*개인정보 보호법 제29조(안전조치의무)
-*개인정보의 안전성 확보조치 기준 제6조(접근통제)
 |}
-==세부 설명==
+== 세부 설명 ==
-*내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보 시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링 하여야 한다.
+* 내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보 시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링 하여야 한다.
-**이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함.
+** 이상행위 판단을 위하여 정보시스템, 보안시스템, 응용프로그램, 네트워크 장비 등의 로그를 수집하고 분석하는 체계를 갖추어야 함.
-***이벤트 로그를 수집하거나 모니터링 하여야 할 대상 및 범위
+*** 이벤트 로그를 수집하거나 모니터링 하여야 할 대상 및 범위
-***수집 및 분석, 모니터링 방법
+*** 수집 및 분석, 모니터링 방법
-***담당자 및 책임자 지정
+*** 담당자 및 책임자 지정
-***분석 및 모니터링 결과 보고 체계
+*** 분석 및 모니터링 결과 보고 체계
-***이상행위 발견 시 대응 절차 등
+*** 이상행위 발견 시 대응 절차 등
-***조직의 규모 및 정보시스템의 중요도가 높은 경우 24시간 실시간 모니터링 고려
+** 조직의 규모 및 정보시스템의 중요도가 높은 경우 24시간 실시간 모니터링 고려
-*침해시도, 개인정보유출 시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고, 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지도록 하여야 한다.
+* 침해시도, 개인정보유출 시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고, 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지도록 하여야 한다.
-**이상행위 판단을 위한 이상행위 식별기준 및 임계치를 설정하고, 필요시 시스템에 반영
+** 이상행위 판단을 위한 이상행위 식별기준 및 임계치를 설정하고, 필요시 시스템에 반영
-**설정된 기준 및 임계치를 주기적으로 검토하여 최적화
+** 설정된 기준 및 임계치를 주기적으로 검토하여 최적화
-**이상행위가 확인된 경우 규정에 따라 긴급 대응, 소명 요청, 원인 조사 등 사후조치 수행
+** 이상행위가 확인된 경우 규정에 따라 긴급 대응, 소명 요청, 원인 조사 등 사후조치 수행
-==증거 자료==
+== 증거 자료 ==
-*이상행위 분석 및 모니터링 현황
+* 이상행위 분석 및 모니터링 현황
-*이상행위 발견 시 대응 증거자료
+* 이상행위 발견 시 대응 증적
-==결함 사례==
+== 결함 사례 ==
-*외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는 '''상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우'''
+* 외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는 상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우
-*외부 보안관제 전문업체 등 외부 기관에 '''침해시도 모니터링 업무를 위탁'''하고 있으나, 위탁업체가 제공한 관련 보고서를 '''검토한 이력이 확인되지 않거나''', 위탁 대상에서 '''제외된 시스템'''에 대한 '''자체 모니터링 체계를 갖추고 있지 않은 경우'''
+* 외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁하고 있으나, 위탁 업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나, 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계를 갖추고 있지 않은 경우
-*내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나, 이에 대한 '''대응조치가 이루어지고 있지 않은 경우'''
+* 내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나, 이에 대한 대응조치가 이루어지고 있지 않은 경우
-==같이 보기==
+== 같이 보기 ==
-*[[정보보호 및 개인정보보호관리체계 인증]]
+* [[정보보호 및 개인정보보호관리체계 인증]]
-*[[ISMS-P 인증 기준]]
+* [[ISMS-P 인증 기준]]
-*[[ISMS-P 인증 기준 세부 점검 항목]]
+* [[ISMS-P 인증 기준 세부 점검 항목]]
-==참고 문헌==
+== 참고 문헌 ==
-*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
+* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)