ISMS-P 인증 기준 2.6.2.정보시스템 접근 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
9번째 줄: | 9번째 줄: | ||
!2.6.2.정보시스템 접근 | !2.6.2.정보시스템 접근 | ||
|- | |- | ||
| style="text-align:center | | style="text-align:center" |'''인증기준''' | ||
|서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다. | |서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |||
| | | | ||
*서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가? | *서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가? | ||
19번째 줄: | 19번째 줄: | ||
*주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가? | *주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가? | ||
*(가상자산사업자) 월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리, 추가인증, 보안토큰 등) 대책을 마련하고 있는가? | *(가상자산사업자) 월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리, 추가인증, 보안토큰 등) 대책을 마련하고 있는가? | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
==== 정보시스템별 접근 통제==== | ==== 정보시스템별 접근 통제 ==== | ||
서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하여야 한다. | 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하여야 한다. | ||
*계정 및 권한 신청·승인 절차 | *계정 및 권한 신청·승인 절차 | ||
* 사용자별로 개별 계정 부여 및 공용 계정 사용 제한 | *사용자별로 개별 계정 부여 및 공용 계정 사용 제한 | ||
*계정 사용 현황에 대한 정기 검토 및 현행화 관리 | *계정 사용 현황에 대한 정기 검토 및 현행화 관리 | ||
**장기 미사용 계정, 불필요한 계정 존재 여부 등 | **장기 미사용 계정, 불필요한 계정 존재 여부 등 | ||
39번째 줄: | 34번째 줄: | ||
*관리자 등 특수권한에 대한 강화된 인증수단 고려 | *관리자 등 특수권한에 대한 강화된 인증수단 고려 | ||
**인증서, [[OTP]] 등 | **인증서, [[OTP]] 등 | ||
*안전한 접근수단 적용 | *안전한 접근수단 적용 | ||
**[[SSH]], [[SFTP]] | **[[SSH]], [[SFTP]] | ||
*동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치 등 | *동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치 등 | ||
====세션 타임아웃 설정==== | ==== 세션 타임아웃 설정 ==== | ||
정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치 하여야 한다. | 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치 하여야 한다. | ||
*서버별 특성, 업무 환경, 위험의 크기, 법적 요구사항 등을 고려하여 세션 유지시간 설정 | *서버별 특성, 업무 환경, 위험의 크기, 법적 요구사항 등을 고려하여 세션 유지시간 설정 | ||
====취약한 서비스 및 포트 관리==== | ==== 취약한 서비스 및 포트 관리 ==== | ||
정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다. | 정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단하여야 한다. | ||
*안전하지 않은 서비스, 프로토콜, 데몬에 대해서는 추가 보안기능 구현 | *안전하지 않은 서비스, 프로토콜, 데몬에 대해서는 추가 보안기능 구현 | ||
*Netbios, File-Sharing, Telnet, FTP 등과 같은 안전하지 않은 | *Netbios, File-Sharing, Telnet, FTP 등과 같은 안전하지 않은 서비스를 보호하기 위하여 SSH, SFTP, IPSec VPN 등과 같은 안전한 기술 사용 | ||
{| class="wikitable" | {| class="wikitable" | ||
60번째 줄: | 55번째 줄: | ||
|} | |} | ||
====주요 서비스 독립 운영 ==== | ==== 주요 서비스 독립 운영 ==== | ||
주요서비스를 제공하는 서버는 독립된 서버로 운영하여야 한다. | 주요서비스를 제공하는 서버는 독립된 서버로 운영하여야 한다. | ||
69번째 줄: | 64번째 줄: | ||
*정보시스템 운영체제 계정 목록 | *정보시스템 운영체제 계정 목록 | ||
*서버 보안 설정 | *서버 보안 설정 | ||
* 서버접근제어 정책(SecureOS 관리화면 등) | *서버접근제어 정책(SecureOS 관리화면 등) | ||
*서버 및 네트워크 구성도 | *서버 및 네트워크 구성도 | ||
*정보자산 목록 | *정보자산 목록 | ||
78번째 줄: | 73번째 줄: | ||
*서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우 | *서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우 | ||
*타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우 | *타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우 | ||
==같이 보기== | ==같이 보기== | ||
88번째 줄: | 82번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |