ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.2 정보시스템 접근)

항목 : 2.6.2 정보시스템 접근

 

■ 인증기준 : 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다.

 

■ 주요 확인사항

• 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가? 
• 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가? 
• 정보시스템의 사용목적과 관계 없는 서비스를 제거하고 있는가?
• 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?

 

■ 관련 법규

• 개인정보 보호법 제29조(안전조치의무) 
• 개인정보의 안전성 확보조치 기준 제6조(접근통제) 
• 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)

금융분야 추가확인사항

• 전자금융거래법 제14조(정보처리시스템 보호대책) 제9호

 

■ 세부 설명

 ① 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하여야 한다.

• 계정 및 권한 신청·승인 절차 
• 사용자별로 개별 계정 부여 및 공용 계정 사용 제한 
• 계정 사용 현황에 대한 정기 검토 및 현행화 관리 : 장기 미사용 계정, 불필요한 계정 존재 여부 등 
• 접속 위치 제한 : 접속자 IP주소 제한 등 
• 관리자 등 특수권한에 대한 강화된 인증수단 고려 : 인증서, OTP 등 
• 안전한 접근수단 적용 : SSH, SFTP 
• 동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치 등

② 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치 하여야 한다.

• 서버별 특성, 업무 환경, 위험의 크기, 법적 요구사항 등을 고려하여 세션 유지시간 설정

③ 정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인 하여 제거 또는 차단하여야 한다.

• 안전하지 않은 서비스, 프로토콜, 데몬에 대해서는 추가 보안기능 구현 
• Netbios, File-Sharing, Telnet, FTP 등과 같은 안전하지 않은 서비스를 보호하기 위하여 SSH, SFTP, IPSec VPN 등과 같은 안전한 기술 사용

④ 주요서비스를 제공하는 서버는 독립된 서버로 운영하여야 한다.

• 외부에 직접 서비스를 제공하거나 민감한 정보를 보관·처리하고 있는 웹서버, 데이터베이스 서버, 응용 프로그램 등은 공용 장비로 사용하지 않고 독립된 서버 사용

 

■ 증적예시

• 정보시스템 운영체제 계정 목록
• 서버 보안 설정
• 서버접근제어 정책(SecureOS 관리화면 등) 
• 서버 및 네트워크 구성도  정보자산 목록

 

■ 결함사례

1. 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나, 터미널 서비스에 대한 세션 타임아웃 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우
2. 서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우 
3. 타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

     

_그사람