그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.3 공개서버 보안)

_그사람 2023. 3. 8. 08:05

항목 : 2.10.3 공개서버 보안

 

■ 인증기준 : 외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집·저장·공개 절차 등 강화된 보호대책을 수립·이행하여야 한다.

 

 

 

■ 주요 확인사항

  • 공개서버를 운영하는 경우 이에 대한 보호대책을 수립·이행하고 있는가? 
  • 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 침입차단시스템 등 보안 시스템을 통하여 보호하고 있는가? 
  • 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립·이행하고 있는가? 
  • 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가?

금융분야 추가확인사항

  • 공개서버에서 제공하는 서비스 이외의 다른 서비스 제공 및 시험・개발 도구 등 불필요한 소프트웨어・스크립트・실행파일 설치를 금지하고 있는가?

금융분야 추가확인사항

관련 법규

  • 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) 제1항제1호,제3호,제4호
  • 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) 제2항제1호,제4호

 

 

 

 세부 설명

① 웹서버 등 공개서버를 운영하는 경우 이에 대한 보호대책을 수립·이행하여야 한다.

  • 웹서버를 통한 개인정보 송수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축 
  • 백신설치 및 업데이트 설정 
  • 응용프로그램(웹서버, OpenSSL 등), 운영체제 등에 대한 최신 보안패치 설치 
  • 불필요한 서비스 제거 및 포트 차단 
  • 불필요한 소프트웨어, 스크립트, 실행파일 등 설치 금지 
  • 에러 처리 페이지, 테스트 페이지 등 불필요한 페이지 노출 금지 
  • 주기적 취약점 점검 수행 등

공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 침입차단시스템 등 보안시스템을 통하여 보호하여야 한다.

  • 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등을 통한 접근통제 정책을 적용 
  • DMZ의 공개서버가 내부 네트워크에 위치한 데이터베이스, WAS(Web Application Server) 등의 정보 시스템과 접속이 필요한 경우 엄격하게 접근통제 정책 적용

금융분야 추가확인사항

공개서버에서 제공하는 서비스를 제외한 다른 서비스 및 시험・개발 도구 등의 사용을 제한하여야 한다

공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립·이행하여야 한다.

  • 원칙적으로 DMZ 구간의 웹서버 내에 개인정보 및 중요정보의 저장을 금지하고, 업무상 불가피하게 필요한 경우 허가 절차 및 보호대책 적용 
  • 웹사이트에 개인정보 및 중요정보를 게시할 경우 사전 검토 및 승인 절차 수행
  • 외부 검색엔진 등을 통하여 접근권한이 없는 자에게 개인정보 및 중요정보가 노출되지 않도록 조치

금융분야 추가확인사항

DMZ 구간 내의 공개서버에 개인정보 등 중요정보의 저장・관리를 금지하여야 한다. 다만, 거래로그를 관리하기 위한 경우에는 예외로 하되 이 경우 반드시 암호화하여 저장・관리하고 업무목적이 종료된 경우에는 중요정보를 포함한 거래로그의 폐기 등 보호조치를 수행

 

 

⑤ 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다.

  • 검색엔진 등을 통하여 주기적으로 점검 및 필요한 조치 적용 
  • 중요정보 노출을 인지한 경우 웹사이트에서 차단조치 및 해당 검색엔진 사업자에게 요청하여 캐시 등을 통하여 계속적으로 노출되지 않도록 조치

금융분야 추가확인사항

  • 웹 사이트에 자료 게시할 경우 다음 사항 준수

      - 책임자 승인 등 게시자료에 대한 사전 내부통제 절차 마련 

      - 중요정보의 노출여부 주기적 확인

      - 게시기간이 만료된 자료의 즉각적인 삭제

      - 무기명 또는 가명에 의한 자료 게시 금지

      -  자료 게시 담당자 지정 및 운용

      -  개인정보 등 중요정보의 유출 및 위・변조를 방 지하기 위한 보안대책 마련

      - 개인식별정보의 경우 마스킹('*')하여 게재 등

 

 

 증적예시

  • 네트워크 구성도 
  • 웹사이트 정보공개 절차 및 내역(신청·승인·게시 이력 등) 
  • 개인정보 및 중요정보 노출 여부 점검 이력

 

 결함사례

  1. 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우 
  2. 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
  3. 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나, 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우 
  4. 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우

 

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람

 

저작자표시 비영리 변경금지

'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.5 정보전송 보안)  (0) 2023.03.13
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.4 전자거래 및 핀테크 보안)  (0) 2023.03.13
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.2 클라우드 보안)  (0) 2023.03.08
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.1 보안시스템 운영)  (0) 2023.03.06
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.9 시스템 및 서비스 운영관리(2.9.7 정보자산의 재사용 및 폐기)  (0) 2023.03.03

'그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)'의 다른글

  • 현재글ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.3 공개서버 보안)

관련글

티스토리툴바