2.6 접근통제

2.6.1 네트워크 접근

- 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립· 이행

- 업무목적 및 중요도에 따라 네트워크 분리

 

조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?

SK쉴더스 가이드

「정보시스템 운영관리지침」 제 ◌◌조 (네트워크 접근)
① 사내 네트워크에 접근할 수 있는 모든 경로를 식별하고, 인가된 사용자만 접근할 수 있도록 통제 해야한다.
② IP주소는 발급은 ‘IP 발급신청서’ 작성 부서 정보보호책임자의 승인을 득한 후 발급한다.
③ 네트워크 담당자는 ‘IP관리대장’에 현황을 기록 관리하며, 분기별 1회 최신화 해야한다.

 

KISA 가이드

조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고, 네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방·대응할 수 있도록 네트워크 접근통제 관리절차를 수립·이행하여야 한다. 
▶ 정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제
▶ 비인가자 및 단말의 내부 네트워크 접근 통제
▶ 네트워크 장비에 설치된 불필요한 서비스 및 포트 차단 등

 

서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하고 있는가?

SK쉴더스 가이드

「정보시스템 운영관리지침」 제 ◌◌조 (네트워크 접근)
① 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근을 통제하여야 한다.
≫ DMZ, 서버팜, 데이터베이스, 운영환경, 개발환경, 외부자영역, 공개망 등

 

KISA 가이드

서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하여야 한다.
▶ 위험평가를 통하여 핵심 업무영역의 네트워크 분리 및 영역 간 접근통제 수준 결정

 

네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?

SK쉴더스 가이드

「인증권한 관리지침」 제 ◌◌조 (네트워크 접근)
① 내부 네트워크는 대역별 IP주소 부여 기준을 마련하여 데이터베이스 서버 등 중요 시스템이 외부와의 연결되지 않도록 사설 IP를 해야한다.

 

KISA 가이드

네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우 사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다.

▶ IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리 
▶ 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT 기능 적용
▶ 사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용

 

물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?

SK쉴더스 가이드, KISA 가이드

정보통신망을 이용해 외부망에 접근 시 안전한 통신수단(전용회신, VPN) 사용

 

[증거자료]

 네트워크 구성도
 IP 관리대장
 정보자산 목록
 방화벽룰

 

---

2.6.2  정보시스템  접근

- 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제

 

서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?

SK쉴더스 가이드

「인증권한 관리지침」 제 ◌◌조 (정보시스템 접근)
① 서버∙네트워크시스템∙보안시스템 등 정보시스템별 운영체제(OS)에 접근이 다음 각 호를 포함하여 통제해야한다. 
≫ 계정 및 권한 신청·승인 절차
≫ 사용자별로 개별 계정 부여 및 공용 계정 사용 제한 
≫ 계정 사용 현황에 대한 정기 검토 및 현행화 관리 
≫ 접속 위치 제한
≫ 관리자 등 특수권한에 대한 강화된 인증수단(인증서, OTP 등) 
≫ 안전한 접근수단 적용(SFTP, SSH, SSL 등)
≫ 동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치

 

KISA 가이드

서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하여야 한다.
▶ 계정 및 권한 신청·승인 절차
▶ 사용자별로 개별 계정 부여 및 공용 계정 사용 제한
▶ 계정 사용 현황에 대한 정기 검토 및 현행화 관리 : 장기 미사용 계정, 불필요한 계정 존재 여부 등 
▶ 접속 위치 제한 : 접속자 IP주소 제한 등
▶ 관리자 등 특수권한에 대한 강화된 인증수단 고려 : 인증서, OTP 등 
▶ 안전한 접근수단 적용 : SSH, SFTP
▶ 동일 네트워크 영역 내 서버 간 접속에 대한 접근통제 조치 등

 

정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?

SK쉴더스 가이드, KISA 가이드

정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치하여야 한다.
▶ 서버별 특성, 업무 환경, 위험의 크기, 법적 요구사항 등을 고려하여 세션 유지시간 설정

 

정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?

SK쉴더스 가이드, KISA 가이드

정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단
② 안전하지 않은 서비스, 프로토콜, 데몬에 대해서는 추가 보안기능 구현
③ Netbios, File-Sharing, Telnet, FTP 등과 같은 안전하지 않은 서비스를 보호하기 위하여 SSH, SFTP, IPSec VPN 등과 같은 안전한 기술 사용

 

=> 불필요한 아웃 바운드 포함 / 사용자 PC도 FTP 제한이 되어야 하는가

 

주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?

SK쉴더스 가이드, KISA 가이드

주요서비스를 제공하는 서버는 독립된 서버로 운영하여야 한다.
▶ 외부에 직접 서비스를 제공하거나 민감한 정보를 보관·처리하고 있는 웹서버, 데이터베이스 서버, 응용 프로그램 등은 공용 장비로 사용하지 않고 독립된 서버 사용

 

[증거자료]

 정보시스템 운영체제 계정 목록
 서버 보안 설정
 서버접근제어 정책(SecureOS 관리화면 등)
 서버 및 네트워크 구성도
 정보자산 목록

---

2.6.3 응용프로그램 접근

- 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한

- 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용

 

중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?

 

SK쉴더스 가이드

「인증권한 관리지침」 제 ◌◌조 (정보시스템 접근)
① 응용프로그램에 대한 접근은 다음 각 호의 사항을 포함하여 중요정보의 접근을 통제하도록 응용프로그램을 구현 및 운영하여야 한다.
≫ 업무 목적 및 중요도에 따라 응용프로그램의 접근권한을 차등 부여

≫ 개인정보 등 중요정보를 처리(입력, 조회, 변경, 삭제, 다운로드, 출력 등) 시 접근권한을 세분화하여 설정
≫ 개인정보 등 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등) 최소화
≫ 개인정보 등 중요정보 출력(인쇄, 화면표시, 다운로드 등) 시 용도를 특정하고 용도에 따라 출력항목 최소화
≫ 개인정보 검색 시 과도한 정보가 조회되지 않도록 일치검색또는 두 가지 이상의 검색조건 사용

 

KISA 가이드

중요정보의 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하여야 한다.
▶ 내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별 
▶ 응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별
▶ 최소권한 원칙에 따른 사용자 및 개인정보취급자 접근권한 분류체계(권한분류표 등) 마련
▶ 중요정보 및 개인정보 처리(입력, 조회, 변경, 삭제, 다운로드, 출력 등) 권한을 세분화하여 설정할 수 있도록 응용프로그램 기능 구현
▶ 식별된 응용프로그램 및 개인정보처리시스템에 대한 계정 및 권한을 부여하는 절차 수립·이행 
▶ 권한 부여·변경·삭제 관련 기록을 보관하여 접근권한의 타당성 검토