[K-ISMS 인증기준] 정보보호대책 11. 운영보안 #4

K-ISMS 인증기준 - 11. 운영보안 #4

---

11.5 악성코드 관리

11.5.1 악성코드 통제

바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위해 악성코드 예방, 탐지, 대응 등의 보호대책을 수립하여야 한다.

11.5.1.1 바이러스, 웜, 트로이목마 등의 악성코드로부터 정보시스템을 보호하기 위하여 보호대책을 수립 ∙ 이행하고 있는가?  

ㅇ 바이러스, 웜, 트로이목마 등의 악성코드로부터 내부 정보시스템을 보호하기 위하여 다음항목을 포함한 지침 및 절차를 수립하여야 한다. - 사용자 PC 사용지침 (불분명한 이메일 및 파일 열람 금지, 허가받지 않은 프로그램 다운로드 및 설치 금지 등) - 백신프로그램 설치 범위 및 절차 - 백신프로그램을 통한 주기적인 악성코드 감염여부 모니터링 정책 - 사용자 교육 및 정보제공 ㅇ 백신프로그램 설치 범위는 다음사항을 고려하여 정하여야 한다. - 내부 네트워크에서 사용되는 업무용 단말기 (PC, 노트북 등) - 정보자산 중요도 평가 과정에서 등급이 높은 정보자산(인증기준 4.2.1 보안등급과 취급 참고) (예 : DMZ 구간의 공개서버, 공개서버와 연계되어 있는 서버(WAS, DB 등), 중요정보가 저장되어 있는 DB, 기타 중요하다고 판단되는 정보자산 (DNS, DHCP 등))   - 정보통신망 이용촉진 및 정보보호 등에 관한법률 시행령에 따른 개인정보처리시스템, 개인정보처리에 이용되는 정보기기 (PC, 노트북 등 단말기) - 윈도우, 리눅스, 유닉스 등 다양한 운영체제 ㅇ 기존 시스템 환경과 충돌이 발생하여 백신프로그램을 설치할 수 없는 경우에는 책임자의 승인을 받고 보완대책을 마련하여 관리하여야 한다.  ※ 참고 ※ - 백신프로그램 이용 안내서 (KISA)

11.5.1.2 백신프로그램 등을 통한 최신 악성코드 예방, 탐지 활동을 지속적으로 수행하고 있는가?  

ㅇ 악성코드가 정보시스템과 PC 등의 단말기에 유입되어 확산되는 것을 방지하기 위하여 다음 사항을 포함한 예방, 탐지 활동을 수행하여야 한다.  - 전자우편 등 첨부파일에 대한 악성코드 감염 여부 검사 - 실시간 악성코드 감시 및 치료  - 주기적인 악성코드 점검 : 자동 바이러스 점검 일정 설정 - 백신엔진 최신버전 유지 : 주기적 업데이트 등

11.5.1.3 악성코드 감염 발견 시 악성코드 확산 및 피해 최소화 등의 대응절차를 수립 ∙ 이행하고 있는가?  

ㅇ 악성코드 감염 발견 시 추가적인 확산과 피해 최소화를 위하여 다음과 같은 항목이 포함된 대책을 마련하여야 한다. - 악성코드 감염 발견 시 대처 절차 (예 : 네트워크케이블 분리 등) - 비상연락망 (예: 백신업체 담당자, 관련 기관 연락처 등) - 대응보고서양식 (발견일시, 대응절차 및 방법, 대응자, 방지대책 포함) 등

11.5.2 패치관리

소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인해 발생할 수 있는 침해사고를 예방하기 위해 최신 패치를 정기적으로 적용하고 필요한 경우 시스템에 미치는 영향을 분석하여야 한다.

11.5.2.1 서버, 네트워크 장비, 보안시스템, PC 등 자산 중요도 또는 특성에 따라 OS, 소프트웨어 패치관리 정책 및 절차를 수립 ∙ 이행하고 있는가?  

o 운영체제(서버, 네트워크, PC 등) 및 (상용) 소프트웨어(오피스 프로그램, 백신, DBMS 등) 의 경우 지속적으로 취약점이 발견되며 이를 해결하기 위한 패치(patch)파일도 지속적으로 공개된다. 따라서 서버, 네트워크 장비, PC 등에 설치되어 있는 운영체제, 소프트웨어 패치적용을 위한 정책 및 절차를 수립하여 이행하여야 한다. - 서버, 네트워크 장비, 보안시스템, PC 등 대상별 패치정책 및 절차 : 패치정보 입수 및 적용방법 등 - 패치 담당자 및 책임자 지정 - 패치 관련 업체(제조사) 연락처 등

11.5.2.2 주요 서버, 네트워크 장비 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 관리하고 있는가?

ㅇ 주요 서버, 네트워크 장비, 보안시스템 등에 설치된 운영체제, 소프트웨어 버전 정보, 패치일 등을 확인할 수 있도록 목록 등으로 관리하고 최신 보안패치 여부를 주기적으로 확인하여야 한다

11.5.2.3 주요 서버, 네트워크 장비, 정보보호시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?

ㅇ 일반적으로 통제구역(전산실 등)에 위치하고 있는 서버, 네트워크 장비, 정보보호시스템에 관련 패치를 적용하여야 할 경우 공개 인터넷 접속을 통한 패치적용은 원칙적으로 금지하여야 한다. 다만 불가피한 경우 사전 위험분석을 통해 보호대책을 마련한 후 책임자 승인 후 적용하여야 한다.

11.5.2.4 패치관리시스템(PMS)를 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?  

ㅇ 패치관리시스템(PMS)의 경우 내부망 서버 또는 PC에 악성코드 유포에 활용될 수 있으므로 패치관리시스템(PMS) 서버, 관리 콘솔에 대한 접근통제(관리자 이외의 비인가자 접근 차단, 패스워드 주기적 변경, 임시계정 삭제 등) 등 충분한 보호대책을 마련하여야 한다. - 패치관리시스템은 업데이트를 내려 받는 경우 해당 업데이트 파일이 변조되었는지 확인하기 위한 무결성 점검 기능이 있는 지 확인하고 도입하는 것이 좋다.

11.5.2.5 운영시스템 경우 패치 적용하기 전 시스템 가용성에 미치는 영향을 분석하여 패치를 적용하고 있는가?

ㅇ 운영시스템에 패치를 적용하는 경우 시스템 가용성에 영향을 미칠 수 있으므로 패치 적용은 운영시스템의 중요도와 특성을 고려하여 위험도 분석 등 정해진 절차에 따라 충분하게 영향을 분석한 후 책임자 승인 후 적용하여야 한다. 다만 운영환경에 따라 즉시 패치 적용이 어려운 경우 그 사유와 추가 보완대책을 마련하여 책임자에게 보고하고 그 현황을 관리하여야 한다.

---

11.6 로그관리 및 모니터링

11.6.1 시각 동기화

로그기록의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위해 정보시스템 시각을 공식 표준시각으로 정확하게 동기화 하여야 한다.

11.6.1.1 각 정보시스템 시각을 표준시각으로 동기화하고 있는가?

ㅇ 로그기록 시간의 정확성을 보장하고 법적인 자료로서 효력을 지니기 위하여 타임서버 등을 이용하여 주기적으로 시각의 설정 및 동기화 여부를 점검하여야 한다. 예를 들어 NTP(Network Time Protocol) 등의 방법을 활용하면 시스템간 시간을 동기화할 수 있다.

11.6.2 로그기록 및 보존

정보시스템, 응용프로그램, 보안시스템, 네트워크 장비 등 기록해야 할 로그유형을 정의하여 일정기간 보존하고 주기적으로 검토하여야 한다. 보존기간 및 검토주기는 법적요구사항을 고려하여야 한다.  

11.6.2.1 주요 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 로깅하고 있는가?

- 로그기록 및 보존이 필요한 주요 정보시스템 지정

- 각 시스템 및 장비별 로그유형 및 보존기간 정의

- 로그기록 보존(백업) 방법  

ㅇ 서비스 및 업무 중요도를 고려하여 로그 기록 및 보존이 필요한 주요 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비, DB 등)을 지정하고 각 시스템 및 장비별로 기록하여야 할 로그유형 및 보존기간을 정하여야 한다. 특히 로그유형 및 보존기간(최소 6개월 이상 권고)은 법적요건을 고려하여 정하여야 한다. -  로그 기록 및 보존이 필요한 시스템 및 장비는 정보자산의 중요도 평가 과정(인증기준 4.2.1 보안등급과 취급 참고)을 통해 정할 수 있으며 서비스 및 업무 지원을 위한 핵심 정보보호시스템은 대상에 포함하여야 한다. 특히 법률(정보통신 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법 등)에서 정하고 있는 개인정보처리시스템은 대상에 포함하여야 한다.   ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제4조(접근권한의 관리) 및 제8조 (접속기록의 보관 및 위 ∙ 변조 방지) ㅇ 각 정보시스템별 로그유형은 다음과 같이 정할 수 있다.   - 보안관련 감사로그 : 사용자 접속기록(사용자식별정보 : ID, 접속일시, 접속지 : 단말기 IP, 수행업무 : 정보생성, 수정, 삭제, 검색 출력 등), 인증 성공/실패 로그, 파일 접근, 계정 및 권한 등록/변경/삭제 등 - 시스템 이벤트 로그 : 운영체제 구성요소에 의해 발생되는 로그(시스템 시작, 종료, 상태, 에러코드 등) - 보안시스템 정책(룰셋 등)등록/변경/삭제 및 이벤트 로그 - 기타 정보보호 관련 로그

11.6.2.2 로그기록은 별도 저장장치를 통해 백업하고 로그기록에 대한 접근권한 부여를 최소화 하고 있는가?  

ㅇ 로그기록은 스토리지 등 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한부여는 최소화하여 비인가자에 의한 로그기록 위변조 및 삭제 등이 발생하지 않도록 하여야 한다.   - 위변조 방지대책은 개인정보, 기밀정보 취급 이력 로그에 한해서 적용할 수 있다. ※ 참고 ※ - 정보통신 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 (개인정보의 보호조치)

11.6.3 접근 및 사용 모니터링

중요정보, 정보시스템, 응용프로그램, 네트워크 장비에 대한 사용자 접근이 업무상 허용된 범위에 있는 지 주기적으로 확인하여야 한다.  

11.6.3.1 중요정보 및 주요 정보시스템에 대한 사용자 접속 기록을 주기적으로 검토(모니터링)하고 있는가?  

ㅇ 중요정보(개인정보, 기밀정보 등) 및 정보시스템(서버, 응용프로그램, 정보보호시스템, 네트워크 장비 등) 사용자 접속기록을 주기적으로 검토하여 중요정보 및 정보시스템 오남용 등의 이상징후를 확인하여야 한다. 다음 사항이 포함된 검토(모니터링)절차를 수립하고 절차에 따라 이행하여야 한다.  - 검토대상 : 사용자 접속기록을 검토할 중요정보 및 주요 정보시스템 선정 - 검토주기 : 월 1회 이상 권고  - 검토기준 및 방법 : 업무목적 이외의 중요정보 과다처리(조회, 변경, 삭제 등), 업무시간 외 접속, 비정상적인 접속(미승인 계정 접속 등)등의 기준 및 확인 방법 수립 - 검토 담당자 및 책임자 지정 - 이상징후 대응절차 등 ※ 참고 ※ - 정보통신 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치(고시)' 제5조 (접속기록의 위 ∙ 변조 방지)

11.6.3.2 사용자 접속기록 검토결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?

ㅇ 사용자 접속기록을 검토기준에 따라 검토 한 후 이상징후 여부 등 그 결과를 관련 책임자에게 보고하여야 한다. 또한 이상징후 발견 시 정보유출, 해킹 등 발생 여부를 확인하기 위한 절차를 수립하고 절차에 따라 대응하여야 한다.

11.6.4 침해시도 모니터링

외부로부터의 침해시도를 모니터링 하기 위한 체계 및 절차를 수립하여야 한다.

11.6.4.1 외부로부터의 침해시도가 의심되는 이상징후를 지체 없이 인지할 수 있도록 모니터링 체계 및 절차를 수립하고 있는가?  

ㅇ 외부로부터의 침해시도가 의심되는 이상징후를 지체없이 인지할 수 있도록 다음과 같은 항목이 포함된 모니터링 절차를 수립하여 이행하여야 한다. - 모니터링 대상범위 : 침해시도 탐지 및 차단하기 위한 각종 정보보호시스템 이벤트 로그 등 - 모니터링 방법 : 외부 전문업체를 통한 모니터링, 자체 모니터링 체계 구축 등 - 담당자 및 책임자 지정 - 모니터링 결과 보고체계 - 침해시도 발견 시 대응절차 등 ㅇ 조직의 규모 및 정보시스템 중요도가 높은 경우 24시간 침해시도 실시간 모니터링 수행을 고려하여야 한다.