ISMS-P 인증 기준 2.6.6.원격접근 통제: Difference between revisions

From CS Wiki
(Imported from text file)
 
No edit summary
 
(6 intermediate revisions by 4 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증기준 2.6.접근통제 |2.6.접근통제 ]]
* '''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제 ]]
== 개요 ==
== 개요 ==
{| class="wikitable"
{| class="wikitable"
Line 7: Line 7:
!2.6.6.원격접근 통제
!2.6.6.원격접근 통제
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center; width:10%" |'''인증기준'''
|보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.
|보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안 (백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
| style="text-align:center; width:10%" |'''주요 확인사항'''
|
|
* 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
*인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
* 내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
**(가상자산사업자) 월렛 관련 시스템의 접속은 예외없이 외부네트워크를 통한 원격 접근을 금지하고 있는가?
* 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립‧이행하고 있는가?
*내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
* 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?
*재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하고 있는가?
*개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리 시스템에 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?
|-
| style="text-align:center; width:10%" |'''관련법규'''
|
*개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제6조(접근통제)
|}
|}
== 세부 설명 ==
==세부 설명==
 
====주요 시스템에 대한 원격접속 대책 수립·이행====
인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된 주요 자산(서버, 네트워크 장비, 보안장비 등)의 '''원격운영은 원칙적으로 금지'''하고 '''부득이하게 허용하는 경우''' 다음과 같은 '''대책을 수립·이행'''하여야 한다.
*원격 운영 및 접속에 대한 책임자의 승인
*안전한 인증수단(인증서, OTP 등) 적용
*안전한 접속수단(VPN 등) 적용
*'''한시적 접근권한 부여''' 및 권한자 '''현황 관리'''
*백신 설치, 보안패치 등 접속 단말 보안
*원격운영 현황 모니터링(VPN 계정 발급·사용 현황의 주기적 검토 등)
*원격접속 기록 로깅 및 주기적 분석
*원격 운영 관련 보안인식 교육 등
 
====내부 네트워크 경유 시 단말 제한====
내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하여야 한다.
*접속 가능한 단말을 IP주소, MAC주소 등으로 제한
*정상적인 원격접속 경로를 우회한 접속경로 차단 등
 
====원격업무 수행 보호대책 수립·이행====
재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하여야 한다.
*스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경
*스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위
*스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등
*원격접근에 필요한 기술적 보호대책 : 전송구간 암호화(VPN 등), 강화된 사용자 인증(OTP 등)
*접속 단말(PC, 모바일 기기 등) 보안 : 백신 설치, 보안패치 적용, 단말 인증, 분실·도난 시 대책(신고절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요시 암호화 조치) 등
*스마트워크 업무환경 정보보호지침 수립 및 교육 등


* 인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된 주요 자산(서버, 네트워크 장비, 보안장비 등)의 원격운영은 원칙적으로 금지하고 부득이하게 허용하는 경우 다음과 같은 대책을 수립·이행하여야 한다.
==== 개인정보처리시스템 관리용 단말기 보호====
** 원격 운영 및 접속에 대한 책임자의 승인
개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 접속하는 단말기(관리용 단말기 또는 중요단말기)에 대하여 다음과 같은 보호조치를 적용하여야 한다.
** 안전한 인증수단(인증서, OTP 등) 적용
*관리용 단말기 지정 및 목록관리
** 안전한 접속수단(VPN 등) 적용
*인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
** 한시적 접근권한 부여 및 권한자 현황 관리
*등록된 관리용 단말기 이외에는 접근하지 못하도록 조치
** 백신 설치, 보안패치 등 접속 단말 보안
*본래 목적 외로 사용되지 않도록 조치
** 원격운영 현황 모니터링(VPN 계정 발급·사용 현황의 주기적 검토 등)
*관리용 단말기에 악성프로그램 감염 방지 등을 위한 보호조치 적용
** 원격접속 기록 로깅 및 주기적 분석
==증거 자료==
** 원격 운영 관련 보안인식 교육 등
*VPN 등 사외접속 신청서
* 내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하여야 한다.
*VPN 계정 목록
** 접속 가능한 단말을 IP주소, MAC주소 등으로 제한
*VPN 접근제어 정책 설정 현황
** 정상적인 원격접속 경로를 우회한 접속경로 차단 등
*IP 관리대장
* 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하여야 한다.
*원격 접근제어 설정(서버 설정, 보안시스템 설정 등)
** 스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경
*관리용 단말기 지정 및 관리 현황
** 스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위
*네트워크 구성도
** 스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등
==결함 사례 ==
** 원격접근에 필요한 기술적 보호대책 : 전송구간 암호화(VPN 등), 강화된 사용자 인증(OTP 등)
*내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나, 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 '''모든 PC에서 원격 접속이 가능'''한 경우
** 접속 단말(PC, 모바일 기기 등) 보안 : 백신 설치, 보안패치 적용, 단말 인증, 분실·도난 시 대책(신고 절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요시 암호화 조치) 등
*원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나, VPN에 대한 사용 승인 또는 '''접속 기간 제한 없이 상시 허용'''하고 있는 경우
** 스마트워크 업무환경 정보보호지침 수립 및 교육 등
*외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나, 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우
* 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 직접 접속하는 단말기(관리용 단말기)에 대하여 다음과 같은 보호조치를 적용하여야 한다.
*외부 접속용 VPN에서 '''사용자별로 원격접근이 가능한 네트워크 구간 및 정보시스템을 제한하지 않아''' 원격접근 인증을 받은 사용자가 전체 내부망 및 정보시스템에 '''과도하게 접근이 가능'''한 경우
** 관리용 단말기 지정 및 목록관리
==같이 보기==
** 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
** 등록된 관리용 단말기 이외에는 접근하지 못하도록 조치
** 본래 목적 외로 사용되지 않도록 조치
** 관리용 단말기에 악성프로그램 감염 방지 등을 위한 보호조치 적용
== 증거 자료 ==
* VPN 등 사외접속 신청서
* VPN 계정 목록
* VPN 접근제어 정책 설정 현황
* IP 관리대장
* 원격 접근제어 설정(서버 설정, 보안시스템 설정 등)
* 관리용 단말기 지정 및 관리 현황
* 네트워크 구성도
== 결함 사례 ==
* 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나, 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우
* 원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나, VPN에 대한 사용 승인 또는 접속기간 제한 없이 상시 허용하고 있는 경우
* 외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나, 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
==참고 문헌==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 10:33, 17 February 2024

개요[edit | edit source]

항목 2.6.6.원격접근 통제
인증기준 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안 (백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
    • (가상자산사업자) 월렛 관련 시스템의 접속은 예외없이 외부네트워크를 통한 원격 접근을 금지하고 있는가?
  • 내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
  • 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하고 있는가?
  • 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리 시스템에 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?
관련법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제6조(접근통제)

세부 설명[edit | edit source]

주요 시스템에 대한 원격접속 대책 수립·이행[edit | edit source]

인터넷과 같은 외부 네트워크를 통한 중요정보(개인정보) 처리, 정보시스템, 개인정보처리시스템과 연관된 주요 자산(서버, 네트워크 장비, 보안장비 등)의 원격운영은 원칙적으로 금지하고 부득이하게 허용하는 경우 다음과 같은 대책을 수립·이행하여야 한다.

  • 원격 운영 및 접속에 대한 책임자의 승인
  • 안전한 인증수단(인증서, OTP 등) 적용
  • 안전한 접속수단(VPN 등) 적용
  • 한시적 접근권한 부여 및 권한자 현황 관리
  • 백신 설치, 보안패치 등 접속 단말 보안
  • 원격운영 현황 모니터링(VPN 계정 발급·사용 현황의 주기적 검토 등)
  • 원격접속 기록 로깅 및 주기적 분석
  • 원격 운영 관련 보안인식 교육 등

내부 네트워크 경유 시 단말 제한[edit | edit source]

내부 네트워크를 통하여 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하여야 한다.

  • 접속 가능한 단말을 IP주소, MAC주소 등으로 제한
  • 정상적인 원격접속 경로를 우회한 접속경로 차단 등

원격업무 수행 보호대책 수립·이행[edit | edit source]

재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립·이행하여야 한다.

  • 스마트워크 업무형태 정의 : 재택근무, 스마트워크 센터, 원격협업, 모바일오피스 환경
  • 스마트워크 업무형태에 따른 업무 허가 범위 설정 : 내부 시스템 및 서비스 원격접근 허용 범위
  • 스마트워크 업무 승인절차 : 스마트워크를 위한 원격접근 권한 신청, 승인, 회수 등
  • 원격접근에 필요한 기술적 보호대책 : 전송구간 암호화(VPN 등), 강화된 사용자 인증(OTP 등)
  • 접속 단말(PC, 모바일 기기 등) 보안 : 백신 설치, 보안패치 적용, 단말 인증, 분실·도난 시 대책(신고절차, 단말잠금, 중요정보 삭제 등), 중요정보 저장 금지(필요시 암호화 조치) 등
  • 스마트워크 업무환경 정보보호지침 수립 및 교육 등

개인정보처리시스템 관리용 단말기 보호[edit | edit source]

개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 접속하는 단말기(관리용 단말기 또는 중요단말기)에 대하여 다음과 같은 보호조치를 적용하여야 한다.

  • 관리용 단말기 지정 및 목록관리
  • 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
  • 등록된 관리용 단말기 이외에는 접근하지 못하도록 조치
  • 본래 목적 외로 사용되지 않도록 조치
  • 관리용 단말기에 악성프로그램 감염 방지 등을 위한 보호조치 적용

증거 자료[edit | edit source]

  • VPN 등 사외접속 신청서
  • VPN 계정 목록
  • VPN 접근제어 정책 설정 현황
  • IP 관리대장
  • 원격 접근제어 설정(서버 설정, 보안시스템 설정 등)
  • 관리용 단말기 지정 및 관리 현황
  • 네트워크 구성도

결함 사례[edit | edit source]

  • 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나, 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우
  • 원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나, VPN에 대한 사용 승인 또는 접속 기간 제한 없이 상시 허용하고 있는 경우
  • 외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나, 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우
  • 외부 접속용 VPN에서 사용자별로 원격접근이 가능한 네트워크 구간 및 정보시스템을 제한하지 않아 원격접근 인증을 받은 사용자가 전체 내부망 및 정보시스템에 과도하게 접근이 가능한 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)