ISMS-P 인증 기준 2.6.3.응용프로그램 접근: Difference between revisions

From CS Wiki
(Imported from text file)
 
No edit summary
 
(9 intermediate revisions by 6 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증기준 2.6.접근통제 |2.6.접근통제 ]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.6.접근통제 |2.6.접근통제]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.6.3.응용프로그램 접근
!2.6.3.응용프로그램 접근
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center; width:10%" |'''인증기준'''
|사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
|사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?
*중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?
* 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
*일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
* 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
*관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?
* 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?
*개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?
*개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
|-
| style="text-align:center; width:10%" |'''관련 법규'''
|
*개인정보 보호법 제29조(안전조치의무)
*개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리), 제6조(접근통제), 제12조 (출력·복사시 안전조치)
|}
|}
== 세부 설명 ==
==세부 설명==
 
====접근권한 차등 부여====
중요정보의 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 '''접근권한을 차등 부여'''하여야 한다.
 
*내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별
*응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별
*최소권한 원칙에 따른 사용자 및 개인정보취급자 접근권한 분류체계(권한분류표 등) 마련
*중요정보 및 개인정보 처리(입력, 조회, 변경, 삭제, 다운로드, 출력 등) 권한을 세분화하여 설정할 수 있도록 응용프로그램 기능 구현
*식별된 응용프로그램 및 개인정보처리시스템에 대한 계정 및 권한을 부여하는 절차 수립·이행
*권한 부여·변경·삭제 관련 기록을 보관하여 접근권한의 타당성 검토
 
====보안강화를 위한 세션 제한 조치====
일정시간 동안 '''입력이 없는 세션은 자동 차단'''하고, 동일 사용자의 '''동시 세션 수를 제한'''하여야 한다.
* 응용프로그램 및 업무별 특성, 위험의 크기 등을 고려하여 접속유지 시간 결정 및 적용
*개인정보처리시스템의 경우 법적 요구사항에 따라 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치
*동일 계정으로 '''동시 접속 시 경고 문자 표시 및 접속 제한'''
 
====관리자 전용 기능 접근 통제====
'''관리자 전용 응용프로그램'''(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 '''접근을 통제''' 하여야 한다.
 
*관리자 전용 응용프로그램의 외부 공개 차단 및 IP주소 등을 통한 접근제한 조치
*불가피하게 외부 공개가 필요한 경우 '''안전한 인증수단(OTP 등)''' 또는 '''안전한 접속수단(VPN 등)''' 적용
* 관리자(사용자), 개인정보취급자의 접속 로그 및 이벤트 로그에 대한 정기적 모니터링
*이상징후 발견 시 세부조사, 내부보고 등 사전에 정의된 절차에 따라 이행
 
====개인정보 및 중요정보 표시제한  일관성 위한 기준 수립, 적용 ====
개인정보 및 중요정보 표시제한 조치 기준 예시
 
#성명: 성명의 가운데 글자(단, 성명이 2글자인 경우 뒷글자, 성명이 4글자 이상인 경우 첫 번째 글자와 마지막 글자를 제외한 글자)
#주민등록번호: 13자리 중 뒤 7자리
#전화번호, 휴대전화: 국번
#주소: 도로명 이하의 건물번호 및 상세주소의 숫자
#이메일주소: ID 중 앞 2자를 제외한 나머지
# 카드번호: 7번째 번호부터 6자리
#IP주소: 17~24비트(Ver. 4), 113~128비트(Ver. 6) 등
 
<blockquote>'''※ 개인정보 및 중요정보 표시제한 조치 적용(예시)'''
*성명 : 현*, 김*하, 김*우, 선**녀
*주민등록번호 : 040101-*******
*휴대전화번호 : 010-****-0913
*주소 : 서울시 성북구 북악산로 *** ***동 ****호
*이메일주소 : ma******@abcd.com
*카드번호 : 4558-12**-****-0116
*IP주소 : 123.123.***.123
</blockquote>
 
====개인정보 및 중요정보 노출(조회, 화면표시, 인쇄, 다운로드 등) 최소화 구현====
 
*응용프로그램(개인정보처리시스템 등)에서 개인정보 및 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화
*업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보처리시스템에 대한 접근권한 범위 내에서 최소한의 개인정보 출력
*업무상 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치
*개인정보 검색 시에는 불필요하거나 과도한 정보가 조회되지 않도록 일치검색(equal검색) 또는 두 가지 항목 이상의 검색조건 사용 등
*오피스 파일(엑셀 등)에서 개인정보가 숨겨진 필드 형태로 저장되지 않도록 조치
*웹페이지 소스 보기 등을 통하여 불필요한 개인정보가 출력되지 않도록 조치 등
 
==증거 자료==
 
*응용프로그램 접근권한 분류 체계
*응용프로그램 계정/권한 관리 화면
*응용프로그램 사용자/관리자 화면(개인정보 조회 등)
*응용프로그램 세션 타임 및 동시접속 허용 여부 내역
*응용프로그램 관리자 접속로그 모니터링 내역
*정보자산 목록
*개인정보처리시스템의 개인정보 조회, 검색 화면
*개인정보 마스킹 표준
*개인정보 마스킹 적용 화면
 
==결함 사례==
 
*응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
*응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우
*응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우
*응용프로그램을 통하여 개인정보를 다운로드받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
* 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 성씨만으로도 전체 고객 정보를 조회할 수 있는 경우
*개인정보 표시제한 조치 기준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대하여 개인정보처리시스템 화면별로 서로 다른 마스킹 기준이 적용된 경우
*개인정보처리시스템의 화면상에는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통하여 마스킹되지 않은 전체 개인정보가 노출되는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 중요정보의 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
** 내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별
** 응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별
** 최소권한 원칙에 따른 사용자 및 개인정보취급자 접근권한 분류체계(권한분류표 등) 마련
** 중요정보 및 개인정보 처리(입력, 조회, 변경, 삭제, 다운로드, 출력 등) 권한을 세분화하여 설정할 수 있도록 응용프로그램 기능 구현
** 식별된 응용프로그램 및 개인정보처리시스템에 대한 계정 및 권한을 부여하는 절차 수립·이행
** 권한 부여·변경·삭제 관련 기록을 보관하여 접근권한의 타당성 검토
* 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하여야 한다.
** 응용프로그램(개인정보처리시스템 등)에서 개인정보 등 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화
** 개인정보 검색 시에는 과도한 정보가 조회되지 않도록 일치검색(equal검색)이나 두 가지 조건 이상의 검색조건 사용 등 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하여야 한다.
** 응용프로그램 및 업무별 특성, 위험의 크기 등을 고려하여 접속유지 시간 결정 및 적용
** 개인정보처리시스템의 경우 법적 요구사항에 따라 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치
** 동일 계정으로 동시 접속 시 경고 문자 표시 및 접속 제한
* 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제 하여야 한다.
** 관리자 전용 응용프로그램의 외부 공개 차단 및 IP주소 등을 통한 접근제한 조치
** 불가피하게 외부 공개가 필요한 경우 안전한 인증수단(OTP 등) 또는 안전한 접속수단(VPN 등) 적용
** 관리자(사용자), 개인정보취급자의 접속 로그 및 이벤트 로그에 대한 정기적 모니터링
** 이상징후 발견 시 세부조사, 내부보고 등 사전에 정의된 절차에 따라 이행
== 증거 자료 ==
* 응용프로그램 접근권한 분류 체계
* 응용프로그램 계정/권한 관리 화면
* 응용프로그램 사용자/관리자 화면(개인정보 조회 등)
* 응용프로그램 세션 타임 및 동시접속 허용 여부 내역
* 응용프로그램 관리자 접속로그 모니터링 내역
* 정보자산 목록
== 결함 사례 ==
* 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인 정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
* 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우
* 응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우
* 응용프로그램을 통하여 개인정보를 다운로드받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
* 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 08:10, 27 February 2024


개요[edit | edit source]

항목 2.6.3.응용프로그램 접근
인증기준 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다.
주요 확인사항
  • 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?
  • 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
  • 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?
  • 개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?
  • 개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
관련 법규
  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리), 제6조(접근통제), 제12조 (출력·복사시 안전조치)

세부 설명[edit | edit source]

접근권한 차등 부여[edit | edit source]

중요정보의 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하여야 한다.

  • 내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별
  • 응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별
  • 최소권한 원칙에 따른 사용자 및 개인정보취급자 접근권한 분류체계(권한분류표 등) 마련
  • 중요정보 및 개인정보 처리(입력, 조회, 변경, 삭제, 다운로드, 출력 등) 권한을 세분화하여 설정할 수 있도록 응용프로그램 기능 구현
  • 식별된 응용프로그램 및 개인정보처리시스템에 대한 계정 및 권한을 부여하는 절차 수립·이행
  • 권한 부여·변경·삭제 관련 기록을 보관하여 접근권한의 타당성 검토

보안강화를 위한 세션 제한 조치[edit | edit source]

일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하여야 한다.

  • 응용프로그램 및 업무별 특성, 위험의 크기 등을 고려하여 접속유지 시간 결정 및 적용
  • 개인정보처리시스템의 경우 법적 요구사항에 따라 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치
  • 동일 계정으로 동시 접속 시 경고 문자 표시 및 접속 제한

관리자 전용 기능 접근 통제[edit | edit source]

관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제 하여야 한다.

  • 관리자 전용 응용프로그램의 외부 공개 차단 및 IP주소 등을 통한 접근제한 조치
  • 불가피하게 외부 공개가 필요한 경우 안전한 인증수단(OTP 등) 또는 안전한 접속수단(VPN 등) 적용
  • 관리자(사용자), 개인정보취급자의 접속 로그 및 이벤트 로그에 대한 정기적 모니터링
  • 이상징후 발견 시 세부조사, 내부보고 등 사전에 정의된 절차에 따라 이행

개인정보 및 중요정보 표시제한 일관성 위한 기준 수립, 적용[edit | edit source]

개인정보 및 중요정보 표시제한 조치 기준 예시

  1. 성명: 성명의 가운데 글자(단, 성명이 2글자인 경우 뒷글자, 성명이 4글자 이상인 경우 첫 번째 글자와 마지막 글자를 제외한 글자)
  2. 주민등록번호: 13자리 중 뒤 7자리
  3. 전화번호, 휴대전화: 국번
  4. 주소: 도로명 이하의 건물번호 및 상세주소의 숫자
  5. 이메일주소: ID 중 앞 2자를 제외한 나머지
  6. 카드번호: 7번째 번호부터 6자리
  7. IP주소: 17~24비트(Ver. 4), 113~128비트(Ver. 6) 등

※ 개인정보 및 중요정보 표시제한 조치 적용(예시)

  • 성명 : 현*, 김*하, 김*우, 선**녀
  • 주민등록번호 : 040101-*******
  • 휴대전화번호 : 010-****-0913
  • 주소 : 서울시 성북구 북악산로 *** ***동 ****호
  • 이메일주소 : ma******@abcd.com
  • 카드번호 : 4558-12**-****-0116
  • IP주소 : 123.123.***.123

개인정보 및 중요정보 노출(조회, 화면표시, 인쇄, 다운로드 등) 최소화 구현[edit | edit source]

  • 응용프로그램(개인정보처리시스템 등)에서 개인정보 및 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화
  • 업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보처리시스템에 대한 접근권한 범위 내에서 최소한의 개인정보 출력
  • 업무상 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치
  • 개인정보 검색 시에는 불필요하거나 과도한 정보가 조회되지 않도록 일치검색(equal검색) 또는 두 가지 항목 이상의 검색조건 사용 등
  • 오피스 파일(엑셀 등)에서 개인정보가 숨겨진 필드 형태로 저장되지 않도록 조치
  • 웹페이지 소스 보기 등을 통하여 불필요한 개인정보가 출력되지 않도록 조치 등

증거 자료[edit | edit source]

  • 응용프로그램 접근권한 분류 체계
  • 응용프로그램 계정/권한 관리 화면
  • 응용프로그램 사용자/관리자 화면(개인정보 조회 등)
  • 응용프로그램 세션 타임 및 동시접속 허용 여부 내역
  • 응용프로그램 관리자 접속로그 모니터링 내역
  • 정보자산 목록
  • 개인정보처리시스템의 개인정보 조회, 검색 화면
  • 개인정보 마스킹 표준
  • 개인정보 마스킹 적용 화면

결함 사례[edit | edit source]

  • 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
  • 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우
  • 응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우
  • 응용프로그램을 통하여 개인정보를 다운로드받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
  • 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 성씨만으로도 전체 고객 정보를 조회할 수 있는 경우
  • 개인정보 표시제한 조치 기준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대하여 개인정보처리시스템 화면별로 서로 다른 마스킹 기준이 적용된 경우
  • 개인정보처리시스템의 화면상에는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통하여 마스킹되지 않은 전체 개인정보가 노출되는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)