ISMS-P 인증 기준 2.6.7.인터넷 접속 통제: Difference between revisions

From CS Wiki
(→‎개요: '23.11 개인정보 보호법과 정보통신망법 통합된 내용으로 수정)
 
Line 17: Line 17:
*주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
*주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
**(가상자산사업자) 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을 때에는 전원을 OFF 또는, 네트워크 접속을 차단하고 있는가?(목적 외 SW설치 및 인터넷 사용 금지)
**(가상자산사업자) 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을 때에는 전원을 OFF 또는, 네트워크 접속을 차단하고 있는가?(목적 외 SW설치 및 인터넷 사용 금지)
*관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가?
*관련 법령에 따라 인터넷망 차단 의무가 부과된 경우 대상자를 식별하여 안전한 방식으로 인터넷망 차단 조치를 적용하고 있는가?
|}
|}
==세부 설명==
==세부 설명==
Line 41: Line 41:


*망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자
*망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자
**전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자 등
**(의무대상 개인정보처리자) 전년도 말 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상인 개인정보처리자
**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우
**(의무대상 컴퓨터 등) 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 개인정보취급자의 컴퓨터 등
**(외부 클라우드서비스 이용 시 조치사항) 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성·운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치 적용
*다음 사항을 고려하여 안전한 방식으로 망분리 적용
*다음 사항을 고려하여 안전한 방식으로 망분리 적용
**망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별
**망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별
**망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정
**망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정
**물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용
**물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용
*망분리 우회 경로 파악 및 차단 조치
**인터넷망 차단 조치 우회 경로 파악 및 통제대책 적용
**망간 자료전송을 위한 통제 방안 마련
**인터넷망 차단 조치가 적용된 컴퓨터의 안전한 자료전송을 위한 통제 방안 마련
**망분리 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등
**인터넷망 차단 조치 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등


==증거 자료==
==증거 자료==
Line 61: Line 62:
==결함 사례==
==결함 사례==


*개인정보 보호법상 정보통신서비스 제공자 특례조항 등 관련 법규에 따라 망분리를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 망분리 적용이 누락된 경우
*개인정보 보호법에 따라 인터넷망 차단 조치를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 인터넷망 차단 조치 적용이 누락된 경우
*망분리 의무대상으로서 망분리를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우
*개인정보 보호법에 따른 인터넷망 차단 조치 의무대상으로서 인터넷망 차단 조치를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 인터넷망 차단 조치가 적용되지 않은 환경에서 개인정보처리시스템에 접속하여 개인정보의 다운로드, 파기 등이 가능한 경우
*DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
*DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
*인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
*인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우

Latest revision as of 03:35, 6 February 2024


개요[edit | edit source]

항목 2.6.7.인터넷 접속 통제
인증기준 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.
주요 확인사항
  • 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립‧이행하고 있는가?
  • 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
    • (가상자산사업자) 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을 때에는 전원을 OFF 또는, 네트워크 접속을 차단하고 있는가?(목적 외 SW설치 및 인터넷 사용 금지)
  • 관련 법령에 따라 인터넷망 차단 의무가 부과된 경우 대상자를 식별하여 안전한 방식으로 인터넷망 차단 조치를 적용하고 있는가?

세부 설명[edit | edit source]

업무용 PC 인터넷 접속 통제[edit | edit source]

인터넷을 통한 정보유출, 악성코드 감염, 내부망 침투 등의 위험을 적절한 수준으로 감소시키기 위하여 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립·이행하여야 한다.

  • 인터넷 연결 시 네트워크 구성 정책
  • 외부 이메일 사용, 인터넷 사이트 접속, 소프트웨어 다운로드 및 전송 등 사용자 접속정책
  • 유해사이트(성인, 오락 등) 접속 차단 정책
  • 정보 유출 가능 사이트(웹하드, P2P, 원격접속 등) 접속 차단 정책
  • 망분리 관련 정책(망분리 적용 여부, 망분리 대상자, 망분리 방식, 망간 자료전송 절차 등)
  • 인터넷 접속내역 검토(모니터링) 정책 등

정보시스템 서버 등 인터넷 접속 통제[edit | edit source]

주요 정보시스템(데이터베이스 서버 등)에서 불필요한 외부 인터넷 접속을 통제하여야 한다.

  • 악성코드 유입, 정보 유출, 역방향 접속 등이 차단되도록 내부 서버(데이터베이스 서버, 파일서버 등)에서 외부 인터넷 접속 제한
  • 불가피한 사유가 있는 경우 위험분석을 통하여 보호대책을 마련하고 책임자의 승인 후 허용

망분리 규제 준수[edit | edit source]

관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하여야 한다.

  • 망분리 의무 대상자 및 망분리 적용이 필요한 개인정보취급자
    • (의무대상 개인정보처리자) 전년도 말 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상인 개인정보처리자
    • (의무대상 컴퓨터 등) 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 개인정보취급자의 컴퓨터 등
    • (외부 클라우드서비스 이용 시 조치사항) 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성·운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치 적용
  • 다음 사항을 고려하여 안전한 방식으로 망분리 적용
    • 망분리 의무대상 여부 검토 및 의무 대상인 경우 망분리 대상자 식별
    • 망분리 의무대상이 아닌 경우 위험분석 결과 등에 따라 망분리 여부 결정
    • 물리적(네트워크가 분리된 2대의 PC) 또는 논리적(VDI 등 가상화 기술 활용) 망분리 적용
    • 인터넷망 차단 조치 우회 경로 파악 및 통제대책 적용
    • 인터넷망 차단 조치가 적용된 컴퓨터의 안전한 자료전송을 위한 통제 방안 마련
    • 인터넷망 차단 조치 환경의 적정성 및 취약점 존재 여부에 대한 정기 점검 수행 등

증거 자료[edit | edit source]

  • 비업무사이트(P2P 등) 차단정책(비업무사이트 차단시스템 관리화면 등)
  • 인터넷 접속내역 모니터링 이력
  • 망분리 대상자 목록
  • 망간 자료 전송 절차 및 처리내역(신청·승인내역 등)
  • 네트워크 구성도

결함 사례[edit | edit source]

  • 개인정보 보호법에 따라 인터넷망 차단 조치를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 인터넷망 차단 조치 적용이 누락된 경우
  • 개인정보 보호법에 따른 인터넷망 차단 조치 의무대상으로서 인터넷망 차단 조치를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 인터넷망 차단 조치가 적용되지 않은 환경에서 개인정보처리시스템에 접속하여 개인정보의 다운로드, 파기 등이 가능한 경우
  • DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
  • 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
  • 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)