ISMS-P 인증 기준 2.5.3.사용자 인증: Difference between revisions
From CS Wiki
(Imported from text file) |
No edit summary |
||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]] | *'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 2.5.인증 및 권한관리|2.5.인증 및 권한관리]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.5.3.사용자 인증 | !2.5.3.사용자 인증 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다. | |정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가? | *정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가? | ||
* 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가? | *정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가? | ||
|} | |||
==세부 설명== | |||
==== 안전한 사용자 인증 절차 마련 ==== | |||
정보시스템 및 개인정보처리시스템에 대한 접근 시 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도경고 등 안전한 사용자 인증 절차에 따라 통제하여야 한다. | |||
*사용자 인증 수단 예시 | |||
{| class="wikitable" | |||
!구분 | |||
!인증 수단 | |||
!비고 | |||
|- | |||
!지식 기반 | |||
|'''비밀번호''' | |||
|안전한 비밀번호 작성규칙 및 주기적 변경 필요<br>비밀번호 도용, 무작위 대입 공격 등에 대한 대응 필요<br>시스템 설치 시 제품 등에서 제공하는 디폴트 계정 및 비밀 번호 사용정지 또는 변경 필요 | |||
|- | |||
! rowspan="3" |소유 기반 | |||
|[[공개키 기반 구조|'''인증서(PKI)''']] | |||
|개인키의 안전한 보관 필요(안전한 보안매체에 보관 권고) | |||
|- | |||
|'''[[OTP]]''' | |||
|OTP토큰, 모바일OTP 등 다양한 방식 존재 | |||
|- | |||
|'''기타''' | |||
|스마트 카드 방식<br>물리적 보안토큰 방식 등 | |||
|- | |||
!생체 기반 | |||
|'''지문, 홍채, 얼굴 등''' | |||
|생체 정보의 안전한 관리 필요 | |||
* 참고: [[FIDO|FIDO(Fast Identity Online)]] | |||
|- | |||
! rowspan="4" |기타 방식 | |||
|'''IP주소''' | |||
|특정 IP주소에서만 해당 ID로 접속할 수 있도록 제한하는 방식 | |||
|- | |||
|'''MAC주소''' | |||
|단말기의 MAC주소를 기반으로 등록된 단말기에서만 접속할 수 있도록 제한하는 방식 | |||
|- | |||
|'''기기 일련번호''' | |||
|특정 PC 또는 특정 디바이스(스마트폰 등)에서만 접속할 수 있도록 제한하는 방식 | |||
|- | |||
|'''기타''' | |||
|위치 정보, 디바이스 이용 패턴 등 | |||
|} | |||
*계정 도용 및 불법적인 인증시도 통제방안 예시 | |||
{| class="wikitable" | |||
!구분 | |||
!설명 | |||
|- | |||
|'''로그인 실패횟수 제한''' | |||
|계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 접근 제한 | |||
* [[개인정보의 안전성 확보조치 기준 제5조]]제6항 | |||
|- | |||
|'''접속 유지시간 제한''' | |||
|접속 후 일정시간 이상 업무처리를 하지 않은 경우 자동으로 시스템 접속 차단(세션 타임아웃 등) | |||
* [[개인정보의 안전성 확보조치 기준 제6조]]제5항 | |||
* [[개인정보의 기술적·관리적 보호조치 기준 제4조]]제10항 | |||
|- | |||
|'''동시 접속 제한''' | |||
|동일 계정으로 동시 접속 시 접속차단 조치 또는 알림 기능 등 | |||
|- | |||
|'''불법 로그인 시도 경고''' | |||
| | |||
* 국외 IP주소 등 등록되지 않은 IP주소에서의 접속 시 차단 및 통지 | |||
* 주말, 야간 접속 시 문자 알림 | |||
* 관리자 등 특수권한 로그인 시 알림 등 | |||
|} | |} | ||
==== SSO 활용 시 보보대책 마련 ==== | |||
업무의 편리성을 제공하기 위하여 싱글사인온(Single Sign-On)을 사용하는 경우에는 계정 도용 시 피해 확대 가능성이 있으므로 위험평가에 기반하여 강화된 인증 적용, 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련 | |||
==== 외부 접속 시 안전한 인증·접속수단 마련 ==== | |||
인터넷 등 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하여야 한다. | |||
* | |||
* | *'''안전한 인증수단:''' 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등 | ||
== 증거 자료 == | *'''안전한 접속수단:''' 가상사설망(VPN), 전용망 등 | ||
* 정보시스템 및 개인정보처리시스템 로그인 화면 | |||
* 로그인 횟수 제한 설정 화면 | ==증거 자료== | ||
* 로그인 실패 메시지 화면 | |||
* 외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등) | *정보시스템 및 개인정보처리시스템 로그인 화면 | ||
== 결함 사례 == | *로그인 횟수 제한 설정 화면 | ||
* 개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우 | *로그인 실패 메시지 화면 | ||
* 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우 | *외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등) | ||
== 같이 보기 == | |||
* [[정보보호 및 개인정보보호관리체계 인증]] | ==결함 사례== | ||
* [[ISMS-P 인증 기준]] | |||
* [[ISMS-P 인증 기준 세부 점검 항목]] | *개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우 | ||
== 참고 문헌 == | *정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우 | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |
Revision as of 09:34, 27 June 2022
- 영역: 2.보호대책 요구사항
- 분류: 2.5.인증 및 권한관리
개요
항목 | 2.5.3.사용자 인증 |
---|---|
인증기준 | 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행하여야 한다. |
주요 확인사항 |
|
세부 설명
안전한 사용자 인증 절차 마련
정보시스템 및 개인정보처리시스템에 대한 접근 시 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도경고 등 안전한 사용자 인증 절차에 따라 통제하여야 한다.
- 사용자 인증 수단 예시
구분 | 인증 수단 | 비고 |
---|---|---|
지식 기반 | 비밀번호 | 안전한 비밀번호 작성규칙 및 주기적 변경 필요 비밀번호 도용, 무작위 대입 공격 등에 대한 대응 필요 시스템 설치 시 제품 등에서 제공하는 디폴트 계정 및 비밀 번호 사용정지 또는 변경 필요 |
소유 기반 | 인증서(PKI) | 개인키의 안전한 보관 필요(안전한 보안매체에 보관 권고) |
OTP | OTP토큰, 모바일OTP 등 다양한 방식 존재 | |
기타 | 스마트 카드 방식 물리적 보안토큰 방식 등 | |
생체 기반 | 지문, 홍채, 얼굴 등 | 생체 정보의 안전한 관리 필요 |
기타 방식 | IP주소 | 특정 IP주소에서만 해당 ID로 접속할 수 있도록 제한하는 방식 |
MAC주소 | 단말기의 MAC주소를 기반으로 등록된 단말기에서만 접속할 수 있도록 제한하는 방식 | |
기기 일련번호 | 특정 PC 또는 특정 디바이스(스마트폰 등)에서만 접속할 수 있도록 제한하는 방식 | |
기타 | 위치 정보, 디바이스 이용 패턴 등 |
- 계정 도용 및 불법적인 인증시도 통제방안 예시
구분 | 설명 |
---|---|
로그인 실패횟수 제한 | 계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 접근 제한 |
접속 유지시간 제한 | 접속 후 일정시간 이상 업무처리를 하지 않은 경우 자동으로 시스템 접속 차단(세션 타임아웃 등) |
동시 접속 제한 | 동일 계정으로 동시 접속 시 접속차단 조치 또는 알림 기능 등 |
불법 로그인 시도 경고 |
|
SSO 활용 시 보보대책 마련
업무의 편리성을 제공하기 위하여 싱글사인온(Single Sign-On)을 사용하는 경우에는 계정 도용 시 피해 확대 가능성이 있으므로 위험평가에 기반하여 강화된 인증 적용, 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련
외부 접속 시 안전한 인증·접속수단 마련
인터넷 등 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하여야 한다.
- 안전한 인증수단: 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등
- 안전한 접속수단: 가상사설망(VPN), 전용망 등
증거 자료
- 정보시스템 및 개인정보처리시스템 로그인 화면
- 로그인 횟수 제한 설정 화면
- 로그인 실패 메시지 화면
- 외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)
결함 사례
- 개인정보취급자가 공개된 외부 인터넷망을 통하여 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우
- 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)