ISMS-P 인증 기준, 공개서버 보안

 

ISMS-P 인증 

2.10. 시스템 및 서비스 보안관리

2.10.1. 보안시스템 운영

2.10.2. 클라우드 보안

2.10.3. 공개서버 보안

2.10.4. 전자거래 및 핀테크 보안

2.10.5. 정보전송 보안

2.10.6 업무용 단말기기 보안

2.10.7. 보조저장매체 보안

2.10.8. 패치관리

2.10.9. 악성코드 통제

 

ISMS-P 간편인증(7의2)

2.9. 시스템 및 서비스 보안관리

2.9.1. 보안시스템 운영

2.9.2. 클라우드 보안

2.9.3. 공개서버 보안

2.9.4. 업무용 단말기 보안

2.9.5. 보조저장매체 관리

2.9.6. 패치관리

2.9.7. 악성코드 통제

 

ISMS-P 간편인증(7의3) 

2.10. 시스템 및 서비스 보안관리

2.10.1. 보안시스템 운영

2.10.2. 업무용 단말기 보안

2.10.3. 보조저장매체 관리

2.10.4. 패치관리

2.10.5. 악성코드 통제

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

 

개요

인증기준

외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집·저장·공개 절차 등 강화된 보호대책을 수립·이행하여야 한다.

 

주요확인사항

* 공개서버를 운영하는 경우 이에 대한 보호대책을 수립‧이행하고 있는가?
* 공개서버는 내부 네트워크와 분리된 DMZ(Demilitarized Zone)영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가?
* 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립‧이행하고 있는가?
* 조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가?

세부 설명

1. 웹서버 등 공개서버를 운영하는 경우 이에 대한 보호대책을 수립·이행하여야 한다.
* 웹서버를 통한 개인정보 송수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축
* 백신설치 및 업데이트 설정
* 응용프로그램(웹서버, OpenSSL 등), 운영체제 등에 대한 최신 보안패치 설치
* 불필요한 서비스 제거 및 포트 차단
* 불필요한 소프트웨어, 스크립트, 실행파일 등 설치 금지
* 에러 처리 페이지, 테스트 페이지 등 불필요한 페이지 노출 금지
* 주기적 취약점 점검 수행 등

 

2. 공개서버는 내부 네트워크와 분리된 DMZ 영역에 설치하고 침입차단시스템 등 보안시스템을 통하여 보호하여야 한다.
* 공개서버가 침해당하더라도 공개서버를 통한 내부 네트워크 침입이 불가능하도록 침입차단시스템 등을 통한 접근통제 정책을 적용
* DMZ의 공개서버가 내부 네트워크에 위치한 데이터베이스, WAS(Web Application Server) 등의 정보 시스템과 접속이 필요한 경우 엄격하게 접근통제 정책 적용

 

3. 공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립·이행하여야 한다.
* 원칙적으로 DMZ 구간의 웹서버 내에 개인정보 및 중요정보의 저장을 금지하고, 업무상 불가피하게 필요한 경우 허가 절차 및 보호대책 적용
* 웹사이트에 개인정보 및 중요정보를 게시할 경우 사전 검토 및 승인 절차 수행

* 외부 검색엔진 등을 통하여 접근권한이 없는 자에게 개인정보 및 중요정보가 노출되지 않도록 조치

 

4. 조직의 중요정보가 웹사이트 및 웹서버를 통하여 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하여야 한다.
* 검색엔진 등을 통하여 주기적으로 점검 및 필요한 조치 적용
* 중요정보 노출을 인지한 경우 웹사이트에서 차단조치 및 해당 검색엔진 사업자에게 요청하여 캐시 등을 통하여 계속적으로 노출되지 않도록 조치

증거자료

* 네트워크 구성도
* 웹사이트 정보공개 절차 및 내역(신청·승인·게시 이력 등)
* 개인정보 및 중요정보 노출 여부 점검 이력

결함사례

* 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우
* 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 사례가 다수 존재한 경우
* 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB