본문 바로가기
도전! ISMS-P 인증 심사원/2. 보호대책 요구사항

2.6.1 네트워크 접근

by JM's Dad 2023. 1. 10.
반응형

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.6 접근통제   2.6.1 네트워크 접근
  2.6.2 정보시스템 접근
  2.6.3 응용프로그램 접근
  2.6.4 데이터베이스 접근
  2.6.5 무선 네트워크 접근
  2.6.6 원격접근 통제
  2.6.7 인터넷 접속 통제

네트워크 접근 경로 식별, 네트워크 영역 물리적 · 논리적 분리

IP주소 부여 기준, 전송구간 보호대책 적용 (IDC, 지사, 대리점 등)

외부자 네트워크 내부 업무 네트워크와 분리 구성

핵심 키워드 & 내용

 

네트워크 분리 [DMZ(Demilitarized Zone), 서버팜, 데이터베이스존, 개발존 등]
접근통제 적용
IP 관리, 네트워크 전송구간 보호대책
네트워크 경로 식별 및 네트워크 접근통제 관리절차 수립 · 이행
네트워크 영역 분리 및 영역간 접근통제 적용
사설 IP 할당 및 외부에서 직접 접근이 불가능 하도록 설정
물리적으로 떨어진 네트워크 연결 시 안전한 접속환경 구성 (전용회선 또는 VPN(가상사설망))

 

연관 두음

 

 

인증기준

 

네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립 · 이행하고,
업무목적 및 중요도에 따라
네트워크 분리[DMZ(Demilitarized Zone), 서버팜, 데이터베이스존, 개발존 등]
접근통제를 적용하여야 한다.

 

주요 확인사항

 

* 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고
  접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?

* 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라
  네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하고 있는가?

* 네트워크 대역별 IP주소 부여 기준을 마련하고
  데이터베이스 서버 등 외부 연결이 필요하지 않은 경우
  사설 IP로 할당하는 등의 대책을 적용하고 있는가?

* 물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?

 

세부 설명

 

□ 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고,

   네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방 · 대응할 수 있도록

   네트워크 접근통제 관리절차를 수립 · 이행하여야 한다.

 

▶ 위험평가를 통하여 핵심 업무영역의 네트워크 분리 및 영역 간 접근통제 수준 결정

 

 

□ 네트워크 대역별 IP주소 부여 기준을 마련하고

   데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우

   사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다.

 

▶ 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고

    외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용

 

▶ 사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용

 

 

□ 물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시

   전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다.

 

결함사례

 

사례 1 :
네트워크 구성도와 인터뷰를 통하여 확인한 결과,
외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시
일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어
내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어 지고 있지 않은 경우

사례 2 :
내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가
내부 규정과 달리 공인 IP로 설정되어 있고,
네트워크 접근 차단이 적용되어 있지 않은 경우

사례 3 :
서버팜이 구성되어 있으나,
네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우

사례 4 : 
외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를
별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우

사례 5 :
내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의
보호대책을 적용하지 않은 상태로
네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우

가상자산 사업자 대상 주요 확인사항

 

가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 
내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 
접근을 제어하고 있는가?

 

노드서버들에 대하여 필수적으로 필요한 포트만 허용하고 있는가
 - (권고) 1024 이후 포트로 적용

 

월렛 접근 인원/시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가?
참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

반응형

'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글

2.6.3 응용프로그램 접근  (0) 2023.01.11
2.6.2 정보시스템 접근  (0) 2023.01.11
2.5.6 접근권한 검토  (0) 2023.01.10
2.5.5 특수 계정 및 권한관리  (0) 2023.01.10
2.5.4 비밀번호 관리  (0) 2023.01.10

관련글

댓글

티스토리툴바