“운영 보안”은 시스템 운영에 전반적인 통제를 위하여 “운영 절차” 또는 “매뉴얼”을 수립하여야 한다. 정보시스템 자산의 변경 절차에 따른 “변경 관리”를 수행하고, “보안시스템의 운영 절차”를 수립하여야 하며, “원격지”에서 “시스템 운영 및 관리는 금지”하여야 한다. 또한 네트워크 구간에서의 보안 강화를 위하여 “사용자 인증”, “송수신 데이터 암호화” 등과 같은 보호 대책을 세워야 하며, 중요정보의 보호를 위하여 “저장매체”는 “복구 불가능”하도록 “완전 삭제”를 수행해야 하고, “악성코드 통제” 및 “패치”를 정기적으로 적용하여야 한다.
① 변경 관리
“정보시스템 자산의 변경”에 관한 절차를 수립하고 이행하여야 하며, 변경을 수행하기 전에 “성능 및 보안에 미치는 영향”을 평가하고 분석하여야 한다. 정보시스템 자산의 변경은 “운영체제 업그레이드”, “소프트웨어 설치”, “응용프로그램 변경”, “네트워크 구성 변경”, “하드웨어 변경” 등을 의미한다.
관련표준 및 지침
| K-ISMS | 11.1.2 변경관리 |
| ISO/IEC 27002:2013 | A.12.1.2 Change management |
| NIST SP 800-53 | CM-2, CM-3, CM-4, CM-5, CM-9, SA-10 |
② 보안시스템 운영
보안시스템별로 정책의 “적용 절차”, “관리자 지정”, “접근통제 정책” 등을 포함하는 “보안시스템 운영”에 관한 절차를 수립하여야 한다. 보안시스템은 “침입 차단 시스템(Firewall)”, “침입 탐지 시스템(IDS: Intrusion Detection System)”, “침입 방지 시스템(IPS: Intrusion Prevention System) ”, “웹 방화벽”, “데이터베이스 접근통제시스템”, “데이터 유출 방지시스템(DLP: Data Loss Prevention) ”, “VPN(Virtual Private Network, 가상사설망)”, “패치 관리시스템(Patch Management System) ” 등을 포함한다. 이러한 시스템은 최신의 “공격기법”을 탐지하기 위하여 “최신의 정책”으로 항상 업데이트하여야 한다.
관련표준 및 지침
| K-ISMS | 11.2.2 보안시스템 운영 |
| ISO/IEC 27002:2013 | N/A |
| NIST SP 800-53 | N/A |
③ 원격 운영관리 및 클라우드 보안
원격에서 외부 네트워크를 통해서 정보시스템을 관리하는 것을 금지하여야 하며, 부득이한 사유로 허용하는 경우에는 보호 대책을 세워야 한다. 보호 대책은 “정보보호 최고책임자 승인”, “사용자 인증”, “VPN 등과 같은 네트워크 구간 암호화”, “접속 PC 보안”, “지속적인 모니터링” 등과 같은 통제를 행하여야 한다. 또한 클라우드 환경을 이용한 업무수행 시에도 동일한 통제를 수행하여야 한다.
관련표준 및 지침
| K-ISMS | 11.2.5 원격운영관리 11.2.6 스마트워크 보안 |
| ISO/IEC 27002:2013 | A.6.2.2 Teleworking |
| NIST SP 800-53 | AC-1, AC-17, PE-17, PL-4, PS-6 |
[참고]
- 침입 차단 시스템(Firewall): 인터넷에 인터넷 프로토콜(IP)로 접속되어 있는 네트워크를 불법적인 침입으로부터 보호하기 위하여 게이트웨이에 설치되는 접속 제한. 방화벽이라고도 한다. 인터넷에서는 한쪽 방향의 접속이 가능하면 역방향의 접속도 가능하기 때문에 IP로 접속되어 있는 네트워크는 외부에서도 접속할 수 있다. 이것은 접속을 제한함으로써 어느 정도 보안을 확보할 수 있는데, 구체적으로는 네트워크 간의 IP 패킷 전송을 차단하는 방법, 특정의 애플리케이션에 의한 패킷만을 전송하도록 하는 방법 등이 있다. (IT용어사전, 한국정보통신기술협회)
- 침입방지시스템(IPS: Intrusion Prevention System): 네트워크에서 공격 서명을 찾아내어 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션. 수동적인 방어 개념의 침입 차단 시스템이나 침입 탐지 시스템(IDS)과 달리 침입 경고 이전에 공격을 중단시키는 데 초점을 둔, 침입 유도 기능과 자동 대처 기능이 합쳐진 개념의 솔루션이다. (IT용어사전, 한국정보통신기술협회)
- 데이터 유출 방지시스템(DLP: Data Loss Prevention): 기업 내부자의 고의나 실수로 인한 외부로의 정보 유출을 방지하는 솔루션. 사내에서 주고받는 데이터를 내용이나 형식 등을 기준으로 탐지해 중요 정보 유출을 차단할 뿐만 아니라 데이터 보호 규제에 적극 대응할 수 있다. (IT용어사전, 한국정보통신기술협회)
- VPN(Virtual Private Network, 가상사설망): 공중전화망상에 사설망을 구축하여 이용자가 마치 자기의 사설 구내 망 또는 전용 망같이 이용할 수 있게 하는 서비스. 공중 통신 사업자가 희망하는 기업이나 이용자 그룹으로 하여금 자신의 망 구성을 정의하고 임의의 전화번호 체계를 구축할 수 있게 한다. 가상 사설망이라고 부르는 것은 이용자 입장에서는 사실상의 사설망을 경제적으로 구축할 수 있으나, 통신 사업자 입장에서는 공중망 내에 하나의 소프트웨어 프로그램으로 구축할 수 있기 때문이다. (IT용어사전, 한국정보통신기술협회)
- 한국인터넷진흥원(2013), “ISMS 인증기준 세부점검항목”, 한국인터넷진흥원
- ISO (2012), “Information technology - Security techniques - Code of practice for information security controls,” ISO.
- Ross, Ronald S (2013), “Security and Privacy Controls for Federal Information Systems and Organizations,”
'보안(Security)' 카테고리의 다른 글
| 단계별 내부통제항목 - 탐지 (1) (0) | 2022.07.26 |
|---|---|
| 단계별 내부통제항목 - 예방(10) (0) | 2022.07.25 |
| 단계별 내부통제항목 - 예방(8) (0) | 2022.07.23 |
| 단계별 내부통제항목 - 예방(7) (0) | 2022.07.22 |
| 단계별 내부통제항목 - 예방(6) (0) | 2022.07.21 |
댓글