차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판
이전 판
audit [2013/07/10 12:37]
wiki1122 [수시 보안감사]
audit [2017/08/21 15:18] (현재)
줄 4: 줄 4:
 보안 감사는 회사에서 이뤄지는 보안활동이 적절히 이뤄지고 있는지 확인하는 활동으로 각 회사의 업무와 정해진 정책 그리고 수행되고 있는 보안 활동에 따라 감사활동은 다르게 수행되어야 한다. 보안 감사는 회사에서 이뤄지는 보안활동이 적절히 이뤄지고 있는지 확인하는 활동으로 각 회사의 업무와 정해진 정책 그리고 수행되고 있는 보안 활동에 따라 감사활동은 다르게 수행되어야 한다.
  
-===== 보안감사의 분류 ​=====+  * [[audit:보안감사의 분류]] 
 +  * [[audit:​보안 감사 정책 수립]] 
 +  * [[audit:​보안감사 영역]] 
 +  * [[audit:​보안감사 체크리스트]]
  
-보안감사는 감사 주체에 따라 내부감사와 외부감사로 나눌 수 있으며, 감사시기에 따라 정기 보안감사와 수시 보안점검으로 나눌 수 있다. +====== ​IT감사 및 IT보안감사 관료 ======
-<표 4-3-1-1> 보안감사 분류 +
-^  보안감사 주체 ​ ^  내부 보안감사 ​ |• 보안팀 또는 감사팀에 의해 수행 ​ | +
-^  :::            ^  외부 보안감사 ​ |• 감리회사,​ 회계법인,​ 보안 컨설팅 전문회사\\ • 정보보호안전진단 등\\ • 금융감독원 등 정부기관 ​ | +
-^  보안감사 시기 ​ ^  정기 보안감사 ​ |• 연간 감사계획에 따라 보안영역 전반에 대하여 정기적으로 실시하는 보안감사\\ • 매월 또는 분기, 반기 등 일정한 기간마다 시행되는 보안 감사 ​ | +
-^  :::            ^  수시 보안감사 ​ |• 보안사고 발생직후 또는 보안사고 징후가 있다고 판단될 경우 실시되는 특별한 보안 감사\\ • 감사 대상의 평시 보안 상태를 점검하기 위해 공지 하지 않은 상태에서 실시하는 보안 감사 | +
-내부감사는 기업 조직 및 각 팀의 업무 정의에 따라 보안팀 또는 감사팀에서 수행되며,​ 외부감사는 회사의 업종 및 해당 법규 등 규제에 따라 달라지며,​ 감사 주체도 다르다. +
-감사시기에 따른 분류로는 정기 보안감사와 수시 보안감사로 나눌 수 있으며, 정기 보안감사는 연간 계획에 의해 진행되며 보안 영역 전반을 대상으로 하는 감사와 매월, 분기 또는 반기 등 회사의 정책에 따라 수행되는 정기 보안감사로 나눌 수 있다. +
-매월, 분기 또는 반기 등 시행되는 정기 보안감사는 전체 보안영역이 아닌 일부 보안영역 가령, VPN 사용현황,​ 데이터베이스 접근 현황 감사 등에 국한되어 진행되어 진다. +
-반면, 수시 보안감사는 보안사고 발생 직후 또는 보안사고 징후가 있을 경우 전체 또는 일부분에 대해 시행되는 보안 감사로, 예를 들어 한 대의 웹 서버의 쓰기 권한 허용으로 인해 홈페이지 변조사고가 발생하였을 경우, 신속한 조치 후 전체 웹 서버의 쓰기 권한을 점검하는 활동이나,​ 일부 서버가 꼭 적용해야 할 패치를 적용하지 않았음을 발견한 직후 모든 서버에 대해 패치 적용여부를 점검하는 활동 등이 있다. 또한 감사대상에 대한 일상적인 보안활동을 점검하기 위해 수시로 시행되는 보안 점검을 수행할 수 있는데 이 역시 수시 보안 감사의 한 예다. 예를 들어 임직원이 PC 보안 상태를 확인하기 위해 퇴근한 직후 끄지 않은 컴퓨터를 점검하는 활동이나,​ 임직원 PC의 패스워드 정책 및 바이러스 백신 정책적용 등을 점검하는 활동 역시, 수시 보안감사라고 하겠다. +
- +
-===== 보안 감사 정책 수립 ​===== +
- +
-정보보호 관련 부서는 회사의 비즈니스에 대한 보안 위협 및 위험(Risk)을 감소시키기 위해 감사 정책을 수립하여 관련 부서에 공지하고 이를 추진하여야 한다. 불필요한 보안감사는 업무 프로세스에 부담을 줄 수 있으며, 인원 ​및 시간 등 업무 자원의 낭비를 초래하고 임직원 간의 불필요한 오해를 야기할 수 있으므로 ​보안감사 ​기준에 대한 정책수립이 우선되어야 한다. +
- +
-비즈니스에 대한 위협 및 위험 분석 ​ ▶ 보안정책 및  지침 수립 ▶ 보안감사 정책 설정 ▶ 보안감사 점검 리스트 작성 및 배포 +
- +
-보안감사 정책을 수립하기 위해서는 비즈니스에 대한 위험과 위협을 분석하여 이에 맞는 보안감사 정책을 수립하여야 하며 보안감사 정책수립 시 결정하여야 하는 사항은 아래와 같다. +
-  * 감사대상 보안 영역 +
-  * 감사목적 (감소시키고자 하는 보안 위험) +
-  * 감사범위 및 중점감사항목 +
-  * 감사일정 및 기간 +
-  * 감사대상 부서 +
-  * 참여 감사자 +
-  * 감사기법 및 감사기준 +
-  * 기타 필요사항 등 +
- +
-===== 보안감사 영역 ===== +
- +
-보안감사의 영역은 보안감사 정책 설정 시 결정되며,​ 일반적으로 아래와 같은 영역으로 구분할 수 있다. +
-<표 4-3-3-1> 보안감사 영역 +
-^  인적 보안감사 ​ ||• 입사자, 퇴사자에 대한 보안 활동에 대한 감사\\ • 계약직, 임시직에 대한 보안 활동에 대한 감사\\ • 외부 인원에 대한 보안 활동에 대한 감사\\ • 보안 교육에 대한 감사 ​ | +
-^  물리적 보안감사 ​ ||• 전산실 출입 통제 및 로깅에 대한 감사\\ • 전산실 전원 설비 및 공조에 대한 감사\\ • 전산실 환경 및 비상 사태 대비에 대한 감사 ​ | +
-^  업무용 프로그램 감사 ​ ||• 업무용으로 사용하는 프로그램의 계정 생성 및 폐기에 대한 감사\\ • 업무용 프로그램의 중요 권한에 대한 권한 부여자 감사 ​ | +
-^  정보 시스템\\ 보안감사 ​ ^  시스템 ​ |• 사용자 ​리 및 접근통제 감사\\ • 로깅 및 감사에 대한 감사\\ • 백업 및 복구 ​ | +
-^  :::                   ​^ ​ 네트워크/​\\ 보안장비 ​ |• 사용자 관리 및 접근통제 감사\\ • 로깅 및 감사에 대한 감사\\ • 백업 및 복구 ​ | +
-^  :::                   ​^ ​ DB  |• 사용자 관리 및 접근통제 감사\\ • 로깅 및 감사에 대한 감사\\ • 백업 및 복구\\ • 데이터 추가/​삭제/​변경에 대한 활동 감사 ​ | +
-^  PC 보안감사 ​ ||• PC 보안 설정 감사\\ • 바이러스 백신 등 보안 프로그램 설치 여부 및 설정 감사\\ • 패스워드 관리 감사 ​ | +
-^  내부 접속\\ 프로그램 감사 (VPN 등)  ||• 사용자 관리 및 접근통제 감사\\ • VPN을 통한 내부 시스템 접속 내역 및 수행 업무 내역 감사 ​ | +
- +
-앞선 표에서 표시된 보안감사 영역은 각 기업이 필수적으로 따라야 하는 영역은 아니며, 각 영역 중 각 회사의 업무상 필요에 따라 대상영역을 설정하면 된다. 다만 보안감사를 기술적인 취약점 위주보다는 보안 프로세스를 점검하는 방향으로 하는 것이 바람직하다. +
- +
-===== 정기 보안 감사 ​===== +
- +
-정기 보안감사는 보안감사 전 영역에 걸쳐 1년에 1회 또는 2회 실시하는 하는 감사와 매월, 분기별 또는 반기별로 일정 영역에 따라 진행하는 보안감사가 있다. +
-예를 들어, 장애 발생 시 신속한 조치를 위해 VPN을 통해 시스템, 네트워크 장비 또는 데이터베이스에 직접 접속할 수 있다면 VPN에 대한 보안감사는 매월 수행되어야 하며, 그 결과는 최고 보안 책임자에게 보고되어야 한다. 보안감사 전 영역에 걸쳐 수행되는 정기 보안감사는 매년 작성되는 ‘연간 보안 활동계획’에 포함되어야 한다. 정기 보안감사를 수행하는 프로세스는 일반적으로 다음의 그림과 같다.+
 \\ \\
-<그림 4-3-4-1> 보안감사 ​프로세스\\ +{{:​선진국의_it감사기준_분석을_통한_it감사체계_발전방_연구-감사.pdf|}} \\ 
-\\ +주요내용 ​\\ 
-다음은 ​감사 ​시 사용되는 ​크리스트 예시로 보안 감사 ​영역별로 체크리스트를 작성하여 배포하여야 한다. +난 10년간 공공부문의 ​정보화 및 전자정부사업에 대하여 ​대규모 예산이 투입되었으나 이러한 사업들이 원래의 목적을 달성지의 여부에 대한 ​체계적인 점검활동이 부족, 감사초점이 일한 기준에 의하여 결되기는 특정사안의 ​요성, ​감사증거 확의 용이성 등 감사결과를 확신 할 수 있는 경우에 대부분 맞추어져 있어 감사의 일관성이 부족. 따라서 표준화된 감사기준에 따라 일성 있고 ​체계적인 ​IT감사접근방법으의 패러다임 전환이 ​필요한 ​시점이다. 
- +규모 예산이 는 정보시스템 ​구축사업의 경우 ​상시 ​모니을 여 예산의 낭비를 막고 결과의 효과성 및 효율성을 주기적으로 관리 ​감독하는 ​체계가 마련되어야 한다. 그럼도 불구고 정에 대한 감사원 감가 비정기적 ․ 비계획적으로 ​루어고 ​는 것은 중요도 면에서 사회적 파급효과가 큰 감사에 집중고, 증거 확보가 ​비교적 용이한 감사에 중을 두고 있기 때문에 적으로 소홀한 것이라고 ​상된다. 
-<표 4-3-4-1> 보안감사 체크리스트 예시 +따라서 본 연구에서는 체계적인 ​감사기준을 ​한 점검활동과 감사의 성을 확기 위하여 IT감의 개념 ​및 GAONAO 등 주국 감의 IT감사 현황을 살펴보고,​ INTOSAI, 미국 ​시스템감사통제협회(ISACA등의 국제적인 IT감사준을 감사단계별로 비교 ․ 분석해고, IT감사수행 시 공통적으로 ​고려하야 할 전략, 12개의 감사중점사항을 ​시하였다. ​이러한 종합적인 연구결과가 감사원의 IT감사를 한층 발전키는 첫 단추가 되를 희망한다. 끝으로 본 연구를 위하여 열심히 수고해준 호진원 연구관의 노력에 감를 표하는 바이다. \\
-|< 90% 90px 90px 120px - >+
-^  정보보호\\ 시스템관리 ​ ^  유관리 ​ ^  IT보안실무자 ​ | 정보보호 시스템 변경 시 변경계획서를 작성하고 있는가? ​ | +
-^  :::                    ^  :::       ​^ ​ IT보안실무자  ​| ​보보호 시스템에 대한 원격관리가 필요한 경우에는 세부절차를 수립하여 이고 있가?  | +
-^  :::                    ^  :::       ​^ ​ IT보안실무자 ​ | 정보보호 시스템에 대한 ​업그레드(패치 등)를 주기적으로 실시하고 ​있는가? ​ | +
-^  :::                    ^  계관리 ​ ^  IT보안실무자 ​ | 정보보호 시스템에는 IT 보실무자 및 관리자 이외의 계정은 생성하지 않고 있는가? ​ | +
-^  :::                    ^  변경관리 ​ ^  IT보안실무자 ​ | 침입차단시스템 룰(보안정책) 등록, 변경 및 삭제 ​청 시 침입 차단시스템 룰 변경신청서를 작하도록 하고 있으며IT안 실무자는 적정을 평가 후 작업을 실시하고 ​있는가?  | +
-^  :::                    ^  :::       ​^ ​ IT보안실무자 ​ | 침입차단시스템 룰 변신청서 상의 기한이 경과여 별른 통보가 없는 경우는 해당 룰을 삭제하고 있는가? ​ | +
-^  :::                    ^  :::       ​^ ​ IT보안실무자 ​ | 침입차단시스템 룰 변경 결과는 ​리대장에 기록하고 ​는가? ​ | +
-^  :::                    ^  :::       ​^ ​ IT보안실무자 ​ | 침입탐지시스템의 침입패턴은 항상 최신의 것으로 유지하고 있는가? ​ | +
-^  :::                    ^  접근통제 ​ ^  ​IT보안실무자 ​ | 정보보호 시스템에 대한 ​접근은 규정된 콘솔 또는 경를 통해서만 가능하도록 하며 불필요한 ​포트는 모두 차단하고 있는가? ​ | +
-^  :::                    ^  서비스정책 ​ ^  IT보안실무자 ​ | 네트워크 서비스 기본 정책은 Deny all로 정의하고,​ 업무상 필요한 서비스에 ​해서만 접근을 허용하고 있는가? ​ | +
-^  :::                    ^  :::       ​^ ​ IT보안실무자 ​ | 불법적인 침입 또는 ​상징후 발생 시에는 침탐지시스템에서 관련 서비스를 중지시키고,​ 침입차단시스템과 연동하여 관련 Source IP를 차단하고 있가?  | +
-^  :::                    ^  로그 및 \\ 백업관리 ​ ^  IT보안실무자 ​ | 정보보호 ​시스템 ​로그를 분석하고,​ 이상 징후 발생 ​시 적절한 조치를 취하고 있는가? ​ | +
-^  :::                    ^  :::       ​^ ​ IT보안실무자 ​ | 정보보호 시스템 로그, 소프트웨어,​ 환경 설정 데이터 을 매 월 1회 백업하고 ​있는가? ​ | +
-^  :::                    ^  :::       ​^ ​ IT보안실무자 ​ | 백된 그는 6개월이상 보관하고,​ 안전하게 ​관리하고 있는가?  | +
-===== 수시 보안감사 ===== +
- +
-임직원의 평상시 보안상태를 점검하기 위해 공지하지 않은 상태서 실시는 불시안감로는 PC에 대한 ​불시 보안감사와 무실 불시 보안점검이 있다. PC 불시 보안 점검은 비밀번호 설정 여부, PC보안 설정 현황, 바이러스 백신 등 보안 프로그램 설치 여부 및 설정 등을 ​감사하는 것으로 그 결과를 각 부서별로 ​비교하여 공지하기도 ​다. +
-PC 불시 보안감사와 사무실 불시 보안에 대한 ​체크리스트 ​시는 아래와 같다. +
-<표 4-3-5-1> PC 불시 보안감사 ​체크리스트 +
-|< 90% 140px 180px - >| +
-^         ​구분 ​        ​^ ​      ​세부항목 ​            ​^ ​               진단내용 ​                                   ^ +
-|       ​접근제       ​| ​     부팅패스워크 설정 ​    ​|부팅시 CMOS 패스워드 설정여부 ​점검 ​                         | +
-|      :::             ​| ​     부재시 전원관리 ​      | 장기간 자리를 비우거나 퇴근시의 전원리 상태 점검 ​        | +
-|       ​데이터 ​관    |      비밀정보 보호관리 ​    | 비밀정보에 대한 별도 보호조치 여부 점검 ​                   | +
-|      :::             ​| ​      ​백업 관리 ​           | 정적인 데이터 백업 실시 ​부 점검 ​                       | +
-|      :::             ​| ​     데이터 이동관리 ​      | 데이터 전송 시 바이러스 검사 여부 점검 ​                    | +
-|       ​PC관리 ​        ​| ​    ​PC사용 인가자 관리 ​    | 취급자 ​및 관리책임자 지정 여부 점검(스티커 부착여부) ​      | +
-|     ​패스워드 관리 ​   |       ​패스워드 길이 ​       | 패스워드 길이의 절적성 여부 점검 ​                          | +
-|      :::             ​| ​       패스워드 관리 ​      | 패스워드에 영문자숫자, 특수문자 혼용여부 점검 ​           | +
-|      공유폴더 ​       |      공유폴더 암호 사용 ​   | 공유폴더 사용시 암호 사용 여부 점검 ​                       | +
-|   ​네트워크 서비스 ​   |    불필한 서비스 제거 ​   | 기본적으로 제공되는 불필요한 서비스 여부 확인\\ (예:DHCP Client, DNS Client 등) | +
-|      계정관리 ​       |  계정과 같은 패스워드 ​용  | 계정명과 같은 패스워드 사용 여부 점검 ​                    | +
-|      :::             ​| ​  ​패스워드가 없는 계정 ​     | 패스워드가 없는 계정의 사용 여부 점검 ​                    | +
-|      :::             ​| ​  ​기본 관리자 계의 존재 ​ | 기본 관리자 계정(Administrator) 사용 여부 확인 ​            | +
-|    ​시스템보안설정 ​   |     Null Session 설정 ​     | Null Session의 설정 여부 확인(Net Bios                   | +
-|      :::             ​| ​      ​자동 로그인 ​         | 자동로그인 기능 용 여부 확인 ​                            | +
-|      :::             ​| ​    ​레지스트리 보호진단    | 레지스트리의 원격 접근 ​호                                | +
-|      :::             ​| ​    ​로그접근 권한 점검 ​    | Guest 권한으로 ​로그 접근 가능 점검 ​                        | +
-|       ​보안패치 ​      ​| ​    ​최신 Hot Fix 적용 ​     | 최신 Hot Fix 적용 ​부 확인 ​                               | +
-|       ​공유폴더 ​      ​| ​     공유폴더 ​검         | 패스워드가 없이 공유된 폴더 확인 ​                          | +
-|      :::             ​| ​      ​기본 공유 점검 ​      | C$ D$ 등 기본 공유 ​용여부 점검 ​                          | +
-|    바이러스 통제     |         ​백신 설치 ​         | 바이러스 백신 설치 여부확인                                | +
-|      :::             ​| ​    ​최근 바이러스 점검 ​    ​| ​장 최근에 바이러스 점검을 수행확인 ​                      | +
-|      :::             ​| ​      ​실시간 ​시          | 실시간 ​시 수행여부확인 ​                                  | +
-|      :::             ​| ​      ​백신 업데이트 ​       | 최신 바이러스 백신 엔진 업데이트 확인 ​                     | +
-|      접근통제 ​       |       ​화면보호기 ​용      | 화면보호기 대기 ​간 확인(기준 ​10분) ​                      | +
-|      :::             ​| ​         :::               | 화면보호기 암호 사용 여부 확인 ​                            | +
- +
- +
  
-<표 4-3-5-2> 사무실 불시 ​보안점검 ​체크리스트 +[[http://​service4.nis.go.kr/​servlet/​check?​cmd=check02|산업보안실태 자가진단 온라인 ​체크리스트]]\\ 
-|< 90% 100px - 100px 100px 100px >| +산업기밀보센터에는 산업실태를 자체적으로 진단할 수 있는 온라인 진단 체크스트를 제공하고 있다. 
-^         ​구분 ​         ^                점검 내용 ​                    ​^ ​     대상 수     ​^ ​           점검 결과 ​         ^^ +총 7개 영역으로 구성되어 있으며, 각 항목은 4등급의 ​요도가 적용되어 있으며현재의 실태를 4점 만점으로 온라으로 체크하도록 제하고 있다. \\
-^         ::: ​          ​^ ​                  ::: ​                       ^        :::       ​^ ​   양호 수    ^      양호 %    ^ +
-|      시건 상태 ​       |캐비닛 시건 상태 ​                             |                  |               ​| ​               |                +
-|         ::: ​          ​|개인 책상 ​랍 시건 상태 ​                     |                  |               ​| ​               | +
-|    문서 \\ 관상태 ​  ​|개인 책상 위 주요 업무문서 방치 여부 ​         |                  |               ​| ​               | +
-|         ::: ​          ​|사무실 바닥 주요 업무문서 방치 여부 N/A N/A   ​| ​                 |               ​| ​               | +
-|  노트북\\ 관리 상태   |퇴근 시, 개인 책상 위 Notebook 방치 여부 (물적 잠금 미흡) ​ | |               ​| ​               | +
-|         ::: ​          ​|점심시간 ​중, 인 책상 위 Notebook 방치 여부 (물리적 잠금 미흡) |   ​| ​         |                |   +
-|         ::: ​          ​|점심간 중, 개인 책상 위 Notebook 비밀번호 미 설정 여부 ​  ​| ​   |              |                |+