ISMS(정보보호관리체계) 인증 기준 2.6.4 데이터베이스 접근

2. 보호대책 요구사항 > 2.6 접근통제 > 2.6.4 데이터베이스 접근

항목		상세내용
2.6.4	데이터베이스 접근	테이블 목록 중 데이터베이스 내에서 저장•관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립•이행하여야 한다.
주요 확인사항		ㆍ데이터베이스의 테이블 목록 등 저장•관리되고 있는 정보를 식별하고 있는가? ㆍ데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?
관련 법규

 

● 중요사안

- 데이터베이스 권한은 관리자, 개발자, 일반 사용자 등 사용자의 직무별로 구분하여 부여하고 직무에 맞는 접근통제 정책이 수립•이행되어야 한다.

- 중요정보(개인정보, 기밀정보 등)를 저장하고 있는 데이터베이스 및 WAS 등이 외부 서비스와 분리 운영되어야 한다.

- DB 접속로그, 접근 승인정보 등 접근 타당성 및 접근로그는 주기적(월1회)으로 점검하여야 한다.(개인정보보호법에서는 반기 1회 점검)

- 데이터베이스서버에 접근통제 에이전트를 구동 후 수집된 DB 접근로그를 SIEM(보안이벤트 정보관리)에 연계하여 연관 분석을 통해 부적절한 DB 접근 행위를 신속하게 탐지하여야 한다.

 

● 운영현황

- 데이터베이스 권한을 직무별로 구분하고 직무에 맞는 각각의 접근통제 정책을 수립하여 문서로 유지하고 있음

- 업무목적에 따라 데이터베이스 접근이 필요한 관리자 및 일반 사용자의 접근권한을 차등 부여하고 있음

- 데이터베이스에 접근한 이력을 기록하고 접근권한 및 계정에 대한 적정성과 개인정보 처리의 타당성을 주기적으로 검토하고 책임자에게 보고하고 있음

 

● 기록(증적자료)

- DB 접근통제시스템 보안정책 설정화면

- DB 접근 사용자 목록

- DB 접근권한 및 계정 신청서

- 일/월별 DB 접근통제 점검보고서

- 데이터베이스 접근통제 정책 문서

 

● 주요 결함사례

- DB서버 사용 포트 중 불필요한 서비스 포트가 오픈되어있는 경우

- 데이터베이스에 대한 관리자 및 사용자의 직무별 접근통제 기준이 수립되어있지 않은 경우

- 중요정보(개인정보, 금융거래정보 등)를 보관•처리하고 있는 데이터베이스의 주요 테이블 및 주요 정보에 대한 접근내역이 기록되고 있지 않거나 접근내역에 대한 타당성 검토가 주기적으로 이루어지지 않은 경우

- DB접근제어솔루션을 도입하여 운영하고 있으나, DB접속자에 대한 IP가 적절히 통제되고 있지 않거나 공식적인 승인 또는 타당한 사유 없이 DBA 이외 개발자가 운영 중인 DB에 관리자 권한으로 접근하고 있는 경우

- 대량의 중요정보를 보관 또는 처리하고 있는 데이터베이스를 인터넷을 통해 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우