보안담당자로 살아가기/ISMS(정보보호관리체계)

ISMS(정보보호관리체계) 인증 기준 2.9.4 로그 및 접속기록 관리

부소대장 2024. 12. 20. 22:00
반응형

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.4 로그 및 접속기록 관리

항목 상세내용
2.9.4 로그 및 접속기록 관리 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위•변조, 도난, 분실 되지 않도록 안전하게 보존•관리하여야 한다.
주요 확인사항 ㆍ서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가?
ㆍ정보시스템의 로그기록은 별도 저장장치를 통해 백업하고 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가?
ㆍ개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?
관련 법규 ㆍ개인정보보호법 제29조(안전조치 의무)
ㆍ개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)

 

● 중요사안

- 법적 요건과 업무 중요도를 고려하여 로그에 대한 관리절차를 수립•운영해야 한다.
  > 법적 요구사항과 기업 환경(비즈니스 요구사항)을 고려하여 정보시스템에 대한 로그 유형을 정의하고 보존기간을 수립하여 운영절차에 반영하고 기술적 조치를 적용하여야 한다.
  > 중요정보 및 정보시스템, 개인정보처리시스템 사용자 접속기록을 주기적으로 검토하고, 이상징후를 확인한다.
  > 개인정보처리시스템은 구체적인 로그 유형, 보존기간을 수립하고 관리가 필요하다.
  > 개인정보처리시스템의 경우 접속 로그를 6개월 이상 보관해야 하고, 별도 저장장치를 사용하여 백업하고 로그기록에 대한 접근권한을 최소화한다.
  > 개인정보처리시스템의 경우 비인가자에 의한 로그기록 위변조, 삭제 방지를 위해 위변조, 삭제가 불가능한 매체 및 WORM 방식의 저장장치를 활용한다.
- 웹서비스를 하는 업체의 경우 다수의 웹서버가 존재하기 때문에 로그를 제대로 관리하기 위해 전문적인 로그관리시스템 도입이 필요할 수 있으나, 해당 회사 및 조직의 상황에 따라 구현 방식을 확인한다.
- 서버, 응용프로그램, 정보보호시스템, DB등 주요 시스템은 반드시 로그 대상 시스템으로 선정하여야 하며, 정보통신망법에서 지정한 개인정보처리시스템은 필수적으로 로그 대상 시스템으로 선정해야 한다.
- 대상별 로그항목의 구분과 보존기한을 선정해야 한다.
  > 개인정보처리시스템 : 접속계정, 접속일시, 접속지정보, 수행내역, 처리한 정보주체 정보
  > 보안관련 감사로그 : 사용자 접속기록(ID, IP, 일시, 수행업무), 인증 성공/실패 기록, 계정/권한의 등록/변경/삭제 등
  > 시스템 이벤트로그 : 운영체제(OS)에서 발생되는 로그(시스템 시작/종료, 상태, 에러코드 등) 등
  > 보안시스템 정책(룰셋)의 등록/변경/삭제 및 이벤트 로그 등
  > 기타 정보보호 관련 로그 등
- 로그의 별도 분리 DB 저장 및 별도 저장장치 백업 실시, 접근권한 최소화로 무결성(위변조/삭제 방지)을 확보해야 한다.
- 중요 시스템과 통합 시스템의 경우, 이상 징후에 따른 절차의 수립과 정기적 점검을 통한 대응이 이루어져야 한다.
- 통합관제의 외부 위탁 시 구체적인 요구사항으로 SLA를 명시하여야 한다.

 

● 운영현황

- 정보시스템 유형별로 로그의 항목과 보관기간을 각기 다르게 설정하여 백업하고 있음
  * 시스템 가동 기록(IP, 호스트네임, 계정정보, 시작시간, 종료시간, 상태코드) : 1년 이상
  * 네트워크 이벤트 로그(IP, 트래픽정보) : 1년 이상
  * 정보보호시스템 로그(IP, 접속계정, 보안정책 등록/변경/삭제) : 1년 이상
  * 개인정보처리시스템 접속기록(IP, 시간, 계정, 처리한 정보주체 정보, 수행업무) : 2년 이상
- 로그백업솔루션을 운영하여 각 정보시스템별 백업 기준에 따른 정책으로 주기적인 소산백업을 수행하고 있음

 

● 기록(증적자료)

- 시스템 운영지침
- 네트워크 장비 운영지침
- 정보보호시스템 운영지침
- 개인정보처리시스템 접속기록 검토보고 문서
- 백업 및 복구 지침 문서
- 백업관리대장
- 내부감사보고서

 

● 주요 결함사례

- 로그 저장 및 보존에 대한 정책이 부재한 경우
- 접속기록의 백업 및 위변조 방지 법적 요구사항을 미준수하는 경우
- 개인정보처리시스템에 접속한 기록 중 필수사항 5가지를 충족하지 못하는 경우
- 접속로그에 대하여 모든 운영자 및 개발자가 접근이 가능하여 해당 접속기록을 임의적으로 삭제하거나 위변조할 수 있는 경우
- 로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한 세부 기준 및 절차가 수립되어 있지 않은 경우
- 중요 로그에 대한 최대 크기를 충분히 설정하지 않아 내부 기준에 정한 기간동안 기록,보관되고 있지 않은 경우

반응형