ISO/IEC 27001는 국제표준화기구(ISO: International Organization for Standardization) 및
국제 전기기술위원회(IEC: International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한
국제 표준이자 정보보호 분야에서 가장 권위 있는 국제 인증으로, 정보보호정책, 물리적 보안, 정보접근 통제 등
정보보안 관련 11개 영역, 133개 항목에 대한 국제 심판원들의 엄격한 심사와 검증을 통과해야 인증됩니다.
ISO 27000시리즈는 ISMS의 기본적인 요구사항을 규정하여 표준화한 규격입니다.
- ISMS(Information Security Management System)는 정보보안 체계를 수립, 구현, 운영, 검토, 유지 및 개선시키는 관리 시스템을 뜻합니다.
(이미지 출처: 한국산업기술보호협회 문서)
이 중, ISO 27001에서는 ISMS를 ‘전반적인 경영시스템의 일부로서 위험관리 접근방법에서 기초하여 정보보호를 수립, 구현, 운영, 모니터링 및 검토, 유지 및 개선하기 위한 것’으로 정의되어 있습니다.
ISO 27001의 보안 통제항목은 최선의 정보보안 실무들로 구성된 11개 분야 133개의 통제항목으로 구성되어 있습니다.
이 통제항목 중 감사로깅, 로깅정보의 보호, 관리자/운영자 로그 등의 취합이 필요합니다.
즉, 아래의 요구사항 등을 만족시킬 수 있어야 합니다.
- /var/adm 또는 /var/log 디렉토리에 OS 종류별로 기본적으로 기록되는 로그파일의 종류는 무엇인가?
- 기본적으로 기록되지 않는 로그를 생성하기 위해서는 어떠한 명령을 사용해야 하는가?
- 각 로그파일에 담겨있는 정보는 무엇인가?
- 시스템 상에서 로그를 분석하기 위해서는 어떠한 명령어를 사용해야 하는가?
- 로그에 남겨진 메시지들이 의미하는 것은 무엇인가?
각 항목별 상세 정보는 다음과 같습니다.
A.10.10.1 감사 로깅
사용자의 활동, 예외사항 및 정보보안 이벤트의 로깅이 수행되고 합의된 기간 동안 보관
a) 사용자 ID
b) 로그인 및 로그 오프와 같은 중요 이벤트의 날짜, 시간 및 자세한 정보
c) 단말의식별및위치정보등
d) 시스템 접근 성공 및 거부 기록
e) 데이터에 대한 접근 성공 및 거부 기록
f) 시스템 환경설정 변경 기록
g) 특수 권한의 사용 기록
h) 시스템 유틸리티와 어플리케이션의 사용
i) 파일 접근
j) 네트워크 주소와 프로토콜
A.10.10.3 로깅 정보의 보호
로깅 정보 및 로깅 장비의 위조 및 비인가자의 접근으로부터의 적절한 보호
a)기록되는 메시지 타입의 변경
b)편집되고 삭제되는 로그 파일
c)로그 파일 저장장치의 용량이 초과되어, 로깅을 못하거나, 과거 데이터를 덮어쓰는 경우
A.10.10.4 관리자 및 운영자 로그
관리자 및 운영자의 활동 로그 설정
a) 로그 내에 다음과 같은 내용 포함
1) 이벤트가 일어나는 시간
2) 파일조작이나 정상조작여부에 관한 정보
3) 관련 계정, 관리자, 조작자
4) 관련 프로세스
b) 시스템 관리자 및 운영자 로그의 주기적인 검토 수행
References:
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54534
https://ko.wikipedia.org/wiki/ISO/IEC_27001
https://en.wikipedia.org/wiki/ISO/IEC_27001:2013
http://blog.plura.io/?p=4893