C-47: 제어시스템의 특성을 반영한 정보보안 정책, 지침을 수립
분류: Control System
중요도: 중
개요
점검 내용
제어시스템의 특성을 반영한 정보보안 정책 및 지침 수립 여부 점검
점검 목적
제어시스템에 특화된 정보보안 지침을 수립하여 제어시스템 보안 관리 주체를 지정하고, 제어시스템에 특화된 관리적·물리적·기술적 보안을 체계적으로 관리하기 위함
보안 위협
일반 IT시스템 중심의 보안 관리 이외에 제어시스템에 특화된 보안 관리 요소, 취약점 조치 등이 누락되어 운영인력의 부주의(Human Error) 또는 운영상의 취약점을 악용한 사이버 침해위협이 발생할 위험이 존재함
참고
제어시스템 특성
- EWS, OWS, Historian 등의 제어 S/W가 포함된 운영계층, PLC, DCS, RTU, IED 등의 제어 H/W로 구성되는 제어 계층, 액추에이터, 센서 등이 포함된 현장장치 계층으로 구성됨
- 제어시스템 보안의 경우 일반 IT시스템과 달리 가용성 측면이 가장 중요하게 고려되어야 함
- 제어시스템의 경우 각자 특화된 시스템 및 기기로 구성되고 일반적인 IT시스템의 보안 기능과 우선순위에 차이점이 있으므로 제어시스템을 위한 별도의 관리적, 기술적인 정책과 지침이 필요
[ 제어시스템 운영환경 ]
점검 대상 및 판단 기준
대상
제어시스템 정보보안 정책 및 지침
판단 기준
✅ 양호: 제어시스템의 특성을 반영한 정보보안 정책 및 지침이 별도로 수립된 경우
❌ 취약: 제어시스템의 특성을 반영한 정보보안 정책 및 지침이 별도로 수립되지 않은 경우
조치 방법
제어시스템의 특성을 반영한 정보보안 정책 및 지침을 수립
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
공통
-
제어시스템에 대한 보안 관리 주체와 역할, 제어시스템에 대한 접근통제 및 운영 보안 등을 포함하는 제어시스템 정보보안지침이 별도 존재하는지 확인하고 존재하지 않는다면 제어시스템 정보보안지침을 수립
- 제 1 장 총 칙: 제1조 (목적), 제2조 (적용범위), 제3조 (정의)
- 제 2 장 제어보안 관리체계에 대한 활동: 제4조 (활동방향), 제5조 (제어보안책임자 및 제어보안담당자), 제6조 (제어보안담당자 임무), 제7조 (취약점 진단 및 보호대책 수립), 제8조 (제어보안 교육), 제9조 (긴급사태 관리), 제10조 (제어망 운영), 제11조 (보안관리 절차 수립), 제12조 (통제구역), 제13조 (백신 프로그램 운영), 제14조 (휴대용 저장매체 사용통제), 제15조 (유지보수 통제 및 기록 관리), 제16조 (원격 유지보수 제한), 제17조 (보안성 검토 및 보안적합성 검증), 제18조 (자료관리), 제19조 (계약사항)
- 제 3 장 보 칙
[ 제어시스템 정보보안지침 예시 ]
참고
제어시스템 정보보안지침의 목차 및 세부 내용은 제어시스템을 관리하는 조직에 따라 다를 수 있으나, 제어시스템에 대한 기반시설 취약점 점검항목(총 50개)을 고려하여 그 내용이 포함되도록 함