Průvodce auditními důkazy pro řízení přístupu podle ISO 27001
Je 09:10 v den auditu. Maria, ředitelka informační bezpečnosti rychle rostoucí fintech a cloudové platformy, má otevřenou politiku řízení přístupu. Vedoucí IT exportuje nastavení podmíněného přístupu z poskytovatele identit. HR hledá tiket k ukončení pracovního poměru finančního analytika, který odešel před šesti týdny. Interní auditor zvedne hlavu a položí otázku, o níž všichni věděli, že přijde:
„Ukažte mi, jak se přístup žádá, schvaluje, vynucuje, přezkoumává a odebírá u uživatele s privilegovaným přístupem k osobním údajům.“
Tato jediná věta spolehlivě odhalí, zda je program řízení přístupu připraven na audit, nebo pouze formálně popsán v politice.
Mariin tým měl vyspělý systém řízení bezpečnosti informací, každoroční cyklus recertifikace podle ISO/IEC 27001:2022, zavedenou vícefaktorovou autentizaci, řízení přístupu na základě rolí v klíčových systémech a čtvrtletní tabulky přezkumu přístupových práv. Tento audit byl ale jiný. Seznam požadavků auditora zahrnoval připravenost na aktuální regulační požadavky. Pro Mariinu organizaci to znamenalo NIS2, DORA a GDPR, vše posuzované stejnou provozní optikou: identita, přístup, autentizace, oprávnění a důkazy.
Problémem mnoha ředitelů informační bezpečnosti není to, že by řízení přístupu neexistovalo. Problém je, že důkazy existují roztříštěně. Schválení onboardingu jsou v Jira nebo ServiceNow. Nastavení MFA jsou v Microsoft Entra ID, Okta nebo u jiného poskytovatele identit. Oprávnění AWS, Azure a Google Cloud jsou v samostatných konzolích. Privilegované akce mohou být protokolovány v nástroji PAM, nebo také vůbec. Stav zaměstnance je v BambooHR, Workday nebo tabulkách. Přezkum přístupových práv může být schválen e-mailem.
Jakmile auditor propojí IAM, MFA, PAM, události nástupů, změn rolí a odchodů, osobní údaje, správu cloudu a regulační očekávání, roztříštěné důkazy se rychle rozpadají.
Audity řízení přístupu podle ISO/IEC 27001:2022 nejsou pouze technickým přezkumem konfigurace. Jsou testem systému řízení. Ověřují, zda jsou rizika identit a přístupů pochopena, ošetřena, implementována, monitorována a zlepšována. Pokud jsou relevantní také NIS2, DORA a GDPR, musí stejné důkazy prokazovat řízení přístupu na základě rizik, silnou autentizaci, dohledatelná schválení, včasné odebrání přístupu, omezení oprávnění, ochranu osobních údajů a odpovědnost vedení.
Praktickou odpovědí není větší šanon. Je jí jednotný model důkazů pro řízení přístupu, který začíná rozsahem ISMS a riziky, prochází politikami a návrhem opatření, promítá se do nástrojů IAM a PAM a je jednoznačně namapován na ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST a COBIT.
Proč je řízení přístupu regulačním pilířem
Řízení přístupu se stalo tématem pro vedení i regulátory, protože kompromitace identity je dnes běžnou cestou k provoznímu narušení, porušení zabezpečení dat, podvodům a expozici dodavatelského řetězce.
Podle NIS2 zahrnují Articles 2 a 3, ve spojení s Annex I a Annex II, do rozsahu mnoho středních a větších subjektů v uvedených odvětvích jako základní nebo důležité subjekty. Patří sem digitální infrastruktura a poskytovatelé správy ICT služeb, jako jsou poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, poskytovatelé řízených služeb a poskytovatelé řízených bezpečnostních služeb. Členské státy měly povinnost transponovat NIS2 do října 2024 a od října 2024 uplatňovat vnitrostátní opatření, přičemž seznamy subjektů měly být připraveny v dubnu 2025. Article 20 činí řídicí orgány odpovědnými za schvalování opatření k řízení rizik kybernetické bezpečnosti a dohled nad jejich implementací. Article 21 vyžaduje technická, provozní a organizační opatření, včetně politik řízení přístupu, správy aktiv, kybernetické hygieny, zvládání incidentů, kontinuity činností, zabezpečení dodavatelského řetězce a MFA nebo průběžné autentizace tam, kde je to vhodné.
DORA doplňuje pro finanční subjekty a relevantní poskytovatele ICT služeb třetích stran odvětvovou vrstvu provozní odolnosti. Articles 1, 2 a 64 stanoví DORA jako jednotný rámec použitelný od 17. ledna 2025. Articles 5 a 6 vyžadují správu a řízení a dokumentovaný rámec řízení rizik v oblasti ICT. Article 9 se zabývá ochranou a prevencí, včetně politik, postupů, protokolů a nástrojů bezpečnosti ICT. Articles 24 až 30 doplňují testování digitální provozní odolnosti a řízení rizik třetích stran v oblasti ICT. Pro finanční subjekty se důkazy řízení přístupu stávají důkazy odolnosti, nikoli jen důkazy správy IT.
GDPR přináší pohled osobních údajů. Articles 2 a 3 vymezují širokou použitelnost pro zpracování v EU a dosah na trh EU. Article 5 vyžaduje integritu, důvěrnost a prokazatelnou odpovědnost. Article 25 vyžaduje ochranu osobních údajů již od návrhu a ve výchozím nastavení. Article 32 vyžaduje vhodná technická a organizační opatření. V praxi to znamená řízený přístup, bezpečnou autentizaci, protokolování, přezkum a včasné odebrání přístupu u systémů zpracovávajících osobní údaje.
ISO/IEC 27001:2022 poskytuje organizacím řídicí rámec pro sjednocení těchto povinností. Kapitoly 4.1 až 4.3 vyžadují, aby organizace porozuměla kontextu, zainteresovaným stranám, právním a smluvním požadavkům, rozhraním, závislostem a rozsahu ISMS. Kapitoly 6.1.1 až 6.1.3 vyžadují posouzení rizik bezpečnosti informací, ošetření rizik, porovnání s Annex A, Prohlášení o použitelnosti a schválení plánů ošetření rizik a zbytkového rizika. Kapitola 8.1 vyžaduje operativní řízení, dokumentované informace prokazující, že procesy proběhly podle plánu, řízení změn a kontrolu externě zajišťovaných procesů.
Auditní otázka proto nezní „Máte MFA?“ Zní: „Dokážete u identit a systémů v rozsahu prokázat, že riziko přístupu je řízeno, ošetřeno, implementováno, monitorováno a zlepšováno?“
Vytvořte páteř důkazů od rozsahu ISMS po důkazy IAM
Clarysec zahajuje přípravu auditu řízení přístupu tím, že zajistí dohledatelnost důkazů od obchodního kontextu. ISO/IEC 27001:2022 očekává, že ISMS bude integrován do procesů organizace a přizpůsoben jejím potřebám. Dodavatel SaaS s 30 zaměstnanci a nadnárodní banka nebudou mít stejnou architekturu přístupu, oba však potřebují souvislý řetězec důkazů.
| Vrstva důkazů | Co prokazuje | Typické zdrojové systémy | Hodnota pro soulad napříč předpisy |
|---|---|---|---|
| Rozsah ISMS a požadavky zainteresovaných stran | Které systémy, data, právní předpisy a závislosti na třetích stranách jsou v rozsahu | rozsah ISMS, registr souladu, inventář dat, registr dodavatelů | Podporuje ISO/IEC 27001:2022 kapitoly 4.2 a 4.3, vymezení rozsahu NIS2, mapování závislostí ICT podle DORA a odpovědnost podle GDPR |
| Posouzení rizik přístupu | Proč jsou IAM, MFA, PAM a přezkumy potřebné na základě rizik | registr rizik, scénáře hrozeb, plán ošetření rizik | Podporuje ISO/IEC 27001:2022 kapitolu 6.1, ISO/IEC 27005:2022, rámec rizik ICT podle DORA a rizikově orientovaná opatření NIS2 |
| Politiky a standardy | Co organizace vyžaduje | politika řízení přístupu, politika oprávnění, politika nástupu a ukončení | Převádí regulační očekávání do vymahatelných interních pravidel |
| Konfigurace IAM a PAM | Zda jsou opatření technicky implementována | IdP, HRIS, ITSM, PAM, cloudové IAM, administrátorské konzole SaaS | Prokazuje zásadu minimálních oprávnění, MFA, RBAC, schvalovací pracovní postupy a kontroly privilegovaných relací |
| Záznamy o přezkumu a monitorování | Zda přístup zůstává v čase přiměřený | kampaně přezkumu přístupových práv, SIEM, záznamy PAM, potvrzení manažerů | Prokazuje průběžný provoz opatření, monitorování podle DORA, kybernetickou hygienu podle NIS2 a minimalizaci podle GDPR |
| Záznamy o offboardingu a výjimkách | Zda je přístup odebrán a výjimky jsou řízeny | seznam ukončení z HR, logy deaktivace, registr výjimek | Prokazuje včasné odebrání přístupu, přijetí zbytkového rizika a prevenci porušení zabezpečení |
ISO/IEC 27005:2022 je užitečná, protože doporučuje konsolidovat právní, regulační, smluvní, odvětvové a interní požadavky do společného rizikového kontextu. Kapitoly 6.4 a 6.5 zdůrazňují riziková kritéria zohledňující cíle organizace, právní předpisy, dodavatelské vztahy a omezení. Kapitoly 7.1 a 7.2 umožňují scénáře založené na událostech i aktivech. Pro řízení přístupu to znamená posuzovat strategické scénáře, například „privilegovaný administrátor SaaS exportuje data zákazníků z EU“, vedle scénářů aktiv, například „osiřelý klíč AWS IAM připojený k produkčnímu úložišti“.
V dokumentu Clarysec Zenith Blueprint: 30krokový plán auditora se tato páteř důkazů buduje ve fázi Controls in Action. Krok 19 se zaměřuje na technická opatření pro ochranu koncových bodů a řízení přístupu, zatímco krok 22 formalizuje organizační životní cyklus přístupů.
Zenith Blueprint ukládá týmům ověřit, že zřizování přístupu a odebrání přístupových oprávnění jsou strukturované, pokud možno integrované s HR, podporované pracovními postupy žádostí o přístup a čtvrtletně přezkoumávané. Organizacím také ukládá dokumentovat typy identit, vynucovat opatření pro individuální, sdílené a servisní identity, uplatňovat silné politiky hesel a MFA, odstraňovat neaktivní účty a udržovat bezpečné uložení v trezoru nebo dokumentaci servisních přihlašovacích údajů.
Přesně tak auditoři testují řízení přístupu: vždy jedna identita, jeden systém, jedno schválení, jedno oprávnění, jeden přezkum a jedno odebrání přístupu.
Co shromáždit jako auditně připravené důkazy řízení přístupu
Balíček důkazů řízení přístupu musí auditorovi umožnit vybrat libovolného uživatele a projít celý životní cyklus: žádost, schválení, přiřazení, autentizaci, zvýšení oprávnění, monitorování, přezkum a odebrání přístupu.
Silný balíček důkazů zahrnuje:
- politiku řízení přístupu a politiku uživatelských účtů
- postup pro nástupy, změny rolí a odchody
- matici rolí nebo matici řízení přístupu
- seznam aplikací, platforem a datových úložišť v rozsahu
- konfiguraci MFA u poskytovatele identit
- politiky podmíněného přístupu a seznam výjimek
- inventář privilegovaných účtů
- důkazy pracovních postupů PAM, včetně schválení a logů relací
- výstup z nedávné kampaně přezkumu přístupových práv
- vzorová potvrzení manažerů a nápravná opatření
- report ukončení pracovního poměru z HR spárovaný s logy deaktivace
- inventář servisních účtů, vlastníky, záznamy rotace a důkazy uložení v trezoru
- postup pro účet nouzového přístupu „break-glass“ a log testu
- důkazy o incidentech nebo upozorněních týkajících se neúspěšných přihlášení, eskalace oprávnění nebo neaktivních účtů
- položky Prohlášení o použitelnosti pro opatření Annex A související s přístupem
Politiky Clarysec toto očekávání vyjadřují výslovně. V politice pro SME Politika řízení přístupu pro SME je požadavek jednoduchý a zaměřený na audit:
„Pro veškeré zřizování, změny a odebrání přístupu musí být veden bezpečný záznam.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení 6.1.1.
Stejná politika pro SME také přímo propojuje RBAC a MFA s odpovědnostmi rolí:
„Implementuje řízení přístupu na základě rolí (RBAC) a vynucuje silnou autentizaci (např. vícefaktorovou autentizaci (MFA)).“
Ze sekce „Role a odpovědnosti“, ustanovení 4.2.3.
U větších organizací vyžaduje podniková Politika nástupu a ukončení, aby systém IAM protokoloval vytvoření účtu, přiřazení rolí a oprávnění a události deaktivace, podporoval šablony přístupových oprávnění podle rolí a integroval se se systémy HR pro spouštění procesů nástupu, změny role a odchodu. Toto ustanovení pomáhá vyprávět auditní příběh na jednom místě: standardizovaný onboarding, životní cyklus identity spouštěný HR a dohledatelné události IAM.
Namapujte IAM, MFA, PAM a přezkumy na opatření ISO/IEC 27001:2022
Clarysec v Zenith Controls: Průvodce souladem napříč předpisy pojímá řízení přístupu jako propojenou rodinu opatření, nikoli jako položku kontrolního seznamu. Pro ISO/IEC 27001:2022 patří mezi nejrelevantnější opatření:
- Opatření 5.15, řízení přístupu
- Opatření 5.16, správa identit
- Opatření 5.17, autentizační informace
- Opatření 5.18, přístupová práva
- Opatření 8.2, privilegovaná přístupová práva
- Opatření 8.3, omezení přístupu k informacím
- Opatření 8.5, bezpečná autentizace
- Opatření 8.15, protokolování
- Opatření 8.16, monitorovací činnosti
U autentizačních informací mapuje Zenith Controls opatření 5.17 jako preventivní kontrolu podporující důvěrnost, integritu a dostupnost, s provozní schopností řízení identit a přístupů. Přímo ji propojuje se správou identit, bezpečnou autentizací, rolemi a odpovědnostmi, přípustným užíváním a souladem s politikami. Zabezpečení přihlašovacích údajů zahrnuje životní cyklus autentizátorů, bezpečné vydávání, ukládání, reset, revokaci, autentizační tokeny MFA, soukromé klíče a servisní přihlašovací údaje.
U přístupových práv mapuje Zenith Controls opatření 5.18 na formální udělení, přezkum, změnu a revokaci. Propojuje je s řízením přístupu, správou identit, oddělením povinností, privilegovanými přístupovými právy a monitorováním souladu. Toto opatření převádí zásadu minimálních oprávnění do důkazů.
U privilegovaných přístupových práv mapuje Zenith Controls opatření 8.2 na zvláštní riziko zvýšených účtů, včetně doménových administrátorů, uživatelů root, administrátorů cloudových tenantů, databázových superuživatelů a řadičů CI/CD. Průvodce propojuje privilegovaný přístup se správou identit, přístupovými právy, omezením přístupu k informacím, bezpečnou autentizací, prací na dálku, protokolováním a monitorováním.
| Auditní téma | Důkazy přístupu podle ISO/IEC 27001:2022 | Mapování na NIS2 | Mapování na DORA | Mapování na GDPR |
|---|---|---|---|---|
| Životní cyklus IAM | pracovní postup pro nástupy, změny rolí a odchody, žádosti o přístup, schválení, šablony rolí, logy deaktivace | Article 21 opatření řízení rizik, politiky řízení přístupu a správa aktiv | Articles 5, 6 a 9 správa a řízení, rámec rizik ICT, logická bezpečnost a řízení přístupu | Articles 5, 25 a 32 odpovědnost, minimalizace a bezpečnost |
| MFA | politika IdP, snímky obrazovek podmíněného přístupu, statistiky registrace MFA, schválení výjimek | Article 21(2)(j) MFA nebo průběžná autentizace tam, kde je to vhodné | bezpečný přístup ke kritickým ICT systémům a opatření rizik ICT | vhodná technická opatření proti neoprávněnému přístupu |
| PAM | inventář privilegovaných účtů, schválení, just-in-time zvýšení oprávnění, logy relací, rotace tajných údajů v trezoru | Article 21(2)(i) řízení přístupu na základě rizik a správa aktiv | ochrana ICT systémů, provozní odolnost a monitorování | omezení a audit zvýšeného přístupu k osobním údajům |
| Přezkum přístupových práv | čtvrtletní nebo pololetní záznamy o přezkumu, potvrzení manažerů, tikety nápravných opatření | kybernetická hygiena, politiky řízení přístupu a správa aktiv | průběžné monitorování, přístup na základě rolí a revokace | ochrana údajů ve výchozím nastavení a prokazatelná odpovědnost |
| Offboarding | seznam ukončení z HR, důkaz uzamčení nebo smazání účtu, revokace tokenů | včasné odebrání nepotřebného přístupu | kontrola přístupu k ICT po celý životní cyklus | prevence neoprávněného přístupu k osobním údajům |
Jeden dobře navržený report přezkumu přístupových práv může podpořit ISO/IEC 27001:2022, NIS2, DORA i GDPR, pokud obsahuje rozsah, vlastníka systému, přezkoumávající osobu, seznam účtů, odůvodnění role, příznak privilegovaného přístupu, rozhodnutí, odebrání, výjimky a datum dokončení.
Důkazy MFA jsou víc než snímek obrazovky
Častou auditní chybou je předložení snímku obrazovky s textem „MFA zapnuto“. Auditoři potřebují víc. Potřebují vědět, kde se MFA uplatňuje, kdo je vyloučen, jak se schvalují výjimky, zda jsou pokryty privilegované účty a zda technická konfigurace odpovídá politice.
Podle Zenith Blueprint, fáze Controls in Action, krok 19, se auditoři budou ptát, jak jsou vynucovány politiky hesel a MFA, které systémy jsou chráněny, na koho se MFA vztahuje a zda lze kritické aplikace otestovat vzorovým účtem. Důkazy mohou zahrnovat konfiguraci IdP, politiky podmíněného přístupu, statistiky registrace MFA a postupy resetu hesla.
Pro podniková prostředí stanoví Politika správy uživatelských účtů a oprávnění společnosti Clarysec:
„Tam, kde je to technicky proveditelné, je vícefaktorová autentizace (MFA) povinná pro: 6.3.2.1 Administrátorské účty a účty na úrovni root 6.3.2.2 Vzdálený přístup (VPN, cloudové platformy) 6.3.2.3 Přístup k citlivým nebo regulovaným datům“
Ze sekce „Požadavky na implementaci politiky“, ustanovení 6.3.2.
Tím vzniká přímý auditní můstek. Pokud je MFA povinná pro administrátorské účty, vzdálený přístup a regulovaná data, balíček důkazů má obsahovat seznamy administrátorských účtů a účtů na úrovni root, konfiguraci vzdáleného přístupu, politiky podmíněného přístupu cloudových platforem, seznamy aplikací s citlivými daty, reporty registrace MFA, schválení výjimek, kompenzační opatření a aktuální důkazy o přezkumu upozornění na neúspěšná přihlášení nebo pokusy o obejití MFA.
Pro NIST SP 800-53 Rev. 5 je to v souladu s IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access a AU-2 Event Logging. Pro COBIT 2019 to podporuje DSS05.04 Manage user identity and logical access a související postupy monitorování bezpečnosti.
Podpůrné normy ISO rozšiřují pohled. ISO/IEC 27018:2020 rozšiřuje očekávání autentizace pro veřejný cloud zpracovávající osobní údaje. ISO/IEC 24760-1:2019 podporuje vazbu autentizátoru a řízení jeho životního cyklu. ISO/IEC 29115:2013 zavádí úrovně záruky autentizace, užitečné při rozhodování, kde jsou nezbytné hardwarové tokeny nebo MFA odolná vůči phishingu. ISO/IEC 27033-1:2015 podporuje silnou síťovou autentizaci pro vzdálený přístup nebo přístup mezi sítěmi.
Důkazy PAM jsou nejrychlejší cestou k závažnému zjištění nebo čistému auditu
Privilegovaný přístup je oblast, kde jsou auditoři skeptičtí, protože privilegované účty mohou obcházet opatření, extrahovat data, vytvářet perzistenci a měnit logy. V Zenith Blueprint, krok 19, se uvádí:
„V každém informačním systému je privilegovaný přístup moc a s touto mocí přichází riziko.“
Pokyny se zaměřují na to, kdo má privilegovaný přístup, co tento přístup umožňuje, jak je řízen a jak je v čase monitorován. Doporučují aktuální inventář, zásadu minimálních oprávnění, RBAC, časově založené nebo just-in-time zvýšení oprávnění, schvalovací pracovní postupy, jedinečné pojmenované účty, vyhýbání se sdíleným účtům, protokolování nouzového přístupu „break-glass“, systémy PAM, rotaci přihlašovacích údajů, ukládání do trezoru, záznam relací, dočasné zvýšení oprávnění, monitorování a pravidelný přezkum.
Podniková Politika řízení přístupu společnosti Clarysec z toho činí požadavek opatření:
„Administrátorský přístup musí být přísně řízen prostřednictvím: 5.4.1.1 Samostatných privilegovaných účtů 5.4.1.2 Monitorování a zaznamenávání relací 5.4.1.3 Vícefaktorové autentizace 5.4.1.4 Časově omezeného zvýšení oprávnění nebo zvýšení oprávnění spuštěného pracovním postupem“
Ze sekce „Požadavky na správu a řízení“, ustanovení 5.4.1.
Tato citace je téměř auditním testovacím scénářem. Pokud politika vyžaduje samostatné administrátorské účty, ukažte seznam privilegovaných účtů a prokažte, že každý odpovídá konkrétní osobě. Pokud vyžaduje monitorování relací, ukažte zaznamenané relace nebo logy PAM. Pokud vyžaduje MFA, ukažte vynucování pro každou cestu privilegovaného přístupu. Pokud vyžaduje časově omezené zvýšení oprávnění, ukažte časová razítka expirace a schvalovací tikety.
Verze pro SME je stejně přímá. Politika správy uživatelských účtů a oprávnění pro SME stanoví:
„Zvýšená nebo administrátorská oprávnění vyžadují dodatečné schválení generálním ředitelem nebo vedoucím IT a musí být dokumentována, časově omezena a podléhat pravidelnému přezkumu.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení 6.2.2.
U menších organizací jde často o rozdíl mezi „svému administrátorovi důvěřujeme“ a „privilegované riziko řídíme“. Auditor nevyžaduje podnikový nástroj v každém SME, vyžaduje však důkazy přiměřené riziku. Tiket, schválení, dočasné přiřazení do skupiny, vynucení MFA a záznam o přezkumu mohou při omezeném rozsahu a nižším riziku stačit.
Přezkum přístupových práv prokazuje, že zásada minimálních oprávnění funguje
Přezkum přístupových práv ukazuje, zda se oprávnění tiše nehromadí. Ukazuje také, zda manažeři rozumějí přístupům, které jejich týmy skutečně mají.
Podniková Politika správy uživatelských účtů a oprávnění vyžaduje:
„Čtvrtletní přezkumy všech uživatelských účtů a souvisejících oprávnění musí provádět IT bezpečnost ve spolupráci s vedoucími oddělení.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení 6.5.1.
Pro SME stanoví Politika správy uživatelských účtů a oprávnění pro SME přiměřenou periodicitu:
„Přezkum všech uživatelských účtů a oprávnění musí být proveden každých šest měsíců.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení 6.4.1.
Důvěryhodný přezkum přístupových práv obsahuje název systému, rozsah, jméno přezkoumávající osoby, datum exportu, datum přezkumu, vlastníka identity, oddělení, manažera, pracovní stav, roli nebo oprávnění, příznak privilegovaného přístupu, příznak citlivosti dat, rozhodnutí, tiket nápravy, datum uzavření, vlastníka výjimky a datum expirace výjimky.
V Zenith Controls je opatření přístupová práva 5.18 místem, kde se z toho stávají důkazy souladu napříč předpisy. Průvodce mapuje přístupová práva na GDPR Article 25, protože přístup má být omezen již od návrhu a ve výchozím nastavení. Mapuje je na NIS2 Article 21(2)(i), protože politiky řízení přístupu a správa aktiv vyžadují přiřazování na základě rizik, včasné odebrání nepotřebného přístupu a formální revokaci. Mapuje je na DORA, protože finanční ICT systémy potřebují přístup na základě rolí, monitorování a procesy revokace.
Auditoři orientovaní na NIST to často testují prostřednictvím AC-2 Account Management, AC-5 Separation of Duties a AC-6 Least Privilege. Auditoři COBIT 2019 se zaměřují na DSS05.04 Manage user identity and logical access a DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. Auditoři ISACA ITAF se soustředí na to, zda jsou důkazy dostatečné, spolehlivé a úplné.
Offboarding a revokace tokenů se snadno vzorkují
Odcházející zaměstnanci jsou jedním z nejjednodušších míst, kde lze prokázat, zda životní cyklus funguje. Auditoři často vyberou nedávno ukončeného zaměstnance a požádají o záznam ukončení z HR, tiket, log deaktivace účtu, důkaz deaktivace v SaaS, odebrání VPN, revokaci MFA, odebrání API tokenu a vrácení aktiva.
V Politice nástupu a ukončení pro SME Clarysec stanoví:
„Ukončené účty musí být uzamčeny nebo smazány a související přístupové tokeny musí být revokovány, včetně vzdáleného přístupu (VPN), vazeb aplikace MFA a API tokenů.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení 6.3.3.
Je to důležité, protože moderní přístup není jen uživatelské jméno a heslo. Přístup může přetrvávat prostřednictvím obnovovacích tokenů, API klíčů, SSH klíčů, grantů OAuth, servisních účtů, místních administrátorských práv, mobilních relací a portálů třetích stran. Deaktivovaný záznam v HR bez revokace tokenů je neúplným důkazem.
Zenith Blueprint, fáze Controls in Action, krok 16, ukládá organizacím být připraveny s dokumentovaným kontrolním seznamem pro ukončení, důkazy od nedávno odcházejícího pracovníka, logem deaktivace uživatelského účtu z AD nebo MDM, podepsaným formulářem o vrácení aktiv a dokumentací offboardingu, která zahrnuje povinnosti zachování důvěrnosti.
Mariin auditor požádal o odcházejícího seniorního vývojáře, který měl privilegovaný přístup k produkčním databázím. Její tým předložil Politiku nástupu a ukončení pro SME, kontrolní seznam pro ukončení vytvořený podle kroku 16 Zenith Blueprint, tiket ITSM spuštěný HR, log deaktivace v adresáři, revokaci VPN certifikátu, odebrání z organizace GitHub, smazání klíče AWS IAM a uzavřený ověřovací tiket podepsaný IT manažerem. Důkazy byly úplné, včasné a přímo navázané na politiku.
Proveďte sprint se třemi vzorky důkazů dříve než auditor
Praktickým cvičením připravenosti je vybrat před auditem tři vzorky:
- nového zaměstnance, který nastoupil v posledních 90 dnech
- privilegovaného uživatele s administrátorským přístupem do cloudu, databáze, produkčního prostředí nebo IAM
- odcházejícího zaměstnance nebo zaměstnance se změnou role z posledních 90 dnů
| Vzorek | Důkazy ke shromáždění | Podmínka splnění | Časté zjištění |
|---|---|---|---|
| Nový zaměstnanec | záznam zahájení v HR, žádost o přístup, schválení, přiřazení role, registrace MFA, první přihlášení | Přístup byl udělen až po schválení a odpovídá roli | Přístup udělen před schválením nebo příliš široká role |
| Privilegovaný uživatel | obchodní odůvodnění, samostatný administrátorský účet, důkaz MFA, schválení PAM, log relace, čtvrtletní přezkum | Oprávnění je přiřazeno konkrétní osobě, odůvodněno, pokud možno časově omezeno, monitorováno a přezkoumáno | Sdílený administrátorský účet, chybějící MFA, žádný důkaz o relaci |
| Odcházející nebo přesunutý zaměstnanec | událost HR, tiket ukončení nebo změny role, logy deaktivace, odebrání VPN, revokace MFA nebo API tokenu, uzavření přezkumu | Přístup byl odebrán včas a úplně | Účet SaaS je stále aktivní, API token nebyl revokován, staré členství ve skupině zůstalo zachováno |
Poté propojte každý vzorek se záznamy ISMS: rizikový scénář, rozhodnutí o ošetření rizika, výběr opatření v Prohlášení o použitelnosti, ustanovení politiky, technickou konfiguraci, záznam o přezkumu a případné nápravné opatření, pokud existuje mezera.
Tím se příprava na audit mění ze sběru dokumentů na ověřování opatření.
Připravte se na různé auditní optiky
Různé auditní zkušenosti vedou k různým otázkám, i když jsou důkazy stejné.
| Optika auditora | Primární zaměření | Očekávané důkazy |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | proces ISMS, ošetření rizik a provoz opatření | posouzení rizik, SoA, schválené politiky, žádosti o přístup, záznamy o přezkumu, logy deaktivace |
| Auditní praxe ISO/IEC 19011:2018 | vzorkování, potvrzení z více zdrojů a konzistence | nastavení hesel, prahové hodnoty zablokování, časová razítka schválení, záznamy provedení, rozhovory |
| Auditor ISMS podle ISO/IEC 27007:2020 | průběh auditu ISMS a účinnost | definice rolí porovnané se skutečnými oprávněními, stopy schválení privilegovaných přístupů, logy odebrání přístupu |
| Hodnotitel zaměřený na NIST | technická implementace a testování opatření | důkazy AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 a AU-2 z nástrojů IAM, PAM a SIEM |
| Auditor COBIT 2019 nebo ISACA | správa a řízení, vlastnictví a spolehlivost důkazů | procesní důkazy DSS05.04 a DSS06.03, metriky, výjimky, sledování nápravy |
| Přezkoumávající podle DORA | riziko ICT, odolnost a kritičnost | seznamy přístupů ke kritickým systémům, monitorování privilegovaných přístupů, kontroly administrátorů třetích stran, vazby na testování odolnosti |
| Přezkoumávající podle NIS2 | odpovědnost vedení a riziková opatření | dohled řídicího orgánu, opatření řízení přístupu podle Article 21, pokrytí MFA, připravenost na incidenty |
| Přezkoumávající podle GDPR | důvěrnost osobních údajů a odpovědnost | omezení přístupu k osobním údajům, důkazy ochrany soukromí ve výchozím nastavení podle Article 25, bezpečnostní opatření podle Article 32 |
Příprava důkazů, které obstojí ve všech těchto perspektivách, prokazuje vyspělý program souladu a snižuje duplicitní práci.
Častá zjištění a preventivní opatření
Zjištění v oblasti řízení přístupu jsou předvídatelná. Preventivní opatření také.
| Zjištění | Proč je důležité | Prevence |
|---|---|---|
| Přezkumy přístupových práv existují, ale privilegované účty jsou vyloučeny | Administrátorská práva vytvářejí riziko s nejvyšším dopadem | Zahrňte příznak privilegovaného přístupu, záznamy PAM a administrátorské skupiny do každého přezkumu |
| MFA je zapnuta pro zaměstnance, ale ne pro service desk, dodavatele nebo cloudové administrátory | Útočníci cílí na výjimky | Udržujte report pokrytí MFA a registr výjimek s daty expirace |
| Proces nástupu je dokumentován, ale změny rolí nejsou řízeny | Po změnách rolí se kumulují nadměrná oprávnění | Spusťte přezkum přístupových práv při každé změně oddělení nebo role |
| Sdílené administrátorské účty existují bez kompenzačních opatření | Odpovědnost je slabá | Nahraďte je pojmenovanými administrátorskými účty nebo vynuťte vyzvednutí z trezoru a protokolování relací |
| Odcházející zaměstnanci jsou deaktivováni v adresáři, ale aktivní v platformách SaaS | Přístup přetrvává mimo hlavního IdP | Udržujte inventář aplikací a kontrolní seznam offboardingu pro každý systém |
| Hesla servisních účtů nejsou známa nebo se nikdy nerotují | Nelidské identity se stávají skrytými zadními vrátky | Přiřaďte vlastníky, ukládejte tajné údaje do trezoru, rotujte přihlašovací údaje a přezkoumávejte logy používání |
| Politika říká čtvrtletní přezkum, ale důkazy ukazují roční přezkum | Politika a praxe se rozcházejí | Upravte periodicitu podle rizika nebo vynuťte dokumentovaný požadavek |
| Schválení přístupů jsou v e-mailu bez pravidla uchovávání | Auditní stopa je křehká | Používejte pracovní postupy ITSM a uchovávání sladěné s politikou |
Podniková Politika řízení přístupu doplňuje požadavek na uchovávání, který předchází jednomu z nejčastějších selhání důkazů:
„Rozhodnutí o schválení musí být protokolována a uchovávána pro účely auditu po dobu nejméně 2 let.“
Ze sekce „Požadavky na správu a řízení“, ustanovení 5.3.2.
Pokud schválení zmizí po vyčištění e-mailu, opatření mohlo fungovat, ale audit se o něj nemůže opřít. Uchovávání je součástí návrhu opatření.
Odpovědnost vedení vyžaduje metriky přístupu
NIS2 Article 20 a DORA Articles 5 a 6 činí řízení přístupu tématem vedení, protože kompromitace identity se může změnit v provozní narušení, regulační oznámení, porušení zabezpečení dat a újmu zákazníků. ISO/IEC 27001:2022 kapitoly 5.1 až 5.3 také vyžadují, aby vrcholové vedení sladilo ISMS s obchodní strategií, poskytovalo zdroje, komunikovalo význam, přidělovalo odpovědnosti a podporovalo neustálé zlepšování.
Užitečné metriky řízení přístupu zahrnují:
- procento kritických systémů pokrytých SSO
- procento privilegovaných účtů s MFA
- počet trvale privilegovaných účtů oproti účtům JIT
- míru dokončení přezkumu přístupových práv
- počet odebraných nadměrných oprávnění
- dodržení SLA pro deaktivaci odcházejících pracovníků
- počet neaktivních účtů
- pokrytí vlastníky servisních účtů
- pokrytí záznamem relací PAM
- počet a stáří výjimek MFA
Tyto metriky pomáhají vedení schvalovat ošetření rizik a prokazovat dohled. Zvyšují také důvěryhodnost auditů, protože organizace dokáže ukázat, že řízení přístupu je monitorováno jako živé riziko, nikoli znovu objevováno před každým auditem.
Proměňte roztříštěné důkazy v auditní jistotu
Pokud jsou důkazy řízení přístupu podle ISO/IEC 27001:2022 roztříštěné mezi HR, ITSM, IAM, PAM, cloudové konzole a tabulky, dalším krokem není další přepis politiky. Dalším krokem je architektura důkazů.
Začněte tímto postupem:
- Vymezte systémy, identity a data v rozsahu.
- Namapujte požadavky NIS2, DORA, GDPR a smluvní požadavky do kontextu ISMS.
- Použijte rizikové scénáře ve stylu ISO/IEC 27005:2022 k prioritizaci IAM, MFA, PAM a přezkumů přístupových práv.
- Aktualizujte Prohlášení o použitelnosti a plán ošetření rizik.
- Slaďte ustanovení politik s reálnými pracovními postupy IAM a PAM.
- Proveďte sprint se třemi vzorky důkazů.
- Odstraňte mezery dříve, než je najde auditor.
- Udržujte opakovaně použitelný balíček důkazů pro certifikaci, náležitou péči zákazníků a regulační přezkumy.
Clarysec vám s tím může pomoci prostřednictvím Zenith Blueprint: 30krokového plánu auditora, křížovým mapováním požadavků pomocí Zenith Controls: Průvodce souladem napříč předpisy a zavedením požadavků do provozu pomocí vhodné sady politik Clarysec, včetně Politiky řízení přístupu, Politiky správy uživatelských účtů a oprávnění a Politiky nástupu a ukončení.
Připravenost důkazů řízení přístupu na audit nespočívá v prokázání, že jste koupili nástroj IAM. Spočívá v prokázání, že procesy identity, autentizace, oprávnění a přezkumu snižují skutečné obchodní riziko a splňují normy a právní předpisy, které jsou pro vaši organizaci relevantní.
Stáhněte si nástroje Clarysec, proveďte sprint se třemi vzorky důkazů a proměňte důkazy řízení přístupu z roztříštěné změti v jasné, opakovatelné a obhajitelné auditní portfolio.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council