ISO 27001 og kryptografiske undtagelser: revisionsbevis og CER-vejledning

Den revisionssamtale, David frygtede mest, kom tre uger tidligere end forventet. InnovatePay havde netop opkøbt en mindre virksomhed, QuickAcquire. Handlen var en strategisk gevinst, men dybt i teknologistakken lå et ældre dataoverførselsmodul, som anvendte et kryptografisk bibliotek, der ikke levede op til InnovatePays godkendte standarder. Udskiftningen var et projekt på seks måneder. Den eksterne revisor ville komme i næste uge.

I Davids hoved stod scenen smerteligt klart. Revisoren, rolig og metodisk, ville finde afvigelsen og stille det ene spørgsmål, der forvandler vi ved, at det er risikabelt til en afvigelse: vis mig bevismaterialet for den kryptografiske undtagelse, og hvordan I besluttede, at den var acceptabel.

I det øjeblik er hensigt uden betydning; kontrol er afgørende. Uden en dokumenteret undtagelsesproces, ledelsens risikoaccept, kompenserende kontroller, logfiler for nøglestyring og en tidsbegrænset afhjælpningsplan vil en revisor sandsynligvis behandle forholdet som et kontrolsvigt eller svag ISMS-styring. Denne flagskibsguide viser, hvordan situationen kan omsættes til dokumentation for modenhed ved brug af Clarysecs værktøjssæt og politikker, ISO/IEC 27001:2022-kontrol A.8.24 Brug af kryptografi samt et tværgående compliance-perspektiv, der omfatter NIS2, DORA, GDPR, NIST og COBIT 2019.

Hvorfor kryptografiske undtagelser er uundgåelige, og hvordan revisorer vurderer dem

Kryptografiske undtagelser opstår af forudsigelige årsager. I Clarysec-opgaver ser vi gentagne mønstre:

• Begrænsninger i ældre teknologi, f.eks. ikke-understøttede algoritmer, cipher suites eller nøglelængder.
• Leverandørlåsning og certificeringsforsinkelser, der blokerer rettidige opgraderinger til godkendt kryptografi.
• Driftsmæssige realiteter i hændelseshåndtering eller digital efterforskning, som kræver midlertidige afvigelser for at indsamle bevismateriale eller opretholde servicekontinuitet.
• Migreringsperioder, hvor overgangsvis interoperabilitet kræver svagere indstillinger i en begrænset periode.
• Partner- eller kundebegrænsninger, der forhindrer jeres foretrukne baseline.

Revisorer for ISO/IEC 27001:2022 kræver ikke perfektion; de kræver kontrol. De vurderer, om kryptering er passende og konsekvent, om nøglestyring er styret og logget, og om I aktivt identificerer og håndterer forældede algoritmer i jeres miljø. Første skridt er at tilpasse jeres håndtering af undtagelser til det, revisorer forventer at se.

Forankr undtagelsen i politik og risikostyring

Et modent ISMS behandler undtagelser som risikobehandlingsbeslutninger, ikke som teknisk gæld. Den formelle mekanisme er en anmodning om kryptografisk undtagelse (CER), og den politikklausul, der kræver den, er skillelinjen mellem en styret undtagelse og en revisionskonstatering.

Clarysecs enterprise-Politik for kryptografiske kontroller kræver: Brug af ikke-standardiserede kryptografiske algoritmer eller midlertidig afvigelse fra godkendt livscykluspraksis kræver en dokumenteret anmodning om kryptografisk undtagelse (CER). Politikfamilien kobler direkte til risikobehandling. Den tilhørende Politik for risikostyring understøtter vurdering af risici ved kryptografiske kontroller og dokumenterer risikobehandlingsstrategien for undtagelser, algoritmeforældelse eller scenarier med kompromittering af nøgler.

Når kravet findes i politikken, skal enhver undtagelse kunne spores til en CER med ledelsens risikoaccept, en tilknyttet post i risikoregisteret, kompenserende kontroller og en udfasningsplan. Introducér disse artefakter, før nogen spørger, ved først at føre revisoren gennem jeres styring og derefter ind i den tekniske tilstand med den interview- og stikprøvemetode, der er beskrevet i Zenith Blueprint.

Udarbejd CER’en som en revisionsklar kontrolregistrering

Kommentarer i tickets er ikke undtagelsesregistreringer. En CER skal være struktureret, versionsstyret og kunne udtages til stikprøve som enhver anden kontrol. Uanset om den implementeres i et GRC-værktøj eller i en kontrolleret skabelon, omfatter en stærk CER:

• Undtagelsesresumé, hvad der ikke overholder kravene, og hvor.
• Omfang, datatyper og om undtagelsen påvirker data i hvile, data under overførsel eller begge dele.
• Forretningsmæssig begrundelse, hvorfor forholdet hænger sammen med tjeneste- eller forretningsmæssige begrænsninger.
• Vurdering af sikkerhedsmæssig påvirkning, realistiske trusselscenarier som nedgraderingsrisiko, MITM, svag hashing og kompromittering af nøgler.
• Kompenserende kontroller, f.eks. segmentering, klientcertifikater, kort sessionslevetid, WAF-regler, ekstra autentifikation og udvidet overvågning.
• Risikovurdering før og efter kompenserende kontroller, afstemt med jeres risikomatrix.
• Ejer, en ansvarlig risikoejer i forretningen.
• Godkendelser, sikkerhed, systemejer og ledelsens risikoaccept.
• Udløbsdato og gennemgangsfrekvens, ingen åbne undtagelser uden slutdato.
• Udfasningsplan, køreplan, afhængigheder, milepæle og forfaldsdatoer.
• Henvisninger til bevismateriale, links til konfigurationer, logfiler, testresultater, leverandørerklæringer og ændringsgodkendelser.

I Davids tilfælde gik QuickAcquire-undtagelsen fra at være en skjult forpligtelse til en beslutning, der kunne revideres, da han tog CER’en op på åbningsmødet, tilbød bevispakken og inviterede til stikprøvekontrol.

Den mindst mulige bevispakke for en kryptografisk undtagelse

Revisorer forventer, at I går videre end det tekniske øjebliksbillede. For undtagelser ønsker de både styringsmæssig og operationel dokumentation. En praktisk bevispakke omfatter:

1. Den udfyldte CER med godkendelser og udløbsdato.
2. Den tilknyttede risikovurdering og risikobehandlingsbeslutning.
3. Procedurer for nøglestyring for det berørte system med logfiler for nøglegenerering, distribution, rotation, adgang og destruktion.
4. Ændringsregistreringer for kryptografiske indstillinger og testbevismateriale, der viser, at ændringer blev valideret, eller at begrænsninger blev verificeret.
5. Bevismateriale for overvågning og detektion for kompenserende kontroller, herunder SIEM-regler og alarmtests.
6. Kommunikationsregistreringer, der viser, at berørte medarbejdere blev informeret og trænet i afvigelsen og forventningerne til overvågning.
7. En tidsbegrænset udfasningsplan med milepæle, datoer, budget hvor relevant og ejere.
8. Historik for gennemgang af politikken, som dokumenterer vedligeholdelse af kryptografisk baseline og livscyklusstyring af algoritmer.

Disse typer bevismateriale er tilpasset vejledningen i ISO/IEC 27002:2022 om kryptografi og ændringsstyring.

Brug Zenith Blueprint til at indsamle og præsentere bevismateriale

Metoden for bevismateriale i Zenith Blueprint er enkel og revisorvenlig: interview, gennemgå, observer og udtag stikprøver. Anvend den på undtagelser:

• Interview systemejeren og den informationssikkerhedsansvarlige. Hvorfor er undtagelsen nødvendig, hvad har ændret sig siden sidste gennemgang, og hvad er næste skridt i udfasningsplanen?
• Gennemgå CER’en, risikoregistreringen, politikklausulen og leverandør- eller partnerbegrænsningerne. Bekræft udløbs- og gennemgangsdatoer.
• Observer den tekniske tilstand, dvs. den præcise konfiguration og hvor undtagelsen håndhæves, og se hvor de kompenserende kontroller anvendes.
• Udtag stikprøver af flere undtagelser, typisk tre til fem, for at dokumentere ensartet struktur, godkendelser, gennemgange, logning og håndtering af udløb.

Praktisk eksempel: Gør en ældre TLS-undtagelse revisionssikker

Scenarie: En omsætningskritisk B2B-integration kræver en ældre TLS cipher suite, fordi partnerens endpoint ikke kan forhandle jeres godkendte indstillinger. Det er ikke en farbar løsning at afbryde forbindelsen.

Gør den revisionsklar i fire trin:

1. Opret CER’en, og knyt den til risiko. Angiv en udløbsfrist på 90 dage med gennemgang hver 30. dag, vedlæg partnerkorrespondance, og knyt den til en post i risikoregisteret, som ejes af forretningen.
2. Vælg kompenserende kontroller, der genererer bevismateriale. Begræns kilde-IP’er til partnerintervaller med ændringsregistreringer for firewall. Håndhæv gensidig TLS, hvis muligt, og opbevar registreringer for certifikatudstedelse. Øg overvågningen af handshake-anomalier, og opbevar SIEM-regeldefinitioner og alarmtests.
3. Dokumentér disciplin i nøglestyringen. Vis KMS-adgangslogfiler, RBAC-tildelinger, break-glass-registreringer og referater fra periodiske adgangsgennemgange. For mindre programmer er jeres baselinekrav udtrykkeligt angivet i Politik for kryptografiske kontroller for SMV’er: Al adgang til kryptografiske nøgler skal logges og opbevares til revisionsgennemgang med regelmæssige adgangsgennemgange.
4. Pak undtagelsen. Saml én bevismappe eller PDF, der omfatter CER’en, risikoregistreringen, konfigurationssnapshot fra gateway, firewall-ændringstickets, KMS-logfiler, SIEM-regel- og hændelseseksempler, testregistreringer og kommunikation til driften.

Kryptografisk agilitet: dokumentér, at undtagelser er midlertidige pr. design

ISO/IEC 27002:2022 fremmer kryptografisk agilitet, dvs. evnen til at opdatere algoritmer og suites uden at genopbygge hele systemer. Revisorer ser efter bevismateriale for agilitet, ikke løfter:

• Kadence for gennemgang af politikker, der opdaterer acceptable algoritmer og praksisser med versionsstyrede ændringslogfiler.
• Testregistreringer for kryptografiske opdateringer, der dokumenterer sikre udrulningsveje.
• Kommunikation, der informerer medarbejdere om kryptografiske ændringer og driftsmæssige påvirkninger.
• Backlogelementer med leverancefremdrift knyttet til undtagelsens udløbsdatoer.

Undtagelsesstyring møder digital efterforskning

Undtagelser kan komplicere undersøgelser, især når kryptering eller ikke-understøttede enheder blokerer indsamling af bevismateriale. Clarysecs Politik for indsamling af bevismateriale og digital efterforskning adresserer dette med eksplicitte overvejelser om bevismateriale, der kræves fra ikke-understøttede eller krypterede enheder. SMV-versionen, Politik for indsamling af bevismateriale og digital efterforskning for SMV’er, forudser praktiske fejlsituationer, f.eks. hvis bevismateriale ikke kan indsamles i henhold til politikken på grund af et systemnedbrud eller beskadigede medier.

Planlæg dette i jeres CER’er. Medtag potentiel efterforskningsmæssig påvirkning, deponér nødvendige nøgler, og fastlæg krav til nødadgang og logning.

Tværgående compliance-kortlægning: én undtagelse, mange perspektiver

I regulerede miljøer eller miljøer med flere rammeværker vil den samme undtagelse blive undersøgt gennem forskellige perspektiver. Brug guiden Zenith Controls til at holde bevispakken sammenhængende.

Hvordan forskellige revisorer vil undersøge forholdet, og hvordan I svarer

Selv i én enkelt revision varierer stilen. Forbered jer på hver stil, og styr fortællingen:

• ISO/IEC 27001:2022-revisoren vil spørge, hvor kryptografipolitikken findes, hvor undtagelsesprocessen er defineret, hvor ofte undtagelser gennemgås, og vil ønske at udtage stikprøver. Start med jeres CER’er og et kontrolleret register.
• Den NIST-orienterede revisor vil se efter baselines for cipher suites, beskyttelse mod nedgradering, procedurer for nøglegenerering og destruktion samt logfiler med alarmering. Medbring KMS-logfiler, SIEM-regler og valideringstests.
• COBIT- eller ISACA-revisoren vil fokusere på, hvem der ejer risikoen, hvem der accepterede den, hvad gennemgangskadencen er, og hvilke metrikker der viser nedbringelse af undtagelser. Medbring referater fra styregruppen og rapporter over undtagelsers alder.
• Den regulatorisk orienterede reviewansvarlige vil spørge, hvordan undtagelsen påvirker tilgængelighed og integritet for kritiske tjenester, og om risikoen for eksponering af personoplysninger er øget. Fremlæg artefakter for robusthedsplanlægning og en fast afhjælpningsplan.

Almindelige faldgruber, der skaber afvigelser

• Undtagelser uden udløbsdatoer, som fortolkes som ustyret risiko.
• Ingen ledelsesmæssig risikoaccept, hvor en ingeniør har godkendt i en ticket uden ansvarligt ejerskab.
• Kompenserende kontroller er beskrevet, men ikke dokumenteret, f.eks. påstande om overvågning uden SIEM-regler.
• Manglende eller utilgængelige logfiler for nøglestyring.
• Politikken siger én ting og praksis en anden, f.eks. at CER’er kræves, men ikke anvendes.

Tjekliste til revisionsdagen for kryptografiske undtagelser

• Et aktuelt register viser alle kryptografiske undtagelser med CER-ID’er, ejere, godkendelser, gennemgangsdatoer og udløbsdatoer.
• Hver undtagelse er knyttet til en risikoregistrering og en dokumenteret behandlingsbeslutning.
• Mindst to kompenserende kontroller pr. undtagelse med konkret bevismateriale.
• Nøgleadgang logges, logfiler opbevares, og adgangsgennemgange udføres.
• Historik for gennemgang af kryptopolitikken er tilgængelig med versionsstyrede ændringer.
• I kan udtage tre eller flere undtagelser til stikprøve og fortælle en sammenhængende historie.
• En køreplan viser reduktion af undtagelser over tid.

Leverandør- og partnerbegrænsninger

Mange undtagelser har deres oprindelse uden for jeres direkte kontrol. Partnere pålægger cipher suites, leverandører halter efter i deres køreplaner, eller opkøbte systemer medfører gæld. Behandl eksterne begrænsninger som en del af jeres styring, ikke som undskyldninger. Kræv leverandørerklæringer om kryptografiske køreplaner, medtag kontraktklausuler, der fastsætter kryptografiske baselines, og placér eksterne afhængigheder i jeres risikoregister.

Næste skridt: Opbyg jeres undtagelsesprogram i ét sprint

1. Kortlæg alle kryptografiske undtagelser, herunder skjulte undtagelser i edge-tjenester.
2. Opret eller eftermonter CER’er for hver undtagelse med godkendelser, udløbsdato og udfasningsplaner.
3. Knyt hver CER til en post i risikoregisteret med en ansvarlig ejer.
4. Saml en standardskabelon til bevispakker for undtagelser, og øv revisionsstikprøver.
5. Validér tværgående compliance-beredskab med Zenith Controls-guiden.

Gør bekymring for kryptografiske undtagelser til revisionssikkerhed. Book et arbejdsmøde med Clarysec. I én opgave implementerer vi en CER-arbejdsgang, et undtagelsesregister og en struktur for en bevispakke, der er klar til revisor. Resultatet er hurtigere revisioner, færre gentagne konstateringer og kryptografiske undtagelser, der dokumenterer styring frem for improvisation.