Οδηγός ελεγκτικών τεκμηρίων για τον έλεγχο πρόσβασης στο ISO 27001

Είναι 09:10 την ημέρα του ελέγχου. Η Μαρία, Επικεφαλής Ασφάλειας Πληροφοριών μιας ταχέως αναπτυσσόμενης FinTech και πλατφόρμας υπολογιστικού νέφους, έχει ανοικτή την πολιτική ελέγχου πρόσβασης. Ο επικεφαλής Πληροφορικής εξάγει τις ρυθμίσεις υπό όρους πρόσβασης από τον πάροχο ταυτότητας. Το Τμήμα Ανθρώπινου Δυναμικού αναζητά το αίτημα τερματισμού συνεργασίας για έναν οικονομικό αναλυτή που αποχώρησε πριν από έξι εβδομάδες. Ο εσωτερικός ελεγκτής σηκώνει το βλέμμα και θέτει την ερώτηση που όλοι περίμεναν:

«Δείξτε μου πώς ζητείται, εγκρίνεται, υλοποιείται, ανασκοπείται και αφαιρείται η πρόσβαση για έναν χρήστη με προνομιούχα πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.»

Αυτή η μία πρόταση μπορεί να αποκαλύψει αν ένα πρόγραμμα ελέγχου πρόσβασης είναι πραγματικά έτοιμο για έλεγχο ή απλώς διαθέτει έτοιμη πολιτική.

Η ομάδα της Μαρίας διέθετε ώριμο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, ετήσιο κύκλο επαναπιστοποίησης ISO/IEC 27001:2022, πολυπαραγοντική αυθεντικοποίηση σε λειτουργία, ελέγχους πρόσβασης βάσει ρόλων στα βασικά συστήματα και υπολογιστικά φύλλα τριμηνιαίων ανασκοπήσεων δικαιωμάτων πρόσβασης. Όμως ο συγκεκριμένος έλεγχος ήταν διαφορετικός. Ο κατάλογος αιτημάτων του ελεγκτή περιλάμβανε προετοιμασία για αναδυόμενες κανονιστικές απαιτήσεις. Για τον οργανισμό της Μαρίας, αυτό σήμαινε NIS2, DORA και GDPR, όλα εξεταζόμενα μέσα από την ίδια επιχειρησιακή οπτική: ταυτότητα, πρόσβαση, αυθεντικοποίηση, προνόμιο και τεκμήρια.

Το πρόβλημα που αντιμετωπίζουν πολλοί Επικεφαλής Ασφάλειας Πληροφοριών δεν είναι ότι ο έλεγχος πρόσβασης δεν υπάρχει. Το πρόβλημα είναι ότι τα τεκμήρια υπάρχουν αποσπασματικά. Οι εγκρίσεις ένταξης βρίσκονται στο Jira ή στο ServiceNow. Οι ρυθμίσεις MFA βρίσκονται στο Microsoft Entra ID, στο Okta ή σε άλλον πάροχο ταυτότητας. Τα δικαιώματα AWS, Azure και Google Cloud βρίσκονται σε ξεχωριστές κονσόλες. Οι προνομιούχες ενέργειες μπορεί να καταγράφονται σε εργαλείο PAM ή να μην καταγράφονται καθόλου. Η κατάσταση απασχόλησης βρίσκεται στο BambooHR, στο Workday ή σε υπολογιστικά φύλλα. Οι ανασκοπήσεις δικαιωμάτων πρόσβασης μπορεί να εγκρίνονται μέσω email.

Όταν ένας ελεγκτής συνδέει IAM, MFA, PAM, συμβάντα Joiner-Mover-Leaver, δεδομένα προσωπικού χαρακτήρα, διαχείριση υπολογιστικού νέφους και κανονιστικές προσδοκίες, τα αποσπασματικά τεκμήρια καταρρέουν γρήγορα.

Οι έλεγχοι πρόσβασης στο πλαίσιο του ISO/IEC 27001:2022 δεν είναι απλώς τεχνικές ανασκοπήσεις διαμόρφωσης. Είναι δοκιμές του συστήματος διαχείρισης. Εξετάζουν αν οι κίνδυνοι ταυτότητας και πρόσβασης έχουν κατανοηθεί, αντιμετωπιστεί, υλοποιηθεί, παρακολουθηθεί και βελτιωθεί. Όταν είναι επίσης συναφή τα NIS2, DORA και GDPR, τα ίδια τεκμήρια πρέπει να αποδεικνύουν διακυβέρνηση πρόσβασης βάσει κινδύνου, ισχυρή αυθεντικοποίηση, ιχνηλάσιμες εγκρίσεις, έγκαιρη ανάκληση, περιορισμό προνομίων, προστασία δεδομένων προσωπικού χαρακτήρα και λογοδοσία της διοίκησης.

Η πρακτική απάντηση δεν είναι ένας μεγαλύτερος φάκελος. Είναι ένα ενιαίο μοντέλο ελεγκτικών τεκμηρίων ελέγχου πρόσβασης που ξεκινά από το πεδίο εφαρμογής και τον κίνδυνο του ISMS, περνά από την πολιτική και τον σχεδιασμό ελέγχων, καταλήγει στα εργαλεία IAM και PAM και χαρτογραφείται με σαφήνεια σε ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST και COBIT.

Γιατί ο έλεγχος πρόσβασης είναι ο κανονιστικός ακρογωνιαίος λίθος

Ο έλεγχος πρόσβασης έχει καταστεί θέμα επιπέδου Διοικητικού Συμβουλίου και αντικείμενο εποπτικού ενδιαφέροντος, επειδή ο συμβιβασμός ταυτότητας αποτελεί πλέον συνηθισμένη διαδρομή προς επιχειρησιακή διατάραξη, παραβίαση δεδομένων, απάτη και έκθεση της εφοδιαστικής αλυσίδας.

Στο πλαίσιο του NIS2, τα Articles 2 και 3, σε συνδυασμό με το Annex I και το Annex II, εντάσσουν στο πεδίο εφαρμογής πολλές μεσαίες και μεγαλύτερες οντότητες σε αναφερόμενους τομείς ως βασικές ή σημαντικές οντότητες. Αυτό περιλαμβάνει παρόχους ψηφιακής υποδομής και διαχείρισης υπηρεσιών ΤΠΕ, όπως παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους υπηρεσιών κέντρων δεδομένων, παρόχους διαχειριζόμενων υπηρεσιών και παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας. Τα κράτη μέλη όφειλαν να μεταφέρουν το NIS2 στο εθνικό δίκαιο έως τον Οκτώβριο του 2024 και να εφαρμόσουν εθνικά μέτρα από τον Οκτώβριο του 2024, με τους καταλόγους οντοτήτων να αναμένονται τον Απρίλιο του 2025. Το Article 20 καθιστά τα διοικητικά όργανα υπεύθυνα για την έγκριση μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας και την εποπτεία της υλοποίησης. Το Article 21 απαιτεί τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων πολιτικών ελέγχου πρόσβασης, διαχείρισης περιουσιακών στοιχείων, κυβερνοϋγιεινής, χειρισμού περιστατικών, επιχειρησιακής συνέχειας, ασφάλειας εφοδιαστικής αλυσίδας και MFA ή συνεχούς αυθεντικοποίησης όπου ενδείκνυται.

Το DORA προσθέτει ένα ειδικό ανά τομέα επίπεδο λειτουργικής ανθεκτικότητας για χρηματοοικονομικές οντότητες και σχετικούς τρίτους παρόχους υπηρεσιών ΤΠΕ. Τα Articles 1, 2 και 64 θεσπίζουν το DORA ως ενιαίο πλαίσιο που εφαρμόζεται από τις 17 Ιανουαρίου 2025. Τα Articles 5 και 6 απαιτούν διακυβέρνηση και τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ. Το Article 9 αφορά την προστασία και την πρόληψη, συμπεριλαμβανομένων πολιτικών, διαδικασιών, πρωτοκόλλων και εργαλείων ασφάλειας ΤΠΕ. Τα Articles 24 έως 30 προσθέτουν δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας και διαχείριση κινδύνων ΤΠΕ τρίτων μερών. Για τις χρηματοοικονομικές οντότητες, τα ελεγκτικά τεκμήρια ελέγχου πρόσβασης γίνονται τεκμήρια ανθεκτικότητας και όχι απλώς τεκμήρια διαχείρισης Πληροφορικής.

Το GDPR εισάγει την οπτική των δεδομένων προσωπικού χαρακτήρα. Τα Articles 2 και 3 ορίζουν ευρεία εφαρμοσιμότητα για επεξεργασία στην ΕΕ και πρόσβαση στην αγορά της ΕΕ. Το Article 5 απαιτεί ακεραιότητα, εμπιστευτικότητα και αποδείξιμη λογοδοσία. Το Article 25 απαιτεί προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Το Article 32 απαιτεί κατάλληλα τεχνικά και οργανωτικά μέτρα. Στην πράξη, αυτό σημαίνει ελεγχόμενη πρόσβαση, ασφαλή αυθεντικοποίηση, καταγραφή, ανασκόπηση και έγκαιρη αφαίρεση πρόσβασης για συστήματα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.

Το ISO/IEC 27001:2022 παρέχει στους οργανισμούς τον μηχανισμό συστήματος διαχείρισης για την ενοποίηση αυτών των υποχρεώσεων. Οι ρήτρες 4.1 έως 4.3 απαιτούν από τον οργανισμό να κατανοεί το πλαίσιο, τα ενδιαφερόμενα μέρη, τις νομικές και συμβατικές απαιτήσεις, τις διεπαφές, τις εξαρτήσεις και το πεδίο εφαρμογής του ISMS. Οι ρήτρες 6.1.1 έως 6.1.3 απαιτούν αξιολόγηση κινδύνου ασφάλειας πληροφοριών, αντιμετώπιση κινδύνου, σύγκριση με το Annex A, Δήλωση Εφαρμοσιμότητας και έγκριση σχεδίων αντιμετώπισης και υπολειπόμενου κινδύνου. Η ρήτρα 8.1 απαιτεί επιχειρησιακό έλεγχο, τεκμηριωμένες πληροφορίες που αποδεικνύουν ότι οι διεργασίες πραγματοποιήθηκαν όπως είχε προγραμματιστεί, έλεγχο αλλαγών και έλεγχο διεργασιών που παρέχονται εξωτερικά.

Επομένως, το ερώτημα του ελέγχου δεν είναι «Έχετε MFA;». Είναι «Μπορείτε να αποδείξετε, για τις εντός πεδίου εφαρμογής ταυτότητες και συστήματα, ότι ο κίνδυνος πρόσβασης διοικείται, αντιμετωπίζεται, υλοποιείται, παρακολουθείται και βελτιώνεται;»

Δημιουργήστε τη ραχοκοκαλιά των τεκμηρίων από το πεδίο εφαρμογής του ISMS έως την απόδειξη IAM

Η Clarysec ξεκινά την προετοιμασία ελέγχου πρόσβασης καθιστώντας τα τεκμήρια ιχνηλάσιμα από το επιχειρησιακό πλαίσιο. Το ISO/IEC 27001:2022 αναμένει το ISMS να είναι ενσωματωμένο στις οργανωτικές διεργασίες και να κλιμακώνεται σύμφωνα με τις ανάγκες του οργανισμού. Ένας προμηθευτής SaaS 30 ατόμων και μια πολυεθνική τράπεζα δεν θα έχουν την ίδια αρχιτεκτονική πρόσβασης, αλλά και οι δύο χρειάζονται συνεκτική αλυσίδα τεκμηρίων.

Το ISO/IEC 27005:2022 είναι χρήσιμο επειδή συνιστά την ενοποίηση νομικών, κανονιστικών, συμβατικών, τομεακών και εσωτερικών απαιτήσεων σε κοινό πλαίσιο κινδύνου. Οι ρήτρες 6.4 και 6.5 δίνουν έμφαση σε κριτήρια κινδύνου που λαμβάνουν υπόψη τους οργανωτικούς στόχους, τη νομοθεσία, τις σχέσεις με προμηθευτές και τους περιορισμούς. Οι ρήτρες 7.1 και 7.2 επιτρέπουν σενάρια βάσει συμβάντων και βάσει περιουσιακών στοιχείων. Για τον έλεγχο πρόσβασης, αυτό σημαίνει αξιολόγηση στρατηγικών σεναρίων όπως «προνομιούχος διαχειριστής SaaS εξάγει δεδομένα πελατών της ΕΕ» παράλληλα με σενάρια περιουσιακών στοιχείων όπως «ορφανό κλειδί AWS IAM συνδεδεμένο με αποθήκευση παραγωγής».

Στο Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές της Clarysec, αυτή η ραχοκοκαλιά τεκμηρίων δημιουργείται κατά τη φάση Controls in Action. Το Step 19 εστιάζει στους τεχνολογικούς ελέγχους για τη διαχείριση τερματικών σημείων και πρόσβασης, ενώ το Step 22 τυποποιεί τον οργανωτικό κύκλο ζωής πρόσβασης.

Το Zenith Blueprint καθοδηγεί τις ομάδες να επαληθεύουν ότι η χορήγηση και η κατάργηση πρόσβασης είναι δομημένες, ενσωματωμένες με το HR όπου είναι δυνατό, υποστηρίζονται από ροές εργασιών αιτημάτων πρόσβασης και ανασκοπούνται τριμηνιαία. Επίσης, καθοδηγεί τους οργανισμούς να τεκμηριώνουν τύπους ταυτοτήτων, να εφαρμόζουν ελέγχους για ατομικές, κοινόχρηστες ταυτότητες και ταυτότητες υπηρεσίας, να εφαρμόζουν ισχυρές πολιτικές κωδικών πρόσβασης και MFA, να εξαλείφουν ανενεργούς λογαριασμούς και να διατηρούν ασφαλή φύλαξη σε θησαυροφυλάκιο ή τεκμηρίωση για διαπιστευτήρια υπηρεσίας.

Έτσι ακριβώς ελέγχουν οι ελεγκτές τον έλεγχο πρόσβασης: μία ταυτότητα, ένα σύστημα, μία έγκριση, ένα προνόμιο, μία ανασκόπηση και μία ανάκληση κάθε φορά.

Τι να συλλέξετε για ελεγκτικά τεκμήρια ελέγχου πρόσβασης έτοιμα για έλεγχο

Το πακέτο τεκμηρίων ελέγχου πρόσβασης πρέπει να επιτρέπει στον ελεγκτή να δειγματοληπτήσει οποιονδήποτε χρήστη και να ιχνηλατήσει τον κύκλο ζωής: αίτημα, έγκριση, ανάθεση, αυθεντικοποίηση, ανύψωση προνομίων, παρακολούθηση, ανασκόπηση και ανάκληση.

Ένα ισχυρό πακέτο τεκμηρίων περιλαμβάνει:

1. Πολιτική ελέγχου πρόσβασης και πολιτική λογαριασμών χρηστών
2. Διαδικασία Joiner-Mover-Leaver
3. Μήτρα ρόλων ή μήτρα ελέγχου πρόσβασης
4. Κατάλογο εφαρμογών, πλατφορμών και αποθετηρίων δεδομένων εντός πεδίου εφαρμογής
5. Διαμόρφωση MFA του παρόχου ταυτότητας
6. Πολιτικές υπό όρους πρόσβασης και κατάλογο εξαιρέσεων
7. Απογραφή προνομιούχων λογαριασμών
8. Τεκμήρια ροής εργασιών PAM, συμπεριλαμβανομένων εγκρίσεων και αρχείων καταγραφής συνεδριών
9. Πρόσφατη έξοδο εκστρατείας ανασκόπησης δικαιωμάτων πρόσβασης
10. Δείγματα βεβαιώσεων προϊσταμένων και ενέργειες αποκατάστασης
11. Αναφορά αποχώρησης HR αντιστοιχισμένη με αρχεία καταγραφής απενεργοποίησης
12. Απογραφή λογαριασμών υπηρεσίας, ιδιοκτήτες, αρχεία περιοδικής αλλαγής και τεκμήρια θησαυροφυλακίου
13. Διαδικασία λογαριασμού έκτακτης πρόσβασης «break glass» και αρχείο καταγραφής δοκιμών
14. Τεκμήρια περιστατικών ή ειδοποιήσεων που αφορούν αποτυχημένες συνδέσεις, κλιμάκωση προνομίων ή ανενεργούς λογαριασμούς
15. Καταχωρίσεις Δήλωσης Εφαρμοσιμότητας για ελέγχους του Annex A που σχετίζονται με την πρόσβαση

Οι πολιτικές της Clarysec καθιστούν αυτή την προσδοκία ρητή. Στην πολιτική για ΜΜΕ Πολιτική Ελέγχου Πρόσβασης για ΜΜΕ, η απαίτηση είναι απλή και εστιασμένη στον έλεγχο:

«Πρέπει να τηρείται ασφαλές αρχείο για κάθε χορήγηση, τροποποίηση και αφαίρεση πρόσβασης.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα 6.1.1.

Η ίδια πολιτική για ΜΜΕ συνδέει επίσης το RBAC και το MFA άμεσα με τις αρμοδιότητες ρόλων:

«Υλοποιεί ελέγχους πρόσβασης βάσει ρόλων (RBAC) και εφαρμόζει ισχυρή αυθεντικοποίηση, π.χ. πολυπαραγοντική αυθεντικοποίηση (MFA).»

Από την ενότητα «Ρόλοι και αρμοδιότητες», ρήτρα 4.2.3.

Για μεγαλύτερους οργανισμούς, η εταιρική Πολιτική Ένταξης και Αποχώρησης απαιτεί από το σύστημα IAM να καταγράφει τη δημιουργία λογαριασμών, τις αναθέσεις ρόλων και δικαιωμάτων και τα συμβάντα απενεργοποίησης, να υποστηρίζει πρότυπα πρόσβασης βάσει ρόλων και να ενσωματώνεται με συστήματα HR για εναύσματα Joiners-Movers-Leavers. Η ρήτρα αυτή βοηθά να παρουσιαστεί η ιστορία του ελέγχου σε ένα σημείο: τυποποιημένη ένταξη, κύκλος ζωής ταυτότητας ενεργοποιούμενος από HR και ιχνηλάσιμα συμβάντα IAM.

Χαρτογραφήστε IAM, MFA, PAM και ανασκοπήσεις στους ελέγχους ISO/IEC 27001:2022

Το Zenith Controls: Ο οδηγός διατομεακής συμμόρφωσης της Clarysec αντιμετωπίζει τον έλεγχο πρόσβασης ως συνδεδεμένη οικογένεια ελέγχων και όχι ως σημείο λίστας ελέγχου. Για το ISO/IEC 27001:2022, οι πλέον συναφείς έλεγχοι περιλαμβάνουν:

• Έλεγχος 5.15, έλεγχος πρόσβασης
• Έλεγχος 5.16, διαχείριση ταυτοτήτων
• Έλεγχος 5.17, πληροφορίες αυθεντικοποίησης
• Έλεγχος 5.18, δικαιώματα πρόσβασης
• Έλεγχος 8.2, δικαιώματα προνομιούχας πρόσβασης
• Έλεγχος 8.3, περιορισμός πρόσβασης σε πληροφορίες
• Έλεγχος 8.5, ασφαλής αυθεντικοποίηση
• Έλεγχος 8.15, καταγραφή
• Έλεγχος 8.16, δραστηριότητες παρακολούθησης

Για τις πληροφορίες αυθεντικοποίησης, το Zenith Controls χαρτογραφεί τον έλεγχο 5.17 ως προληπτικό έλεγχο που υποστηρίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, με επιχειρησιακή ικανότητα τη διαχείριση ταυτοτήτων και πρόσβασης. Συνδέεται άμεσα με τη διαχείριση ταυτοτήτων, την ασφαλή αυθεντικοποίηση, τους ρόλους και τις αρμοδιότητες, την αποδεκτή χρήση και τη συμμόρφωση με πολιτικές. Η ασφάλεια διαπιστευτηρίων περιλαμβάνει κύκλο ζωής αυθεντικοποιητών, ασφαλή έκδοση, αποθήκευση, επαναφορά, ανάκληση, διακριτικά MFA, ιδιωτικά κλειδιά και διαπιστευτήρια υπηρεσίας.

Για τα δικαιώματα πρόσβασης, το Zenith Controls χαρτογραφεί τον έλεγχο 5.18 στην επίσημη χορήγηση, ανασκόπηση, τροποποίηση και ανάκληση. Συνδέεται με τον έλεγχο πρόσβασης, τη διαχείριση ταυτοτήτων, τον διαχωρισμό καθηκόντων, τα δικαιώματα προνομιούχας πρόσβασης και την παρακολούθηση συμμόρφωσης. Αυτός είναι ο έλεγχος που μετατρέπει το ελάχιστο προνόμιο σε τεκμήρια.

Για τα δικαιώματα προνομιούχας πρόσβασης, το Zenith Controls χαρτογραφεί τον έλεγχο 8.2 στον ειδικό κίνδυνο αυξημένων λογαριασμών, συμπεριλαμβανομένων domain administrators, root users, διαχειριστών μισθωτή περιβάλλοντος υπολογιστικού νέφους, υπερχρηστών βάσεων δεδομένων και CI/CD controllers. Ο οδηγός συνδέει την προνομιούχα πρόσβαση με τη διαχείριση ταυτοτήτων, τα δικαιώματα πρόσβασης, τον περιορισμό πρόσβασης σε πληροφορίες, την ασφαλή αυθεντικοποίηση, την τηλεργασία, την καταγραφή και την παρακολούθηση.

Μία καλά σχεδιασμένη αναφορά ανασκόπησης δικαιωμάτων πρόσβασης μπορεί να υποστηρίξει ISO/IEC 27001:2022, NIS2, DORA και GDPR, εφόσον περιλαμβάνει πεδίο εφαρμογής, ιδιοκτήτη συστήματος, ανασκοπητή, κατάλογο λογαριασμών, αιτιολόγηση ρόλου, ένδειξη προνομιούχας πρόσβασης, αποφάσεις, αφαιρέσεις, εξαιρέσεις και ημερομηνία ολοκλήρωσης.

Τα τεκμήρια MFA είναι περισσότερα από ένα στιγμιότυπο οθόνης

Ένα συνηθισμένο σφάλμα ελέγχου είναι η παρουσίαση στιγμιότυπου οθόνης που αναφέρει «MFA enabled». Οι ελεγκτές χρειάζονται περισσότερα. Πρέπει να γνωρίζουν πού εφαρμόζεται το MFA, ποιος εξαιρείται, πώς εγκρίνονται οι εξαιρέσεις, αν καλύπτονται οι προνομιούχοι λογαριασμοί και αν η τεχνική διαμόρφωση αντιστοιχεί στην πολιτική.

Από το Zenith Blueprint, φάση Controls in Action, Step 19, οι ελεγκτές θα ρωτήσουν πώς εφαρμόζονται οι πολιτικές κωδικών πρόσβασης και MFA, ποια συστήματα προστατεύονται, σε ποιον εφαρμόζεται το MFA και αν οι κρίσιμες εφαρμογές μπορούν να δοκιμαστούν με δείγμα λογαριασμού. Τα τεκμήρια μπορεί να περιλαμβάνουν διαμόρφωση IdP, πολιτικές υπό όρους πρόσβασης, στατιστικά εγγραφής MFA και διαδικασίες επαναφοράς κωδικών πρόσβασης.

Για εταιρικά περιβάλλοντα, η Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων της Clarysec ορίζει:

«Όπου είναι τεχνικά εφικτό, η πολυπαραγοντική αυθεντικοποίηση (MFA) είναι υποχρεωτική για: 6.3.2.1 Διαχειριστικούς λογαριασμούς και λογαριασμούς σε επίπεδο root 6.3.2.2 Απομακρυσμένη πρόσβαση (VPN, πλατφόρμες υπολογιστικού νέφους) 6.3.2.3 Πρόσβαση σε ευαίσθητα ή ρυθμιζόμενα δεδομένα»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα 6.3.2.

Αυτό δημιουργεί άμεση γέφυρα ελέγχου. Αν το MFA είναι υποχρεωτικό για διαχειριστικούς λογαριασμούς, απομακρυσμένη πρόσβαση και ρυθμιζόμενα δεδομένα, το πακέτο τεκμηρίων πρέπει να περιλαμβάνει καταλόγους διαχειριστικών λογαριασμών και λογαριασμών σε επίπεδο root, διαμόρφωση απομακρυσμένης πρόσβασης, πολιτικές υπό όρους πρόσβασης πλατφορμών υπολογιστικού νέφους, καταλόγους εφαρμογών ευαίσθητων δεδομένων, αναφορές εγγραφής MFA, εγκρίσεις εξαιρέσεων, αντισταθμιστικούς ελέγχους και πρόσφατα τεκμήρια ανασκόπησης ειδοποιήσεων για αποτυχημένες συνδέσεις ή απόπειρες παράκαμψης MFA.

Για το NIST SP 800-53 Rev. 5, αυτό ευθυγραμμίζεται με IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access και AU-2 Event Logging. Για το COBIT 2019, υποστηρίζει το DSS05.04 Manage user identity and logical access και συναφείς πρακτικές παρακολούθησης ασφάλειας.

Τα υποστηρικτικά πρότυπα ISO διευρύνουν την εικόνα. Το ISO/IEC 27018:2020 επεκτείνει τις προσδοκίες αυθεντικοποίησης για δημόσιο περιβάλλον υπολογιστικού νέφους που χειρίζεται δεδομένα προσωπικού χαρακτήρα. Το ISO/IEC 24760-1:2019 υποστηρίζει τη δέσμευση αυθεντικοποιητών και τη διαχείριση κύκλου ζωής. Το ISO/IEC 29115:2013 εισάγει επίπεδα διασφάλισης αυθεντικοποίησης, χρήσιμα όταν αποφασίζεται πού απαιτούνται κλειδιά υλικού ή MFA ανθεκτικό στο phishing. Το ISO/IEC 27033-1:2015 υποστηρίζει ισχυρή αυθεντικοποίηση δικτύου για απομακρυσμένη ή διαδικτυακή πρόσβαση.

Τα τεκμήρια PAM είναι η ταχύτερη διαδρομή προς μείζον εύρημα ή καθαρό έλεγχο

Η προνομιούχα πρόσβαση είναι το σημείο όπου οι ελεγκτές γίνονται επιφυλακτικοί, επειδή οι προνομιούχοι λογαριασμοί μπορούν να παρακάμψουν ελέγχους, να εξάγουν δεδομένα, να δημιουργήσουν μηχανισμούς εμμονής και να αλλοιώσουν αρχεία καταγραφής. Στο Zenith Blueprint, το Step 19 αναφέρει:

«Σε κάθε πληροφοριακό σύστημα, η προνομιούχα πρόσβαση είναι ισχύς και με αυτή την ισχύ έρχεται κίνδυνος.»

Η καθοδήγηση εστιάζει στο ποιος διαθέτει προνομιούχα πρόσβαση, τι επιτρέπει αυτή, πώς διαχειρίζεται και πώς παρακολουθείται με την πάροδο του χρόνου. Συνιστά επικαιροποιημένη απογραφή, ελάχιστο προνόμιο, RBAC, χρονικά περιορισμένη ή just-in-time ανύψωση προνομίων, ροές έγκρισης, μοναδικούς ονομαστικούς λογαριασμούς, αποφυγή κοινόχρηστων λογαριασμών, καταγραφή break-glass, συστήματα PAM, περιοδική αλλαγή διαπιστευτηρίων, φύλαξη σε θησαυροφυλάκιο, καταγραφή συνεδριών, προσωρινή ανύψωση προνομίων, παρακολούθηση και τακτική ανασκόπηση.

Η εταιρική Πολιτική Ελέγχου Πρόσβασης της Clarysec το μετατρέπει σε απαίτηση ελέγχου:

«Η διαχειριστική πρόσβαση πρέπει να ελέγχεται αυστηρά μέσω: 5.4.1.1 Ξεχωριστών προνομιούχων λογαριασμών 5.4.1.2 Παρακολούθησης και καταγραφής συνεδριών 5.4.1.3 Πολυπαραγοντικής αυθεντικοποίησης 5.4.1.4 Χρονικά περιορισμένης ανύψωσης προνομίων ή ανύψωσης προνομίων ενεργοποιούμενης από ροή εργασίας»

Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα 5.4.1.

Αυτό το απόσπασμα είναι σχεδόν σενάριο δοκιμής ελέγχου. Αν η πολιτική αναφέρει ξεχωριστούς διαχειριστικούς λογαριασμούς, παρουσιάστε τον κατάλογο προνομιούχων λογαριασμών και αποδείξτε ότι καθένας αντιστοιχεί σε ονομαστικό πρόσωπο. Αν αναφέρει παρακολούθηση συνεδριών, παρουσιάστε καταγεγραμμένες συνεδρίες ή αρχεία καταγραφής PAM. Αν αναφέρει MFA, δείξτε την εφαρμογή του για κάθε διαδρομή προνομιούχας πρόσβασης. Αν αναφέρει χρονικά περιορισμένη ανύψωση προνομίων, δείξτε χρονοσημάνσεις λήξης και αιτήματα έγκρισης.

Η έκδοση για ΜΜΕ είναι εξίσου άμεση. Η Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων για ΜΜΕ ορίζει:

«Τα αυξημένα ή διαχειριστικά προνόμια απαιτούν πρόσθετη έγκριση από τον Γενικό Διευθυντή ή τον Επικεφαλής Πληροφορικής και πρέπει να τεκμηριώνονται, να είναι χρονικά περιορισμένα και να υπόκεινται σε περιοδική ανασκόπηση.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα 6.2.2.

Για μικρότερους οργανισμούς, αυτή είναι συχνά η διαφορά μεταξύ του «εμπιστευόμαστε τον διαχειριστή μας» και του «ελέγχουμε τον κίνδυνο προνομιούχας πρόσβασης». Ο ελεγκτής δεν απαιτεί εταιρικά εργαλεία σε κάθε ΜΜΕ, αλλά απαιτεί τεκμήρια αναλογικά με τον κίνδυνο. Ένα αίτημα, μια έγκριση, μια προσωρινή ανάθεση ομάδας, εφαρμογή MFA και αρχείο ανασκόπησης μπορεί να επαρκούν όταν το πεδίο εφαρμογής είναι περιορισμένο και ο κίνδυνος χαμηλότερος.

Οι ανασκοπήσεις δικαιωμάτων πρόσβασης αποδεικνύουν ότι το ελάχιστο προνόμιο λειτουργεί

Οι ανασκοπήσεις δικαιωμάτων πρόσβασης δείχνουν αν τα δικαιώματα συσσωρεύονται σιωπηρά. Δείχνουν επίσης αν οι προϊστάμενοι κατανοούν την πρόσβαση που διαθέτουν πραγματικά οι ομάδες τους.

Η εταιρική Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων απαιτεί:

«Τριμηνιαίες ανασκοπήσεις όλων των λογαριασμών χρηστών και των σχετικών προνομίων πρέπει να διενεργούνται από την Ασφάλεια Πληροφορικής σε συνεργασία με τους διευθυντές τμημάτων.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα 6.5.1.

Για τις ΜΜΕ, η Πολιτική Διαχείρισης Λογαριασμών Χρηστών και Προνομίων για ΜΜΕ ορίζει αναλογικό ρυθμό:

«Πρέπει να διενεργείται ανασκόπηση όλων των λογαριασμών χρηστών και προνομίων κάθε έξι μήνες.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα 6.4.1.

Μια αξιόπιστη ανασκόπηση δικαιωμάτων πρόσβασης περιλαμβάνει όνομα συστήματος, πεδίο εφαρμογής, όνομα ανασκοπητή, ημερομηνία εξαγωγής, ημερομηνία ανασκόπησης, ιδιοκτήτη ταυτότητας, τμήμα, προϊστάμενο, κατάσταση απασχόλησης, ρόλο ή δικαίωμα πρόσβασης, ένδειξη προνομιούχας πρόσβασης, ένδειξη ευαισθησίας δεδομένων, απόφαση, αίτημα αποκατάστασης, ημερομηνία κλεισίματος, ιδιοκτήτη εξαίρεσης και ημερομηνία λήξης εξαίρεσης.

Στο Zenith Controls, τα δικαιώματα πρόσβασης 5.18 είναι το σημείο όπου αυτό γίνεται τεκμήριο διατομεακής συμμόρφωσης. Ο οδηγός χαρτογραφεί τα δικαιώματα πρόσβασης στο GDPR Article 25, επειδή η πρόσβαση πρέπει να περιορίζεται ήδη από τον σχεδιασμό και εξ ορισμού. Τα χαρτογραφεί στο NIS2 Article 21(2)(i), επειδή οι πολιτικές ελέγχου πρόσβασης και η διαχείριση περιουσιακών στοιχείων απαιτούν ανάθεση βάσει κινδύνου, έγκαιρη αφαίρεση μη αναγκαίας πρόσβασης και επίσημη ανάκληση. Τα χαρτογραφεί στο DORA, επειδή τα χρηματοοικονομικά συστήματα ΤΠΕ χρειάζονται πρόσβαση βάσει ρόλων, παρακολούθηση και διαδικασίες ανάκλησης.

Οι ελεγκτές με προσανατολισμό στο NIST συχνά το δοκιμάζουν μέσω AC-2 Account Management, AC-5 Separation of Duties και AC-6 Least Privilege. Οι ελεγκτές COBIT 2019 ανατρέχουν στο DSS05.04 Manage user identity and logical access και στο DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. Οι ελεγκτές ISACA ITAF εστιάζουν στο αν τα τεκμήρια είναι επαρκή, αξιόπιστα και πλήρη.

Η αποχώρηση και η ανάκληση διακριτικών είναι εύκολα στη δειγματοληψία

Οι αποχωρήσαντες είναι ένα από τα ευκολότερα σημεία για να αποδειχθεί αν ο κύκλος ζωής λειτουργεί. Οι ελεγκτές συχνά επιλέγουν έναν πρόσφατα αποχωρήσαντα εργαζόμενο και ζητούν το αρχείο αποχώρησης HR, το αίτημα, το αρχείο καταγραφής απενεργοποίησης λογαριασμού, τα τεκμήρια απενεργοποίησης SaaS, την αφαίρεση VPN, την ανάκληση MFA, την αφαίρεση διακριτικού API και την επιστροφή περιουσιακών στοιχείων.

Στην Πολιτική Ένταξης και Αποχώρησης για ΜΜΕ, η Clarysec ορίζει:

«Οι τερματισμένοι λογαριασμοί πρέπει να κλειδώνονται ή να διαγράφονται και τα σχετικά διακριτικά πρόσβασης πρέπει να ανακαλούνται, συμπεριλαμβανομένων της απομακρυσμένης πρόσβασης (VPN), των δεσμεύσεων εφαρμογών MFA και των διακριτικών API.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα 6.3.3.

Αυτό έχει σημασία επειδή η σύγχρονη πρόσβαση δεν είναι μόνο όνομα χρήστη και κωδικός πρόσβασης. Η πρόσβαση μπορεί να επιμένει μέσω refresh tokens, κλειδιών API, κλειδιών SSH, OAuth grants, λογαριασμών υπηρεσίας, τοπικών διαχειριστικών δικαιωμάτων, φορητών συνεδριών και πυλών τρίτων μερών. Ένα απενεργοποιημένο αρχείο HR χωρίς ανάκληση διακριτικών αποτελεί ελλιπές τεκμήριο.

Το Zenith Blueprint, φάση Controls in Action, Step 16, καθοδηγεί τους οργανισμούς να είναι έτοιμοι με τεκμηριωμένη λίστα ελέγχου τερματισμού, τεκμήρια από πρόσφατο αποχωρήσαντα, αρχείο καταγραφής απενεργοποίησης λογαριασμού χρήστη από AD ή MDM, υπογεγραμμένο έντυπο επιστροφής περιουσιακών στοιχείων και τεκμηρίωση αποχώρησης που περιλαμβάνει υποχρεώσεις εμπιστευτικότητας.

Ο ελεγκτής της Μαρίας ζήτησε έναν αποχωρήσαντα senior developer που είχε προνομιούχα πρόσβαση σε βάσεις δεδομένων παραγωγής. Η ομάδα της παρουσίασε την Πολιτική Ένταξης και Αποχώρησης για ΜΜΕ, τη λίστα ελέγχου τερματισμού που δημιουργήθηκε από το Zenith Blueprint Step 16, το αίτημα ITSM που ενεργοποιήθηκε από το HR, το αρχείο καταγραφής απενεργοποίησης υπηρεσίας καταλόγου, την ανάκληση πιστοποιητικού VPN, την αφαίρεση από τον οργανισμό GitHub, τη διαγραφή κλειδιού AWS IAM και το κλειστό αίτημα επαλήθευσης υπογεγραμμένο από τον Υπεύθυνο Πληροφορικής. Τα τεκμήρια ήταν πλήρη, έγκαιρα και άμεσα συνδεδεμένα με την πολιτική.

Εκτελέστε sprint τεκμηρίων τριών δειγμάτων πριν το κάνει ο ελεγκτής

Μια πρακτική άσκηση ετοιμότητας είναι να επιλέξετε τρία δείγματα πριν από τον έλεγχο:

1. Έναν νέο εργαζόμενο που εντάχθηκε τις τελευταίες 90 ημέρες
2. Έναν προνομιούχο χρήστη με διαχειριστική πρόσβαση σε υπολογιστικό νέφος, βάση δεδομένων, παραγωγή ή IAM
3. Έναν αποχωρήσαντα ή εργαζόμενο με αλλαγή ρόλου από τις τελευταίες 90 ημέρες

Στη συνέχεια, συνδέστε κάθε δείγμα με τα αρχεία ISMS: σενάριο κινδύνου, απόφαση αντιμετώπισης, επιλογή ελέγχου στη Δήλωση Εφαρμοσιμότητας, ρήτρα πολιτικής, τεχνική διαμόρφωση, αρχείο ανασκόπησης και διορθωτική ενέργεια αν υπάρχει κενό.

Αυτό μετατρέπει την προετοιμασία ελέγχου από συλλογή εγγράφων σε επαλήθευση ελέγχων.

Προετοιμαστείτε για διαφορετικές οπτικές ελέγχου

Διαφορετικά υπόβαθρα ελεγκτών οδηγούν σε διαφορετικές ερωτήσεις, ακόμη και όταν τα τεκμήρια είναι τα ίδια.

Η προετοιμασία τεκμηρίων που ικανοποιούν όλες αυτές τις οπτικές αποδεικνύει ώριμο πρόγραμμα συμμόρφωσης και μειώνει τη διπλή εργασία.

Συνηθισμένα ευρήματα και προληπτικές ενέργειες

Τα ευρήματα ελέγχου πρόσβασης είναι προβλέψιμα. Το ίδιο και οι προληπτικές ενέργειες.

Η εταιρική Πολιτική Ελέγχου Πρόσβασης προσθέτει απαίτηση διατήρησης που προλαμβάνει μία από τις πιο συνηθισμένες αστοχίες τεκμηρίων:

«Οι αποφάσεις έγκρισης πρέπει να καταγράφονται και να διατηρούνται για σκοπούς ελέγχου για τουλάχιστον 2 έτη.»

Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα 5.3.2.

Αν οι εγκρίσεις εξαφανιστούν μετά τον καθαρισμό email, ο έλεγχος μπορεί να λειτούργησε, αλλά ο ελεγκτής δεν μπορεί να βασιστεί σε αυτόν. Η διατήρηση αποτελεί μέρος του σχεδιασμού ελέγχων.

Η λογοδοσία της διοίκησης χρειάζεται μετρικές πρόσβασης

Το NIS2 Article 20 και τα DORA Articles 5 και 6 καθιστούν τον έλεγχο πρόσβασης θέμα διοίκησης, επειδή ο συμβιβασμός ταυτότητας μπορεί να εξελιχθεί σε επιχειρησιακή διατάραξη, κανονιστική αναφορά, παραβίαση δεδομένων και βλάβη πελατών. Οι ρήτρες 5.1 έως 5.3 του ISO/IEC 27001:2022 απαιτούν επίσης από την ανώτατη διοίκηση να ευθυγραμμίζει το ISMS με την επιχειρησιακή στρατηγική, να παρέχει πόρους, να επικοινωνεί τη σημασία, να αναθέτει αρμοδιότητες και να προωθεί τη συνεχή βελτίωση.

Χρήσιμες μετρικές ελέγχου πρόσβασης περιλαμβάνουν:

• Ποσοστό κρίσιμων συστημάτων που καλύπτονται από SSO
• Ποσοστό προνομιούχων λογαριασμών με MFA
• Αριθμός μόνιμων προνομιούχων λογαριασμών έναντι λογαριασμών JIT
• Ποσοστό ολοκλήρωσης ανασκοπήσεων δικαιωμάτων πρόσβασης
• Αριθμός ανακληθέντων υπερβολικών δικαιωμάτων
• Συμμόρφωση με SLA απενεργοποίησης αποχωρησάντων
• Πλήθος ανενεργών λογαριασμών
• Κάλυψη ιδιοκτητών λογαριασμών υπηρεσίας
• Κάλυψη καταγραφής συνεδριών PAM
• Πλήθος και ηλικία εξαιρέσεων MFA

Αυτές οι μετρικές βοηθούν τη διοίκηση να εγκρίνει την αντιμετώπιση κινδύνων και να αποδεικνύει εποπτεία. Καθιστούν επίσης τους ελέγχους πιο αξιόπιστους, επειδή ο οργανισμός μπορεί να δείξει ότι ο έλεγχος πρόσβασης παρακολουθείται ως ενεργός κίνδυνος και δεν ανακαλύπτεται εκ νέου πριν από κάθε έλεγχο.

Μετατρέψτε τα διάσπαρτα τεκμήρια σε εμπιστοσύνη ελέγχου

Αν τα ελεγκτικά τεκμήρια ελέγχου πρόσβασης ISO/IEC 27001:2022 είναι διασκορπισμένα σε HR, ITSM, IAM, PAM, κονσόλες υπολογιστικού νέφους και υπολογιστικά φύλλα, το επόμενο βήμα δεν είναι άλλη μία επαναδιατύπωση πολιτικής. Το επόμενο βήμα είναι αρχιτεκτονική τεκμηρίων.

Ξεκινήστε με την ακόλουθη ακολουθία:

1. Ορίστε συστήματα, ταυτότητες και δεδομένα εντός πεδίου εφαρμογής.
2. Χαρτογραφήστε τις απαιτήσεις NIS2, DORA, GDPR και τις συμβατικές απαιτήσεις στο πλαίσιο του ISMS.
3. Χρησιμοποιήστε σενάρια κινδύνου τύπου ISO/IEC 27005:2022 για να ιεραρχήσετε IAM, MFA, PAM και ανασκοπήσεις δικαιωμάτων πρόσβασης.
4. Επικαιροποιήστε τη Δήλωση Εφαρμοσιμότητας και το σχέδιο αντιμετώπισης κινδύνων.
5. Ευθυγραμμίστε τις ρήτρες πολιτικής με τις πραγματικές ροές εργασιών IAM και PAM.
6. Εκτελέστε το sprint τεκμηρίων τριών δειγμάτων.
7. Διορθώστε τα κενά πριν τα εντοπίσει ο ελεγκτής.
8. Διατηρήστε επαναχρησιμοποιήσιμο πακέτο τεκμηρίων για πιστοποίηση, δέουσα επιμέλεια πελατών και κανονιστικές ανασκοπήσεις.

Η Clarysec μπορεί να σας βοηθήσει να το υλοποιήσετε μέσω του Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές, να χαρτογραφήσετε διατομεακά τις απαιτήσεις με το Zenith Controls: Ο οδηγός διατομεακής συμμόρφωσης και να εφαρμόσετε στην πράξη τις απαιτήσεις με το κατάλληλο σύνολο πολιτικών Clarysec, συμπεριλαμβανομένων της Πολιτικής Ελέγχου Πρόσβασης, της Πολιτικής Διαχείρισης Λογαριασμών Χρηστών και Προνομίων και της Πολιτικής Ένταξης και Αποχώρησης.

Η ετοιμότητα για έλεγχο πρόσβασης δεν αφορά την απόδειξη ότι αγοράσατε ένα εργαλείο IAM. Αφορά την απόδειξη ότι οι διεργασίες ταυτότητας, αυθεντικοποίησης, προνομίων και ανασκόπησης μειώνουν πραγματικό επιχειρησιακό κίνδυνο και ικανοποιούν τα πρότυπα και τις κανονιστικές απαιτήσεις που έχουν σημασία για τον οργανισμό σας.

Κατεβάστε τα toolkits της Clarysec, εκτελέστε το sprint τεκμηρίων τριών δειγμάτων και μετατρέψτε τα τεκμήρια ελέγχου πρόσβασης από διάσπαρτο χάος σε σαφές, επαναλήψιμο και τεκμηριώσιμο χαρτοφυλάκιο ελέγχου.