ISO 27001 krüptograafilised erandid: tõendusmaterjali ja CER-i juhend

Auditivestlus, mida David kõige enam kartis, saabus kolm nädalat oodatust varem. InnovatePay oli just omandanud väiksema ettevõtte QuickAcquire. Tehing oli strateegiline võit, kuid tehnoloogiavirnas peitus pärand-andmeedastusmoodul, mis kasutas krüptograafilist teeki, mis ei vastanud InnovatePay heakskiidetud standarditele. Selle asendamine oli kuue kuu projekt. Välisaudiitor pidi saabuma järgmisel nädalal.

Davidi peas oli olukord valusalt selge. Rahulik ja metoodiline audiitor leiaks kõrvalekalde ning esitaks ühe küsimuse, mis muudab väite me teame, et see on riskantne mittevastavuseks: näidake mulle krüptograafilise erandi tõendusmaterjali ja seda, kuidas otsustasite, et see on vastuvõetav.

Sellisel hetkel ei loe kavatsus; loeb kontrollituse tõendamine. Kui puuduvad dokumenteeritud erandiprotsess, juhtkonna kinnitatud riski aktsepteerimine, kompenseerivad kontrollimeetmed, võtmehalduse logid ja ajaliselt piiratud parandusplaan, käsitleb audiitor probleemi tõenäoliselt kontrollimeetme tõrke või nõrga ISMS-i juhtimisena. See põhjalik juhend näitab, kuidas muuta selline hetk küpsuse tõendamiseks, kasutades Clarysec’i tööriistakomplekte ja poliitikaid, ISO/IEC 27001:2022 kontrollimeedet A.8.24 Krüptograafia kasutamine ning mitme vastavusraamistiku vaadet, mis hõlmab NIS2, DORA, GDPR, NIST ja COBIT 2019.

Miks krüptograafilised erandid on vältimatud ja kuidas audiitorid neid hindavad

Krüptograafilised erandid tekivad prognoositavatel põhjustel. Clarysec’i projektides näeme korduvaid mustreid:

• Pärandtehnoloogia piirangud, näiteks toetamata algoritmid, šifrikomplektid või võtmepikkused.
• Tarnijasõltuvus ja sertifitseerimise viivitused, mis takistavad õigeaegset üleminekut heakskiidetud krüptograafiale.
• Operatiivsed vajadused intsidentidele reageerimisel või digitaalses kohtuekspertiisis, mis nõuavad tõendusmaterjali kogumiseks või teenuse järjepidevuse säilitamiseks ajutisi kõrvalekaldeid.
• Migratsiooniperioodid, kus üleminekuaegne koostalitlus sunnib piiratud ajaks kasutama nõrgemaid seadeid.
• Partneri või kliendi piirangud, mis ei võimalda kasutada teie eelistatud baastaset.

ISO/IEC 27001:2022 audiitorid ei nõua täiuslikkust, vaid kontrollitust. Nad hindavad, kas krüptimine on asjakohane ja järjepidev, kas võtmehaldus on juhitud ja logitud ning kas tuvastate ja haldate aktiivselt oma keskkonnas aegunud algoritme. Esimene samm on viia erandite käsitlemine vastavusse sellega, mida audiitorid eeldavad näha.

Seo erand poliitika ja riskijuhtimisega

Küps ISMS käsitleb erandeid riskikäsitluse otsustena, mitte lihtsalt tehnilise võlana. Ametlik mehhanism on krüptograafilise erandi taotlus (CER) ning seda nõudev poliitikasäte on keskne eristaja juhitud erandi ja auditileiu vahel.

Clarysec’i ettevõtetele mõeldud krüptograafiliste kontrollimeetmete poliitika nõuab: Mittestandardsete krüptograafiliste algoritmide kasutamine või ajutine kõrvalekalle heakskiidetud elutsüklipraktikatest nõuab dokumenteeritud krüptograafilise erandi taotlust (CER). Poliitikapere seob selle otse riskikäsitlusega. Seotud riskijuhtimise poliitika toetab krüptograafiliste kontrollimeetmete riskide hindamist ja dokumenteerib riskikäsitluse strateegia erandite, algoritmide aegumise või võtmete kompromiteerimise stsenaariumide jaoks.

Kui nõue on poliitikas olemas, peab iga erand olema jälgitav CER-ini, millel on juhtkonna kinnitatud riski aktsepteerimine, seotud riskiregistri kirje, kompenseerivad kontrollimeetmed ja väljumisplaan. Tutvusta neid artefakte enne, kui keegi küsib: juhata audiitor esmalt läbi oma juhtimiskorralduse ja seejärel tehnilise seisundi, kasutades Zenith Blueprintis kirjeldatud intervjuu- ja valimipõhist lähenemist.

Koosta CER auditiks valmis kontrollikirjena

Piletikommentaarid ei ole erandikirjed. CER peab olema struktureeritud, versioonihaldusega ning valimisse võetav nagu iga muu kontrollimeede. Olenemata sellest, kas see on rakendatud GRC tööriistas või kontrollitud mallina, sisaldab tugev CER järgmist:

• Erandi kokkuvõte, mis kirjeldab, mis ei vasta nõuetele ja kus see esineb.
• Kohaldamisala, andmetüübid ja see, kas erand mõjutab andmeid puhkeolekus, edastamisel või mõlemal juhul.
• Äriline põhjendus, mis seob erandi teenuse- või äripiirangutega.
• Turbemõju hinnang, sealhulgas realistlikud ohustsenaariumid, näiteks algoritmi nõrgenemise risk, MITM, nõrk räsimine või võtme kompromiteerimine.
• Kompenseerivad kontrollimeetmed, näiteks segmenteerimine, kliendisertifikaadid, lühike seansi eluiga, WAF-i reeglid, täiendav autentimine ja tõhustatud seire.
• Riskihinnang enne ja pärast kompenseerivaid kontrollimeetmeid, kooskõlas teie riskimaatriksiga.
• Omanik, st vastutav äripoole riskiomanik.
• Heakskiidud, sealhulgas infoturve, süsteemiomanik ja juhtkonna kinnitatud riski aktsepteerimine.
• Aegumiskuupäev ja läbivaatamise sagedus, mitte tähtajatu erand.
• Väljumisplaan, sealhulgas teekaart, sõltuvused, verstapostid ja tähtajad.
• Tõendusmaterjali viited, lingid konfiguratsioonidele, logidele, testitulemustele, tarnija kinnitustele ja muudatuste heakskiitudele.

Davidi puhul muutus QuickAcquire’i erand varjatud kohustusest auditiks sobivaks otsuseks siis, kui ta tõstatas CER-i avakoosolekul, pakkus tõendusmaterjali paketi välja ja kutsus audiitorit valimit tegema.

Krüptoerandi minimaalne tõendusmaterjali pakett

Audiitorid eeldavad enamat kui tehnilist hetketõmmist. Erandite puhul soovivad nad näha juhtimise ja operatiivse toimimise tõendusmaterjali. Praktiline tõendusmaterjali pakett sisaldab järgmist:

1. Täidetud CER koos heakskiitude ja aegumiskuupäevaga.
2. Seotud riskihindamine ja riskikäsitluse otsus.
3. Mõjutatud süsteemi võtmehalduse protseduurid koos võtmete genereerimise, jaotamise, rotatsiooni, juurdepääsu ja hävitamise logidega.
4. Krüptoseadete muudatuste kirjed ning testimise tõendusmaterjal, mis näitab, et muudatused valideeriti või piirangud kinnitati.
5. Kompenseerivate kontrollimeetmete seire ja tuvastamise tõendusmaterjal, sealhulgas SIEM-i reeglid ja teavituste testid.
6. Teavituskirjed, mis näitavad, et mõjutatud töötajaid teavitati kõrvalekaldest ning koolitati seireootuste osas.
7. Ajaliselt piiratud väljumisplaan koos verstapostide, kuupäevade, vajaduse korral eelarve ja omanikega.
8. Poliitika läbivaatamise ajalugu, mis tõendab krüptograafilise baastaseme ajakohasust ja algoritmide elutsükli haldust.

Need tõendusmaterjali liigid on kooskõlas ISO/IEC 27002:2022 krüptograafia ja muudatuste kontrolli suunistega.

Kasuta Zenith Blueprinti tõendusmaterjali kogumiseks ja esitamiseks

Zenith Blueprinti tõendusmaterjali meetod on lihtne ja audiitorisõbralik: intervjueeri, vaata läbi, vaatle ja võta valim. Rakenda seda eranditele:

• Intervjueeri süsteemiomanikku ja infoturbe juhti. Miks on erand vajalik, mis on pärast viimast läbivaatamist muutunud ning mis on järgmine samm väljumisplaanis.
• Vaata läbi CER, riskikirje, poliitikasäte ning tarnija või partneri piirangud. Kinnita aegumis- ja läbivaatamiskuupäevad.
• Vaatle tehnilist seisundit, s.t täpset konfiguratsiooni ja kohta, kus erand rakendub, ning seda, kus kompenseerivaid kontrollimeetmeid kasutatakse.
• Võta valim mitmest erandist, tavaliselt kolmest kuni viiest, et tõendada struktuuri, heakskiitude, läbivaatamiste, logimise ja aegumiste käsitlemise järjepidevust.

Praktiline näide: pärand-TLS-erandi muutmine auditikindlaks

Stsenaarium: Tulu seisukohalt kriitiline B2B-integratsioon nõuab vanemat TLS-šifrikomplekti, sest partneri lõpp-punkt ei suuda teie heakskiidetud seadeid kokku leppida. Ühenduse katkestamine ei ole realistlik valik.

Muuda see nelja sammuga auditeeritavaks:

1. Loo CER ja seo see riskiga. Määra 90-päevane aegumistähtaeg koos 30-päevaste läbivaatamistega, lisa partneriga peetud kirjavahetus ja seo erand äripoole omandis oleva riskiregistri kirjega.
2. Vali kompenseerivad kontrollimeetmed, mis loovad tõendusmaterjali. Piira lähte-IP-d partneri vahemikega ja säilita tulemüüri muudatuste kirjed. Võimaluse korral rakenda vastastikune TLS ja säilita sertifikaatide väljastamise kirjed. Tõhusta käepigistuse anomaaliate seiret ning säilita SIEM-i reeglite määratlused ja teavituste testid.
3. Tõenda võtmehalduse distsipliini. Näita võtmehaldussüsteemi (KMS) juurdepääsuloge, rollipõhise pääsuhalduse (RBAC) määranguid, hädaolukorra juurdepääsu kirjeid ja perioodiliste juurdepääsuõiguste ülevaatuste protokolle. Väiksemate programmide puhul on teie baastaseme nõue selgelt kirjas krüptograafiliste kontrollimeetmete poliitika VKE-versioonis: Kogu juurdepääs krüptograafilistele võtmetele tuleb logida ja säilitada auditi läbivaatamiseks ning juurdepääsuõigusi tuleb regulaarselt üle vaadata.
4. Pakenda erand. Koosta üks tõendusmaterjali kaust või PDF, mis sisaldab CER-i, riskikirjet, lüüsi konfiguratsiooni hetketõmmist, tulemüüri muudatuste pileteid, KMS-i logisid, SIEM-i reegleid ja sündmuste näidiseid, testikirjeid ning operatsioonimeeskonnale suunatud teavitusi.

Krüptograafiline paindlikkus: tõenda, et erandid on kavandatult ajutised

ISO/IEC 27002:2022 soodustab krüptograafilist paindlikkust ehk suutlikkust uuendada algoritme ja komplekte ilma terveid süsteeme ümber ehitamata. Audiitorid otsivad paindlikkuse tõendusmaterjali, mitte lubadusi:

• Poliitika läbivaatamise rütm, mis ajakohastab lubatud algoritme ja praktikaid versioonihaldusega muudatuste logide kaudu.
• Krüptouuenduste testikirjed, mis tõendavad turvalisi juurutusteid.
• Teavitused, mis informeerivad töötajaid krüptomuudatustest ja operatiivsest mõjust.
• Tööjärje üksused, mille tarne edenemine on seotud erandite aegumiskuupäevadega.

Erandite juhtimine ja digitaalne kohtuekspertiis

Erandid võivad uurimisi keerulisemaks muuta, eriti kui krüptimine või toetamata seadmed takistavad tõendusmaterjali kogumist. Clarysec’i tõendite kogumise ja digitaalse kohtuekspertiisi poliitika käsitleb seda selgete kaalutlustega toetamata või krüpteeritud seadmetest nõutava tõendusmaterjali kohta. VKE-versioon tõendite kogumise ja digitaalse kohtuekspertiisi poliitika VKE-dele arvestab praktiliste tõrkestsenaariumidega, näiteks olukorraga, kus tõendusmaterjali ei saa poliitika kohaselt koguda süsteemi krahhi või rikutud andmekandja tõttu.

Planeeri see oma CER-idesse. Lisa võimalik digitaalset kohtuekspertiisi mõjutav mõju, deponeeri vajalikud võtmed ning määratle hädaolukorra juurdepääsu ja logimise nõuded.

Raamistikeülene vastendus: üks erand, mitu vaatenurka

Reguleeritud või mitut raamistikku kasutavates keskkondades vaadeldakse sama erandit eri vaatenurkadest. Kasuta Zenith Controlsi juhendit, et hoida tõendusmaterjali pakett ühtsena.

Kuidas eri audiitorid kontrollivad ja kuidas vastata

Isegi ühe auditi jooksul võivad stiilid erineda. Valmistu igaks stiiliks ja juhi narratiivi:

• ISO/IEC 27001:2022 audiitor küsib, kus asub krüptograafiapoliitika, kus on määratletud erandiprotsess, kui sageli erandeid läbi vaadatakse, ning soovib valimit. Alusta CER-idest ja kontrollitud registrist.
• NIST-i lähtekohast hindav audiitor otsib šifrikomplektide baastasemeid, algoritmi nõrgenemise vastaseid kaitseid, võtmete genereerimise ja hävitamise protseduure ning logisid koos teavitamisega. Esita KMS-i logid, SIEM-i reeglid ja valideerimistestid.
• COBIT või ISACA audiitor keskendub sellele, kes omab riski, kes selle aktsepteeris, milline on läbivaatamise rütm ja millised mõõdikud näitavad erandite vähenemist. Esita juhtkomitee protokollid ja erandite vanuse aruanded.
• Regulatiivse vaatega läbivaataja küsib, kuidas erand mõjutab kriitiliste teenuste käideldavust ja terviklust ning kas isikuandmete avalikustumise risk suurenes. Esita vastupidavuse planeerimise artefaktid ja kindel parandusmeetmete ajakava.

Levinud vead, mis põhjustavad mittevastavusi

• Erandid ilma aegumiskuupäevata, mida tõlgendatakse juhitamata riskina.
• Puudub juhtkonna kinnitatud riski aktsepteerimine, näiteks olukorras, kus insener andis piletil heakskiidu ilma vastutava omanikuta.
• Kompenseerivad kontrollimeetmed on kirjeldatud, kuid tõendamata, näiteks seire väited ilma SIEM-i reegliteta.
• Võtmehalduse logid puuduvad või ei ole kättesaadavad.
• Poliitika ütleb üht, praktika teist, näiteks CER-id on nõutud, kuid neid ei kasutata.

Auditipäeva kontrollnimekiri krüptoerandite jaoks

• Ajakohane register loetleb kõik krüptoerandid koos CER-i tunnuste, omanike, heakskiitude, läbivaatamiskuupäevade ja aegumistähtaegadega.
• Iga erand on seotud riskikirje ja dokumenteeritud riskikäsitluse otsusega.
• Iga erandi kohta on vähemalt kaks kompenseerivat kontrollimeedet koos selge tõendusmaterjaliga.
• Juurdepääs võtmetele logitakse, logid säilitatakse ja juurdepääsuõiguste ülevaatamised tehakse.
• Krüptopoliitika läbivaatamise ajalugu on kättesaadav koos versioonihaldusega muudatustega.
• Saate võtta valimisse kolm või enam erandit ja esitada järjepideva loo.
• Teekaart näitab erandite arvu vähenemist aja jooksul.

Tarnijate ja partnerite piirangud

Paljud erandid saavad alguse väljaspool teie otsest kontrolli. Partnerid nõuavad šifrikomplekte, tarnijad viivitavad teekaartidega või omandatud süsteemid toovad kaasa tehnilise võla. Käsitle väliseid piiranguid juhtimise osana, mitte vabandustena. Nõua tarnijate kinnitusi krüptoteekaartide kohta, lisa lepingutingimused, mis määravad krüptograafilised baastasemed, ning kanna välised sõltuvused oma riskiregistrisse.

Järgmised sammud: ehita erandiprogramm ühe sprindiga

1. Inventuuri kõik krüptograafilised erandid, sealhulgas ääreteenustes peituvad erandid.
2. Loo või täienda CER-id iga erandi jaoks koos heakskiitude, aegumistähtaja ja väljumisplaanidega.
3. Seo iga CER riskiregistri kirjega, millel on vastutav omanik.
4. Koosta standardne erandi tõendusmaterjali paketi mall ja harjuta auditi valimi läbimist.
5. Valideeri valmisolek mitme vastavusraamistiku suhtes Zenith Controlsi juhendi abil.

Muuda krüptoeranditega seotud ärevus auditikindluseks. Broneeri Clarysec’iga töötuba. Ühe kaasamise käigus rakendame CER-i töövoo, erandiregistri ja auditiks valmis tõendusmaterjali paketi struktuuri. Tulemuseks on kiiremad auditid, vähem korduvaid leide ning krüptograafilised erandid, mis tõendavad juhtimist, mitte improviseerimist.