ISO 27001 juurdepääsukontrolli auditi tõendusmaterjali juhend
Auditipäeval kell 09:10 on kiiresti kasvava FinTech- ja pilveplatvormi infoturbejuhil Marial avatud juurdepääsukontrolli poliitika. IT-juht ekspordib identiteedipakkujast tingimusliku juurdepääsu seadeid. HR otsib kuus nädalat tagasi lahkunud finantsanalüütiku töösuhte lõpetamise piletit. Siseaudiitor tõstab pilgu ja esitab küsimuse, mida kõik ootasid:
„Näidake mulle, kuidas taotletakse, kiidetakse heaks, rakendatakse, vaadatakse üle ja eemaldatakse juurdepääs kasutajalt, kellel on privilegeeritud juurdepääs isikuandmetele.”
See üks lause võib näidata, kas juurdepääsukontrolli programm on auditiks valmis või eksisteerib ainult poliitikadokumendina.
Maria meeskonnal oli küps infoturbe juhtimissüsteem (ISMS), iga-aastane ISO/IEC 27001:2022 taassertifitseerimise tsükkel, kasutusel mitmefaktoriline autentimine, põhisüsteemides rollipõhine juurdepääsukontroll ning kvartalipõhised juurdepääsuõiguste läbivaatamise tabelid. Kuid see audit oli teistsugune. Audiitori päringute loend hõlmas valmisolekut uute regulatiivsete nõuete täitmiseks. Maria organisatsiooni jaoks tähendas see NIS2, DORA ja GDPR-i, mida kõiki hinnati sama tegevusliku vaate kaudu: identiteet, juurdepääs, autentimine, privileegid ja tõendusmaterjal.
Paljude infoturbejuhtide probleem ei ole selles, et juurdepääsukontroll puudub. Probleem on selles, et tõendusmaterjal on killustunud. Tööleasumise heakskiidud on Jiras või ServiceNow töövoogudes. MFA seaded on Microsoft Entra ID-s, Oktas või mõnes teises identiteedipakkujas. AWS-i, Azure’i ja Google Cloudi õigused asuvad eraldi konsoolides. Privilegeeritud tegevused võivad olla logitud PAM-i tööriistas või üldse mitte. HR-i staatus on BambooHR-is, Workdays või arvutustabelites. Juurdepääsuõiguste läbivaatamised võivad olla kinnitatud e-posti teel.
Kui audiitor seob kokku IAM-i, MFA, PAM-i, tööleasujate, ametikoha vahetajate ja lahkujate sündmused, isikuandmed, pilvehalduse ning regulatiivsed ootused, laguneb killustunud tõendusmaterjal kiiresti laiali.
ISO/IEC 27001:2022 juurdepääsukontrolli auditid ei ole pelgalt tehnilise konfiguratsiooni ülevaatused. Need on juhtimissüsteemi testid. Need hindavad, kas identiteedi- ja juurdepääsuriskid on mõistetud, käsitletud, rakendatud, seiratud ja täiustatud. Kui asjakohased on ka NIS2, DORA ja GDPR, peab sama tõendusmaterjal näitama riskipõhist juurdepääsuvalitsemist, tugevat autentimist, jälgitavaid heakskiite, õigeaegset tühistamist, privileegide piiramist, isikuandmete kaitset ja juhtkonna vastutust.
Praktiline vastus ei ole suurem kaust. Vastus on üks juurdepääsukontrolli tõendusmudel, mis algab ISMS-i kohaldamisalast ja riskist, liigub läbi poliitika ja kontrollimeetmete kavandi, jõuab IAM-i ja PAM-i tööriistadesse ning kaardistub selgelt ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ja COBIT nõuetega.
Miks on juurdepääsukontroll regulatiivne võtmekontroll
Juurdepääsukontroll on muutunud juhatuse tasandi ja järelevalveasutustele suunatud teemaks, sest konto kompromiteerimine on nüüd levinud tee tegevushäirete, isikuandmetega seotud rikkumiste, pettuste ja tarneahela riskikokkupuuteni.
NIS2 kohaldamisalasse kuuluvad Article 2 ja Article 3 koos Annex I ja Annex II-ga paljud loetletud sektorite keskmise suurusega ja suuremad üksused kui olulised või tähtsad üksused. See hõlmab digitaalset taristut ja IKT-teenuste halduse pakkujaid, näiteks pilveteenuse pakkujaid, andmekeskuse teenusepakkujaid, hallatud teenuse pakkujaid ja hallatud turbeteenuse pakkujaid. Liikmesriigid pidid NIS2 üle võtma 2024. aasta oktoobriks ja rakendama riiklikke meetmeid alates 2024. aasta oktoobrist; üksuste loendid pidid valmima 2025. aasta aprillis. Article 20 paneb juhtorganitele vastutuse küberturvalisuse riskijuhtimismeetmete heakskiitmise ja rakendamise järelevalve eest. Article 21 nõuab tehnilisi, tegevuslikke ja organisatsioonilisi meetmeid, sealhulgas juurdepääsukontrolli poliitikaid, varahaldust, küberhügieeni, intsidentide käsitlemist, talitluspidevust, tarneahela turvet ning vajaduse korral MFA-d või pidevat autentimist.
DORA lisab finantsüksustele ja asjakohastele IKT kolmandatest isikutest teenuseosutajatele sektoripõhise operatsioonilise toimepidevuse kihi. Article 1, Article 2 ja Article 64 sätestavad DORA ühtse raamistikuna, mida kohaldatakse alates 17. jaanuarist 2025. Article 5 ja Article 6 nõuavad juhtimist ning dokumenteeritud IKT-riski juhtimise raamistikku. Article 9 käsitleb kaitset ja ennetust, sealhulgas IKT turvapoliitikaid, protseduure, protokolle ja tööriistu. Article 24 kuni Article 30 lisavad digitaalse operatsioonilise toimepidevuse testimise ja IKT kolmandate isikute riskijuhtimise. Finantsüksuste puhul muutub juurdepääsukontrolli tõendusmaterjal toimepidevuse tõendusmaterjaliks, mitte üksnes IT-halduse tõendiks.
GDPR lisab isikuandmete vaate. Article 2 ja Article 3 määratlevad laia kohaldatavuse EL-is toimuvale töötlemisele ja EL-i turule suunatud tegevusele. Article 5 nõuab terviklust, konfidentsiaalsust ja tõendatavat vastutust. Article 25 nõuab lõimitud andmekaitset ja vaikimisi andmekaitset. Article 32 nõuab asjakohaseid tehnilisi ja korralduslikke meetmeid. Praktikas tähendab see kontrollitud juurdepääsu, turvalist autentimist, logimist, läbivaatamist ja õigeaegset eemaldamist süsteemides, mis töötlevad isikuandmeid.
ISO/IEC 27001:2022 annab organisatsioonidele juhtimissüsteemi mehhanismi nende kohustuste ühendamiseks. Punktid 4.1 kuni 4.3 nõuavad, et organisatsioon mõistaks konteksti, huvitatud osapooli, õiguslikke ja lepingulisi nõudeid, liideseid, sõltuvusi ja ISMS-i kohaldamisala. Punktid 6.1.1 kuni 6.1.3 nõuavad infoturbe riskihindamist, riskikäsitlust, lisa A võrdlust, kohaldatavusdeklaratsiooni ning käsitlusplaanide ja jääkriski heakskiitu. Punkt 8.1 nõuab tegevuse ohjet, dokumenteeritud teavet, mis näitab protsesside toimumist plaanipäraselt, muudatuste ohjet ning kontrolli väljastpoolt osutatavate protsesside üle.
Auditi küsimus ei ole seega „Kas teil on MFA?”. Küsimus on „Kas te suudate kohaldamisalasse kuuluvate identiteetide ja süsteemide kohta tõendada, et juurdepääsurisk on juhitud, käsitletud, rakendatud, seiratud ja täiustatud?”
Loo tõendusmaterjali selgroog ISMS-i kohaldamisalast IAM-i tõenditeni
Clarysec alustab juurdepääsukontrolli auditi ettevalmistust sellega, et tõendusmaterjal muudetakse jälgitavaks juba ärikontekstist alates. ISO/IEC 27001:2022 eeldab, et ISMS on integreeritud organisatsiooni protsessidesse ja kohandatud organisatsiooni vajadustele. 30 töötajaga SaaS-tarnijal ja rahvusvahelisel pangal ei ole sama juurdepääsuarhitektuur, kuid mõlemad vajavad sidusat tõendusmaterjali ahelat.
| Tõendusmaterjali kiht | Mida see tõendab | Tüüpilised lähteandmete süsteemid | Vastavusraamistikeülene väärtus |
|---|---|---|---|
| ISMS-i kohaldamisala ja huvitatud osapoolte nõuded | Millised süsteemid, andmed, regulatsioonid ja kolmandate osapoolte sõltuvused kuuluvad kohaldamisalasse | ISMS-i kohaldamisala, vastavusregister, andmeregister, tarnijaregister | Toetab ISO/IEC 27001:2022 punkte 4.2 ja 4.3, NIS2 kohaldamisala määratlust, DORA IKT-sõltuvuste kaardistamist, GDPR-i vastutust |
| Juurdepääsuriski hindamine | Miks IAM, MFA, PAM ja läbivaatamised on riski alusel vajalikud | Riskiregister, ohustsenaariumid, riskikäsitlusplaan | Toetab ISO/IEC 27001:2022 punkti 6.1, ISO/IEC 27005:2022, DORA IKT-riski raamistikku, NIS2 riskimeetmeid |
| Poliitika ja standardid | Mida organisatsioon nõuab | Juurdepääsukontrolli poliitika, privilegeeritud juurdepääsu poliitika, tööleasumise ja töösuhte lõpetamise poliitika | Muudab regulatiivsed ootused rakendatavateks sisereegliteks |
| IAM-i ja PAM-i konfiguratsioon | Kas kontrollimeetmed on tehniliselt rakendatud | IdP, HRIS, ITSM, PAM, pilve IAM, SaaS-i halduskonsoolid | Tõendab vähima privileegi põhimõtet, MFA-d, RBAC-i, heakskiidu töövooge ja privilegeeritud seansside kontrolle |
| Läbivaatamise ja seire kirjed | Kas juurdepääs jääb aja jooksul asjakohaseks | Juurdepääsu läbivaatamise kampaaniad, SIEM, PAM-i logid, juhtide kinnitused | Tõendab kontrollimeetmete pidevat toimimist, DORA seiret, NIS2 küberhügieeni, GDPR-i andmete minimaalsust |
| Lahkumisprotsessi ja erandite kirjed | Kas juurdepääs eemaldatakse ja erandid on kontrollitud | HR-i töösuhte lõpetamise loend, deaktiveerimislogid, erandiregister | Tõendab õigeaegset tühistamist, jääkriski aktsepteerimist ja rikkumiste ennetamist |
ISO/IEC 27005:2022 on kasulik, sest soovitab koondada õiguslikud, regulatiivsed, lepingulised, sektoripõhised ja sisemised nõuded ühisesse riskikonteksti. Punktid 6.4 ja 6.5 rõhutavad riskikriteeriume, mis arvestavad organisatsiooni eesmärke, seadusi, tarnijasuhteid ja piiranguid. Punktid 7.1 ja 7.2 võimaldavad sündmuspõhiseid ja varapõhiseid stsenaariume. Juurdepääsukontrolli puhul tähendab see strateegiliste stsenaariumide, näiteks „privilegeeritud SaaS-i administraator ekspordib EL-i kliendiandmed”, hindamist koos varastsenaariumidega, näiteks „omanikuta AWS IAM-i võti on seotud tootmiskeskkonna andmesalvestusega”.
Claryseci Zenith Blueprint: audiitori 30-sammuline teekaart raames ehitatakse see tõendusmaterjali selgroog välja etapis Controls in Action. Samm 19 keskendub lõppseadmete ja juurdepääsuhalduse tehnilistele kontrollimeetmetele, samas kui samm 22 vormistab organisatsioonilise juurdepääsu elutsükli.
Zenith Blueprint juhendab meeskondi kontrollima, et juurdepääsuõiguste andmine ja eemaldamine oleks struktureeritud, võimaluse korral HR-iga integreeritud, toetatud juurdepääsutaotluste töövoogudega ning kord kvartalis üle vaadatud. Samuti suunab see organisatsioone dokumenteerima identiteeditüüpe, rakendama kontrollimeetmeid individuaalsete, jagatud ja teenuseidentiteetide jaoks, kasutama tugevaid paroolipoliitikaid ja MFA-d, kõrvaldama kasutuseta kontod ning hoidma teenuse autentimisandmeid turvalises hoidlas või dokumentatsioonis.
Täpselt nii testivad audiitorid juurdepääsukontrolli: üks identiteet, üks süsteem, üks heakskiit, üks privileeg, üks läbivaatamine ja üks tühistamine korraga.
Mida koguda auditivalmis juurdepääsukontrolli tõendusmaterjali jaoks
Juurdepääsukontrolli tõendusmaterjali pakett peab võimaldama audiitoril valida mis tahes kasutaja ja jälgida kogu elutsüklit: taotlus, heakskiit, määramine, autentimine, privilegeeritud õiguste tõstmine, seire, läbivaatamine ja tühistamine.
Tugev tõendusmaterjali pakett sisaldab järgmist:
- Juurdepääsukontrolli poliitika ja kasutajakontode poliitika
- Tööleasujate, ametikoha vahetajate ja lahkujate protseduur
- Rollimaatriks või juurdepääsukontrolli maatriks
- Kohaldamisalasse kuuluvate rakenduste, platvormide ja andmehoidlate loend
- Identiteedipakkuja MFA konfiguratsioon
- Tingimusliku juurdepääsu poliitikad ja erandite loend
- Privilegeeritud kontode register
- PAM-i töövoo tõendusmaterjal, sealhulgas heakskiidud ja seansilogid
- Hiljutise juurdepääsu läbivaatamise kampaania väljund
- Juhtide kinnituste ja parandusmeetmete näidised
- HR-i töösuhte lõpetamise aruanne, mis on vastendatud deaktiveerimislogidega
- Teenusekontode register, omanikud, rotatsioonikirjed ja hoidla tõendusmaterjal
- Hädaolukorra juurdepääsukonto protseduur ja testilogi
- Intsidendi või hoiatuse tõendusmaterjal ebaõnnestunud sisselogimiste, õiguste eskaleerimise või kasutuseta kontode kohta
- Kohaldatavusdeklaratsiooni kanded juurdepääsuga seotud lisa A kontrollimeetmete kohta
Claryseci poliitikad teevad selle ootuse selgesõnaliseks. VKE-dele mõeldud Access Control Policy-sme sätestab nõude lihtsalt ja auditi vaates:
„Kõigi juurdepääsuõiguste andmiste, muudatuste ja eemaldamiste kohta tuleb säilitada turvaline kirje.”
Jaotisest „Poliitika rakendamise nõuded”, punkt 6.1.1.
Sama VKE poliitika seob RBAC-i ja MFA otse rollivastutustega:
„Rakendab rollipõhist juurdepääsukontrolli (RBAC) ja jõustab tugeva autentimise (nt mitmefaktoriline autentimine (MFA)).”
Jaotisest „Rollid ja vastutused”, punkt 4.2.3.
Suuremate organisatsioonide puhul nõuab ettevõtte Onboarding and Termination Policy, et IAM-süsteem logiks kontode loomise, rollide ja õiguste määramise ning deaktiveerimise sündmused, toetaks rollipõhiseid juurdepääsumalle ning integreeruks HR-süsteemidega tööleasujate, ametikoha vahetajate ja lahkujate käivitajate jaoks. See punkt aitab auditi loo esitada ühes kohas: standardiseeritud tööleasumine, HR-i käivitatud identiteedi elutsükkel ja jälgitavad IAM-i sündmused.
Kaardista IAM, MFA, PAM ja läbivaatamised ISO/IEC 27001:2022 kontrollimeetmetega
Claryseci Zenith Controls: ristvastavuse juhend käsitleb juurdepääsukontrolli seotud kontrollimeetmete perekonnana, mitte kontrollnimekirja punktina. ISO/IEC 27001:2022 jaoks on kõige asjakohasemad kontrollimeetmed järgmised:
- Kontroll 5.15, juurdepääsukontroll
- Kontroll 5.16, identiteedihaldus
- Kontroll 5.17, autentimisteave
- Kontroll 5.18, juurdepääsuõigused
- Kontroll 8.2, privilegeeritud juurdepääsuõigused
- Kontroll 8.3, teabele juurdepääsu piiramine
- Kontroll 8.5, turvaline autentimine
- Kontroll 8.15, logimine
- Kontroll 8.16, seiretegevused
Autentimisteabe puhul kaardistab Zenith Controls kontrolli 5.17 ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning mille operatiivne võimekus on identiteedi- ja juurdepääsuhaldus. See seostub otseselt identiteedihalduse, turvalise autentimise, rollide ja vastutuste, lubatud kasutuse ning poliitikate järgimisega. Autentimisandmete turve hõlmab autentikaatori elutsüklit, turvalist väljastamist, hoidmist, lähtestamist, tühistamist, MFA tokeneid, privaatvõtmeid ja teenuse autentimisandmeid.
Juurdepääsuõiguste puhul kaardistab Zenith Controls kontrolli 5.18 ametliku andmise, läbivaatamise, muutmise ja tühistamisega. See seostub juurdepääsukontrolli, identiteedihalduse, ülesannete lahususe, privilegeeritud juurdepääsuõiguste ja vastavuse seirega. See on kontrollimeede, mis muudab vähima privileegi põhimõtte tõendusmaterjaliks.
Privilegeeritud juurdepääsuõiguste puhul kaardistab Zenith Controls kontrolli 8.2 kõrgendatud õigustega kontode eririskiga, sealhulgas domeeniadministraatorid, juurkasutajad, pilvekeskkondade administraatorid, andmebaaside superkasutajad ja CI/CD kontrollerid. Juhend seob privilegeeritud juurdepääsu identiteedihalduse, juurdepääsuõiguste, teabele juurdepääsu piiramise, turvalise autentimise, kaugtöö, logimise ja seirega.
| Auditi teema | ISO/IEC 27001:2022 juurdepääsu tõendusmaterjal | NIS2 kaardistus | DORA kaardistus | GDPR kaardistus |
|---|---|---|---|---|
| IAM-i elutsükkel | Tööleasujate, ametikoha vahetajate ja lahkujate töövoog, juurdepääsutaotlused, heakskiidud, rollimallid, deaktiveerimislogid | Article 21 riskijuhtimismeetmed, juurdepääsukontrolli poliitikad ja varahaldus | Article 5, Article 6 ja Article 9 juhtimine, IKT-riski raamistik, loogiline turve ja juurdepääsukontroll | Article 5, Article 25 ja Article 32 vastutus, andmete minimaalsus ja turvalisus |
| MFA | IdP poliitika, tingimusliku juurdepääsu kuvatõmmised, MFA registreerimisstatistika, erandite heakskiidud | Article 21(2)(j) MFA või vajaduse korral pidev autentimine | Turvaline juurdepääs kriitilistele IKT-süsteemidele ja IKT-riski kontrollimeetmed | Asjakohased tehnilised meetmed loata juurdepääsu vastu |
| PAM | Privilegeeritud kontode register, heakskiidud, JIT-õiguste tõstmine, seansilogid, hoidla rotatsioon | Article 21(2)(i) riskipõhine juurdepääsukontroll ja varahaldus | IKT-süsteemide kaitse, operatsiooniline toimepidevus ja seire | Isikuandmetele kõrgendatud juurdepääsu piiramine ja auditeerimine |
| Juurdepääsuõiguste läbivaatamised | Kvartaalsed või poolaastased läbivaatamise kirjed, juhtide kinnitused, parandusmeetmete piletid | Küberhügieen, juurdepääsukontrolli poliitikad ja varahaldus | Pidev seire, rollipõhine juurdepääs ja tühistamisprotsessid | Vaikimisi andmekaitse ja tõendatav vastutus |
| Lahkumisprotsess | HR-i töösuhte lõpetamise loend, konto lukustamise või kustutamise tõendusmaterjal, tokenite tühistamine | Mittevajaliku juurdepääsu õigeaegne eemaldamine | IKT-juurdepääsu kontroll kogu elutsükli jooksul | Loata juurdepääsu ennetamine isikuandmetele |
Üks hästi koostatud juurdepääsuõiguste läbivaatamise aruanne võib toetada ISO/IEC 27001:2022, NIS2, DORA ja GDPR nõudeid, kui see sisaldab kohaldamisala, süsteemiomanikku, läbivaatajat, kontode loendit, rolli põhjendust, privilegeerituse märget, otsuseid, eemaldamisi, erandeid ja lõpetamise kuupäeva.
MFA tõendusmaterjal on enamat kui kuvatõmmis
Levinud auditivea näide on kuvatõmmise esitamine, kus on kirjas „MFA lubatud”. Audiitorid vajavad rohkemat. Nad peavad teadma, kus MFA rakendub, kes on välja arvatud, kuidas erandeid heaks kiidetakse, kas privilegeeritud kontod on kaetud ja kas tehniline konfiguratsioon vastab poliitikale.
Zenith Blueprinti Controls in Action etapi sammu 19 järgi küsivad audiitorid, kuidas parooli- ja MFA-poliitikaid jõustatakse, millised süsteemid on kaitstud, kellele MFA rakendub ning kas kriitilisi rakendusi saab testkontoga kontrollida. Tõendusmaterjal võib hõlmata IdP konfiguratsiooni, tingimusliku juurdepääsu poliitikaid, MFA registreerimisstatistikat ja parooli lähtestamise protseduure.
Ettevõttekeskkondade jaoks sätestab Claryseci User Account and Privilege Management Policy:
„Kui see on tehniliselt teostatav, on mitmefaktoriline autentimine (MFA) kohustuslik järgmiste puhul: 6.3.2.1 haldus- ja juurtaseme kontod 6.3.2.2 kaugjuurdepääs (VPN, pilveplatvormid) 6.3.2.3 juurdepääs tundlikele või reguleeritud andmetele”
Jaotisest „Poliitika rakendamise nõuded”, punkt 6.3.2.
See loob otsese auditisilla. Kui MFA on kohustuslik administraatorikontode, kaugjuurdepääsu ja reguleeritud andmete puhul, peab tõendusmaterjali pakett sisaldama haldus- ja juurtaseme kontode loendeid, kaugjuurdepääsu konfiguratsiooni, pilveplatvormi tingimusliku juurdepääsu poliitikaid, tundlike andmete rakenduste loendeid, MFA registreerimisaruandeid, erandite heakskiite, kompenseerivaid kontrollimeetmeid ning hiljutist tõendusmaterjali ebaõnnestunud sisselogimiste või MFA-st möödahiilimise katsete hoiatuste läbivaatamise kohta.
NIST SP 800-53 Rev. 5 vaates on see kooskõlas kontrollidega IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access ja AU-2 Event Logging. COBIT 2019 puhul toetab see praktikat DSS05.04 Manage user identity and logical access ning seotud turvaseire praktikaid.
Toetavad ISO standardid laiendavad pilti. ISO/IEC 27018:2020 laiendab autentimise ootusi avalikule pilvele, kus töödeldakse isikuandmeid. ISO/IEC 24760-1:2019 toetab autentikaatori sidumist ja elutsükli haldust. ISO/IEC 29115:2013 tutvustab autentimiskindluse tasemeid, mis on kasulikud otsustamisel, kus on vajalikud riistvaratokenid või andmepüügikindel MFA. ISO/IEC 27033-1:2015 toetab tugevat võrguautentimist kaug- või võrkudevahelise juurdepääsu jaoks.
PAM-i tõendusmaterjal on kiireim tee olulise leiuni või puhta auditini
Privilegeeritud juurdepääs on koht, kus audiitorid muutuvad skeptiliseks, sest privilegeeritud kontod võivad kontrollimeetmetest mööda minna, andmeid välja viia, püsivust luua ja logisid muuta. Zenith Blueprinti sammus 19 on öeldud:
„Igas infosüsteemis on privilegeeritud juurdepääs võim ja selle võimuga kaasneb risk.”
Juhis keskendub sellele, kellel on privilegeeritud juurdepääs, mida see võimaldab, kuidas seda hallatakse ja kuidas seda aja jooksul seiratakse. See soovitab ajakohast registrit, vähima privileegi põhimõtet, RBAC-i, ajapõhist või vajaduspõhist ajutist õiguste tõstmist, heakskiidu töövooge, unikaalseid nimelisi kontosid, jagatud kontode vältimist, hädaolukorra juurdepääsu logimist, PAM-süsteeme, autentimisandmete rotatsiooni, hoidlas hoidmist, seansside salvestamist, ajutist õiguste tõstmist, seiret ja regulaarset läbivaatamist.
Claryseci ettevõtte Access Control Policy muudab selle kontrollinõudeks:
„Haldusjuurdepääsu tuleb rangelt kontrollida järgmiste meetmete kaudu: 5.4.1.1 eraldi privilegeeritud kontod 5.4.1.2 seansside seire ja salvestamine 5.4.1.3 mitmefaktoriline autentimine 5.4.1.4 ajaliselt piiratud või töövoo käivitatud õiguste tõstmine”
Jaotisest „Juhtimisnõuded”, punkt 5.4.1.
See tsitaat on peaaegu auditi testiskript. Kui poliitika nõuab eraldi administraatorikontosid, näita privilegeeritud kontode loendit ja tõenda, et iga konto on seotud nimelise isikuga. Kui see nõuab seansside seiret, näita salvestatud seansse või PAM-i logisid. Kui see nõuab MFA-d, näita jõustamist iga privilegeeritud juurdepääsutee kohta. Kui see nõuab ajaliselt piiratud õiguste tõstmist, näita aegumistähtaegu ja heakskiidupileteid.
VKE versioon on sama otsene. User Account and Privilege Management Policy-sme sätestab:
„Kõrgendatud või administraatoriõigused nõuavad täiendavat heakskiitu tegevjuhilt või IT-juhilt ning need peavad olema dokumenteeritud, ajaliselt piiratud ja perioodiliselt läbi vaadatud.”
Jaotisest „Poliitika rakendamise nõuded”, punkt 6.2.2.
Väiksemate organisatsioonide puhul on see sageli erinevus väidete „me usaldame oma administraatorit” ja „me kontrollime privilegeeritud riski” vahel. Audiitor ei nõua igalt VKE-lt ettevõtte tasemel tööriistu, kuid nõuab riskiga proportsionaalset tõendusmaterjali. Pilet, heakskiit, ajutine grupimäärang, MFA jõustamine ja läbivaatamise kirje võivad olla piisavad, kui kohaldamisala on piiratud ja risk madalam.
Juurdepääsuõiguste läbivaatamine tõendab vähima privileegi põhimõtte toimimist
Juurdepääsuõiguste läbivaatamine näitab, kas õigused kogunevad märkamatult. Samuti näitab see, kas juhid mõistavad tegelikku juurdepääsu, mis nende meeskondadel on.
Ettevõtte User Account and Privilege Management Policy nõuab:
„IT-turbe funktsioon peab koostöös osakonnajuhtidega tegema kõigi kasutajakontode ja seotud õiguste kvartaalset läbivaatamist.”
Jaotisest „Poliitika rakendamise nõuded”, punkt 6.5.1.
VKE-de puhul sätestab User Account and Privilege Management Policy-sme proportsionaalse sageduse:
„Kõigi kasutajakontode ja õiguste läbivaatamine tuleb teha iga kuue kuu järel.”
Jaotisest „Poliitika rakendamise nõuded”, punkt 6.4.1.
Usaldusväärne juurdepääsuõiguste läbivaatamine sisaldab süsteemi nime, kohaldamisala, läbivaataja nime, ekspordi kuupäeva, läbivaatamise kuupäeva, identiteedi omanikku, osakonda, juhti, töösuhte staatust, rolli või õigust, privilegeerituse märget, andmete tundlikkuse märget, otsust, parandusmeetme piletit, sulgemiskuupäeva, erandi omanikku ja erandi aegumiskuupäeva.
Zenith Controlsi vaates on juurdepääsuõigused 5.18 koht, kus sellest saab vastavusraamistikeülene tõendusmaterjal. Juhend kaardistab juurdepääsuõigused GDPR Article 25-ga, sest juurdepääs peab olema kavandatult ja vaikimisi piiratud. See kaardistub NIS2 Article 21(2)(i)-ga, sest juurdepääsukontrolli poliitikad ja varahaldus nõuavad riskipõhist määramist, mittevajaliku juurdepääsu õigeaegset eemaldamist ja ametlikku tühistamist. See kaardistub DORA-ga, sest finantsvaldkonna IKT-süsteemid vajavad rollipõhist juurdepääsu, seiret ja tühistamisprotsesse.
NIST-i vaatega audiitorid testivad seda sageli kontrollide AC-2 Account Management, AC-5 Separation of Duties ja AC-6 Least Privilege kaudu. COBIT 2019 audiitorid vaatavad DSS05.04 Manage user identity and logical access ning DSS06.03 Manage roles, responsibilities, access privileges and levels of authority poole. ISACA ITAF audiitorid keskenduvad sellele, kas tõendusmaterjal on piisav, usaldusväärne ja täielik.
Lahkumisprotsessi ja tokenite tühistamist on lihtne valimisse võtta
Lahkujad on üks lihtsamaid kohti elutsükli toimimise tõendamiseks. Audiitorid valivad sageli hiljuti töösuhte lõpetanud töötaja ja küsivad HR-i töösuhte lõpetamise kirjet, piletit, konto keelamise logi, SaaS-i deaktiveerimise tõendusmaterjali, VPN-i eemaldamist, MFA tühistamist, API tokeni eemaldamist ja vara tagastamist.
Clarysec sätestab Onboarding and Termination Policy-sme dokumendis:
„Lõpetatud kontod tuleb lukustada või kustutada ning nendega seotud juurdepääsutokenid tuleb tühistada, sealhulgas kaugjuurdepääs (VPN), MFA-rakenduse sidumised ja API-tokenid.”
Jaotisest „Poliitika rakendamise nõuded”, punkt 6.3.3.
See on oluline, sest tänapäevane juurdepääs ei ole ainult kasutajanimi ja parool. Juurdepääs võib püsida värskendustokenite, API-võtmete, SSH-võtmete, OAuthi lubade, teenusekontode, kohalike administraatoriõiguste, mobiiliseansside ja kolmanda osapoole portaalide kaudu. HR-i deaktiveeritud kirje ilma tokenite tühistamiseta on mittetäielik tõendusmaterjal.
Zenith Blueprinti Controls in Action etapi samm 16 juhendab organisatsioone olema valmis dokumenteeritud töösuhte lõpetamise kontrollnimekirjaga, hiljutise lahkuja tõendusmaterjaliga, kasutajakonto keelamise logiga AD-st või MDM-ist, allkirjastatud varade tagastusvormiga ning lahkumisprotsessi dokumentatsiooniga, mis sisaldab konfidentsiaalsuskohustusi.
Maria audiitor küsis lahkuvat vanemarendajat, kellel oli privilegeeritud juurdepääs tootmiskeskkonna andmebaasidele. Tema meeskond esitas Onboarding and Termination Policy-sme, Zenith Blueprinti sammu 16 alusel koostatud töösuhte lõpetamise kontrollnimekirja, HR-i käivitatud ITSM-pileti, kataloogiteenuse keelamise logi, VPN-sertifikaadi tühistamise, GitHubi organisatsioonist eemaldamise, AWS IAM-i võtme kustutamise ja IT-juhi allkirjastatud suletud verifitseerimispileti. Tõendusmaterjal oli täielik, õigeaegne ja otseselt poliitikaga seotud.
Tee kolme valimi tõendussprint enne audiitorit
Praktiline valmisolekuharjutus on valida enne auditit kolm valimit:
- Uus töötaja, kes liitus viimase 90 päeva jooksul
- Privilegeeritud kasutaja, kellel on administraatorijuurdepääs pilvele, andmebaasile, tootmiskeskkonnale või IAM-ile
- Lahkuja või rolli muutnud töötaja viimase 90 päeva jooksul
| Valim | Kogutav tõendusmaterjal | Läbimise tingimus | Levinud leid |
|---|---|---|---|
| Uus töötaja | HR-i tööleasumise kirje, juurdepääsutaotlus, heakskiit, rollimäärang, MFA registreerimine, esimene sisselogimine | Juurdepääs antakse alles pärast heakskiitu ja see vastab rollile | Juurdepääs anti enne heakskiitu või roll on liiga lai |
| Privilegeeritud kasutaja | Äripõhjendus, eraldi administraatorikonto, MFA tõend, PAM-i heakskiit, seansilogi, kvartaalne läbivaatamine | Privileeg on nimeline, põhjendatud, võimaluse korral ajaliselt piiratud, seiratud ja läbi vaadatud | Jagatud administraatorikonto, puuduv MFA, seansitõendid puuduvad |
| Lahkuja või ametikoha vahetaja | HR-i sündmus, töösuhte lõpetamise või rollimuudatuse pilet, deaktiveerimislogid, VPN-i eemaldamine, MFA või API tokeni tühistamine, läbivaatamise sulgemine | Juurdepääs eemaldatakse kiiresti ja täielikult | SaaS-i konto on endiselt aktiivne, API tokenit ei tühistatud, vana grupiliikmesus säilis |
Seejärel seo iga valim ISMS-i kirjetega: riskistsenaarium, käsitlusotsus, kohaldatavusdeklaratsiooni kontrollimeetme valik, poliitika punkt, tehniline konfiguratsioon, läbivaatamise kirje ja parandusmeede, kui lünk on olemas.
See muudab auditi ettevalmistuse dokumentide kogumisest kontrollimeetmete verifitseerimiseks.
Valmistu eri auditivektoriteks
Erineva taustaga audiitorid esitavad erinevaid küsimusi ka siis, kui tõendusmaterjal on sama.
| Audiitori vaade | Põhifookus | Oodatav tõendusmaterjal |
|---|---|---|
| ISO/IEC 27001:2022 audiitor | ISMS-i protsess, riskikäsitlus ja kontrollimeetmete toimimine | Riskihindamine, kohaldatavusdeklaratsioon (SoA), heakskiidetud poliitikad, juurdepääsutaotlused, läbivaatamise kirjed, deaktiveerimislogid |
| ISO/IEC 19011:2018 auditipraktika | Valimi võtmine, kinnitamine ja järjepidevus | Parooliseaded, lukustuslävendid, heakskiidu ajatemplid, täitmise kirjed, intervjuud |
| ISO/IEC 27007:2020 ISMS-i audiitor | ISMS-i auditi läbiviimine ja tõhusus | Rollimääratluste võrdlus tegelike õigustega, privilegeeritud heakskiitude jäljed, tühistamislogid |
| NIST-i fookusega hindaja | Tehniline rakendamine ja kontrollimeetmete testimine | AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 ja AU-2 tõendusmaterjal IAM-i, PAM-i ja SIEM-i tööriistadest |
| COBIT 2019 või ISACA audiitor | Juhtimine, omandiõigus ja tõendusmaterjali usaldusväärsus | DSS05.04 ja DSS06.03 protsessitõendid, mõõdikud, erandid, parandusmeetmete jälgimine |
| DORA läbivaataja | IKT-risk, toimepidevus ja kriitilisus | Kriitiliste süsteemide juurdepääsuloendid, privilegeeritud juurdepääsu seire, kolmanda osapoole administraatorikontrollid, seosed toimepidevuse testidega |
| NIS2 läbivaataja | Juhtkonna vastutus ja riskimeetmed | Juhatuse järelevalve, Article 21 juurdepääsukontrolli meetmed, MFA katvus, intsidendivalmidus |
| GDPR läbivaataja | Isikuandmete konfidentsiaalsus ja vastutus | Isikuandmetele juurdepääsu piirangud, Article 25 vaikimisi andmekaitse tõendusmaterjal, Article 32 turvameetmed |
Tõendusmaterjali ettevalmistamine kõigi nende vaadete jaoks näitab küpset vastavusprogrammi ja vähendab dubleerivat tööd.
Levinud leiud ja ennetavad tegevused
Juurdepääsukontrolli leiud on etteaimatavad. Sama kehtib ennetavate tegevuste kohta.
| Leid | Miks see on oluline | Ennetus |
|---|---|---|
| Juurdepääsuõiguste läbivaatamised on olemas, kuid privilegeeritud kontod on välja jäetud | Administraatoriõigused loovad suurima mõjuga riski | Lisa igasse läbivaatamisse privilegeerituse märge, PAM-i kirjed ja administraatorigrupid |
| MFA on töötajatele lubatud, kuid mitte kasutajatoele, töövõtjatele või pilveadministraatoritele | Ründajad sihivad erandeid | Säilita MFA katvuse aruanne ja erandiregister koos aegumiskuupäevadega |
| Tööleasuja protsess on dokumenteeritud, kuid ametikoha vahetajaid ei hallata | Rollide kuhjumine tekib pärast rollimuudatusi | Käivita juurdepääsuõiguste läbivaatamine iga osakonna või rolli muutuse korral |
| Jagatud administraatorikontod on olemas ilma kompenseerivate kontrollimeetmeteta | Vastutus on nõrk | Asenda need nimeliste administraatorikontodega või rakenda hoidlast väljastamine ja seansside logimine |
| Lahkujad on kataloogis keelatud, kuid SaaS-platvormidel aktiivsed | Juurdepääs püsib väljaspool põhilist IdP-d | Säilita rakenduste register ja lahkumisprotsessi kontrollnimekiri iga süsteemi kohta |
| Teenusekontode paroolid on teadmata või neid ei roteerita kunagi | Mitte-inimidentiteedid muutuvad varjatud tagaukseks | Määra omanikud, hoia saladusi hoidlas, roteeri autentimisandmeid ja vaata kasutuslogid üle |
| Poliitika nõuab kvartaalset läbivaatamist, kuid tõendusmaterjal näitab iga-aastast läbivaatamist | Poliitika ja praktika lahknevad | Kohanda sagedus riski alusel või jõusta dokumenteeritud nõue |
| Juurdepääsu heakskiidud on e-postis ilma säilitamisreeglita | Auditijälg on habras | Kasuta ITSM-i töövooge ja poliitikaga kooskõlas olevat säilitamist |
Ettevõtte Access Control Policy lisab säilitamisnõude, mis ennetab üht levinumat tõendusmaterjali puudust:
„Heakskiiduotsused tuleb logida ja säilitada auditi eesmärgil vähemalt 2 aastat.”
Jaotisest „Juhtimisnõuded”, punkt 5.3.2.
Kui heakskiidud kaovad pärast e-posti puhastamist, võis kontrollimeede küll toimida, kuid audit ei saa sellele tugineda. Säilitamine on osa kontrollimeetme kavandist.
Juhtkonna vastutus vajab juurdepääsumõõdikuid
NIS2 Article 20 ja DORA Article 5 ja Article 6 muudavad juurdepääsukontrolli juhtkonna teemaks, sest identiteedi kompromiteerimine võib muutuda tegevushäireks, regulatiivseks teavituseks, isikuandmetega seotud rikkumiseks ja kliendikahjuks. ISO/IEC 27001:2022 punktid 5.1 kuni 5.3 nõuavad samuti, et tippjuhtkond seoks ISMS-i äristrateegiaga, tagaks ressursid, kommunikeeriks tähtsust, määraks vastutused ja edendaks pidevat täiustamist.
Kasulikud juurdepääsukontrolli mõõdikud on näiteks:
- SSO-ga kaetud kriitiliste süsteemide osakaal
- MFA-ga kaetud privilegeeritud kontode osakaal
- Püsivate privilegeeritud kontode arv võrreldes JIT-kontodega
- Juurdepääsuõiguste läbivaatamise lõpetamise määr
- Tühistatud ülemääraste õiguste arv
- Lahkujate deaktiveerimise SLA täitmine
- Kasutuseta kontode arv
- Teenusekontode omanike katvus
- PAM-i seansisalvestuse katvus
- MFA erandite arv ja vanus
Need mõõdikud aitavad juhtkonnal riskikäsitlust heaks kiita ja järelevalvet tõendada. Samuti muudavad need auditid usaldusväärsemaks, sest organisatsioon saab näidata, et juurdepääsukontrolli seiratakse elava riskina, mitte ei avastata seda uuesti enne iga auditit.
Muuda killustunud tõendusmaterjal auditikindluseks
Kui ISO/IEC 27001:2022 juurdepääsukontrolli tõendusmaterjal on killustunud HR-i, ITSM-i, IAM-i, PAM-i, pilvekonsoolide ja arvutustabelite vahel, ei ole järgmine samm järjekordne poliitika ümberkirjutamine. Järgmine samm on tõendusmaterjali arhitektuur.
Alusta sellest järjestusest:
- Määratle kohaldamisalasse kuuluvad süsteemid, identiteedid ja andmed.
- Kaardista NIS2, DORA, GDPR ja lepingulised nõuded ISMS-i konteksti.
- Kasuta ISO/IEC 27005:2022-stiilis riskistsenaariume, et prioriseerida IAM, MFA, PAM ja juurdepääsuõiguste läbivaatamised.
- Uuenda kohaldatavusdeklaratsiooni ja riskikäsitlusplaani.
- Vii poliitikapunktid kooskõlla tegelike IAM-i ja PAM-i töövoogudega.
- Tee kolme valimi tõendussprint.
- Paranda lüngad enne, kui audiitor need leiab.
- Säilita korduskasutatav tõendusmaterjali pakett sertifitseerimiseks, klientide hoolsuskontrolliks ja regulatiivseteks läbivaatamisteks.
Clarysec aitab seda rakendada Zenith Blueprint: audiitori 30-sammuline teekaart kaudu, nõudeid ristkaardistada Zenith Controls: ristvastavuse juhend abil ning nõudeid tegevuslikult rakendada sobiva Claryseci poliitikakomplektiga, sealhulgas Access Control Policy, User Account and Privilege Management Policy ja Onboarding and Termination Policy.
Juurdepääsukontrolli auditivalmidus ei seisne selles, et tõendada IAM-i tööriista ostmist. See seisneb tõendamises, et identiteedi, autentimise, privileegide ja läbivaatamise protsessid vähendavad tegelikku äririski ning vastavad standarditele ja regulatsioonidele, mis on organisatsiooni jaoks olulised.
Laadi alla Claryseci tööriistakomplektid, tee kolme valimi tõendussprint ja muuda oma juurdepääsukontrolli tõendusmaterjal killustunud segadusest selgeks, korratavaks ja kaitstavaks auditiportfelliks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
