Microsoft Entra Conditional Accessi juhtimine 2026. aastal

On teisipäeval kell 09:12, kui kiiresti kasvava Euroopa fintech-ettevõtte infoturbejuht Maria avab DORA valmisolekuaruande, mis pidanuks olema rutiinne. Tema Microsoft Entra Conditional Accessi juhtpaneel näib tugev. MFA on administraatoritele kohustuslik. Pärandautentimine on blokeeritud. Kõrge riskiga sisselogimised suunatakse lisakontrolli või keelatakse. Tundlikud finantsrakendused nõuavad nõuetele vastavaid seadmeid. Brauseripõhine juurdepääs mittehallatud lõppseadmetest on piiratud.

Seejärel loeb ta audiitori leidu.

„Teie Conditional Accessi reeglid on tehniliselt korrektsed, kuid need eksisteerivad vaakumis. Näidake juhatuse heakskiidetud poliitikat, mis neid seadeid nõuab. Näidake eelmisel kuul muudetud reegli muudatuse kirjet. Näidake, kuidas kõrge riskiga sisselogimise poliitika oli kahtlustatava autentimisandmete masskatsetamise ründe ajal aktiivne. Näidake, kuidas see tõendusmaterjal toetab ISO 27001, DORA, NIS2 ja GDPR nõudeid.“

Identiteedimeeskond saab konfiguratsiooni eksportida. SOC saab näidata sisselogimislogisid. Vastavusjuht saab osutada poliitikakaustale. Kuid keegi ei suuda esitada üht juhitud tõenduslugu, mis seoks omavahel riski, poliitika, heakskiidu, konfiguratsiooni, erandid, seire, intsidendile reageerimise, privaatsuskohustused ja juhtkonna läbivaatamise.

See on Conditional Accessi juhtimisprobleem 2026. aastal.

Microsoft Entra Conditional Access ei ole enam lihtsalt identiteediseade. See on juhatuse tasandi kontrollisüsteem, mis otsustab, kes võib pilveteenustele juurde pääseda, millistel tingimustel, millistest seadmetest, millise autentimistugevusega ja milliste seansipiirangutega. Reguleeritud organisatsioonides peavad need otsused olema selgitatavad, põhjendatavad ja kaardistatud ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ja COBIT 2019 kohustustega.

Conditional Access on nüüd auditikõlblik kontrollisüsteem

Conditional Access paikneb identiteedi, seadme turvaseisundi, rakenduse tundlikkuse, asukoha, sisselogimisriski, kasutajariski, seansikäitumise ja logimise ristumiskohas. Üks poliitika võib nõuda MFA-d, nõuda nõuetele vastavat seadet, blokeerida juurdepääsu riskantsest asukohast, piirata allalaadimisi mittehallatud brauseritest või sundida riski muutumisel uuesti autentima.

See teeb sellest ühe tugevama nullusalduse rakenduspunkti Microsofti pilvekeskkondades. Samal ajal muudab see selle väga auditikõlblikuks.

ISO/IEC 27001:2022 järgi ei ole kontrollimeede küps pelgalt seetõttu, et see portaalis olemas on. Organisatsioon peab mõistma oma konteksti, hindama infoturberiske, valima riskikäsitlused, dokumenteerima kohaldatavusdeklaratsiooni, käitama kontrollimeetmeid, seirama tõhusust ja aja jooksul täiustama. Asjakohased punktid hõlmavad punkti 6.1.2 riskihindamise kohta, punkti 6.1.3 riskikäsitluse kohta, punkti 7.5 dokumenteeritud teabe kohta, punkti 8.1 tegevuse planeerimise ja ohje kohta, punkti 9.1 seire kohta ning punkti 9.3 juhtkonna läbivaatamise kohta.

ISO/IEC 27002:2022-ga kooskõlas olev Annex A annab praktilise kontrollikeele, mille audiitorid ära tunnevad. Conditional Access toetab tavaliselt järgmisi kontrollimeetmeid:

• 5.15 Juurdepääsukontroll
• 5.16 Identiteedihaldus
• 5.17 Autentimisteave
• 5.18 Juurdepääsuõigused
• 8.1 Kasutajate lõppseadmed
• 8.2 Privilegeeritud juurdepääsuõigused
• 8.3 Teabele juurdepääsu piiramine
• 8.5 Turvaline autentimine
• 8.15 Logimine
• 8.16 Seiretegevused

EL-is reguleeritud organisatsioonide jaoks on juhtimiskoormus veelgi selgem. NIS2 Article 20 paneb juhtorganitele vastutuse küberturbe riskijuhtimismeetmete heakskiitmise ja järelevalve eest. NIS2 Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid, sealhulgas juurdepääsukontrolli, varahaldust, küberhügieeni, intsidendikäsitlust, tarneahela turvet, tõhususe hindamist ning vajaduse korral mitmefaktorilist või pidevat autentimist. NIS2 Article 23 kehtestab oluliste intsidentide etapiviisilise teatamise, sealhulgas varajase hoiatuse 24 tunni jooksul, intsidenditeate 72 tunni jooksul ja lõpparuande ühe kuu jooksul.

DORA seab finantsüksustele sarnased ootused. Article 5 nõuab sisemist juhtimis- ja kontrolliraamistikku. Article 6 nõuab IKT-riski juhtimise raamistikku. Article 9 käsitleb kaitset ja ennetust, sealhulgas juurdepääsupiiranguid ja identiteedihalduse praktikaid. Articles 10, 11, 17, 18 ja 19 seovad omavahel tuvastamise, reageerimise, taaste, IKT-intsidendihalduse, klassifitseerimise ja aruandluse. Kuna DORA kohaldub alates 17. jaanuarist 2025, peavad finantsüksused käsitlema Conditional Accessi operatsioonilise toimepidevuse tõendusmaterjali osana, mitte üksnes identiteedi tugevdamisena.

GDPR lisab privaatsusvaate. Kui Conditional Access kaitseb süsteeme, mis töötlevad isikuandmeid, toetab see Article 5 vastutuse põhimõtteid, Article 24 vastutava töötleja vastutust, Article 25 lõimitud andmekaitset ja Article 32 töötlemise turvalisust. Kui kahtlustatakse loata juurdepääsu, võivad Conditional Accessi logid saada rikkumise hindamise ja teavitamise tõendusmaterjali osaks.

Viga on käsitleda neid eraldi auditipäringutena. Küps lähenemine on üks Conditional Accessi juhtimismudel, mida saab vaadata raamistiku, regulaatori, kliendi või juhatuse vaatest.

Konfiguratsioon ei ole juhtimine

Enamik organisatsioone suudab vastata küsimusele „Mis on konfigureeritud?“. Vähemad suudavad vastata keerulisematele küsimustele:

• Miks on see Conditional Accessi poliitika just nii konfigureeritud?
• Millist riskistsenaariumi see käsitleb?
• Milline poliitikapunkt seda nõuab?
• Kes muudatuse heaks kiitis?
• Millised kasutajad, rakendused ja seadmed on välistatud?
• Kuidas seda testitakse?
• Millised logid tõendavad, et see toimis?
• Kui sageli seda läbi vaadatakse?
• Mis juhtub, kui see ebaõnnestub?

Siin tekivad tavaliselt auditileiud. Poliitikad on olemas, kuid need ei ole seotud Microsoft Entra seadetega. Seadmete nõuetele vastavus on IT-operatsioonide vastutusel, kuid seda ei ole kaardistatud juurdepääsukontrolli riskiga. Sisselogimisriski poliitikad on lubatud ilma dokumenteeritud lävendite või eskaleerimisreegliteta. Seansipiirangud on konfigureeritud, kuid neid ei testita kunagi mittehallatud seadmetest. Logisid säilitatakse, kuid neid ei vormistata audititõendusmaterjaliks.

Clarysec käsitleb seda jälgitavuse probleemina. Iga Conditional Accessi otsus peab siduma poliitika, riski, kontrollimeetme, konfiguratsiooni, tõendusmaterjali ja läbivaatamise.

VKE pilveteenuste kasutamise poliitika Pilveteenuste kasutamise poliitika VKE-le sätestab:

Mitmefaktoriline autentimine (MFA) administraatori- ja kasutajakontodele

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.2.2.

See punkt on kohustus. Conditional Accessi reegel on rakendus. Sisselogimislogi on tõendusmaterjal. Läbivaatamise kirje tõendab järelevalvet.

VKE võrguturbe poliitika Võrguturbe poliitika VKE-le lisab lõppseadme turvaseisundi nõude:

Süsteemid, millel puudub ajakohane viirusetõrje, paikamine või nõuetekohane seadme turvaseisund, tuleb blokeerida või karantiini paigutada

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.4.3.

Microsoft Entra terminoloogias võib sellest saada „nõua nõuetele vastavat seadet“, „blokeeri toetuseta platvormid“, „piira mittehallatud brauseriseansse“ või „keela tundmatutest seadmetest juurdepääs kõrge riskiga rakendustele“. Kuid kontrollimeede ei ole täielik enne, kui organisatsioon suudab tõendada kohaldamisala, heakskiitu, testimist, erandeid ja seiret.

Looge juhtimisalus enne reeglistikku

Tugev Conditional Accessi programm algab väljaspool Entra portaali. See algab ISMS-ist, riskiregistrist, juurdepääsukontrolli poliitikast, pilveteenuste kasutamise poliitikast, kohaldatavusdeklaratsioonist (SoA) ja tõendusmudelist.

Claryseci Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint annab praktilise järjestuse. Riskijuhtimise etapis, sammus 13, riskikäsitluse planeerimine ja kohaldatavusdeklaratsioon, juhendab see organisatsioone siduma kontrollimeetmed riskide ja regulatiivsete ajenditega:

Viidake regulatsioonidele ristviidetega: kui teatud kontrollimeetmeid rakendatakse konkreetselt GDPR, NIS2 või DORA nõuete täitmiseks, saab selle märkida kas riskiregistrisse riskimõju põhjenduse osana või SoA märkustesse.

Conditional Accessi puhul muudab see tõendusloo. Selle asemel et öelda „Me lubasime MFA“, saab organisatsioon öelda:

• Riskistsenaarium: kompromiteeritud kasutaja autentimisandmed võimaldavad loata juurdepääsu kliendiandmetele Microsoft 365-s ja finantsvaldkonna SaaS-is.
• Riskiomanik: IT-turbe juht.
• Käsitlus: Entra Conditional Access nõuab privilegeeritud rollidele tugevat MFA-d, kasutajatele MFA-d, sisselogimisriski blokeerimist, tundlikele rakendustele nõuetele vastavaid seadmeid ning mittehallatud lõppseadmetele seansipiiranguid.
• ISO/IEC 27002:2022 kaardistus: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 ja 8.16.
• Regulatiivne kaardistus: NIS2 Articles 20, 21 ja 23, DORA Articles 5, 6, 9, 10, 17 ja 18, GDPR Articles 24, 25, 32 ja 33.
• Tõendusmaterjal: poliitika heakskiit, Conditional Accessi eksport, muudatuse pilet, testitulemused, sisselogimislogid, seadmete vastavusaruanded, erandiregister, SOC-i piletid ja juhtkonna läbivaatamise protokollid.

Zenith Blueprint selgitab ka jaotises „Controls in Action“, sammus 19, miks lõppseadme turvaseisund peab kuuluma juurdepääsuotsusesse:

Teabele juurdepääs lõppseadmete kaudu peab arvestama konteksti. Näiteks kas seade vastab enne ettevõtte ressurssidele juurdepääsu minimaalsetele turvastandarditele? Kas see on hiljuti läbinud pahavarakontrolli? Kas see ühendub ebatavalisest asukohast või võrgust? Nullusalduse põhimõtetega integreerituna saab lõppseadme turvaseisund anda sisendi tingimusjuurdepääsu otsusesse, keelates sisenemise seni, kuni seade tõendab oma turvalisust.

See on keskne juhtimispõhimõte. Conditional Access peab olema riskipõhine, konteksti arvestav ja tõendusmaterjali tekitav.

Kaardistage Conditional Accessi otsused kontrollieesmärkidega

Küps programm määratleb standardsed juurdepääsuotsused ja kaardistab igaühe juhtimiseesmärgi ning tõendusmaterjaliga. See takistab poliitikate vohamist ja muudab auditivestlused lihtsamaks.

Ettevõtte pilveteenuste kasutamise poliitika Pilveteenuste kasutamise poliitika toetab keskset identiteediintegratsiooni:

Single Sign-On (SSO) integreerimine organisatsiooni IdP-ga on vajalik autentimise järjepidevuse tagamiseks.

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.2.4.

Ettevõtte kasutajakontode ja õiguste haldamise poliitika Kasutajakontode ja õiguste haldamise poliitika teeb seire selgesõnaliseks:

Single Sign-On (SSO) süsteemide kasutamine peab olema integreeritud kesksete identiteedipakkujatega (nt Active Directory (AD), Azure AD) ning seda tuleb seirata anomaalse sisselogimistegevuse suhtes.

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.3.4.

Need punktid nõuavad koos enamat kui SSO-d. Need nõuavad keskset identiteediarhitektuuri, järjepidevat autentimist, anomaalsete sisselogimiste seiret ja tõendusmaterjali selle kohta, et juurdepääsuotsuseid vaadatakse läbi.

Seadmete nõuetele vastavus: kontrollimeede, mida audiitorid saavad testida

Seadmete nõuetele vastavus on üks lihtsamaid valdkondi, mida üle hinnata. Juhtpaneel võib näidata, et 92 protsenti seadmetest on nõuetele vastavad, kuid audiitor küsib, kas reegel rakendub olulistele rakendustele, kas isiklikud seadmed on lubatud, kas toetuseta platvormid on blokeeritud ja kas erandid on heaks kiidetud.

Ettevõtte kaugtööpoliitika Kaugtööpoliitika seab heakskiidu baastaseme:

BYOD-seadmed peavad olema selgesõnaliselt heaks kiidetud ja:

Jaotisest „Juhtimisnõuded“, poliitikapunkt 5.2.2.

See lühike lause on oluline. BYOD ei ole üksnes tehniline seisund. See on juhtimisotsus. Conditional Accessis peab see väljenduma seadme omandireeglites, minimaalsetes vastavuse baastasemetes, krüptimisnõuetes, paikamise ja pahavarakaitse kontrollides, mobiilirakenduste kaitses, töövõtjate käsitlemises ja erandite läbivaatamises.

Claryseci Zenith Controls: ristvastavuse juhend Zenith Controls kaardistab ISO/IEC 27002:2022 kontrollimeetme 5.15 Juurdepääsukontroll ennetava kontrollimeetmena, mis kaitseb konfidentsiaalsust, terviklust ja käideldavust identiteedi- ja juurdepääsuhalduse operatiivses võimekuses. See seob juurdepääsukontrolli ka kasutajate lõppseadmetega, sest mittehallatud sülearvutid, mobiilseadmed ja lauaarvutid võivad keskset juurdepääsu jõustamist nõrgendada.

Praktiline kvartaalne Conditional Accessi seadmetõendite pakett peab sisaldama järgmist:

• Heakskiidetud seadmete vastavuse baastase.
• Conditional Accessi poliitikad, mis nõuavad nõuetele vastavaid seadmeid.
• Nende poliitikatega kaitstud rakendused.
• Välistatud kasutajate, rühmade, rakenduste ja platvormide eksport.
• Nõuetele mittevastavate seadmete trendiaruanne.
• Näidised blokeeritud sisselogimislogidest nõuetele mittevastavate seadmete puhul.
• Erandiregister koos omaniku, põhjuse, aegumiskuupäeva ja riski aktsepteerimisega.
• Juhtkonna läbivaatamise kirje.

See tõenduspakett toetab ISO/IEC 27001:2022 tegevusohjet, NIS2 küberhügieeni, DORA kaitset ja ennetust ning GDPR vastutust.

Sisselogimisrisk: tuvastus peab muutuma otsuse tõendusmaterjaliks

Riskipõhine Conditional Access on koht, kus identiteedituvastus muutub juurdepääsu juhtimiseks. Microsoft Entra saab hinnata signaale, nagu tundmatud sisselogimisomadused, anonüümsed IP-aadressid, võimatu reisimine ja lekkinud autentimisandmed. Kuid audiitorid ei aktsepteeri lõpliku vastusena väidet „riskipoliitika on lubatud“. Nad küsivad, miks lävendid valiti, kes riskantseid sündmusi üle vaatab ja millal kõrge riskiga sisselogimisest saab intsident.

VKE logimis- ja seirepoliitika Logimis- ja seirepoliitika VKE-le määratleb minimaalse logimisnõude:

Autentimislogid: edukad ja ebaõnnestunud sisselogimiskatsed, seansi kestus, MFA kasutus

Jaotisest „Juhtimisnõuded“, poliitikapunkt 5.4.2.

Ettevõtte logimis- ja seirepoliitika Logimis- ja seirepoliitika laiendab eeldatavat sündmuste hulka:

Hõlmatavad sündmusetüübid (nt sisselogimised, juurdepääsutõrked, konfiguratsioonimuudatused, halduskäsud, pahavara tuvastamine)

Jaotisest „Juhtimisnõuded“, poliitikapunkt 5.1.1.

Conditional Accessi puhul peab kasulik tõendusmaterjal hõlmama edukaid sisselogimisi, ebaõnnestunud sisselogimisi, Conditional Accessi poliitika tulemust, MFA-meetodit, sisselogimisriski, kasutajariski, seadme vastavusseisundit, kasutatud rakendust, asukohta, klientrakendust, seansikontrolli tulemust, poliitikamuudatuste ajalugu ja haldustoiminguid.

Zenith Controls kaardistab ISO/IEC 27002:2022 kontrollimeetme 8.16 Seiretegevused tuvastava ja korrigeeriva kontrollimeetmena, mis seostub tuvastamise ja reageerimise kontseptsioonidega. See seob seire logimise, sündmuste hindamise, ohuteabe, tarnijaseire ja intsidendihaldusega. Samuti kaardistab see seiretegevused GDPR Articles 32 ja 33, NIS2 intsidentide seire ja aruandluse, DORA IKT-intsidentide jälgimise, NIST pideva seire ning COBIT turbeseirega.

Conditional Accessi poolt blokeeritud kõrge riskiga sisselogimine ei ole seega üksnes turbevõit. See on tõendusmaterjal, et ennetavad, tuvastavad ja reageerimisprotsessid on omavahel seotud.

Seansikontrollid: seos juurdepääsu ja andmekaitse vahel

Juurdepääsueelsed otsused ei ole piisavad. Kui kasutaja on autentitud, määravad seansikontrollid, kui suur jääkkokkupuude alles jääb. See on eriti oluline mittehallatud seadmete, töövõtjate, kaugtöö, ühiskasutatavate terminalide, riskantsete asukohtade ja isikuandmeid töötlevate rakenduste puhul.

VKE rakendusturbe nõuete poliitika Rakendusturbe nõuete poliitika VKE-le sätestab:

Seansihaldus: seansiandmed peavad aeguma pärast 15-minutilist tegevusetust ning sisaldama vajaduse korral ajalõpu hoiatusi.

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.1.1.3.

Microsoft Entra juhtimises võib see kaardistuda sisselogimissagedusele, püsivate brauseriseansside piirangutele, Conditional Access App Controlile, rakenduse jõustatud piirangutele, allalaadimise blokeerimisele, riski muutumisel uuesti autentimisele ja tundlikkuspõhistele seansipiirangutele.

Seansikontrollid toetavad ISO/IEC 27002:2022 kontrollimeedet 8.3 Teabele juurdepääsu piiramine ja 8.5 Turvaline autentimine. Need toetavad ka GDPR Article 32 nõuet, vähendades isikuandmete loata vaatamist, allalaadimist või juurdepääsu püsimist. DORA puhul aitavad seansipiirangud piirata kokkupuudet IKT-süsteemides ning toetavad tuvastamist ja reageerimist. NIS2 puhul on need proportsionaalsed juurdepääsukontrolli ja küberhügieeni meetmed.

Tõendusmaterjal peab selgitama, miks seansikontroll olemas on. Näiteks „blokeeri allalaadimine mittehallatud seadmetest HR- ja finantsrakenduste puhul“ peab kaardistuma isikuandmete lekke, lõppseadme kompromiteerimise ja konfidentsiaalsuse kaoga. Tõendusmaterjal peab sisaldama konfiguratsiooni, rakenduse kohaldamisala, test-sisselogimisi hallatud ja mittehallatud seadmetest, piiranguid näitavaid logisid ning heakskiidukirjeid.

Looge Conditional Accessi kontrolliregister

Conditional Accessi kontrolliregister on operatiivne sild riskiregistri, kohaldatavusdeklaratsiooni ja Microsoft Entra konfiguratsiooni vahel. See ei asenda neid dokumente. See teeb need kasutatavaks.

Kasutage viiesammulist läbivaatamistsüklit:

1. Kinnitage kohaldamisala: tuvastage pilverakendused, mis töötlevad reguleeritud, finants-, operatiivseid või isikuandmeid.
2. Kaardistage poliitikad riskidega: siduge iga Conditional Accessi poliitika vähemalt ühe riskistsenaariumi ja ühe riskiomanikuga.
3. Valideerige välistused: eksportige välistatud kasutajad, rollid, rakendused, rühmad, asukohad ja seadmed. Igal välistusel peab olema omanik, põhjus, heakskiit ja aegumistähtaeg.
4. Testige jõustamist: kasutage testkontosid, et kontrollida MFA-d, seadmete nõuetele vastavust, riski blokeerimist, pärandautentimise blokeerimist ja seansipiiranguid.
5. Pakendage tõendusmaterjal: säilitage ekspordid, ekraanitõmmised, logid ja heakskiidud koos metaandmetega.

VKE auditi ja vastavuse seire poliitika Auditi ja vastavuse seire poliitika VKE-le on tõendusmaterjali tervikluse jaoks kriitiline:

Metaandmed (nt kes selle kogus, millal ja millisest süsteemist) tuleb dokumenteerida.

Jaotisest „Poliitika rakendamise nõuded“, poliitikapunkt 6.2.3.

Ekraanitõmmised ilma allika, kuupäeva, koguja ja süsteemikontekstita on nõrk tõendusmaterjal. Conditional Accessi eksporti, sisselogimislogisid ja läbivaatamisaruandeid tuleb käsitleda kontrollitud auditikirjetena.

Conditional Accessi tõendusmaterjali ristvastavuse kaardistus

Conditional Accessi väärtus seisneb selles, et üks kontrollimeetmete kogum võib nõuetekohase juhtimise korral rahuldada mitut auditivaadet.

Zenith Controls kaardistab ka 5.15 Juurdepääsukontrolli GDPR Article 32, NIS2 Article 21(2)(i), DORA juurdepääsujuhtimise kontseptsioonide, NIST SP 800-53 juurdepääsukontrolli perekondade ja COBIT 2019 DSS06.04-ga. See kaardistab 8.5 Turvalise autentimise GDPR Articles 5, 24, 25 ja 32, NIS2 küberturbe riskijuhtimise, DORA IKT-riski juhtimise, NIST identifitseerimise ja autentimise ning COBIT identiteedi ja loogilise juurdepääsuga.

Õppetund on lihtne. Raamistikud kasutavad erinevat keelt, kuid ootavad sama kindlusmustrit: õiged kasutajad, lubatud kontekstides, tugeva autentimisega, juhitud seansside kaudu ning logidega, mis tõendavad toimunut.

Kuidas audiitorid Conditional Accessi hindavad

ISO/IEC 27001:2022 audiitor alustab ISMS-ist. Ta küsib, kas Conditional Access kuulub kohaldamisalasse, milliseid riske see käsitleb, kuidas see kajastub SoA-s, kuidas poliitikad heaks kiidetakse, kuidas muudatusi kontrollitakse ja kas tõendusmaterjal tõendab toimimise tõhusust. Oodata võib privilegeeritud kasutajate, tundlike rakenduste, välistuste ja hiljutiste poliitikamuudatuste valimipõhist kontrolli.

DORA või NIS2 audiitor keskendub operatsioonilisele toimepidevusele, juhtkonna vastutusele ja riskile. Ta võib küsida, kuidas juurdepääsukontrollid kaitsevad kriitilisi või olulisi funktsioone, kuidas juhatus identiteediriski üle järelevalvet teeb, kuidas kõrge riskiga sisselogimisi triaažitakse ning kas juurdepääsutõrked annavad sisendi intsidendiklassifikatsiooni või aruandlusotsustesse.

GDPR-ile keskenduv audiitor pöörab tähelepanu isikuandmetele. Ta võib küsida, kuidas HR-, finants- või kliendiandmeid kaitstakse mittehallatud seadmete eest, kuidas seansikontrollid vähendavad loata vaatamist, kuidas juurdepääs piiratakse volitatud kasutajatega ja kuidas logid toetavad rikkumise hindamist.

COBIT 2019 hindaja otsib juhtimispraktikaid, omanikuvastutust, mõõdikuid, korratavust, toimivuse seiret ja täiustamist. NIST-põhine hindaja võrdleb identiteedi, autentimise, autoriseerimise, seire ja reageerimise tulemusi tehnilise tõendusmaterjaliga.

Ettevõtte juurdepääsukontrolli poliitika Juurdepääsukontrolli poliitika määrab privilegeeritud juurdepääsu lähtealuse:

Haldusjuurdepääs peab olema rangelt kontrollitud järgmiste meetmete kaudu:

Jaotisest „Juhtimisnõuded“, poliitikapunkt 5.4.1.

Teie Microsoft Entra tõendusmaterjal peab selle lause operatiivselt lõpule viima. Millised rollid on privilegeeritud? Millised nõuavad andmepüügikindlat või tugevat MFA-d? Millised on sobilikud privilegeeritud identiteedihalduse kaudu? Millised kontod on hädaabikontod? Millised on poliitikatest välistatud? Kes neid läbi vaatab? Kuhu teavitused saadetakse?

Juhatuse mõõdikud Conditional Accessi juhtimiseks

Kuna NIS2 ja DORA rõhutavad juhtkonna vastutust, peab Conditional Accessi aruandlus olema juhatusele arusaadav. Vältige ainult poliitikate nimede raporteerimist. Raporteerige riskipositsiooni ja kontrollimeetmete toimivust.

Kasulikud mõõdikud hõlmavad järgmist:

• Tugeva MFA-ga kaitstud privilegeeritud kontode protsent.
• Conditional Accessi välistuste arv riskitaseme kaupa.
• Blokeeritud, lisakontrolli suunatud või lubatud kõrge riskiga sisselogimiste arv.
• Tundlike rakenduste juurdepääsu protsent, mis nõuab nõuetele vastavaid seadmeid.
• Mittehallatud seadmete seansside arv reguleeritud rakendustes.
• Kõrge riskiga sisselogimissündmuste triaažiks kuluv aeg.
• Conditional Accessi poliitikamuudatuste arv kvartalis.
• Aegunud, uuendatud ja tähtaja ületanud erandite arv.
• Autentimise, seansside ja poliitikamuudatuste logimise katvus.
• Kvartaalsel Conditional Accessi valideerimisel ebaõnnestunud testjuhtumid.

Need mõõdikud muudavad identiteedikonfiguratsiooni järelevalve tõendusmaterjaliks. Samuti aitavad need juhtorganitel tõendada heakskiitu, läbivaatamist, ressursside eraldamist ja pidevat täiustamist.

Levinud leiud, mis tuleb enne auditit kõrvaldada

Conditional Accessi leiud tulenevad tavaliselt juhtimisnõrkusest, mitte tehnoloogia rikkest. Kõige levinumad probleemid on järgmised:

• Hädaabikontod on välistatud, kuid neid ei seirata.
• Poliitikad on nimetatud ebajärjekindlalt ja neil puuduvad omanikud.
• Tundlikud rakendused puuduvad seadmete vastavusreeglitest.
• Külaliskasutajad ja välised koostööpartnerid mööduvad standardsetest kontrollimeetmetest.
• Teenusekontosid ja töökoormuste identiteete ei juhita eraldi.
• Sisselogimisriski tuvastusi ei triaažita ega seota intsidentidega.
• Seansikontrolle ei testita kunagi mittehallatud seadmetest.
• Poliitikamuudatused tehakse otse tootmiskeskkonnas ilma muudatuse kirjeteta.
• Välistused on püsivad, dokumenteerimata või suuliselt heaks kiidetud.
• Logisid säilitatakse, kuid neid ei vaadata läbi.
• Tõendusmaterjalil puuduvad metaandmed, allikakontekst või tõendite valduse ahel.

2026. aastaks valmis sihtseisund hõlmab juhtkonna heakskiidetud juurdepääsujuhtimist, riskipõhist Conditional Accessi disaini, selgesõnalist ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 kaardistust, dokumenteeritud NIS2, DORA ja GDPR tuge, tugevat MFA-d rolli ja riski alusel, seadmete nõuetele vastavust tundliku juurdepääsu puhul, seansipiiranguid mittehallatud kontekstides, seiratud autentimist ja poliitikamuudatusi, erandite elutsüklit, kvartaalset testimist ja juhtkonna aruandlust.

Muutke Microsoft Entra auditivalmis tõendusmaterjaliks

Teie Conditional Accessi poliitikad teevad turbeotsuseid juba iga minut. Küsimus on selles, kas need otsused on juhitud, riskipõhised, seiratud ja kaardistatud nende kohustustega, millest teie audiitorid ja regulaatorid hoolivad.

Alustage Zenith Blueprintist Zenith Blueprint, eriti sammust 13, et siduda Conditional Accessi poliitikad riskide, käsitluste, kohaldatavusdeklaratsiooni ja regulatiivsete märkustega. Kasutage Zenith Controlsi Zenith Controls, et kaardistada juurdepääsukontroll, turvaline autentimine, lõppseadme turvaseisund, logimine ja seire ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST ja COBIT 2019 üleselt.

Seejärel viige oma sisemised nõuded kooskõlla Claryseci poliitikatega, sealhulgas VKE pilveteenuste kasutamise poliitika, VKE võrguturbe poliitika, VKE logimis- ja seirepoliitika, VKE auditi ja vastavuse seire poliitika, VKE rakendusturbe nõuete poliitika, pilveteenuste kasutamise poliitika, kasutajakontode ja õiguste haldamise poliitika, kaugtööpoliitika, juurdepääsukontrolli poliitika ning logimis- ja seirepoliitika.

Clarysec aitab teil muuta Microsoft Entra Conditional Accessi seadete kogumist rakendatavaks, mõõdetavaks ja auditivalmis kontrollisüsteemiks. Laadige alla asjakohased Claryseci tööriistakomplektid, taotlege poliitikate kaardistuse läbivaatamist või broneerige hindamine, et näha, kas teie Conditional Accessi tõendusmaterjal peab vastu ISO 27001, NIS2, DORA ja GDPR kontrollile.