⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Nullusalduse arhitektuur 2026: auditivalmis tõendusmaterjal

Igor Petreski
14 min read
Nullusalduse arhitektuuri tõendusmaterjali vastendus ISO 27001, NIS2, DORA ja GDPR nõuetele

Esmaspäeva hommikune nullusalduse audit, mida keegi ei planeerinud

Esmaspäeval kell 08:12 saab Euroopa SaaS-fintech’i infoturbejuht viie minuti jooksul kolm sõnumit.

Esimene tuleb panganduskliendilt: „Palun esitage meie iga-aastase IKT-ga seotud kolmanda osapoole ülevaatuse jaoks oma nullusalduse arhitektuuri tõendusmaterjali pakett.“

Teine tuleb õigusosakonnalt: „Meid võidakse ühes liikmesriigis liigitada NIS2 alusel oluliseks üksuseks ning osa kliente küsib, kas DORA nõuded laienevad meile IKT-teenuse osutajana.“

Kolmas tuleb arendusjuhilt: „Meil on MFA, SSO, EDR, Kubernetes’e võrgupoliitikad ja SIEM-i teavitused. Kas see on nullusaldus?“

Siin jäävad paljud organisatsioonid pidama. Neil on turbetööriistad, kuid puudub nullusalduse nõuetelevastavuse tegevusmudel. Nad saavad näidata MFA ekraanipilte, kuid ei suuda selgitada, kuidas identiteet, seadme turvaseisund, vähimate õiguste põhimõte, segmentimine, seire, intsidentidest teatamine, privaatsuskaitsemeetmed ja tarnijasõltuvused kokku sobituvad. Nad saavad näidata kontrollimeetmeid, kuid mitte jälgitavust.

  1. aastal peab NIST SP 800-207 põhine nullusalduse arhitektuur olema midagi enamat kui „ära kunagi usalda, kontrolli alati“. Infoturbejuhtide, vastavusjuhtide, audiitorite ja ärivastutajate jaoks on praktiline küsimus konkreetsem:

Kuidas muuta nullusaldus tõendusmaterjaliks, mis vastab ISO/IEC 27001:2022 nõuetele, NIS2 küberhügieeni ootustele, DORA IKT-riski juhtimisele, GDPR Article 32 töötlemise turvalisusele, klientide hoolsuskontrollile ja juhatuse järelevalvele?

Vastus ei ole järjekordne tööriist. Vastus on riskipõhine tõendusmudel, mis seob poliitika, kontrollimeetmed, tehnilise rakenduse, seire ja juhtkonna vastutuse.

Nullusaldus 2026. aastal: turbistrateegiast nõuetelevastavuse tõendusmaterjaliks

NIST SP 800-207 määratleb nullusalduse põhimõtete kogumina turvaliste süsteemide kavandamiseks ja käitamiseks olukorras, kus usaldust ei eeldata kunagi vaikimisi. Juurdepääs antakse identiteedi, konteksti, poliitika, vara turvaseisundi ja pideva hindamise alusel.

NISTi seitse nullusalduse põhimõtet on eriti kasulikud, sest need muudavad ebamäärase turbesõnumi millekski, mida saab vastendada, testida ja auditeerida:

  1. Kõiki andmeallikaid ja arvutusteenuseid käsitatakse ressurssidena.
  2. Kogu side on kaitstud sõltumata võrguasukohast.
  3. Juurdepääs üksikutele ettevõtte ressurssidele antakse seansipõhiselt.
  4. Juurdepääs ressurssidele määratakse dünaamilise poliitika alusel, hõlmates identiteedi, seadme, rakenduse ja käitumise atribuute.
  5. Ettevõte seirab ja mõõdab kõigi oma ja seotud varade terviklust ning turbeolekut.
  6. Kõigi ressursside autentimine ja autoriseerimine on dünaamiline ning seda rakendatakse rangelt enne juurdepääsu lubamist.
  7. Ettevõte kogub teavet varade, taristu ja side kohta ning kasutab seda turbeoleku parandamiseks.

Kaasaegse SaaS-teenuseosutaja, digipanga, hallatud teenusepakkuja või pilvepõhise platvormi jaoks väljenduvad need põhimõtted praktilistes kontrollivaldkondades:

  • Identiteet verifitseeritakse ja allutatakse juhtimisele.
  • Seadmeid hinnatakse enne juurdepääsu andmist.
  • Privilegeeritud juurdepääs minimeeritakse ja vaadatakse läbi.
  • Võrguliikumisteed segmenteeritakse ja kontrollitakse.
  • Rakendused, rakendusliidesed ja andmehoidlad jõustavad autoriseerimist.
  • Logid ja telemeetria toetavad pidevat seiret.
  • Intsidendid käivitavad ohjeldamise, teavitamise ja taaste.
  • Tõendusmaterjal näitab, et kontrollimeetmed toimivad, mitte ei ole ainult kavandatud.

Just viimane punkt on koht, kus nõuetelevastavus mängu tuleb.

ISO/IEC 27001:2022 nõuab, et organisatsioonid määratleksid konteksti, huvitatud pooled, kohaldatavad õiguslikud ja lepingulised nõuded, kohaldamisala, liidesed ja sõltuvused. Samuti nõuab see riskihindamist, riskikäsitlust, kohaldatavusavaldust, juhtkonna vastutust, siseauditit, juhtkonnapoolset ülevaatust ja pidevat täiustamist.

Nullusaldus sobitub sellesse struktuuri loomulikult, kui seda käsitatakse kontrollisüsteemina. See ei tohiks jääda ISMS-ist väljapoole pelgaks arendusalgatuseks. See peab olema osa riskihindamisest, kontrollimeetmete valikust, poliitikate juhtimisest, tarnijate haldusest, privaatsuskaitsest, intsidentidele reageerimisest ja juhatuse aruandlusest.

Regulatiivne surve nullusalduse tõendusmaterjali taga

Surve nullusalduse tõendusmaterjali esitamiseks tuleneb tavaliselt kattuvatest kohustustest, mitte ühestainsast standardist.

NIS2 võib kohalduda avaliku või erasektori üksustele Annex I või Annex II sektorites, kui nad täidavad suuruse ja tegevuse künniseid, ning samuti teatud väiksematele, kuid kriitilistele üksustele. Annex I hõlmab pilveteenuse pakkujaid, andmekeskuste teenusepakkujaid, sisuedastusvõrgu teenusepakkujaid, usaldusteenuse osutajaid, hallatud teenusepakkujaid, hallatud turvateenuse pakkujaid ning pangandus- ja finantsturu taristu üksusi. Annex II hõlmab digiteenuse osutajaid, nagu veebipõhised kauplemiskohad, otsingumootorid ja sotsiaalvõrgustiku platvormid.

NIS2 Article 20 paneb küberturvalisuse eest vastutuse juhtorganile. Juhatus peab heaks kiitma küberriskide juhtimise meetmed, tegema järelevalvet nende rakendamise üle ja läbima küberturvalisuse koolituse. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja organisatsioonilisi meetmeid, mis hõlmavad riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist arendust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ning vajaduse korral MFA-d või pidevat autentimist. Article 23 kehtestab olulistest intsidentidest etapiviisilise teavitamise, sealhulgas 24 tunni jooksul varajase hoiatuse, 72 tunni jooksul teavituse ja lõpparuande.

DORA kohaldub alates 17. jaanuarist 2025 ja loob finantsüksustele ühtse digitaalse operatsioonilise toimepidevuse korra. See hõlmab IKT-riski juhtimist, olulistest IKT-ga seotud intsidentidest teatamist, operatsioonilise toimepidevuse testimist, ohuteabe jagamist ja IKT-ga seotud kolmanda osapoole riski. DORA Articles 5 ja 6 nõuavad juhtimist ja dokumenteeritud IKT-riski juhtimise raamistikku. Article 9 käsitleb kaitset ja ennetust, sealhulgas poliitikaid, protseduure, protokolle ja tööriistu IKT-süsteemide kaitsmiseks. Article 17 nõuab IKT-ga seotud intsidentide haldamise protsessi.

GDPR kohaldub töötlemisele ELis asuva tegevuskoha kontekstis ning ka ELi-välistele vastutavatele töötlejatele või volitatud töötlejatele, kes pakuvad ELis asuvatele isikutele kaupu või teenuseid või seiravad nende käitumist. GDPR Article 5 nõuab vastutust. Article 32 nõuab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile vastav turvalisuse tase. Article 33 nõuab isikuandmetega seotud rikkumisest järelevalveasutusele teatamist põhjendamatu viivituseta ning võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist.

Nullusalduse tõendusmudel aitab, sest sama kontrollimeede saab toetada mitut raamistikku. MFA saab toetada ISO/IEC 27001:2022 juurdepääsukontrolli, NIS2 autentimismeetmeid, DORA kaitsenõudeid ja GDPR töötlemise turvalisust. Kuid ainult siis, kui organisatsioon suudab tõendada kohaldamisala, omanikku, rakendamist, seiret ja läbivaatamist.

NISTi nullusalduse põhimõtete vastendamine ISO/IEC 27001:2022 kontrollimeetmetega

ISO/IEC 27001:2022 Annex A kontrollimeetmed koos ISO/IEC 27002:2022 rakendusjuhistega annavad auditi keele, mida enamik organisatsioone vajab. Allolev tabel tõlgib NISTi nullusalduse põhimõtted ISO kontrollivaldkondadeks, mida audiitorid tunnevad.

NIST SP 800-207 nullusalduse põhimõteNullusalduse põhiprintsiipAsjakohased ISO/IEC 27001:2022 Annex A kontrollimeetmed
Kõiki andmeallikaid ja arvutusteenuseid käsitatakse ressurssidenaVarade ja andmete tuvastamineA.5.9 Teabe ja muude seotud varade register, A.5.10 Teabe ja muude seotud varade lubatud kasutus, A.5.12 Teabe klassifitseerimine
Kogu side on kaitstud sõltumata võrguasukohastTurvaline side ja krüpteeritud kanalidA.8.20 Võrguturve, A.8.22 Võrkude eraldamine, A.8.24 Krüptograafia kasutamine
Juurdepääs antakse seansipõhiseltSeansipõhine autentimine ja autoriseerimineA.5.17 Autentimisteave, A.8.5 Turvaline autentimine
Juurdepääs määratakse dünaamilise poliitika aluselKontekstitundlik ja vähimate õiguste põhimõttel põhinev juurdepääsA.5.15 Juurdepääsukontroll, A.5.18 Juurdepääsuõigused, A.8.3 Teabele juurdepääsu piirang
Varade terviklust ja turbeolekut seiratakseLõppseadmete ja töökoormuste turvaseisundi kontrollA.8.1 Kasutaja lõppseadmed, A.8.8 Tehniliste haavatavuste haldus
Autentimine ja autoriseerimine on dünaamilised ning rangelt jõustatudIdentiteedi elutsükkel ja privilegeeritud juurdepääsu haldusA.5.16 Identiteedihaldus, A.8.2 Privilegeeritud juurdepääsuõigused, A.8.5 Turvaline autentimine
Teavet kogutakse turbeoleku parandamiseksPidev seire, logimine ja täiustamineA.8.15 Logimine, A.8.16 Seiretegevused, A.8.23 Veebifiltreerimine

See vastendus ei ole pelgalt tehnilise disaini harjutus. Sellest saab riskiregistri, kohaldatavusavalduse, tõendusmaterjali paketi ja juhtkonnapoolse ülevaatuse päevakorra struktuur.

Näiteks riskistsenaarium „kompromiteeritud arendajakonto muudab tootmiskoodi ja pääseb ligi kliendiandmetele“ tuleb vastendada identiteedihalduse, MFA, privilegeeritud juurdepääsu, võrgusegmenteerimise, logimise, seire, turvalise arenduse, muudatuste juhtimise ja intsidentidele reageerimisega. Sama stsenaarium võib toetada ISO/IEC 27001:2022 nõudeid, NIS2 Article 21, DORA IKT-riski juhtimist ja GDPR Article 32.

Claryseci nullusalduse kontrollivirn

Clarysec ehitab nullusalduse viie tõendusvaldkonna ümber: identiteet, seade, võrk, rakendus ja andmed, mille kohal on kõiki viit läbiv seire ja juhtimine.

Aluseks on juurdepääsukontroll ja identiteedihaldus. Juhendis Zenith Controls: ristvastavuse juhend on ISO/IEC 27002:2022 kontroll 5.15, juurdepääsukontroll, liigitatud ennetavaks kontrollimeetmeks, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning on kooskõlas küberturbe kontseptsiooniga Protect ja identiteedi- ja juurdepääsuhalduse võimekusega. Kontroll 5.16, identiteedihaldus, on samuti ennetav ning seotud samade CIA omaduste ja IAM-võimekusega. Kontroll 8.16, seiretegevused, on liigitatud tuvastavaks ja korrigeerivaks ning toetab Detect ja Respond eesmärke infoturbe sündmuste halduse kaudu.

See kombinatsioon on oluline. Nullusaldus ei ole ainult juurdepääsukontroll. See on juurdepääsukontroll koos identiteedi elutsükli, seadme turvaseisundi, võrgusegmenteerimise, seire ja reageerimisega.

Claryseci poliitikaklauslid muudavad selle mudeli rakendatavaks juhtimiseks.

Ettevõtte juurdepääsukontrolli poliitika, jaotis Eesmärgid, klausel 3.4:

Toetada nullusalduse põhimõtteid, keelates juurdepääsu vaikimisi, välja arvatud juhul, kui see on selgesõnaliselt heaks kiidetud ja põhjendatud.

Ettevõtte kasutajakontode ja õiguste haldamise poliitika, jaotis Poliitika rakendamise nõuded, klausel 6.2.1:

Kõigile kasutajatele tuleb määrata nende tööülesannete täitmiseks vajalik minimaalne juurdepääsutase.

Ettevõtte võrguturbe poliitika, jaotis Juhtimisnõuded, klausel 5.2:

Kogu tsoonidevahelist liiklust tuleb kontrollida tulemüüride või tarkvaraliselt määratletud perimeetri lahendustega, kasutades selgesõnalist vaikimisi keelamise konfiguratsiooni.

Ettevõtte logimis- ja seirepoliitika, jaotis Eesmärgid, klausel 3.4:

Luua tsentraliseeritud logimis- ja teavitussüsteemid (nt SIEM), et koondada, korreleerida ja eskaleerida kahtlast tegevust peaaegu reaalajas.

Ettevõtte infoturbepoliitika, jaotis Poliitika rakendamise nõuded, klausel 6.6.1:

Kõik rakendatud kontrollimeetmed peavad olema auditeeritavad, toetatud dokumenteeritud protseduuridega ja säilitatud toimimise tõendusmaterjaliga.

VKEde puhul saab sama juhtimise eesmärki rakendada kergema poliitikadokumentatsiooniga. Kasutajakontode ja õiguste haldamise poliitika - VKE, jaotis Eesmärgid, klausel 3.2 sätestab:

Rakendada vähimate privileegide põhimõtet, tagades, et kasutajatele antakse ainult nende tööülesannete täitmiseks vajalik minimaalne juurdepääsutase.

Juurdepääsukontrolli poliitika - VKE, jaotis Juhtimisnõuded, klausel 5.4.3 lisab:

Privilegeeritud kontod peavad kasutama mitmefaktorilist autentimist (MFA), kui see on toetatud.

Võrguturbe poliitika - VKE, jaotis Poliitika rakendamise nõuded, klausel 6.2.3 sätestab:

Segmentidevahelist liiklust tuleb filtreerida ning segmentidevaheline juurdepääs peab järgima vähimate privileegide põhimõtet.

Logimis- ja seirepoliitika - VKE, jaotis Eesmärk, klausel 1.3 selgitab:

Logimine ja seire toetavad ohtude tuvastamist, õigusnormidele vastavust, intsidentidest teavitamist ja intsidendihaldust ning kohtuekspertiisi analüüsi.

Privaatsusest lähtuva nullusalduse puhul sätestab Andmekaitse ja privaatsuspoliitika - VKE, jaotis Juhtimisnõuded, klausel 5.3.2:

Kasutajate juurdepääs isikuandmetele peab olema piiratud rollidega, millel on dokumenteeritud ärivajadus.

Need klauslid loovad auditi ankrud. Audiitor saab testida, kas juurdepääs on vaikimisi keelatud, õigused on minimeeritud, tsoonidevaheline liiklus on kontrollitud, logid on tsentraliseeritud ja tõendusmaterjal säilitatud.

Raamistikeülene nullusalduse tõendusmaterjali kaart

Tugev nullusalduse tõendusmudel peab vältima killustatud ekraanipilte. Tõendusmaterjal peab näitama juhtimist, disaini, rakendamist, seiret ja läbivaatamist.

Nullusalduse võimekusISO/IEC 27001:2022 ja ISO/IEC 27002:2022 tõendusmaterjalNIS2 tõendusmaterjalDORA tõendusmaterjalGDPR tõendusmaterjal
Identiteedi verifitseerimine ja elutsükkelISMS-i kohaldamisala, riskiregister, SoA kanded A.5.15 ja A.5.16 kohta, tööleasujate, ametikoha vahetajate ja lahkujate kirjedArticle 21 personaliturbe, juurdepääsukontrolli ja varahalduse meetmedIKT-varade ja kasutajate juurdepääsu juhtimine IKT-riskiraamistiku seesJuurdepääs piiratud autoriseeritud rollidega, vastutava töötleja vastutuse kirjed
MFA ja pidev autentimineJuurdepääsukontrolli poliitika, privilegeeritud juurdepääsu protseduur, MFA rakendamise aruandedArticle 21 meetmed MFA või vajaduse korral pideva autentimise jaoksKontrollimeetmed, mis toetavad turvalist juurdepääsu IKT-süsteemidele ja kriitilistele funktsioonideleArticle 32 töötlemise turvalisuse tõendusmaterjal isikuandmetele juurdepääsu kohta
Seadme turvaseisund ja lõppseadme usaldusVarade register, lõppseadme konfiguratsiooni baastase, EDR-i katvus, erandite kinnitusedKüberhügieen, haavatavuste käsitlemine ja turvaliste süsteemide poliitikadIKT-varade register, toimepidevuse testimine, IKT-süsteemide seireKaitse loata või ebaseadusliku töötlemise eest kompromiteeritud lõppseadmete kaudu
Võrgusegmenteerimine ja mikrosegmenteerimineVõrguskeemid, tulemüüri reeglid, segmentimise testitulemused, muudatuste kirjedMeetmed intsidendi mõju ennetamiseks või minimeerimiseks ja talitluspidevuse toetamiseksViitearhitektuur, mõjitaluvus, kriitiliste süsteemide testimineAndmete eraldamine, rikkumise ulatuse minimeerimine
Rakenduste ja API-de vähimad õigusedRBAC- või ABAC-maatriksid, pilve IAM-poliitikad, tokenite ulatused, API juurdepääsuõiguste ülevaatusedTurvaline hankimine, arendus ja hooldus, haavatavuste käsitlemineIKT-toega funktsioonide vastendus ja sõltuvuste dokumentatsioonEesmärgi piirang, juurdepääs isikuandmetele ärivajaduse alusel
Pidev seire ja tuvastamineSIEM-i kasutusjuhud, teavituste triaaž, seireprotseduur, intsidendikirjedIntsidentide käsitlemine ja valmisolek olulistest intsidentidest teatamiseksIntsidentide klassifitseerimine, juhtkonna eskalatsioon ja aruandluse elutsükkelIsikuandmetega seotud rikkumise tuvastamine ja vastutuse tõendusmaterjal
Tarnija- ja pilveusaldusTarnijalepingud, pilveteenuse lõpetamise plaan, tarnijate seire, jagatud vastutuse vastendusTarneahela turve otseste tarnijate ja teenuseosutajate puhulIKT-ga seotud kolmanda osapoole riski strateegia, IKT-lepingute register, auditeerimisõigused ja väljumisplaanidVolitatud töötleja hoolsuskontroll, lepingulised kaitsemeetmed ja turbekontrollid

See tabel on juhatuse jaoks valmis nullusalduse programmi tuum. See näitab, kuidas üks kontrollikeskkond saab toetada mitut kindluse andmise nõuet, ilma et iga raamistiku jaoks tuleks luua eraldi tõenduspakette.

Zenith Blueprinti kasutamine jälgitavuse loomiseks

Claryseci Zenith Blueprint: audiitori 30-sammuline teekaart on loodud selleks, et nullusaldus ei muutuks dokumenteerimata insenerifilosoofiaks. Riskijuhtimise etapis, samm 13, riskikäsitluse planeerimine ja kohaldatavusavaldus, selgitab see:

SoA on sisuliselt silddokument: see seob teie riskihindamise ja riskikäsitluse
tegelike kontrollimeetmetega, mis teil olemas on. Selle täitmisel kontrollite ühtlasi üle, kas mõni kontrollimeede jäi vahele.

Sama samm soovitab vastendada kontrollimeetmed riskidega, lisada Annex A kontrolliviited riskikäsitluse kannetesse ning teha ristviited regulatsioonidele, nagu GDPR, NIS2 või DORA, kui kontrollimeetmed on rakendatud nende kohustuste täitmiseks.

Nullusalduse puhul on see puuduv lüli. Kui audiitor küsib, miks rakendasite tingimusliku juurdepääsu, ei tohiks vastus olla „sest nullusaldus ütleb nii“. Parem vastus on:

  • Riskistsenaarium on loata juurdepääs kliendiandmetele kompromiteeritud autentimisandmete kaudu.
  • Riskiomanik on CTO või arendusjuht.
  • Käsitlus hõlmab SSO-d, MFA-d, tingimuslikku juurdepääsu, lõppseadme turvaseisundi valideerimist, vähimate õiguste põhimõtet, segmentimist ja seiret.
  • SoA vastendab käsitluse juurdepääsukontrolli, identiteedihalduse, logimise, seire, krüptograafia, haavatavuste halduse ja pilveteenuste haldusega.
  • Sama käsitlus toetab NIS2 Article 21, DORA IKT-riski juhtimist ja GDPR Article 32.
  • Tõendusmaterjal hõlmab poliitikaklausleid, juurdepääsuõiguste ülevaatusi, SIEM-i teavitusi, EDR-i turvaseisundi aruandeid, tulemüüri reegleid, IAM-i eksportfaile, intsidendiõppusi ja juhtkonnapoolse ülevaatuse protokolle.

Nii muutub nullusalduse arhitektuur auditivalmiks.

Lõppseadme usaldus, API-d ja võrkude eraldamine praktikas

Nullusaldus ebaõnnestub sageli seetõttu, et organisatsioonid keskenduvad identiteedile, jättes tähelepanuta seadme, töökoormuse, andmete ja võrgu konteksti.

Zenith Blueprint samm 19, tehnilised kontrollimeetmed I, selgitab lõppseadme turvaseisundi nõuet selgelt:

Juurdepääs teabele lõppseadmete kaudu peab olema kontekstitundlik. Näiteks: kas seade
vastab ettevõtte ressurssidele juurdepääsu eel minimaalsetele turbenõuetele? Kas see on hiljuti läbinud
pahavara skannimise? Kas ühendus tuleb ebatavalisest asukohast või võrgust? Nullusalduse
põhimõtetega integreerituna saab lõppseadme turvaseisund toita tingimuslikku juurdepääsu, keelates sisenemise kuni
seade tõendab, et see on turvaline.

See muudab seadme autoriseerimisotsuse osaks. Hallamata sülearvutist sisestatud kehtivat parooli ei tohi käsitleda samamoodi nagu vastavuses oleva, krüpteeritud ja seiratud ettevõtte lõppseadmest tehtud kehtivat sisselogimist.

Sama samm rõhutab, et juurdepääsupiirangud kehtivad rakendustele, teenustele ja API-dele, mitte ainult kasutajatele:

Juurdepääsupiiranguid tuleb rakendada ka rakendustele, teenustele ja API-dele, mitte ainult inimestele.
Näiteks võib mikroteenus vajada andmebaasitabelile ainult lugemisõigust, mitte täielikke CRUD-
õigusi. Varundustööriist võib vajada juurdepääsu ainult konkreetsetele salvestusämbritele, mitte kõigile tenant’i ressurssidele.

See juhis on kriitiline pilvepõhistes keskkondades. API ulatused, teenusekontod, töökoormuse identiteedid, Kubernetes’e rollid ja pilve IAM-poliitikad peavad kõik järgima vähimate õiguste põhimõtet. Inimeste juurdepääs on vaid üks osa kontrollipinnast.

Zenith Blueprint samm 20 käsitleb võrkude eraldamist:

Eraldamine on üks vanimaid ja tõhusamaid küberturbe põhimõtteid: piira levikut, vähenda riski
ja ohjelda kahju
. Kontroll 8.22 keskendub võrgu eraldamisele, st süsteemide, teenuste ja kasutajate
lahutamisele erinevatesse loogilistesse või füüsilistesse tsoonidesse, et vältida loata juurdepääsu ja piirata lateraalset liikumist
kompromiteerimise korral.

See on DORA ja NIS2 toimepidevuse jaoks kriitiline. Nullusalduse võrk peab eeldama, et üks konto, töökoormus või lõppseade võib olla kompromiteeritud. Segmentimine takistab kohaliku sündmuse muutumist süsteemseks intsidendiks.

10-päevane nullusalduse tõendusmaterjali pakett

Kujutlege SaaS-fintech’i, mis pakub pankadele pettuseanalüütikat. See töötleb isikuandmeid, kasutab pilvetaristut, tugineb hallatud Kubernetes’ele, integreerub klientide API-dega ja kasutab kolmanda osapoole identiteedipakkujat. Klient küsib nullusalduse tõendusmaterjali ning ettevõttel on kümme tööpäeva.

Praktiline Claryseci tõendussprint näeks välja selline.

AjakavaTegevusTõendusmaterjali väljund
1.–2. päevMääratle nullusalduse kohaldamisala tootmiskeskkonna pilvekontode, identiteedipakkuja, CI/CD, administraatorite tööjaamade, kliendi API-lüüsi, andmelao, SIEM-i, EDR-i ja kriitiliste tarnijate lõikesKohaldamisala avaldus, sõltuvuste kaart, piirskeem
3. päevLoo riski ja kontrollimeetme jälgitavus, kasutades Zenith Blueprint sammu 13Riskiregistri kanded, käsitlusplaan, SoA vastendused
4.–5. päevRakenda ettevõtte või VKE poliitikaklauslid ja dokumenteeri erandidHeaks kiidetud poliitikad, erandiregister, riski aktsepteerimise kirjed
6.–7. päevKogu tehniline tõendusmaterjalMFA aruanded, tingimusliku juurdepääsu poliitikad, PAM-i kirjed, lõppseadmete juhtpaneelid, tulemüüri reeglid, Kubernetes’e võrgupoliitikad, IAM-i eksportfailid, SIEM-i kasutusjuhud
8. päevLisa privaatsuse ja andmekaitse tõendusmaterjalRollide ja andmete maatriks, töötlemiskirjed, krüptimise tõendusmaterjal, säilitamisreeglid, rikkumise eskaleerimise protseduur
9. päevLisa NIS2 ja DORA kihidArticle 21 vastendus, intsidentidest teatamise valmisolek, IKT-funktsioonide kaart, tarnijaregister, väljumisplaani tõendusmaterjal
10. päevKoosta juhtkonna kokkuvõteJuhatusele sobiv narratiiv, jääkriski kokkuvõte, täiustamise teekaart

Eesmärk ei ole teeselda, et organisatsioon on kümne päevaga saavutanud täiusliku nullusalduse. Eesmärk on luua kõige olulisemate riskide jaoks kaitstav tõendusahel ning tõendada, et programmi juhitakse, mõõdetakse ja täiustatakse.

Kuidas eri audiitorid nullusaldust testivad

Levinud viga on valmistada ette üks tehniline lugu ja eeldada, et iga audiitor küsib samu küsimusi. Nad ei küsi.

ISO/IEC 27001:2022 audiitor otsib juhtimissüsteemi. Ta küsib, kas nullusalduse riskid on riskihindamisse lisatud, kas käsitlused on heaks kiidetud, kas SoA on täielik, kas poliitikad on kontrollitud dokumendid, kas juurdepääsuõiguste ülevaatused toimuvad, kas siseauditid testivad kontrollimeetmeid ja kas juhtkonnapoolsed ülevaatused jälgivad toimivust.

DORA ülevaataja küsib, kas nullusalduse kontrollimeetmed on osa dokumenteeritud IKT-riski juhtimise raamistikust. Ta eeldab varade ja sõltuvuste registreid, kriitiliste või oluliste funktsioonide vastendust, intsidentide klassifitseerimist, juhatuse tasandi eskalatsiooni, testimist, kolmandate osapoolte lepingunõudeid, auditeerimisõigusi, väljumisstrateegiaid ja parandusmeetmete jälgimist.

NIS2 hindaja keskendub juhtorgani vastutusele, Article 21 küberturberiskide juhtimise meetmetele ja Article 23 intsidentidest teatamise valmisolekule. Samuti eeldab ta tõendusmaterjali selle kohta, et tarneahela turvet, talitluspidevust, haavatavuste käsitlemist, juurdepääsukontrolli ja küberhügieeni juhitakse.

GDPR ülevaataja või privaatsusaudiitor küsib, kas juurdepääs isikuandmetele on vajalik, dokumenteeritud, piiratud, seiratud ja kooskõlas töötlemise eesmärkidega. Ta uurib vastutava töötleja ja volitatud töötleja rolle, isikuandmetega seotud rikkumise tuvastamist, rollipõhist juurdepääsu, krüptimist, vajaduse korral pseudonüümimist, säilitamist ja vastutust.

Audiitori vaadeTõenäoline küsimusTõendusmaterjal, mis sellele vastab
ISO/IEC 27001:2022 audiitorKas nullusaldus on riskipõhine, heaks kiidetud ja SoA-s kajastatud?Riskiregister, SoA, riskikäsitlusplaan, poliitikate kinnitused, juhtkonnapoolse ülevaatuse protokollid
NIST CSF hindajaKas juhtimise, identiteedi, kaitse, tuvastamise, reageerimise ja taaste tulemused on integreeritud?CSF-profiil, lünkade plaan, IAM-kontrollid, logimise kasutusjuhud, reageerimise tööjuhised, taastetestid
DORA ülevaatajaKas nullusaldus toetab IKT-riski juhtimist ja kriitiliste funktsioonide vastupidavust?IKT-varade register, sõltuvuste kaart, testimisprogramm, intsidentide klassifikatsioon, tarnijaregister
GDPR/privaatsusaudiitorKas juurdepääs isikuandmetele on piiratud ja tõendatavalt kaitstud?Rollide ja andmete maatriks, juurdepääsuõiguste ülevaatused, krüptimise tõendusmaterjal, rikkumise protseduurid, töötlemiskirjed
COBIT 2019/ISACA audiitorKas vastutused, mõõdikud ja kontrollimeetmete toimivus on juhitud?RACI, KPI-d, erandiregister, auditileiud, parandusmeetmete jälgija

Sama kontrollimeede võib vastata mitmele küsimusele, kuid ainult siis, kui tõendusmaterjal on korrastatud.

Tarnija-, pilve- ja IKT-ga seotud kolmanda osapoole risk

Nullusaldus ei lõpe tulemüüriga ning pilvekeskkondades ei pruugi traditsioonilist tulemüüri piiri üldse olla. Identiteedipakkujad, pilveplatvormid, CI/CD tööriistad, hallatud tuvastusteenuse pakkujad, maksetöötlejad, API-lüüsid ja allhankearenduse meeskonnad muutuvad kõik usalduskanga osaks.

NIS2 Article 21 hõlmab selgesõnaliselt otseste tarnijate ja teenuseosutajate tarneahela turvet, sealhulgas tarnijate haavatavusi, toodete ja teenuste vastupidavust, tarnijate küberturbpraktikaid ja turvalise arenduse protseduure.

DORA nõuab, et IKT-ga seotud kolmanda osapoole riski juhitaks IKT-riski juhtimise raamistiku osana, koos IKT-teenuslepingute registri, lepingueelse hoolsuskontrolli, kriitilisuse hindamise, kontsentratsiooniriski, lepinguliste turbenõuete, intsidendiabi, asutustega koostöö, auditeerimisõiguste, lõpetamisõiguste, väljumisstrateegiate ja üleminekuplaanidega.

Nullusalduse praktiline reegel on lihtne: ära usalda tarnija ühendust ainult seetõttu, et see on lepinguline. Nõua tehnilisi kontrollimeetmeid ja tõendusmaterjali.

Kliendi API-integratsioonil peavad olema piiratud ulatusega tokenid, päringumahu piirangud, seire, rotatsioon, omanik ja tühistamine. Hallatud teenusepakkuja peab kasutama MFA-d, nimelisi kasutajakontosid, vähimate õiguste põhimõtet, seansside logimist ja ajaliselt piiratud juurdepääsu. Pilveteenuse pakkuja suhte puhul peab olemas olema jagatud vastutuse vastendus, krüptimise konfiguratsioon, logide säilitamine, varukoopiate testimine ja väljumisplaneerimine.

Seetõttu kuulub tarnija- ja pilvetõendusmaterjal nullusalduse mudelisse, mitte eraldi hankekausta.

Mõõdikud, mis tõendavad nullusalduse toimimist

Juhatus ja audiitorid ei soovi ainult arhitektuuriskeeme. Nad soovivad toimimist tõendavat materjali ja täiustamise trende.

Kasulikud nullusalduse mõõdikud on näiteks:

  • MFA-ga kaitstud privilegeeritud kontode osakaal.
  • Tingimusliku juurdepääsuga hõlmatud kasutajate osakaal.
  • Püsivate privilegeeritud kontode arv võrreldes õigeaegse juurdepääsu kontodega.
  • Tähtaja ületanud juurdepääsuõiguste ülevaatuste arv.
  • Turvaseisundi nõuetele vastavate lõppseadmete osakaal.
  • EDR-i katvus kriitiliste varade lõikes.
  • Seadme- või asukohariski tõttu keelatud juurdepääsukatsete arv.
  • Kahtlase privilegeeritud tegevuse keskmine tuvastamisaeg.
  • Keskmine aeg juurdepääsu tühistamiseni pärast töösuhte lõpetamist.
  • Viimases kvartalis läbi vaadatud tsoonidevaheliste tulemüürireeglite osakaal.
  • Kehtiva turbetõendusmaterjaliga kriitiliste tarnijate arv.
  • Parandustähtaja ületanud nullusalduse erandite arv.
  • SIEM-i logisid saatvate kriitiliste rakenduste osakaal.
  • Autentimisandmete kompromiteerimise intsidendisimulatsioonide tulemused.

Need mõõdikud toetavad ISO/IEC 27001:2022 pidevat täiustamist, NIS2 tõhususe hindamist, DORA testimise ja parandusmeetmete ootusi ning GDPR vastutust.

Levinud nullusalduse tõendusmaterjali puudused

Kõige sagedasemad puudused ei tulene tööriistade puudumisest. Need tulenevad nõrgast jälgitavusest.

Esiteks rakendavad organisatsioonid MFA-d, kuid ei suuda tõendada, et privilegeeritud kontod on täielikult hõlmatud. Teenusekontod, break-glass-kontod ja kohalikud administraatorikontod jäävad sageli kontrollist välja.

Teiseks tehakse juurdepääsuõiguste ülevaatusi käsitsi, kuid neid ei seota ärirollide, andmete tundlikkuse ega riskiomanikega. Tõendusmaterjal näitab, et keegi klõpsas „läbi vaadatud“, mitte seda, et ebavajalik juurdepääs eemaldati.

Kolmandaks on võrgusegmenteerimine skeemidel olemas, kuid testitud reeglites mitte. Audiitorid küsivad, kas segmentidevaheline juurdepääs on vaikimisi keelatud ja kas erandid on heaks kiidetud.

Neljandaks kogutakse logisid, kuid need ei ole tegevuskõlblikud. SIEM ilma määratletud kasutusjuhtude, teavituste triaaži ja reageerimisprotseduurideta ei tõenda pidevat seiret.

Viiendaks on tarnijate juurdepääs haldamata. Tarnijad võivad kasutada ühiskontosid, püsivat VPN-juurdepääsu või laiu pilverolle ilma seansside seireta.

Kuuendaks on privaatsuse tõendusmaterjal eraldatud turbe tõendusmaterjalist. GDPR nõuab isikuandmete kaitse tõendatavust, seega peavad identiteedi- ja juurdepääsukontrollid olema seotud andmekategooriate ja töötlemise eesmärkidega.

Lõpuks on erandid dokumenteerimata. Nullusaldus võib erandeid lubada, kui need on riskihinnatud, heaks kiidetud, ajaliselt piiratud ja seiratud. See ei talu nähtamatuid erandeid.

Koosta oma nullusalduse tõendusmaterjali pakett Claryseciga

Nullusalduse arhitektuur 2026. aastal ei ole loosung. See on nõuetelevastavuse tegevusmudel, mis seob identiteedi, seadmed, rakendused, võrgusegmenteerimise, vähimate õiguste põhimõtte, pideva seire, tarnijate kontrolli ja privaatsuskaitsemeetmed üheks auditeeritavaks süsteemiks.

Kui valmistute ISO/IEC 27001:2022 sertifitseerimiseks, vastate NIS2 kliendipäringutele, viite tegevust kooskõlla DORA IKT-riski juhtimisega või tõendate GDPR Article 32 töötlemise turvalisust, alustage jälgitavusest.

Kasutage Zenith Blueprint: audiitori 30-sammuline teekaart, et vastendada nullusalduse riskid oma riskiregistri, käsitlusplaani ja SoA-ga. Kasutage Zenith Controls: ristvastavuse juhend, et viia juurdepääsukontroll, identiteedihaldus ja seire kooskõlla raamistikeüleste ootustega. Kasutage Claryseci poliitikakogu, sealhulgas Ettevõtte juurdepääsukontrolli poliitika, Ettevõtte kasutajakontode ja õiguste haldamise poliitika, Ettevõtte võrguturbe poliitika, Ettevõtte logimis- ja seirepoliitika, Ettevõtte infoturbepoliitika ja Andmekaitse ja privaatsuspoliitika - VKE, et muuta arhitektuur rakendatavaks juhtimiseks.

Järgmine praktiline samm on valida üks kõrge riskiga stsenaarium, näiteks kliendiandmetele suunatud privilegeeritud juurdepääsu kompromiteerimine, ning ehitada selle ümber täielik nullusalduse tõendusahel. Kui suudate selle stsenaariumi otsast lõpuni tõendada, on teil alus skaleeritavale, auditeeritavale ja regulaatorite ootustele vastavale nullusalduse programmile.

Laadige alla Claryseci poliitikapaketid või leppige kokku strateegiakõne, et näha, kuidas Zenith Blueprint ja Zenith Controls saavad muuta nullusalduse auditiriskist nõuetelevastavuse eeliseks.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

CI/CD konveierite turbejuhtimine 2026. aasta audititeks

CI/CD konveierite turbejuhtimine 2026. aasta audititeks

Praktiline juhend CISO-le CI/CD konveierite käsitlemiseks auditeeritavate tarkvara tarneahela süsteemidena, hõlmates kooste päritolu, kõvendatud käitureid, allkirjastatud artefakte, juurutustõendeid ja Clarysec poliitikakaardistusi.