Nullusalduse arhitektuur 2026: auditivalmis tõendusmaterjal

Esmaspäeva hommikune nullusalduse audit, mida keegi ei planeerinud
Esmaspäeval kell 08:12 saab Euroopa SaaS-fintech’i infoturbejuht viie minuti jooksul kolm sõnumit.
Esimene tuleb panganduskliendilt: „Palun esitage meie iga-aastase IKT-ga seotud kolmanda osapoole ülevaatuse jaoks oma nullusalduse arhitektuuri tõendusmaterjali pakett.“
Teine tuleb õigusosakonnalt: „Meid võidakse ühes liikmesriigis liigitada NIS2 alusel oluliseks üksuseks ning osa kliente küsib, kas DORA nõuded laienevad meile IKT-teenuse osutajana.“
Kolmas tuleb arendusjuhilt: „Meil on MFA, SSO, EDR, Kubernetes’e võrgupoliitikad ja SIEM-i teavitused. Kas see on nullusaldus?“
Siin jäävad paljud organisatsioonid pidama. Neil on turbetööriistad, kuid puudub nullusalduse nõuetelevastavuse tegevusmudel. Nad saavad näidata MFA ekraanipilte, kuid ei suuda selgitada, kuidas identiteet, seadme turvaseisund, vähimate õiguste põhimõte, segmentimine, seire, intsidentidest teatamine, privaatsuskaitsemeetmed ja tarnijasõltuvused kokku sobituvad. Nad saavad näidata kontrollimeetmeid, kuid mitte jälgitavust.
- aastal peab NIST SP 800-207 põhine nullusalduse arhitektuur olema midagi enamat kui „ära kunagi usalda, kontrolli alati“. Infoturbejuhtide, vastavusjuhtide, audiitorite ja ärivastutajate jaoks on praktiline küsimus konkreetsem:
Kuidas muuta nullusaldus tõendusmaterjaliks, mis vastab ISO/IEC 27001:2022 nõuetele, NIS2 küberhügieeni ootustele, DORA IKT-riski juhtimisele, GDPR Article 32 töötlemise turvalisusele, klientide hoolsuskontrollile ja juhatuse järelevalvele?
Vastus ei ole järjekordne tööriist. Vastus on riskipõhine tõendusmudel, mis seob poliitika, kontrollimeetmed, tehnilise rakenduse, seire ja juhtkonna vastutuse.
Nullusaldus 2026. aastal: turbistrateegiast nõuetelevastavuse tõendusmaterjaliks
NIST SP 800-207 määratleb nullusalduse põhimõtete kogumina turvaliste süsteemide kavandamiseks ja käitamiseks olukorras, kus usaldust ei eeldata kunagi vaikimisi. Juurdepääs antakse identiteedi, konteksti, poliitika, vara turvaseisundi ja pideva hindamise alusel.
NISTi seitse nullusalduse põhimõtet on eriti kasulikud, sest need muudavad ebamäärase turbesõnumi millekski, mida saab vastendada, testida ja auditeerida:
- Kõiki andmeallikaid ja arvutusteenuseid käsitatakse ressurssidena.
- Kogu side on kaitstud sõltumata võrguasukohast.
- Juurdepääs üksikutele ettevõtte ressurssidele antakse seansipõhiselt.
- Juurdepääs ressurssidele määratakse dünaamilise poliitika alusel, hõlmates identiteedi, seadme, rakenduse ja käitumise atribuute.
- Ettevõte seirab ja mõõdab kõigi oma ja seotud varade terviklust ning turbeolekut.
- Kõigi ressursside autentimine ja autoriseerimine on dünaamiline ning seda rakendatakse rangelt enne juurdepääsu lubamist.
- Ettevõte kogub teavet varade, taristu ja side kohta ning kasutab seda turbeoleku parandamiseks.
Kaasaegse SaaS-teenuseosutaja, digipanga, hallatud teenusepakkuja või pilvepõhise platvormi jaoks väljenduvad need põhimõtted praktilistes kontrollivaldkondades:
- Identiteet verifitseeritakse ja allutatakse juhtimisele.
- Seadmeid hinnatakse enne juurdepääsu andmist.
- Privilegeeritud juurdepääs minimeeritakse ja vaadatakse läbi.
- Võrguliikumisteed segmenteeritakse ja kontrollitakse.
- Rakendused, rakendusliidesed ja andmehoidlad jõustavad autoriseerimist.
- Logid ja telemeetria toetavad pidevat seiret.
- Intsidendid käivitavad ohjeldamise, teavitamise ja taaste.
- Tõendusmaterjal näitab, et kontrollimeetmed toimivad, mitte ei ole ainult kavandatud.
Just viimane punkt on koht, kus nõuetelevastavus mängu tuleb.
ISO/IEC 27001:2022 nõuab, et organisatsioonid määratleksid konteksti, huvitatud pooled, kohaldatavad õiguslikud ja lepingulised nõuded, kohaldamisala, liidesed ja sõltuvused. Samuti nõuab see riskihindamist, riskikäsitlust, kohaldatavusavaldust, juhtkonna vastutust, siseauditit, juhtkonnapoolset ülevaatust ja pidevat täiustamist.
Nullusaldus sobitub sellesse struktuuri loomulikult, kui seda käsitatakse kontrollisüsteemina. See ei tohiks jääda ISMS-ist väljapoole pelgaks arendusalgatuseks. See peab olema osa riskihindamisest, kontrollimeetmete valikust, poliitikate juhtimisest, tarnijate haldusest, privaatsuskaitsest, intsidentidele reageerimisest ja juhatuse aruandlusest.
Regulatiivne surve nullusalduse tõendusmaterjali taga
Surve nullusalduse tõendusmaterjali esitamiseks tuleneb tavaliselt kattuvatest kohustustest, mitte ühestainsast standardist.
NIS2 võib kohalduda avaliku või erasektori üksustele Annex I või Annex II sektorites, kui nad täidavad suuruse ja tegevuse künniseid, ning samuti teatud väiksematele, kuid kriitilistele üksustele. Annex I hõlmab pilveteenuse pakkujaid, andmekeskuste teenusepakkujaid, sisuedastusvõrgu teenusepakkujaid, usaldusteenuse osutajaid, hallatud teenusepakkujaid, hallatud turvateenuse pakkujaid ning pangandus- ja finantsturu taristu üksusi. Annex II hõlmab digiteenuse osutajaid, nagu veebipõhised kauplemiskohad, otsingumootorid ja sotsiaalvõrgustiku platvormid.
NIS2 Article 20 paneb küberturvalisuse eest vastutuse juhtorganile. Juhatus peab heaks kiitma küberriskide juhtimise meetmed, tegema järelevalvet nende rakendamise üle ja läbima küberturvalisuse koolituse. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja organisatsioonilisi meetmeid, mis hõlmavad riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist arendust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ning vajaduse korral MFA-d või pidevat autentimist. Article 23 kehtestab olulistest intsidentidest etapiviisilise teavitamise, sealhulgas 24 tunni jooksul varajase hoiatuse, 72 tunni jooksul teavituse ja lõpparuande.
DORA kohaldub alates 17. jaanuarist 2025 ja loob finantsüksustele ühtse digitaalse operatsioonilise toimepidevuse korra. See hõlmab IKT-riski juhtimist, olulistest IKT-ga seotud intsidentidest teatamist, operatsioonilise toimepidevuse testimist, ohuteabe jagamist ja IKT-ga seotud kolmanda osapoole riski. DORA Articles 5 ja 6 nõuavad juhtimist ja dokumenteeritud IKT-riski juhtimise raamistikku. Article 9 käsitleb kaitset ja ennetust, sealhulgas poliitikaid, protseduure, protokolle ja tööriistu IKT-süsteemide kaitsmiseks. Article 17 nõuab IKT-ga seotud intsidentide haldamise protsessi.
GDPR kohaldub töötlemisele ELis asuva tegevuskoha kontekstis ning ka ELi-välistele vastutavatele töötlejatele või volitatud töötlejatele, kes pakuvad ELis asuvatele isikutele kaupu või teenuseid või seiravad nende käitumist. GDPR Article 5 nõuab vastutust. Article 32 nõuab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile vastav turvalisuse tase. Article 33 nõuab isikuandmetega seotud rikkumisest järelevalveasutusele teatamist põhjendamatu viivituseta ning võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist.
Nullusalduse tõendusmudel aitab, sest sama kontrollimeede saab toetada mitut raamistikku. MFA saab toetada ISO/IEC 27001:2022 juurdepääsukontrolli, NIS2 autentimismeetmeid, DORA kaitsenõudeid ja GDPR töötlemise turvalisust. Kuid ainult siis, kui organisatsioon suudab tõendada kohaldamisala, omanikku, rakendamist, seiret ja läbivaatamist.
NISTi nullusalduse põhimõtete vastendamine ISO/IEC 27001:2022 kontrollimeetmetega
ISO/IEC 27001:2022 Annex A kontrollimeetmed koos ISO/IEC 27002:2022 rakendusjuhistega annavad auditi keele, mida enamik organisatsioone vajab. Allolev tabel tõlgib NISTi nullusalduse põhimõtted ISO kontrollivaldkondadeks, mida audiitorid tunnevad.
| NIST SP 800-207 nullusalduse põhimõte | Nullusalduse põhiprintsiip | Asjakohased ISO/IEC 27001:2022 Annex A kontrollimeetmed |
|---|---|---|
| Kõiki andmeallikaid ja arvutusteenuseid käsitatakse ressurssidena | Varade ja andmete tuvastamine | A.5.9 Teabe ja muude seotud varade register, A.5.10 Teabe ja muude seotud varade lubatud kasutus, A.5.12 Teabe klassifitseerimine |
| Kogu side on kaitstud sõltumata võrguasukohast | Turvaline side ja krüpteeritud kanalid | A.8.20 Võrguturve, A.8.22 Võrkude eraldamine, A.8.24 Krüptograafia kasutamine |
| Juurdepääs antakse seansipõhiselt | Seansipõhine autentimine ja autoriseerimine | A.5.17 Autentimisteave, A.8.5 Turvaline autentimine |
| Juurdepääs määratakse dünaamilise poliitika alusel | Kontekstitundlik ja vähimate õiguste põhimõttel põhinev juurdepääs | A.5.15 Juurdepääsukontroll, A.5.18 Juurdepääsuõigused, A.8.3 Teabele juurdepääsu piirang |
| Varade terviklust ja turbeolekut seiratakse | Lõppseadmete ja töökoormuste turvaseisundi kontroll | A.8.1 Kasutaja lõppseadmed, A.8.8 Tehniliste haavatavuste haldus |
| Autentimine ja autoriseerimine on dünaamilised ning rangelt jõustatud | Identiteedi elutsükkel ja privilegeeritud juurdepääsu haldus | A.5.16 Identiteedihaldus, A.8.2 Privilegeeritud juurdepääsuõigused, A.8.5 Turvaline autentimine |
| Teavet kogutakse turbeoleku parandamiseks | Pidev seire, logimine ja täiustamine | A.8.15 Logimine, A.8.16 Seiretegevused, A.8.23 Veebifiltreerimine |
See vastendus ei ole pelgalt tehnilise disaini harjutus. Sellest saab riskiregistri, kohaldatavusavalduse, tõendusmaterjali paketi ja juhtkonnapoolse ülevaatuse päevakorra struktuur.
Näiteks riskistsenaarium „kompromiteeritud arendajakonto muudab tootmiskoodi ja pääseb ligi kliendiandmetele“ tuleb vastendada identiteedihalduse, MFA, privilegeeritud juurdepääsu, võrgusegmenteerimise, logimise, seire, turvalise arenduse, muudatuste juhtimise ja intsidentidele reageerimisega. Sama stsenaarium võib toetada ISO/IEC 27001:2022 nõudeid, NIS2 Article 21, DORA IKT-riski juhtimist ja GDPR Article 32.
Claryseci nullusalduse kontrollivirn
Clarysec ehitab nullusalduse viie tõendusvaldkonna ümber: identiteet, seade, võrk, rakendus ja andmed, mille kohal on kõiki viit läbiv seire ja juhtimine.
Aluseks on juurdepääsukontroll ja identiteedihaldus. Juhendis Zenith Controls: ristvastavuse juhend on ISO/IEC 27002:2022 kontroll 5.15, juurdepääsukontroll, liigitatud ennetavaks kontrollimeetmeks, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning on kooskõlas küberturbe kontseptsiooniga Protect ja identiteedi- ja juurdepääsuhalduse võimekusega. Kontroll 5.16, identiteedihaldus, on samuti ennetav ning seotud samade CIA omaduste ja IAM-võimekusega. Kontroll 8.16, seiretegevused, on liigitatud tuvastavaks ja korrigeerivaks ning toetab Detect ja Respond eesmärke infoturbe sündmuste halduse kaudu.
See kombinatsioon on oluline. Nullusaldus ei ole ainult juurdepääsukontroll. See on juurdepääsukontroll koos identiteedi elutsükli, seadme turvaseisundi, võrgusegmenteerimise, seire ja reageerimisega.
Claryseci poliitikaklauslid muudavad selle mudeli rakendatavaks juhtimiseks.
Ettevõtte juurdepääsukontrolli poliitika, jaotis Eesmärgid, klausel 3.4:
Toetada nullusalduse põhimõtteid, keelates juurdepääsu vaikimisi, välja arvatud juhul, kui see on selgesõnaliselt heaks kiidetud ja põhjendatud.
Ettevõtte kasutajakontode ja õiguste haldamise poliitika, jaotis Poliitika rakendamise nõuded, klausel 6.2.1:
Kõigile kasutajatele tuleb määrata nende tööülesannete täitmiseks vajalik minimaalne juurdepääsutase.
Ettevõtte võrguturbe poliitika, jaotis Juhtimisnõuded, klausel 5.2:
Kogu tsoonidevahelist liiklust tuleb kontrollida tulemüüride või tarkvaraliselt määratletud perimeetri lahendustega, kasutades selgesõnalist vaikimisi keelamise konfiguratsiooni.
Ettevõtte logimis- ja seirepoliitika, jaotis Eesmärgid, klausel 3.4:
Luua tsentraliseeritud logimis- ja teavitussüsteemid (nt SIEM), et koondada, korreleerida ja eskaleerida kahtlast tegevust peaaegu reaalajas.
Ettevõtte infoturbepoliitika, jaotis Poliitika rakendamise nõuded, klausel 6.6.1:
Kõik rakendatud kontrollimeetmed peavad olema auditeeritavad, toetatud dokumenteeritud protseduuridega ja säilitatud toimimise tõendusmaterjaliga.
VKEde puhul saab sama juhtimise eesmärki rakendada kergema poliitikadokumentatsiooniga. Kasutajakontode ja õiguste haldamise poliitika - VKE, jaotis Eesmärgid, klausel 3.2 sätestab:
Rakendada vähimate privileegide põhimõtet, tagades, et kasutajatele antakse ainult nende tööülesannete täitmiseks vajalik minimaalne juurdepääsutase.
Juurdepääsukontrolli poliitika - VKE, jaotis Juhtimisnõuded, klausel 5.4.3 lisab:
Privilegeeritud kontod peavad kasutama mitmefaktorilist autentimist (MFA), kui see on toetatud.
Võrguturbe poliitika - VKE, jaotis Poliitika rakendamise nõuded, klausel 6.2.3 sätestab:
Segmentidevahelist liiklust tuleb filtreerida ning segmentidevaheline juurdepääs peab järgima vähimate privileegide põhimõtet.
Logimis- ja seirepoliitika - VKE, jaotis Eesmärk, klausel 1.3 selgitab:
Logimine ja seire toetavad ohtude tuvastamist, õigusnormidele vastavust, intsidentidest teavitamist ja intsidendihaldust ning kohtuekspertiisi analüüsi.
Privaatsusest lähtuva nullusalduse puhul sätestab Andmekaitse ja privaatsuspoliitika - VKE, jaotis Juhtimisnõuded, klausel 5.3.2:
Kasutajate juurdepääs isikuandmetele peab olema piiratud rollidega, millel on dokumenteeritud ärivajadus.
Need klauslid loovad auditi ankrud. Audiitor saab testida, kas juurdepääs on vaikimisi keelatud, õigused on minimeeritud, tsoonidevaheline liiklus on kontrollitud, logid on tsentraliseeritud ja tõendusmaterjal säilitatud.
Raamistikeülene nullusalduse tõendusmaterjali kaart
Tugev nullusalduse tõendusmudel peab vältima killustatud ekraanipilte. Tõendusmaterjal peab näitama juhtimist, disaini, rakendamist, seiret ja läbivaatamist.
| Nullusalduse võimekus | ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 tõendusmaterjal | NIS2 tõendusmaterjal | DORA tõendusmaterjal | GDPR tõendusmaterjal |
|---|---|---|---|---|
| Identiteedi verifitseerimine ja elutsükkel | ISMS-i kohaldamisala, riskiregister, SoA kanded A.5.15 ja A.5.16 kohta, tööleasujate, ametikoha vahetajate ja lahkujate kirjed | Article 21 personaliturbe, juurdepääsukontrolli ja varahalduse meetmed | IKT-varade ja kasutajate juurdepääsu juhtimine IKT-riskiraamistiku sees | Juurdepääs piiratud autoriseeritud rollidega, vastutava töötleja vastutuse kirjed |
| MFA ja pidev autentimine | Juurdepääsukontrolli poliitika, privilegeeritud juurdepääsu protseduur, MFA rakendamise aruanded | Article 21 meetmed MFA või vajaduse korral pideva autentimise jaoks | Kontrollimeetmed, mis toetavad turvalist juurdepääsu IKT-süsteemidele ja kriitilistele funktsioonidele | Article 32 töötlemise turvalisuse tõendusmaterjal isikuandmetele juurdepääsu kohta |
| Seadme turvaseisund ja lõppseadme usaldus | Varade register, lõppseadme konfiguratsiooni baastase, EDR-i katvus, erandite kinnitused | Küberhügieen, haavatavuste käsitlemine ja turvaliste süsteemide poliitikad | IKT-varade register, toimepidevuse testimine, IKT-süsteemide seire | Kaitse loata või ebaseadusliku töötlemise eest kompromiteeritud lõppseadmete kaudu |
| Võrgusegmenteerimine ja mikrosegmenteerimine | Võrguskeemid, tulemüüri reeglid, segmentimise testitulemused, muudatuste kirjed | Meetmed intsidendi mõju ennetamiseks või minimeerimiseks ja talitluspidevuse toetamiseks | Viitearhitektuur, mõjitaluvus, kriitiliste süsteemide testimine | Andmete eraldamine, rikkumise ulatuse minimeerimine |
| Rakenduste ja API-de vähimad õigused | RBAC- või ABAC-maatriksid, pilve IAM-poliitikad, tokenite ulatused, API juurdepääsuõiguste ülevaatused | Turvaline hankimine, arendus ja hooldus, haavatavuste käsitlemine | IKT-toega funktsioonide vastendus ja sõltuvuste dokumentatsioon | Eesmärgi piirang, juurdepääs isikuandmetele ärivajaduse alusel |
| Pidev seire ja tuvastamine | SIEM-i kasutusjuhud, teavituste triaaž, seireprotseduur, intsidendikirjed | Intsidentide käsitlemine ja valmisolek olulistest intsidentidest teatamiseks | Intsidentide klassifitseerimine, juhtkonna eskalatsioon ja aruandluse elutsükkel | Isikuandmetega seotud rikkumise tuvastamine ja vastutuse tõendusmaterjal |
| Tarnija- ja pilveusaldus | Tarnijalepingud, pilveteenuse lõpetamise plaan, tarnijate seire, jagatud vastutuse vastendus | Tarneahela turve otseste tarnijate ja teenuseosutajate puhul | IKT-ga seotud kolmanda osapoole riski strateegia, IKT-lepingute register, auditeerimisõigused ja väljumisplaanid | Volitatud töötleja hoolsuskontroll, lepingulised kaitsemeetmed ja turbekontrollid |
See tabel on juhatuse jaoks valmis nullusalduse programmi tuum. See näitab, kuidas üks kontrollikeskkond saab toetada mitut kindluse andmise nõuet, ilma et iga raamistiku jaoks tuleks luua eraldi tõenduspakette.
Zenith Blueprinti kasutamine jälgitavuse loomiseks
Claryseci Zenith Blueprint: audiitori 30-sammuline teekaart on loodud selleks, et nullusaldus ei muutuks dokumenteerimata insenerifilosoofiaks. Riskijuhtimise etapis, samm 13, riskikäsitluse planeerimine ja kohaldatavusavaldus, selgitab see:
SoA on sisuliselt silddokument: see seob teie riskihindamise ja riskikäsitluse
tegelike kontrollimeetmetega, mis teil olemas on. Selle täitmisel kontrollite ühtlasi üle, kas mõni kontrollimeede jäi vahele.
Sama samm soovitab vastendada kontrollimeetmed riskidega, lisada Annex A kontrolliviited riskikäsitluse kannetesse ning teha ristviited regulatsioonidele, nagu GDPR, NIS2 või DORA, kui kontrollimeetmed on rakendatud nende kohustuste täitmiseks.
Nullusalduse puhul on see puuduv lüli. Kui audiitor küsib, miks rakendasite tingimusliku juurdepääsu, ei tohiks vastus olla „sest nullusaldus ütleb nii“. Parem vastus on:
- Riskistsenaarium on loata juurdepääs kliendiandmetele kompromiteeritud autentimisandmete kaudu.
- Riskiomanik on CTO või arendusjuht.
- Käsitlus hõlmab SSO-d, MFA-d, tingimuslikku juurdepääsu, lõppseadme turvaseisundi valideerimist, vähimate õiguste põhimõtet, segmentimist ja seiret.
- SoA vastendab käsitluse juurdepääsukontrolli, identiteedihalduse, logimise, seire, krüptograafia, haavatavuste halduse ja pilveteenuste haldusega.
- Sama käsitlus toetab NIS2 Article 21, DORA IKT-riski juhtimist ja GDPR Article 32.
- Tõendusmaterjal hõlmab poliitikaklausleid, juurdepääsuõiguste ülevaatusi, SIEM-i teavitusi, EDR-i turvaseisundi aruandeid, tulemüüri reegleid, IAM-i eksportfaile, intsidendiõppusi ja juhtkonnapoolse ülevaatuse protokolle.
Nii muutub nullusalduse arhitektuur auditivalmiks.
Lõppseadme usaldus, API-d ja võrkude eraldamine praktikas
Nullusaldus ebaõnnestub sageli seetõttu, et organisatsioonid keskenduvad identiteedile, jättes tähelepanuta seadme, töökoormuse, andmete ja võrgu konteksti.
Zenith Blueprint samm 19, tehnilised kontrollimeetmed I, selgitab lõppseadme turvaseisundi nõuet selgelt:
Juurdepääs teabele lõppseadmete kaudu peab olema kontekstitundlik. Näiteks: kas seade
vastab ettevõtte ressurssidele juurdepääsu eel minimaalsetele turbenõuetele? Kas see on hiljuti läbinud
pahavara skannimise? Kas ühendus tuleb ebatavalisest asukohast või võrgust? Nullusalduse
põhimõtetega integreerituna saab lõppseadme turvaseisund toita tingimuslikku juurdepääsu, keelates sisenemise kuni
seade tõendab, et see on turvaline.
See muudab seadme autoriseerimisotsuse osaks. Hallamata sülearvutist sisestatud kehtivat parooli ei tohi käsitleda samamoodi nagu vastavuses oleva, krüpteeritud ja seiratud ettevõtte lõppseadmest tehtud kehtivat sisselogimist.
Sama samm rõhutab, et juurdepääsupiirangud kehtivad rakendustele, teenustele ja API-dele, mitte ainult kasutajatele:
Juurdepääsupiiranguid tuleb rakendada ka rakendustele, teenustele ja API-dele, mitte ainult inimestele.
Näiteks võib mikroteenus vajada andmebaasitabelile ainult lugemisõigust, mitte täielikke CRUD-
õigusi. Varundustööriist võib vajada juurdepääsu ainult konkreetsetele salvestusämbritele, mitte kõigile tenant’i ressurssidele.
See juhis on kriitiline pilvepõhistes keskkondades. API ulatused, teenusekontod, töökoormuse identiteedid, Kubernetes’e rollid ja pilve IAM-poliitikad peavad kõik järgima vähimate õiguste põhimõtet. Inimeste juurdepääs on vaid üks osa kontrollipinnast.
Zenith Blueprint samm 20 käsitleb võrkude eraldamist:
Eraldamine on üks vanimaid ja tõhusamaid küberturbe põhimõtteid: piira levikut, vähenda riski
ja ohjelda kahju. Kontroll 8.22 keskendub võrgu eraldamisele, st süsteemide, teenuste ja kasutajate
lahutamisele erinevatesse loogilistesse või füüsilistesse tsoonidesse, et vältida loata juurdepääsu ja piirata lateraalset liikumist
kompromiteerimise korral.
See on DORA ja NIS2 toimepidevuse jaoks kriitiline. Nullusalduse võrk peab eeldama, et üks konto, töökoormus või lõppseade võib olla kompromiteeritud. Segmentimine takistab kohaliku sündmuse muutumist süsteemseks intsidendiks.
10-päevane nullusalduse tõendusmaterjali pakett
Kujutlege SaaS-fintech’i, mis pakub pankadele pettuseanalüütikat. See töötleb isikuandmeid, kasutab pilvetaristut, tugineb hallatud Kubernetes’ele, integreerub klientide API-dega ja kasutab kolmanda osapoole identiteedipakkujat. Klient küsib nullusalduse tõendusmaterjali ning ettevõttel on kümme tööpäeva.
Praktiline Claryseci tõendussprint näeks välja selline.
| Ajakava | Tegevus | Tõendusmaterjali väljund |
|---|---|---|
| 1.–2. päev | Määratle nullusalduse kohaldamisala tootmiskeskkonna pilvekontode, identiteedipakkuja, CI/CD, administraatorite tööjaamade, kliendi API-lüüsi, andmelao, SIEM-i, EDR-i ja kriitiliste tarnijate lõikes | Kohaldamisala avaldus, sõltuvuste kaart, piirskeem |
| 3. päev | Loo riski ja kontrollimeetme jälgitavus, kasutades Zenith Blueprint sammu 13 | Riskiregistri kanded, käsitlusplaan, SoA vastendused |
| 4.–5. päev | Rakenda ettevõtte või VKE poliitikaklauslid ja dokumenteeri erandid | Heaks kiidetud poliitikad, erandiregister, riski aktsepteerimise kirjed |
| 6.–7. päev | Kogu tehniline tõendusmaterjal | MFA aruanded, tingimusliku juurdepääsu poliitikad, PAM-i kirjed, lõppseadmete juhtpaneelid, tulemüüri reeglid, Kubernetes’e võrgupoliitikad, IAM-i eksportfailid, SIEM-i kasutusjuhud |
| 8. päev | Lisa privaatsuse ja andmekaitse tõendusmaterjal | Rollide ja andmete maatriks, töötlemiskirjed, krüptimise tõendusmaterjal, säilitamisreeglid, rikkumise eskaleerimise protseduur |
| 9. päev | Lisa NIS2 ja DORA kihid | Article 21 vastendus, intsidentidest teatamise valmisolek, IKT-funktsioonide kaart, tarnijaregister, väljumisplaani tõendusmaterjal |
| 10. päev | Koosta juhtkonna kokkuvõte | Juhatusele sobiv narratiiv, jääkriski kokkuvõte, täiustamise teekaart |
Eesmärk ei ole teeselda, et organisatsioon on kümne päevaga saavutanud täiusliku nullusalduse. Eesmärk on luua kõige olulisemate riskide jaoks kaitstav tõendusahel ning tõendada, et programmi juhitakse, mõõdetakse ja täiustatakse.
Kuidas eri audiitorid nullusaldust testivad
Levinud viga on valmistada ette üks tehniline lugu ja eeldada, et iga audiitor küsib samu küsimusi. Nad ei küsi.
ISO/IEC 27001:2022 audiitor otsib juhtimissüsteemi. Ta küsib, kas nullusalduse riskid on riskihindamisse lisatud, kas käsitlused on heaks kiidetud, kas SoA on täielik, kas poliitikad on kontrollitud dokumendid, kas juurdepääsuõiguste ülevaatused toimuvad, kas siseauditid testivad kontrollimeetmeid ja kas juhtkonnapoolsed ülevaatused jälgivad toimivust.
DORA ülevaataja küsib, kas nullusalduse kontrollimeetmed on osa dokumenteeritud IKT-riski juhtimise raamistikust. Ta eeldab varade ja sõltuvuste registreid, kriitiliste või oluliste funktsioonide vastendust, intsidentide klassifitseerimist, juhatuse tasandi eskalatsiooni, testimist, kolmandate osapoolte lepingunõudeid, auditeerimisõigusi, väljumisstrateegiaid ja parandusmeetmete jälgimist.
NIS2 hindaja keskendub juhtorgani vastutusele, Article 21 küberturberiskide juhtimise meetmetele ja Article 23 intsidentidest teatamise valmisolekule. Samuti eeldab ta tõendusmaterjali selle kohta, et tarneahela turvet, talitluspidevust, haavatavuste käsitlemist, juurdepääsukontrolli ja küberhügieeni juhitakse.
GDPR ülevaataja või privaatsusaudiitor küsib, kas juurdepääs isikuandmetele on vajalik, dokumenteeritud, piiratud, seiratud ja kooskõlas töötlemise eesmärkidega. Ta uurib vastutava töötleja ja volitatud töötleja rolle, isikuandmetega seotud rikkumise tuvastamist, rollipõhist juurdepääsu, krüptimist, vajaduse korral pseudonüümimist, säilitamist ja vastutust.
| Audiitori vaade | Tõenäoline küsimus | Tõendusmaterjal, mis sellele vastab |
|---|---|---|
| ISO/IEC 27001:2022 audiitor | Kas nullusaldus on riskipõhine, heaks kiidetud ja SoA-s kajastatud? | Riskiregister, SoA, riskikäsitlusplaan, poliitikate kinnitused, juhtkonnapoolse ülevaatuse protokollid |
| NIST CSF hindaja | Kas juhtimise, identiteedi, kaitse, tuvastamise, reageerimise ja taaste tulemused on integreeritud? | CSF-profiil, lünkade plaan, IAM-kontrollid, logimise kasutusjuhud, reageerimise tööjuhised, taastetestid |
| DORA ülevaataja | Kas nullusaldus toetab IKT-riski juhtimist ja kriitiliste funktsioonide vastupidavust? | IKT-varade register, sõltuvuste kaart, testimisprogramm, intsidentide klassifikatsioon, tarnijaregister |
| GDPR/privaatsusaudiitor | Kas juurdepääs isikuandmetele on piiratud ja tõendatavalt kaitstud? | Rollide ja andmete maatriks, juurdepääsuõiguste ülevaatused, krüptimise tõendusmaterjal, rikkumise protseduurid, töötlemiskirjed |
| COBIT 2019/ISACA audiitor | Kas vastutused, mõõdikud ja kontrollimeetmete toimivus on juhitud? | RACI, KPI-d, erandiregister, auditileiud, parandusmeetmete jälgija |
Sama kontrollimeede võib vastata mitmele küsimusele, kuid ainult siis, kui tõendusmaterjal on korrastatud.
Tarnija-, pilve- ja IKT-ga seotud kolmanda osapoole risk
Nullusaldus ei lõpe tulemüüriga ning pilvekeskkondades ei pruugi traditsioonilist tulemüüri piiri üldse olla. Identiteedipakkujad, pilveplatvormid, CI/CD tööriistad, hallatud tuvastusteenuse pakkujad, maksetöötlejad, API-lüüsid ja allhankearenduse meeskonnad muutuvad kõik usalduskanga osaks.
NIS2 Article 21 hõlmab selgesõnaliselt otseste tarnijate ja teenuseosutajate tarneahela turvet, sealhulgas tarnijate haavatavusi, toodete ja teenuste vastupidavust, tarnijate küberturbpraktikaid ja turvalise arenduse protseduure.
DORA nõuab, et IKT-ga seotud kolmanda osapoole riski juhitaks IKT-riski juhtimise raamistiku osana, koos IKT-teenuslepingute registri, lepingueelse hoolsuskontrolli, kriitilisuse hindamise, kontsentratsiooniriski, lepinguliste turbenõuete, intsidendiabi, asutustega koostöö, auditeerimisõiguste, lõpetamisõiguste, väljumisstrateegiate ja üleminekuplaanidega.
Nullusalduse praktiline reegel on lihtne: ära usalda tarnija ühendust ainult seetõttu, et see on lepinguline. Nõua tehnilisi kontrollimeetmeid ja tõendusmaterjali.
Kliendi API-integratsioonil peavad olema piiratud ulatusega tokenid, päringumahu piirangud, seire, rotatsioon, omanik ja tühistamine. Hallatud teenusepakkuja peab kasutama MFA-d, nimelisi kasutajakontosid, vähimate õiguste põhimõtet, seansside logimist ja ajaliselt piiratud juurdepääsu. Pilveteenuse pakkuja suhte puhul peab olemas olema jagatud vastutuse vastendus, krüptimise konfiguratsioon, logide säilitamine, varukoopiate testimine ja väljumisplaneerimine.
Seetõttu kuulub tarnija- ja pilvetõendusmaterjal nullusalduse mudelisse, mitte eraldi hankekausta.
Mõõdikud, mis tõendavad nullusalduse toimimist
Juhatus ja audiitorid ei soovi ainult arhitektuuriskeeme. Nad soovivad toimimist tõendavat materjali ja täiustamise trende.
Kasulikud nullusalduse mõõdikud on näiteks:
- MFA-ga kaitstud privilegeeritud kontode osakaal.
- Tingimusliku juurdepääsuga hõlmatud kasutajate osakaal.
- Püsivate privilegeeritud kontode arv võrreldes õigeaegse juurdepääsu kontodega.
- Tähtaja ületanud juurdepääsuõiguste ülevaatuste arv.
- Turvaseisundi nõuetele vastavate lõppseadmete osakaal.
- EDR-i katvus kriitiliste varade lõikes.
- Seadme- või asukohariski tõttu keelatud juurdepääsukatsete arv.
- Kahtlase privilegeeritud tegevuse keskmine tuvastamisaeg.
- Keskmine aeg juurdepääsu tühistamiseni pärast töösuhte lõpetamist.
- Viimases kvartalis läbi vaadatud tsoonidevaheliste tulemüürireeglite osakaal.
- Kehtiva turbetõendusmaterjaliga kriitiliste tarnijate arv.
- Parandustähtaja ületanud nullusalduse erandite arv.
- SIEM-i logisid saatvate kriitiliste rakenduste osakaal.
- Autentimisandmete kompromiteerimise intsidendisimulatsioonide tulemused.
Need mõõdikud toetavad ISO/IEC 27001:2022 pidevat täiustamist, NIS2 tõhususe hindamist, DORA testimise ja parandusmeetmete ootusi ning GDPR vastutust.
Levinud nullusalduse tõendusmaterjali puudused
Kõige sagedasemad puudused ei tulene tööriistade puudumisest. Need tulenevad nõrgast jälgitavusest.
Esiteks rakendavad organisatsioonid MFA-d, kuid ei suuda tõendada, et privilegeeritud kontod on täielikult hõlmatud. Teenusekontod, break-glass-kontod ja kohalikud administraatorikontod jäävad sageli kontrollist välja.
Teiseks tehakse juurdepääsuõiguste ülevaatusi käsitsi, kuid neid ei seota ärirollide, andmete tundlikkuse ega riskiomanikega. Tõendusmaterjal näitab, et keegi klõpsas „läbi vaadatud“, mitte seda, et ebavajalik juurdepääs eemaldati.
Kolmandaks on võrgusegmenteerimine skeemidel olemas, kuid testitud reeglites mitte. Audiitorid küsivad, kas segmentidevaheline juurdepääs on vaikimisi keelatud ja kas erandid on heaks kiidetud.
Neljandaks kogutakse logisid, kuid need ei ole tegevuskõlblikud. SIEM ilma määratletud kasutusjuhtude, teavituste triaaži ja reageerimisprotseduurideta ei tõenda pidevat seiret.
Viiendaks on tarnijate juurdepääs haldamata. Tarnijad võivad kasutada ühiskontosid, püsivat VPN-juurdepääsu või laiu pilverolle ilma seansside seireta.
Kuuendaks on privaatsuse tõendusmaterjal eraldatud turbe tõendusmaterjalist. GDPR nõuab isikuandmete kaitse tõendatavust, seega peavad identiteedi- ja juurdepääsukontrollid olema seotud andmekategooriate ja töötlemise eesmärkidega.
Lõpuks on erandid dokumenteerimata. Nullusaldus võib erandeid lubada, kui need on riskihinnatud, heaks kiidetud, ajaliselt piiratud ja seiratud. See ei talu nähtamatuid erandeid.
Koosta oma nullusalduse tõendusmaterjali pakett Claryseciga
Nullusalduse arhitektuur 2026. aastal ei ole loosung. See on nõuetelevastavuse tegevusmudel, mis seob identiteedi, seadmed, rakendused, võrgusegmenteerimise, vähimate õiguste põhimõtte, pideva seire, tarnijate kontrolli ja privaatsuskaitsemeetmed üheks auditeeritavaks süsteemiks.
Kui valmistute ISO/IEC 27001:2022 sertifitseerimiseks, vastate NIS2 kliendipäringutele, viite tegevust kooskõlla DORA IKT-riski juhtimisega või tõendate GDPR Article 32 töötlemise turvalisust, alustage jälgitavusest.
Kasutage Zenith Blueprint: audiitori 30-sammuline teekaart, et vastendada nullusalduse riskid oma riskiregistri, käsitlusplaani ja SoA-ga. Kasutage Zenith Controls: ristvastavuse juhend, et viia juurdepääsukontroll, identiteedihaldus ja seire kooskõlla raamistikeüleste ootustega. Kasutage Claryseci poliitikakogu, sealhulgas Ettevõtte juurdepääsukontrolli poliitika, Ettevõtte kasutajakontode ja õiguste haldamise poliitika, Ettevõtte võrguturbe poliitika, Ettevõtte logimis- ja seirepoliitika, Ettevõtte infoturbepoliitika ja Andmekaitse ja privaatsuspoliitika - VKE, et muuta arhitektuur rakendatavaks juhtimiseks.
Järgmine praktiline samm on valida üks kõrge riskiga stsenaarium, näiteks kliendiandmetele suunatud privilegeeritud juurdepääsu kompromiteerimine, ning ehitada selle ümber täielik nullusalduse tõendusahel. Kui suudate selle stsenaariumi otsast lõpuni tõendada, on teil alus skaleeritavale, auditeeritavale ja regulaatorite ootustele vastavale nullusalduse programmile.
Laadige alla Claryseci poliitikapaketid või leppige kokku strateegiakõne, et näha, kuidas Zenith Blueprint ja Zenith Controls saavad muuta nullusalduse auditiriskist nõuetelevastavuse eeliseks.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


