ISO 27001 -pääsynhallinnan auditointinäyttö: opas
Kello on auditointipäivänä 09.10. Maria, nopeasti kasvavan FinTech- ja pilvialustayrityksen CISO, pitää pääsynhallintapolitiikkaa avoinna. IT-vastaava vie ehdollisen pääsyn asetuksia identiteetintarjoajasta. Henkilöstöhallinto etsii tikettiä, joka koskee kuusi viikkoa aiemmin lähteneen talousanalyytikon työsuhteen päättämistä. Sisäinen auditoija nostaa katseensa ja esittää kysymyksen, jonka kaikki tiesivät tulevan:
“Näyttäkää, miten henkilötietoihin etuoikeutetun pääsyn omaavan käyttäjän käyttöoikeutta pyydetään, hyväksytään, toteutetaan, katselmoidaan ja poistetaan.”
Tuo yksi lause voi paljastaa, onko pääsynhallintaohjelma aidosti auditointivalmis vai ainoastaan valmis politiikkatasolla.
Marian tiimillä oli kypsä tietoturvallisuuden hallintajärjestelmä, vuosittainen ISO/IEC 27001:2022 -uudelleensertifiointisykli, käytössä monivaiheinen todennus, liiketoiminnan ydinjärjestelmissä roolipohjainen käyttöoikeuksien hallinta sekä neljännesvuosittaiset käyttöoikeuksien katselmointitaulukot. Tämä auditointi oli kuitenkin erilainen. Auditoijan pyyntölistalla oli valmius esiin nouseviin sääntelyvaatimuksiin. Marian organisaatiolle tämä tarkoitti NIS2:ta, DORA:a ja GDPR:ää, joita kaikkia tarkasteltiin saman operatiivisen näkökulman kautta: identiteetti, pääsy, todennus, etuoikeudet ja näyttö.
Monen CISO:n ongelma ei ole se, ettei pääsynhallintaa olisi olemassa. Ongelma on se, että näyttö on hajallaan. Perehdytyksen hyväksynnät ovat Jirassa tai ServiceNow’ssa. MFA-asetukset ovat Microsoft Entra ID:ssä, Oktassa tai muussa identiteetintarjoajassa. AWS-, Azure- ja Google Cloud -käyttöoikeudet ovat erillisissä hallintakonsoleissa. Etuoikeutetut toimet saatetaan kirjata PAM-työkaluun tai niitä ei kirjata lainkaan. HR-tila on BambooHR:ssä, Workdayssa tai taulukoissa. Käyttöoikeuksien katselmoinnit on voitu hyväksyä sähköpostitse.
Kun auditoija yhdistää IAM:n, MFA:n, PAM:n, JML-prosessin tapahtumat, henkilötiedot, pilvihallinnan ja sääntelyodotukset, pirstaleinen näyttö hajoaa nopeasti.
ISO/IEC 27001:2022 -standardin pääsynhallinnan auditoinnit eivät ole pelkkiä teknisten konfiguraatioiden tarkastuksia. Ne ovat hallintajärjestelmän testejä. Niissä arvioidaan, ymmärretäänkö, käsitelläänkö, toteutetaanko, seurataanko ja parannetaanko identiteetti- ja pääsyriskejä. Kun myös NIS2, DORA ja GDPR ovat merkityksellisiä, saman näytön on osoitettava riskiperusteinen käyttöoikeuksien hallinnointi, vahva todennus, jäljitettävät hyväksynnät, oikea-aikainen käyttöoikeuksien peruminen, etuoikeuksien rajoittaminen, henkilötietojen suoja ja johdon osoitusvelvollisuus.
Käytännön ratkaisu ei ole suurempi mappi. Ratkaisu on yksi pääsynhallinnan näyttömalli, joka alkaa ISMS:n soveltamisalasta ja riskeistä, etenee politiikan ja kontrollien suunnittelun kautta IAM- ja PAM-työkaluihin ja kartoittuu selkeästi ISO/IEC 27001:2022-, NIS2-, DORA-, GDPR-, NIST- ja COBIT-vaatimuksiin.
Miksi pääsynhallinta on sääntelyn kriittinen nivelkohta
Pääsynhallinnasta on tullut hallitustason ja viranomaisille näkyvä aihe, koska identiteetin vaarantuminen on nykyisin yleinen reitti toiminnan häiriöihin, henkilötietojen tietoturvaloukkauksiin, petoksiin ja toimitusketjun altistumiseen.
NIS2:n Article 2 ja Article 3 yhdessä Annex I:n ja Annex II:n kanssa tuovat monet luetelluilla toimialoilla toimivat keskisuuret ja suuremmat toimijat soveltamisalaan keskeisinä tai tärkeinä toimijoina. Tämä kattaa digitaalisen infrastruktuurin sekä ICT-palvelujen hallinnan tarjoajat, kuten pilvipalveluntarjoajat, datakeskuspalvelujen tarjoajat, hallinnoidut palveluntarjoajat ja hallinnoitujen tietoturvapalvelujen tarjoajat. Jäsenvaltioiden oli saatettava NIS2 osaksi kansallista lainsäädäntöä lokakuuhun 2024 mennessä ja sovellettava kansallisia toimenpiteitä lokakuusta 2024 alkaen, ja toimijaluettelot oli määrä laatia huhtikuussa 2025. Article 20 tekee hallintoelimistä vastuullisia kyberturvallisuuden riskienhallintatoimenpiteiden hyväksymisestä ja toteutuksen valvonnasta. Article 21 edellyttää teknisiä, operatiivisia ja organisatorisia toimenpiteitä, mukaan lukien pääsynhallintapolitiikat, omaisuudenhallinta, kyberhygienia, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun tietoturva sekä MFA tai jatkuva todennus soveltuvin osin.
DORA lisää finanssialan toimijoille ja asiaankuuluville ICT-kolmannen osapuolen palveluntarjoajille toimialakohtaisen operatiivisen häiriönsietokyvyn kerroksen. Article 1, Article 2 ja Article 64 määrittävät DORA:n yhdenmukaiseksi viitekehykseksi, jota sovelletaan 17. tammikuuta 2025 alkaen. Article 5 ja Article 6 edellyttävät hallinnointia ja dokumentoitua ICT-riskienhallinnan viitekehystä. Article 9 käsittelee suojausta ja ennaltaehkäisyä, mukaan lukien ICT-tietoturvapolitiikat, menettelyt, protokollat ja työkalut. Article 24–30 lisäävät digitaalisen operatiivisen häiriönsietokyvyn testauksen ja ICT-kolmannen osapuolen riskienhallinnan. Finanssialan toimijoille pääsynhallinnan näytöstä tulee näyttöä häiriönsietokyvystä, ei pelkkää IT-ylläpidon näyttöä.
GDPR tuo mukaan henkilötietojen näkökulman. Article 2 ja Article 3 määrittävät laajan soveltamisen EU:ssa tapahtuvaan käsittelyyn ja EU-markkinoille suuntautuvaan toimintaan. Article 5 edellyttää eheyttä, luottamuksellisuutta ja osoitusvelvollisuutta. Article 25 edellyttää sisäänrakennettua ja oletusarvoista tietosuojaa. Article 32 edellyttää asianmukaisia teknisiä ja organisatorisia toimenpiteitä. Käytännössä tämä tarkoittaa hallittua pääsyä, turvallista todennusta, lokitusta, katselmointia ja oikea-aikaista poistamista henkilötietoja käsittelevistä järjestelmistä.
ISO/IEC 27001:2022 antaa organisaatioille hallintajärjestelmämoottorin näiden velvoitteiden yhdistämiseen. Kohdat 4.1–4.3 edellyttävät, että organisaatio ymmärtää toimintaympäristön, sidosryhmät, lakisääteiset ja sopimusperusteiset vaatimukset, rajapinnat, riippuvuudet ja ISMS:n soveltamisalan. Kohdat 6.1.1–6.1.3 edellyttävät tietoturvariskien arviointia, riskien käsittelyä, liite A -vertailua, soveltuvuuslausuntoa sekä riskienkäsittelysuunnitelmien ja jäännösriskin hyväksyntää. Kohta 8.1 edellyttää operatiivista ohjausta, dokumentoitua tietoa siitä, että prosessit ovat toteutuneet suunnitellusti, muutostenhallintaa ja ulkoistettujen prosessien hallintaa.
Auditointikysymys ei siis ole “Onko teillä MFA?” vaan “Voitteko osoittaa, että soveltamisalaan kuuluvien identiteettien ja järjestelmien pääsyriskiä hallinnoidaan, käsitellään, toteutetaan, seurataan ja parannetaan?”
Rakenna näytön selkäranka ISMS:n soveltamisalasta IAM-näyttöön
Clarysec aloittaa pääsynhallinnan auditointivalmistelun tekemällä näytöstä jäljitettävää liiketoimintakontekstista lähtien. ISO/IEC 27001:2022 edellyttää, että ISMS integroidaan organisaation prosesseihin ja mitoitetaan organisaation tarpeisiin. 30 henkilön SaaS-toimittajalla ja monikansallisella pankilla ei ole samaa pääsyarkkitehtuuria, mutta molemmat tarvitsevat yhtenäisen näyttöketjun.
| Näyttökerros | Mitä se osoittaa | Tyypilliset lähdejärjestelmät | Arvo vaatimustenmukaisuuden yhteiskäytössä |
|---|---|---|---|
| ISMS:n soveltamisala ja sidosryhmävaatimukset | Mitkä järjestelmät, tiedot, säädökset ja kolmannen osapuolen riippuvuudet kuuluvat soveltamisalaan | ISMS:n soveltamisala, vaatimustenmukaisuusrekisteri, tietoaineistorekisteri, toimittajarekisteri | Tukee ISO/IEC 27001:2022 kohtien 4.2 ja 4.3 vaatimuksia, NIS2-soveltamisalan määritystä, DORA:n ICT-riippuvuuksien kartoitusta ja GDPR:n osoitusvelvollisuutta |
| Pääsyriskien arviointi | Miksi IAM, MFA, PAM ja katselmoinnit tarvitaan riskin perusteella | Riskirekisteri, uhkaskenaariot, riskienkäsittelysuunnitelma | Tukee ISO/IEC 27001:2022 kohdan 6.1 vaatimusta, ISO/IEC 27005:2022 -standardia, DORA:n ICT-riskien viitekehystä ja NIS2-riskitoimenpiteitä |
| Politiikka ja standardit | Mitä organisaatio edellyttää | Pääsynhallintapolitiikka, etuoikeuspolitiikka, perehdytys- ja työsuhteen päättämispolitiikka | Muuntaa sääntelyodotukset sovellettaviksi sisäisiksi säännöiksi |
| IAM- ja PAM-määritykset | Onko kontrollit toteutettu teknisesti | IdP, HRIS, ITSM, PAM, pilvi-IAM, SaaS-hallintakonsolit | Osoittaa vähimmän oikeuden periaatteen, MFA:n, RBAC:n, hyväksyntätyönkulut ja etuoikeutettujen istuntojen kontrollit |
| Katselmointi- ja valvontatallenteet | Säilyykö pääsy ajan myötä asianmukaisena | Käyttöoikeuksien katselmointikampanjat, SIEM, PAM-lokit, esihenkilöiden vaatimustenmukaisuusvakuutukset | Osoittaa kontrollien jatkuvan toiminnan, DORA-seurannan, NIS2-kyberhygienian ja GDPR-minimoinnin |
| Poistumismenettelyn ja poikkeusten tallenteet | Poistetaanko pääsy ja hallitaanko poikkeuksia | HR:n työsuhteen päättämisluettelo, deaktivointilokit, poikkeusrekisteri | Osoittaa oikea-aikaisen käyttöoikeuksien perumisen, jäännösriskin hyväksynnän ja loukkausten ehkäisyn |
ISO/IEC 27005:2022 on hyödyllinen, koska se suosittelee lakisääteisten, sääntelyyn liittyvien, sopimusperusteisten, toimialakohtaisten ja sisäisten vaatimusten kokoamista yhteiseen riskikontekstiin. Kohdat 6.4 ja 6.5 korostavat riskikriteerejä, joissa huomioidaan organisaation tavoitteet, lait, toimittajasuhteet ja rajoitteet. Kohdat 7.1 ja 7.2 mahdollistavat tapahtumapohjaiset ja omaisuusperusteiset skenaariot. Pääsynhallinnassa tämä tarkoittaa strategisten skenaarioiden, kuten “etuoikeutettu SaaS-ylläpitäjä vie EU-asiakastietoja”, arviointia rinnakkain omaisuusskenaarioiden, kuten “orpo AWS IAM -avain on liitetty tuotantotallennustilaan”, kanssa.
Clarysecin Zenith Blueprint: auditoijan 30 vaiheen tiekartta -mallissa tämä näytön selkäranka rakennetaan Controls in Action -vaiheen aikana. Vaihe 19 keskittyy teknologisiin kontrolleihin päätelaitteiden ja käyttöoikeuksien hallinnassa, kun taas vaihe 22 virallistaa organisaation käyttöoikeuksien elinkaaren.
Zenith Blueprint ohjeistaa tiimejä varmistamaan, että käyttöoikeuksien myöntäminen ja poistaminen ovat rakenteistettuja, integroituvat HR:ään mahdollisuuksien mukaan, perustuvat käyttöoikeuspyyntöjen työnkulkuihin ja katselmoidaan neljännesvuosittain. Se ohjeistaa organisaatioita myös dokumentoimaan identiteettityypit, soveltamaan kontrolleja yksilöllisiin, jaettuihin ja palveluidentiteetteihin, käyttämään vahvoja salasanapolitiikkoja ja MFA:ta, poistamaan käyttämättömät tunnukset sekä ylläpitämään palvelutunnistetiedoille turvallista holvitusta tai dokumentaatiota.
Juuri näin auditoijat testaavat pääsynhallintaa: yksi identiteetti, yksi järjestelmä, yksi hyväksyntä, yksi etuoikeus, yksi katselmointi ja yksi käyttöoikeuden peruminen kerrallaan.
Mitä kerätä auditointivalmiiksi pääsynhallinnan näytöksi
Pääsynhallinnan näyttöpaketin tulee mahdollistaa auditoijalle minkä tahansa käyttäjän otanta ja elinkaaren jäljittäminen: pyyntö, hyväksyntä, osoittaminen, todennus, käyttöoikeuksien korotus, valvonta, katselmointi ja peruminen.
Vahva näyttöpaketti sisältää:
- Pääsynhallintapolitiikka ja käyttäjätilipolitiikka
- JML-prosessin menettely
- Roolimatriisi tai pääsynhallintamatriisi
- Luettelo soveltamisalaan kuuluvista sovelluksista, alustoista ja tietovarastoista
- Identiteetintarjoajan MFA-määritys
- Ehdollisen pääsyn politiikat ja poikkeusluettelo
- Etuoikeutettujen tilien luettelo
- PAM-työnkulun näyttö, mukaan lukien hyväksynnät ja istuntolokit
- Tuoreen käyttöoikeuksien katselmointikampanjan tuloste
- Esimerkit esihenkilöiden vaatimustenmukaisuusvakuutuksista ja korjaavista toimenpiteistä
- HR:n työsuhteen päättämisraportti yhdistettynä deaktivointilokeihin
- Palvelutililuettelo, omistajat, kiertotallenteet ja holvinäyttö
- Break glass -tilin menettely ja testiloki
- Poikkeama- tai hälytysnäyttö epäonnistuneista kirjautumisista, käyttöoikeuksien korotuksesta tai käyttämättömistä tunnuksista
- Soveltuvuuslausunnon kirjaukset pääsyyn liittyvistä liite A -hallintakeinoista
Clarysecin politiikat tekevät tästä odotuksesta nimenomaisen. Pk-yritysten Pääsynhallintapolitiikka-sme sisältää yksinkertaisen ja auditointikeskeisen vaatimuksen:
“Kaikesta käyttöoikeuksien myöntämisestä, muutoksista ja poistoista on ylläpidettävä turvallista tallennetta.”
Osio “Politiikan toteutusvaatimukset”, kohta 6.1.1.
Sama pk-yrityspolitiikka kytkee myös RBAC:n ja MFA:n suoraan roolivastuisiin:
“Toteuttaa roolipohjaiset pääsynhallintakontrollit (RBAC) ja edellyttää vahvaa todennusta (esim. monivaiheinen todennus (MFA)).”
Osio “Roolit ja vastuut”, kohta 4.2.3.
Suuremmille organisaatioille tarkoitettu yritystason Perehdytys- ja työsuhteen päättämispolitiikka edellyttää, että IAM-järjestelmä kirjaa käyttäjätilin luonnin, roolien ja käyttöoikeuksien määritykset sekä deaktivointitapahtumat, tukee roolipohjaisia käyttöoikeusmalleja ja integroituu HR-järjestelmiin JML-prosessin herätteitä varten. Tämä kohta auttaa kertomaan auditointitarinan yhdessä paikassa: vakioitu perehdytys, HR-herätteinen identiteetin elinkaari ja jäljitettävät IAM-tapahtumat.
Kartoita IAM, MFA, PAM ja katselmoinnit ISO/IEC 27001:2022 -hallintakeinoihin
Clarysecin Zenith Controls: vaatimustenmukaisuuden ristiinkartoitusopas käsittelee pääsynhallintaa toisiinsa liittyvänä kontrolliperheenä, ei tarkistuslistan yksittäisenä kohtana. ISO/IEC 27001:2022 -standardissa keskeisimmät hallintakeinot ovat:
- Hallintakeino 5.15, pääsynhallinta
- Hallintakeino 5.16, identiteetinhallinta
- Hallintakeino 5.17, todennustiedot
- Hallintakeino 5.18, käyttöoikeudet
- Hallintakeino 8.2, etuoikeutetut käyttöoikeudet
- Hallintakeino 8.3, tietojen pääsyn rajoittaminen
- Hallintakeino 8.5, turvallinen todennus
- Hallintakeino 8.15, lokitus
- Hallintakeino 8.16, toimintojen valvonta
Todennustietojen osalta Zenith Controls kartoittaa hallintakeinon 5.17 ennaltaehkäiseväksi kontrolliksi, joka tukee luottamuksellisuutta, eheyttä ja saatavuutta identiteetin- ja pääsynhallinnan operatiivisella kyvykkyydellä. Se liittyy suoraan identiteetinhallintaan, turvalliseen todennukseen, rooleihin ja vastuisiin, hyväksyttävään käyttöön sekä politiikkojen noudattamiseen. Tunnistetietoturva kattaa todentajien elinkaaren, turvallisen myöntämisen, säilytyksen, nollauksen, perumisen, MFA-tokenit, yksityiset avaimet ja palvelutunnistetiedot.
Käyttöoikeuksien osalta Zenith Controls kartoittaa hallintakeinon 5.18 muodolliseen myöntämiseen, katselmointiin, muuttamiseen ja perumiseen. Se liittyy pääsynhallintaan, identiteetinhallintaan, tehtävien eriyttämiseen, etuoikeutettuihin käyttöoikeuksiin ja vaatimustenmukaisuuden seurantaan. Tämä on hallintakeino, joka muuttaa vähimmän oikeuden periaatteen näytöksi.
Etuoikeutettujen käyttöoikeuksien osalta Zenith Controls kartoittaa hallintakeinon 8.2 korotettujen tilien erityisriskiin, kuten toimialueen ylläpitäjiin, root-käyttäjiin, pilvitenantin ylläpitäjiin, tietokantojen superuser-käyttäjiin ja CI/CD-ohjaimiin. Opas yhdistää etuoikeutetun pääsyn identiteetinhallintaan, käyttöoikeuksiin, tietojen pääsyn rajoittamiseen, turvalliseen todennukseen, etätyöhön, lokitukseen ja valvontaan.
| Auditointiaihe | ISO/IEC 27001:2022 -pääsyn näyttö | NIS2-kartoitus | DORA-kartoitus | GDPR-kartoitus |
|---|---|---|---|---|
| IAM-elinkaari | JML-työnkulku, käyttöoikeuspyynnöt, hyväksynnät, roolimallit, deaktivointilokit | Article 21 -riskienhallintatoimenpiteet, pääsynhallintapolitiikat ja omaisuudenhallinta | Article 5, Article 6 ja Article 9 hallinnointi, ICT-riskien viitekehys, looginen turvallisuus ja pääsynhallinta | Article 5, Article 25 ja Article 32 osoitusvelvollisuus, minimointi ja turvallisuus |
| MFA | IdP-politiikka, ehdollisen pääsyn kuvakaappaukset, MFA-rekisteröintitilastot, poikkeusten hyväksynnät | Article 21(2)(j) MFA tai jatkuva todennus soveltuvin osin | Turvallinen pääsy kriittisiin ICT-järjestelmiin ja ICT-riskikontrollit | Asianmukaiset tekniset toimenpiteet luvattoman pääsyn estämiseksi |
| PAM | Etuoikeutettujen tilien luettelo, hyväksynnät, JIT-korotus, istuntolokit, holvin kierto | Article 21(2)(i) riskiperusteinen pääsynhallinta ja omaisuudenhallinta | ICT-järjestelmien suojaus, operatiivinen häiriönsietokyky ja valvonta | Henkilötietoihin kohdistuvan korotetun pääsyn rajoittaminen ja auditointi |
| Käyttöoikeuksien katselmoinnit | Neljännesvuosittaiset tai puolivuosittaiset katselmointitallenteet, esihenkilöiden vaatimustenmukaisuusvakuutukset, korjaustiketit | Kyberhygienia, pääsynhallintapolitiikat ja omaisuudenhallinta | Jatkuva valvonta, roolipohjainen pääsy ja käyttöoikeuksien peruminen | Oletusarvoinen tietosuoja ja osoitusvelvollisuus |
| Poistumismenettely | HR:n työsuhteen päättämisluettelo, tilin lukitus- tai poistamisnäyttö, tokenin peruminen | Tarpeettoman pääsyn oikea-aikainen poistaminen | ICT-käyttöoikeuksien hallinta koko elinkaaren ajan | Luvattoman henkilötietoihin pääsyn ehkäisy |
Yksi hyvin suunniteltu käyttöoikeuksien katselmointiraportti voi tukea ISO/IEC 27001:2022-, NIS2-, DORA- ja GDPR-vaatimuksia, jos se sisältää soveltamisalan, järjestelmäomistajan, katselmoijan, tililuettelon, rooliperusteen, etuoikeusmerkinnän, päätökset, poistot, poikkeukset ja valmistumispäivän.
MFA-näyttö on enemmän kuin kuvakaappaus
Yleinen auditointivirhe on esittää kuvakaappaus, jossa lukee “MFA käytössä”. Auditoijat tarvitsevat enemmän. Heidän on tiedettävä, missä MFA:ta sovelletaan, ketkä on rajattu ulkopuolelle, miten poikkeukset hyväksytään, kattavatko kontrollit etuoikeutetut tilit ja vastaako tekninen konfiguraatio politiikkaa.
Zenith Blueprintin Controls in Action -vaiheen vaiheessa 19 auditoijat kysyvät, miten salasana- ja MFA-politiikat toteutetaan, mitkä järjestelmät on suojattu, keihin MFA soveltuu ja voidaanko kriittisiä sovelluksia testata esimerkkitilillä. Näyttö voi sisältää IdP-määrityksiä, ehdollisen pääsyn politiikkoja, MFA-rekisteröintitilastoja ja salasanan nollausmenettelyjä.
Yritysympäristöissä Clarysecin Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka toteaa:
“Kun se on teknisesti mahdollista, monivaiheinen todennus (MFA) on pakollinen seuraaville: 6.3.2.1 Ylläpitäjätilit ja root-tason tilit 6.3.2.2 Etäkäyttö (VPN, pilvialustat) 6.3.2.3 Pääsy arkaluonteisiin tai sääntelyn alaisiin tietoihin”
Osio “Politiikan toteutusvaatimukset”, kohta 6.3.2.
Tämä luo suoran auditointisillan. Jos MFA on pakollinen ylläpitäjätileille, etäkäytölle ja sääntelyn alaisille tiedoille, näyttöpaketin tulee sisältää ylläpitäjätilien ja root-tason tilien luettelot, etäkäytön määritykset, pilvialustojen ehdollisen pääsyn politiikat, arkaluonteisten tietojen sovellusluettelot, MFA-rekisteröintiraportit, poikkeusten hyväksynnät, korvaavat kontrollit sekä tuore näyttö epäonnistuneiden kirjautumisten tai MFA-ohitusyritysten hälytysten katselmoinnista.
NIST SP 800-53 Rev. 5 -viitekehyksessä tämä vastaa IA-2 Identification and Authentication-, IA-5 Authenticator Management-, AC-17 Remote Access- ja AU-2 Event Logging -kontrolleja. COBIT 2019 -viitekehyksessä se tukee DSS05.04 Manage user identity and logical access -käytäntöä sekä siihen liittyviä tietoturvan valvontakäytäntöjä.
Tukevat ISO-standardit laajentavat kokonaiskuvaa. ISO/IEC 27018:2020 laajentaa todennusodotuksia julkiseen pilveen, jossa käsitellään henkilötietoja. ISO/IEC 24760-1:2019 tukee todentajan sitomista ja elinkaaren hallintaa. ISO/IEC 29115:2013 tuo käyttöön todennuksen varmuustasot, jotka ovat hyödyllisiä päätettäessä, missä laitteistoavaimet tai tietojenkalastelunkestävä MFA ovat tarpeen. ISO/IEC 27033-1:2015 tukee vahvaa verkkotodennusta etäkäytössä tai verkkojen välisessä pääsyssä.
PAM-näyttö on nopein tie merkittävään havaintoon tai puhtaaseen auditointiin
Etuoikeutettu pääsy on kohta, jossa auditoijat muuttuvat epäileviksi, koska etuoikeutetut tilit voivat ohittaa kontrollit, poimia tietoja, luoda pysyvyyttä ja muuttaa lokeja. Zenith Blueprintin vaihe 19 toteaa:
“Jokaisessa tietojärjestelmässä etuoikeutettu pääsy on valtaa, ja valtaan liittyy riski.”
Ohjeistus keskittyy siihen, kenellä on etuoikeutettu pääsy, mitä se mahdollistaa, miten sitä hallitaan ja miten sitä valvotaan ajan mittaan. Se suosittelee ajantasaista luetteloa, vähimmän oikeuden periaatetta, RBAC:tä, aikaperusteista tai just-in-time-korotusta, hyväksyntätyönkulkuja, yksilöllisiä nimettyjä käyttäjätilejä, jaettujen tunnusten välttämistä, break glass -lokitusta, PAM-järjestelmiä, tunnistetietojen kiertoa, holvitusta, istuntojen tallennusta, tilapäistä käyttöoikeuksien korotusta, valvontaa ja säännöllistä katselmointia.
Clarysecin yritystason Pääsynhallintapolitiikka muuttaa tämän kontrollivaatimukseksi:
“Ylläpitäjäpääsyä on hallittava tiukasti seuraavilla keinoilla: 5.4.1.1 Erilliset etuoikeutetut tilit 5.4.1.2 Istuntojen valvonta ja tallennus 5.4.1.3 Monivaiheinen todennus 5.4.1.4 Aikarajoitettu tai työnkulkuun perustuva käyttöoikeuksien korotus”
Osio “Hallinnointivaatimukset”, kohta 5.4.1.
Tämä lainaus on lähes auditoinnin testikäsikirjoitus. Jos politiikka edellyttää erillisiä ylläpitäjätilejä, näytä etuoikeutettujen tilien luettelo ja osoita, että jokainen tili liittyy nimettyyn henkilöön. Jos se edellyttää istuntojen valvontaa, näytä tallennetut istunnot tai PAM-lokit. Jos se edellyttää MFA:ta, näytä sen toteutus jokaiselle etuoikeutetun pääsyn reitille. Jos se edellyttää aikarajoitettua käyttöoikeuksien korotusta, näytä vanhenemisen aikaleimat ja hyväksyntätiketit.
Pk-yritysversio on yhtä suoraviivainen. Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka-sme toteaa:
“Korotetut tai hallinnolliset käyttöoikeudet edellyttävät toimitusjohtajan tai IT-vastaavan lisähyväksyntää, ja ne on dokumentoitava, rajattava ajallisesti ja katselmoitava säännöllisesti.”
Osio “Politiikan toteutusvaatimukset”, kohta 6.2.2.
Pienemmissä organisaatioissa tämä on usein ero väitteiden “luotamme ylläpitäjäämme” ja “hallitsemme etuoikeusriskiä” välillä. Auditoija ei edellytä kaikilta pk-yrityksiltä yritystason työkalustoa, mutta hän edellyttää riskiin suhteutettua näyttöä. Tiketti, hyväksyntä, tilapäinen ryhmämääritys, MFA:n toteutus ja katselmointitallenne voivat riittää, kun soveltamisala on rajattu ja riski on pienempi.
Käyttöoikeuksien katselmoinnit osoittavat, että vähimmän oikeuden periaate toimii
Käyttöoikeuksien katselmoinnit osoittavat, kertyvätkö käyttöoikeudet huomaamatta. Ne osoittavat myös, ymmärtävätkö esihenkilöt, mitä pääsyjä heidän tiimeillään tosiasiallisesti on.
Yritystason Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka edellyttää:
“IT-turvallisuuden on toteutettava kaikkien käyttäjätilien ja niihin liittyvien käyttöoikeuksien neljännesvuosittaiset katselmoinnit yhteistyössä osastojen esihenkilöiden kanssa.”
Osio “Politiikan toteutusvaatimukset”, kohta 6.5.1.
Pk-yrityksille Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka-sme määrittää suhteutetun aikataulun:
“Kaikkien käyttäjätilien ja käyttöoikeuksien katselmointi on tehtävä kuuden kuukauden välein.”
Osio “Politiikan toteutusvaatimukset”, kohta 6.4.1.
Uskottava käyttöoikeuksien katselmointi sisältää järjestelmän nimen, soveltamisalan, katselmoijan nimen, vientipäivän, katselmointipäivän, identiteetin omistajan, osaston, esihenkilön, työsuhteen tilan, roolin tai käyttöoikeuden, etuoikeusmerkinnän, tietojen arkaluonteisuusmerkinnän, päätöksen, korjaustiketin, sulkemispäivän, poikkeuksen omistajan ja poikkeuksen päättymispäivän.
Zenith Controls -oppaassa käyttöoikeudet 5.18 on kohta, jossa tästä tulee vaatimustenmukaisuuden yhteiskäyttöön soveltuvaa näyttöä. Opas kartoittaa käyttöoikeudet GDPR Article 25 -vaatimukseen, koska pääsyn tulee olla rajoitettu suunnittelun ja oletusarvon perusteella. Se kartoittaa ne NIS2 Article 21(2)(i) -vaatimukseen, koska pääsynhallintapolitiikat ja omaisuudenhallinta edellyttävät riskiperusteista osoittamista, tarpeettoman pääsyn oikea-aikaista poistamista ja muodollista perumista. Se kartoittaa ne DORA:an, koska finanssialan ICT-järjestelmät tarvitsevat roolipohjaisen pääsyn, valvonnan ja käyttöoikeuksien perumisprosessit.
NIST-painotteiset auditoijat testaavat tätä usein AC-2 Account Management-, AC-5 Separation of Duties- ja AC-6 Least Privilege -kontrollien kautta. COBIT 2019 -auditoijat tarkastelevat DSS05.04 Manage user identity and logical access- ja DSS06.03 Manage roles, responsibilities, access privileges and levels of authority -käytäntöjä. ISACA ITAF -auditoijat keskittyvät siihen, onko näyttö riittävää, luotettavaa ja täydellistä.
Poistumismenettely ja tokenien peruminen on helppo ottaa otantaan
Lähtijät ovat yksi helpoimmista kohdista osoittaa, toimiiko elinkaari. Auditoijat valitsevat usein hiljattain työsuhteensa päättäneen työntekijän ja pyytävät HR:n työsuhteen päättämistallennetta, tikettiä, käyttäjätilin deaktivointilokia, SaaS-deaktivointinäyttöä, VPN-poistoa, MFA:n perumista, API-tokenin poistoa ja omaisuuden palautusta.
Clarysec toteaa Perehdytys- ja työsuhteen päättämispolitiikka-sme -politiikassa:
“Päättyneet tilit on lukittava tai poistettava, ja niihin liittyvät pääsytunnisteet on peruttava, mukaan lukien etäkäyttö (VPN), MFA-sovellussidonnat ja API-tokenit.”
Osio “Politiikan toteutusvaatimukset”, kohta 6.3.3.
Tällä on merkitystä, koska nykyaikainen pääsy ei ole pelkkä käyttäjätunnus ja salasana. Pääsy voi säilyä päivitystokenien, API-avainten, SSH-avainten, OAuth-valtuutusten, palvelutilien, paikallisten ylläpitäjäoikeuksien, mobiili-istuntojen ja kolmannen osapuolen portaalien kautta. Deaktivoitu HR-tallenne ilman tokenien perumista on puutteellinen näyttö.
Zenith Blueprintin Controls in Action -vaiheen vaihe 16 ohjeistaa organisaatioita varautumaan dokumentoidulla työsuhteen päättämisen tarkistuslistalla, tuoreen lähtijän näytöllä, AD:stä tai MDM:stä saadulla käyttäjätilin deaktivointilokilla, allekirjoitetulla omaisuuden palautuslomakkeella ja poistumismenettelyn dokumentaatiolla, joka sisältää luottamuksellisuusvelvoitteet.
Marian auditoija pyysi näyttöä lähtevästä seniorikehittäjästä, jolla oli etuoikeutettu pääsy tuotantotietokantoihin. Hänen tiiminsä esitti Perehdytys- ja työsuhteen päättämispolitiikka-sme -politiikan, Zenith Blueprintin vaiheen 16 perusteella rakennetun työsuhteen päättämisen tarkistuslistan, HR-herätteisen ITSM-tiketin, hakemiston deaktivointilokin, VPN-varmenteen perumisen, GitHub-organisaatiosta poistamisen, AWS IAM -avaimen poistamisen ja IT-päällikön allekirjoittaman suljetun varmennustiketin. Näyttö oli täydellinen, oikea-aikainen ja suoraan sidottu politiikkaan.
Tee kolmen otoksen näyttösprintti ennen auditoijaa
Käytännön valmiusharjoitus on valita ennen auditointia kolme otosta:
- Uusi työntekijä, joka on aloittanut viimeisten 90 päivän aikana
- Etuoikeutettu käyttäjä, jolla on ylläpitäjäpääsy pilveen, tietokantaan, tuotantoon tai IAM:ään
- Lähtijä tai roolia vaihtanut työntekijä viimeisten 90 päivän ajalta
| Otos | Kerättävä näyttö | Läpäisyehto | Yleinen havainto |
|---|---|---|---|
| Uusi työntekijä | HR:n aloitustallenne, käyttöoikeuspyyntö, hyväksyntä, roolien osoittaminen, MFA-rekisteröinti, ensimmäinen kirjautuminen | Pääsy on myönnetty vasta hyväksynnän jälkeen ja roolin mukaisesti | Pääsy myönnetty ennen hyväksyntää tai rooli liian laaja |
| Etuoikeutettu käyttäjä | Liiketoimintaperuste, erillinen ylläpitäjätili, MFA-näyttö, PAM-hyväksyntä, istuntoloki, neljännesvuosittainen katselmointi | Etuoikeus on nimetty, perusteltu, mahdollisuuksien mukaan aikarajoitettu, valvottu ja katselmoitu | Jaettu ylläpitäjätili, puuttuva MFA, ei istuntonäyttöä |
| Lähtijä tai siirtyjä | HR-tapahtuma, työsuhteen päättämis- tai roolimuutostiketti, deaktivointilokit, VPN-poisto, MFA- tai API-tokenin peruminen, katselmoinnin sulkeminen | Pääsy poistettu viipymättä ja täydellisesti | SaaS-tili edelleen aktiivinen, API-tokenia ei peruttu, vanha ryhmäjäsenyys säilynyt |
Yhdistä sen jälkeen kukin otos ISMS-tallenteisiin: riskiskenaarioon, käsittelypäätökseen, soveltuvuuslausunnon kontrollivalintaan, politiikkakohtaan, tekniseen konfiguraatioon, katselmointitallenteeseen ja korjaavaan toimenpiteeseen, jos puute on olemassa.
Tämä muuttaa auditointivalmistelun asiakirjojen keräämisestä kontrollien varmentamiseksi.
Valmistaudu eri auditointinäkökulmiin
Erilaiset auditointitaustat johtavat erilaisiin kysymyksiin, vaikka näyttö olisi sama.
| Auditoijan näkökulma | Ensisijainen painopiste | Odotettu näyttö |
|---|---|---|
| ISO/IEC 27001:2022 -auditoija | ISMS-prosessi, riskien käsittely ja kontrollien toiminta | Riskien arviointi, SoA, hyväksytyt politiikat, käyttöoikeuspyynnöt, katselmointitallenteet, deaktivointilokit |
| ISO/IEC 19011:2018 -auditointikäytäntö | Otanta, toisiaan tukeva näyttö ja johdonmukaisuus | Salasana-asetukset, lukituskynnykset, hyväksyntäaikaleimat, toteutustallenteet, haastattelut |
| ISO/IEC 27007:2020 -ISMS-auditoija | ISMS-auditoinnin toteutus ja vaikuttavuus | Roolimäärittelyt verrattuna todellisiin käyttöoikeuksiin, etuoikeutettujen hyväksyntäketjut, perumislokit |
| NIST-painotteinen arvioija | Tekninen toteutus ja kontrollitestaus | AC-2-, AC-5-, AC-6-, AC-17-, IA-2-, IA-5- ja AU-2-näyttö IAM-, PAM- ja SIEM-työkaluista |
| COBIT 2019- tai ISACA-auditoija | Hallinnointi, omistajuus ja näytön luotettavuus | DSS05.04- ja DSS06.03-prosessinäyttö, mittarit, poikkeukset, korjaustoimien seuranta |
| DORA-tarkastelija | ICT-riski, häiriönsietokyky ja kriittisyys | Kriittisten järjestelmien käyttöoikeusluettelot, etuoikeutetun pääsyn valvonta, kolmansien osapuolten ylläpitokontrollit, yhteydet häiriönsietokyvyn testaukseen |
| NIS2-tarkastelija | Johdon osoitusvelvollisuus ja riskitoimenpiteet | Hallituksen valvonta, Article 21 -pääsynhallintatoimenpiteet, MFA-kattavuus, valmius poikkeamatilanteisiin |
| GDPR-tarkastelija | Henkilötietojen luottamuksellisuus ja osoitusvelvollisuus | Henkilötietoihin pääsyn rajoitukset, Article 25 -näyttö oletusarvoisesta tietosuojasta, Article 32 -turvatoimenpiteet |
Näiden kaikkien näkökulmien täyttävä näyttö osoittaa kypsää vaatimustenmukaisuusohjelmaa ja vähentää päällekkäistä työtä.
Yleiset havainnot ja ennaltaehkäisevät toimet
Pääsynhallinnan havainnot ovat ennakoitavissa. Niin ovat myös ennaltaehkäisevät toimet.
| Havainto | Miksi sillä on merkitystä | Ehkäisy |
|---|---|---|
| Käyttöoikeuksien katselmointeja tehdään, mutta etuoikeutetut tilit on jätetty ulkopuolelle | Ylläpitäjäoikeudet muodostavat suurimman vaikutuksen riskin | Sisällytä jokaiseen katselmointiin etuoikeusmerkintä, PAM-tallenteet ja ylläpitäjäryhmät |
| MFA on käytössä työntekijöille, mutta ei palvelupisteille, urakoitsijoille tai pilviylläpitäjille | Hyökkääjät kohdistavat poikkeuksiin | Ylläpidä MFA-kattavuusraporttia ja poikkeusrekisteriä päättymispäivineen |
| Aloittajien prosessi on dokumentoitu, mutta siirtyjiä ei hallita | Roolipaisunta kertyy roolimuutosten jälkeen | Käynnistä käyttöoikeuksien katselmointi jokaisen osasto- tai roolimuutoksen yhteydessä |
| Jaettuja ylläpitäjätilejä on ilman korvaavia kontrolleja | Osoitusvelvollisuus on heikko | Korvaa ne nimetyillä ylläpitäjätileillä tai edellytä holvista uloskuittausta ja istuntojen lokitusta |
| Lähtijät on poistettu hakemistosta, mutta he ovat aktiivisia SaaS-alustoilla | Pääsy säilyy ydintunnisteiden tarjoajan ulkopuolella | Ylläpidä sovellusluetteloa ja poistumismenettelyn tarkistuslistaa jokaista järjestelmää varten |
| Palvelutilien salasanat ovat tuntemattomia tai niitä ei koskaan kierrätetä | Ei-ihmisidentiteeteistä tulee piilotettuja takaovia | Nimeä omistajat, holvita salaisuudet, kierrätä tunnistetiedot ja katselmoi käyttölokit |
| Politiikka edellyttää neljännesvuosittaista katselmointia, mutta näyttö osoittaa vuosittaisen katselmoinnin | Politiikka ja käytäntö eroavat toisistaan | Mukauta tiheys riskin perusteella tai toteuta dokumentoitu vaatimus |
| Käyttöoikeuksien hyväksynnät ovat sähköpostissa ilman säilytyssääntöä | Auditointijälki on hauras | Käytä ITSM-työnkulkuja ja politiikkaan yhdenmukaistettua säilytystä |
Yritystason Pääsynhallintapolitiikka lisää säilytysvaatimuksen, joka ehkäisee yhtä yleisimmistä näyttöpuutteista:
“Hyväksyntäpäätökset on kirjattava lokiin ja säilytettävä auditointitarkoituksia varten vähintään 2 vuotta.”
Osio “Hallinnointivaatimukset”, kohta 5.3.2.
Jos hyväksynnät katoavat sähköpostien siivouksen yhteydessä, kontrolli on saattanut toimia, mutta auditointi ei voi nojata siihen. Säilytys on osa kontrollisuunnittelua.
Johdon osoitusvelvollisuus tarvitsee pääsynhallinnan mittareita
NIS2 Article 20 ja DORA Article 5 ja Article 6 tekevät pääsynhallinnasta johdon asian, koska identiteetin vaarantuminen voi johtaa toiminnan häiriöihin, sääntelyraportointiin, henkilötietojen tietoturvaloukkaukseen ja asiakashaittaan. ISO/IEC 27001:2022 kohdat 5.1–5.3 edellyttävät myös, että ylin johto sovittaa ISMS:n liiketoimintastrategiaan, tarjoaa resurssit, viestii merkityksestä, osoittaa vastuut ja edistää jatkuvaa parantamista.
Hyödyllisiä pääsynhallinnan mittareita ovat:
- SSO:n kattamien kriittisten järjestelmien prosenttiosuus
- MFA:n kattamien etuoikeutettujen tilien prosenttiosuus
- Pysyvien etuoikeutettujen tilien määrä verrattuna JIT-tileihin
- Käyttöoikeuksien katselmointien valmistumisaste
- Peruttujen liiallisten käyttöoikeuksien määrä
- Lähtijöiden deaktivoinnin SLA-vaatimustenmukaisuus
- Käyttämättömien tunnusten määrä
- Palvelutilien omistajakattavuus
- PAM-istuntojen tallennuksen kattavuus
- MFA-poikkeusten määrä ja ikä
Nämä mittarit auttavat johtoa hyväksymään riskien käsittelyn ja osoittamaan valvonnan. Ne tekevät auditoinneista myös uskottavampia, koska organisaatio voi osoittaa, että pääsynhallintaa seurataan elävänä riskinä eikä sitä löydetä uudelleen ennen jokaista auditointia.
Muuta hajallaan oleva näyttö auditointivarmuudeksi
Jos ISO/IEC 27001:2022 -pääsynhallinnan näyttö on hajallaan HR:ssä, ITSM:ssä, IAM:ssä, PAM:ssä, pilvikonsoleissa ja taulukoissa, seuraava askel ei ole uusi politiikan uudelleenkirjoitus. Seuraava askel on näyttöarkkitehtuuri.
Aloita tällä järjestyksellä:
- Määritä soveltamisalaan kuuluvat järjestelmät, identiteetit ja tiedot.
- Kartoita NIS2-, DORA-, GDPR- ja sopimusvaatimukset ISMS-kontekstiin.
- Käytä ISO/IEC 27005:2022 -tyylisiä riskiskenaarioita IAM:n, MFA:n, PAM:n ja käyttöoikeuksien katselmointien priorisointiin.
- Päivitä soveltuvuuslausunto ja riskienkäsittelysuunnitelma.
- Kohdista politiikkakohdat todellisiin IAM- ja PAM-työnkulkuihin.
- Tee kolmen otoksen näyttösprintti.
- Korjaa puutteet ennen kuin auditoija löytää ne.
- Ylläpidä uudelleenkäytettävää näyttöpakettia sertifiointia, asiakkaiden huolellisuusarviointeja ja sääntelytarkasteluja varten.
Clarysec voi auttaa toteuttamaan tämän Zenith Blueprint: auditoijan 30 vaiheen tiekartta -mallin avulla, ristiinkartoittamaan vaatimuksia Zenith Controls: vaatimustenmukaisuuden ristiinkartoitusopas -oppaan avulla ja viemään vaatimukset käytäntöön oikealla Clarysec-politiikkakokonaisuudella, johon kuuluvat Pääsynhallintapolitiikka, Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka ja Perehdytys- ja työsuhteen päättämispolitiikka.
Pääsynhallinnan auditointivalmius ei tarkoita sen todistamista, että organisaatio on hankkinut IAM-työkalun. Se tarkoittaa sen osoittamista, että identiteetti-, todennus-, etuoikeus- ja katselmointiprosessit vähentävät todellista liiketoimintariskiä ja täyttävät organisaatiollesi merkitykselliset standardit ja säädökset.
Lataa Clarysecin työkalupaketit, tee kolmen otoksen näyttösprintti ja muuta pääsynhallinnan näyttö hajanaisesta kokonaisuudesta selkeäksi, toistettavaksi ja puolustettavaksi auditointiportfolioksi.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
