Treoir ar fhianaise iniúchta do rialú rochtana ISO 27001

Tá sé 09:10 ar lá an iniúchta. Tá an Beartas Rialaithe Rochtana oscailte ag Maria, CISO ardáin FinTech agus néalríomhaireachta atá ag fás go tapa. Tá an ceannaire TF ag onnmhairiú socruithe rochtana coinníollaí ón soláthraí aitheantais. Tá Acmhainní Daonna ag cuardach ticéad foirceanta anailísí airgeadais a d’fhág an eagraíocht sé seachtaine ó shin. Ardaíonn an t-iniúchóir inmheánach a cheann agus cuireann sé an cheist a raibh gach duine ag súil léi:

“Léirigh dom conas a iarrtar, a fhormheastar, a chuirtear i bhfeidhm, a athbhreithnítear agus a bhaintear rochtain d’úsáideoir a bhfuil rochtain phribhléideach aige ar shonraí pearsanta.”

Is féidir leis an abairt aonair sin a nochtadh an bhfuil clár rialaithe rochtana réidh don iniúchadh nó an bhfuil sé réidh ar pháipéar amháin.

Bhí Córas Bainistíochta Slándála Faisnéise aibí ag foireann Maria, timthriall bliantúil athdheimhniúcháin ISO/IEC 27001:2022, fíordheimhniú ilfhachtóiriúil i bhfeidhm, rialuithe rochtana rólbhunaithe i bpríomhchórais agus scarbhileoga ráithiúla d’athbhreithnithe rochtana. Ach bhí an t-iniúchadh seo difriúil. Áiríodh ar liosta iarrataí an iniúchóra ullmhacht do cheanglais rialála nua. I gcás eagraíocht Maria, chiallaigh sé sin NIS2, DORA agus GDPR, agus iad uile á scrúdú tríd an lionsa oibríochtúil céanna: aitheantas, rochtain, fíordheimhniú, pribhléid agus fianaise.

Ní hé an dúshlán atá roimh go leor CISOanna nach bhfuil rialú rochtana acu. Is é an dúshlán go bhfuil an fhianaise scaipthe ina blúirí. Bíonn formheasanna ionduchtaithe in Jira nó ServiceNow. Bíonn socruithe MFA in Microsoft Entra ID, Okta nó soláthraí aitheantais eile. Bíonn ceadanna AWS, Azure agus Google Cloud i gconsóil ar leith. D’fhéadfadh gníomhartha pribhléideacha a bheith logáilte in uirlis PAM, nó gan a bheith logáilte ar chor ar bith. Bíonn stádas Acmhainní Daonna in BambooHR, Workday nó scarbhileoga. D’fhéadfadh athbhreithnithe rochtana a bheith formheasta trí ríomhphost.

Nuair a nascann iniúchóir IAM, MFA, PAM, imeachtaí iontrálaithe, aistrithe agus fágálaithe, sonraí pearsanta, riarachán néalríomhaireachta agus ionchais rialála, titfidh fianaise scaipthe as a chéile go tapa.

Ní hathbhreithnithe teicniúla cumraíochta amháin iad iniúchtaí rialaithe rochtana ISO/IEC 27001:2022. Is tástálacha ar an gcóras bainistíochta iad. Scrúdaíonn siad an dtuigtear, an gcóireáiltear, an gcuirtear chun feidhme, an ndéantar faireachán ar agus an bhfeabhsaítear rioscaí aitheantais agus rochtana. Nuair atá NIS2, DORA agus GDPR ábhartha freisin, ní mór don fhianaise chéanna rialachas rochtana bunaithe ar riosca, fíordheimhniú láidir, formheasanna inrianaithe, aisghairm thráthúil, srianadh pribhléide, cosaint sonraí pearsanta agus cuntasacht bainistíochta a léiriú.

Ní fillteán níos mó an freagra praiticiúil. Is múnla aonair fianaise rialaithe rochtana é a thosaíonn le raon feidhme agus riosca an ISMS, a théann trí dhearadh beartais agus rialuithe, a shroicheann uirlisí IAM agus PAM, agus a mhapálann go soiléir chuig ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST agus COBIT.

Cén fáth gurb é rialú rochtana an nasc rialála lárnach

Tá rialú rochtana anois ina ábhar ag leibhéal an bhoird agus os comhair rialálaithe toisc gur bealach coitianta anois é comhréiteach aitheantais chuig cur isteach oibríochtúil, sárú sonraí, calaois agus nochtadh sa slabhra soláthair.

Faoi NIS2, cuireann Articles 2 agus 3, nuair a léitear iad le Annex I agus Annex II, go leor eintiteas meánmhéide agus níos mó in earnálacha liostaithe faoi raon feidhme mar eintitis riachtanacha nó thábhachtacha. Áirítear leis seo bonneagar digiteach agus soláthraithe bainistíochta seirbhíse TFC, amhail soláthraithe seirbhísí néalríomhaireachta, soláthraithe seirbhíse lárionad sonraí, Soláthraithe Seirbhíse Bainistithe agus soláthraithe seirbhíse slándála bainistithe. Bhí ar Bhallstáit NIS2 a thrasuí faoi Dheireadh Fómhair 2024 agus bearta náisiúnta a chur i bhfeidhm ó Dheireadh Fómhair 2024, agus liostaí eintiteas le bheith dlite in Aibreán 2025. Déanann Article 20 comhlachtaí bainistíochta freagrach as bearta bainistíochta riosca cibearshlándála a fhormheas agus as maoirseacht a dhéanamh ar a gcur chun feidhme. Éilíonn Article 21 bearta teicniúla, oibríochtúla agus eagraíochtúla, lena n-áirítear beartais rialaithe rochtana, bainistíocht sócmhainní, sláinteachas cibearshlándála, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair agus MFA nó fíordheimhniú leanúnach nuair is cuí.

Cuireann DORA sraith athléimneachta oibríochtúla earnáilshonrach leis d’eintitis airgeadais agus do sholáthraithe seirbhíse TFC tríú páirtí ábhartha. Bunaíonn Articles 1, 2 agus 64 DORA mar chreat aonfhoirmeach atá i bhfeidhm ó 17 Eanáir 2025. Éilíonn Articles 5 agus 6 rialachas agus creat doiciméadaithe bainistíochta riosca TFC. Pléann Article 9 le cosaint agus cosc, lena n-áirítear beartais, nósanna imeachta, prótacail agus uirlisí slándála TFC. Cuireann Articles 24 go 30 tástáil athléimneachta oibríochtúla digití agus bainistíocht riosca tríú páirtí TFC leis. I gcás eintitis airgeadais, is fianaise athléimneachta í fianaise rialaithe rochtana, ní hamháin fianaise ar riarachán TF.

Tugann GDPR lionsa na sonraí pearsanta isteach. Sainíonn Articles 2 agus 3 infheidhmeacht leathan do phróiseáil san AE agus do rochtain ar mhargadh an AE. Éilíonn Article 5 sláine, rúndacht agus cuntasacht inléirithe. Éilíonn Article 25 cosaint sonraí trí dhearadh agus de réir réamhshocraithe. Éilíonn Article 32 bearta teicniúla agus eagraíochtúla iomchuí. I gcleachtas, ciallaíonn sé sin rochtain rialaithe, fíordheimhniú slán, logáil, athbhreithniú agus baint thráthúil do chórais a phróiseálann sonraí pearsanta.

Tugann ISO/IEC 27001:2022 inneall córais bainistíochta d’eagraíochtaí chun na hoibleagáidí sin a aontú. Éilíonn Clauses 4.1 go 4.3 ar an eagraíocht comhthéacs, páirtithe leasmhara, ceanglais dhlíthiúla agus chonarthacha, comhéadain, spleáchais agus raon feidhme an ISMS a thuiscint. Éilíonn Clauses 6.1.1 go 6.1.3 measúnú riosca slándála faisnéise, cóireáil riosca, comparáid le Annex A, Ráiteas Infheidhmeachta agus formheas ar phleananna cóireála agus ar riosca iarmharach. Éilíonn Clause 8.1 rialú oibríochtúil, faisnéis dhoiciméadaithe a léiríonn gur tharla próisis mar a beartaíodh, rialú athruithe agus rialú ar phróisis a sholáthraítear go seachtrach.

Mar sin ní hí ceist an iniúchta “An bhfuil MFA agaibh?” Is í an cheist: “An féidir libh a chruthú, i gcás aitheantas agus córas atá laistigh den raon feidhme, go bhfuil riosca rochtana faoi rialachas, á chóireáil, curtha chun feidhme, faoi fhaireachán agus á fheabhsú?”

Tóg cnámh droma na fianaise ó raon feidhme an ISMS go cruthúnas IAM

Tosaíonn Clarysec ullmhúchán iniúchta rialaithe rochtana trí fhianaise a dhéanamh inrianaithe ón gcomhthéacs gnó. Tá ISO/IEC 27001:2022 ag súil go mbeidh an ISMS comhtháite i bpróisis eagraíochtúla agus scálaithe de réir riachtanais na heagraíochta. Ní bheidh an ailtireacht rochtana chéanna ag díoltóir SaaS le 30 duine agus ag banc ilnáisiúnta, ach teastaíonn slabhra comhleanúnach fianaise ón mbeirt acu.

Tá ISO/IEC 27005:2022 úsáideach toisc go molann sé ceanglais dhlíthiúla, rialála, chonarthacha, earnáilshonracha agus inmheánacha a chomhdhlúthú i gcomhthéacs riosca coiteann. Cuireann Clauses 6.4 agus 6.5 béim ar chritéir riosca a chuireann cuspóirí eagraíochtúla, dlíthe, caidrimh soláthraithe agus srianta san áireamh. Ceadaíonn Clauses 7.1 agus 7.2 cásanna bunaithe ar imeachtaí agus cásanna bunaithe ar shócmhainní. Maidir le rialú rochtana, ciallaíonn sé sin cásanna straitéiseacha a mheas amhail “onnmhairíonn riarthóir SaaS pribhléideach sonraí custaiméirí AE” in éineacht le cásanna sócmhainní amhail “eochair dhílleachta AWS IAM ceangailte le stóráil táirgthe.”

I Zenith Blueprint: Treochlár 30 céim don iniúchóir de chuid Clarysec, tógtar cnámh droma na fianaise seo le linn chéim na Rialuithe i nGníomh. Díríonn Step 19 ar rialuithe teicneolaíochta le haghaidh bainistíocht críochphointí agus rochtana, agus foirmíonn Step 22 saolré rochtana eagraíochtúil.

Insíonn Zenith Blueprint d’fhoirne a fhíorú go bhfuil soláthar rochtana agus dísholáthar rochtana struchtúrtha, comhtháite le Acmhainní Daonna nuair is féidir, tacaithe ag sreafaí oibre iarratais rochtana agus athbhreithnithe go ráithiúil. Treoraíonn sé eagraíochtaí freisin cineálacha aitheantais a dhoiciméadú, rialuithe a chur i bhfeidhm d’aitheantais aonair, chomhroinnte agus seirbhíse, beartais láidre pasfhocail agus MFA a chur i bhfeidhm, cuntais dhíomhaoine a bhaint, agus boghtáil shlán nó doiciméadacht shlán do dhintiúir seirbhíse a chothabháil.

Sin go díreach mar a thástálann iniúchóirí rialú rochtana: aitheantas amháin, córas amháin, formheas amháin, pribhléid amháin, athbhreithniú amháin agus aisghairm amháin ag an am.

Cad ba cheart a bhailiú mar fhianaise rialaithe rochtana atá réidh don iniúchadh

Ba cheart do phacáiste fianaise rialaithe rochtana ligean d’iniúchóir úsáideoir ar bith a shampláil agus an saolré a rianú: iarratas, formheas, sannadh, fíordheimhniú, ardú pribhléideach, faireachán, athbhreithniú agus aisghairm.

Áirítear i bpacáiste láidir fianaise:

1. Beartas Rialaithe Rochtana agus beartas cuntas úsáideora
2. Nós imeachta d’iontrálaithe, d’aistrithe agus d’fhágálaithe
3. Maitrís ról nó maitrís rialaithe rochtana
4. Liosta feidhmchlár, ardán agus stórtha sonraí atá laistigh den raon feidhme
5. Cumraíocht MFA an tsoláthraí aitheantais
6. Beartais rochtana coinníollaí agus liosta eisceachtaí
7. Fardal cuntas pribhléideach
8. Fianaise sreafa oibre PAM, lena n-áirítear formheasanna agus logaí seisiúin
9. Aschur feachtais athbhreithnithe rochtana le déanaí
10. Samplaí de dhearbhuithe bainisteoirí agus bearta leigheasacha
11. Tuarascáil foirceanta Acmhainní Daonna meaitseáilte le logaí díghníomhachtaithe
12. Fardal cuntas seirbhíse, úinéirí, taifid rothlaithe agus fianaise bhoghta
13. Nós imeachta rochtana éigeandála “break-glass” agus loga tástála
14. Fianaise teagmhais nó foláirimh a bhaineann le hiarrachtaí logála isteach teipthe, hardú pribhléidí nó cuntais dhíomhaoine
15. Iontrálacha sa Ráiteas Infheidhmeachta do Rialuithe Annex A a bhaineann le rochtain

Déanann beartais Clarysec an t-ionchas seo follasach. Sa SME Beartas Rialaithe Rochtana SME, tá an ceanglas simplí agus dírithe ar an iniúchadh:

“Ní mór taifead slán a chothabháil do gach soláthar rochtana, modhnú rochtana agus baint rochtana.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme,” clause 6.1.1.

Nascann an beartas SME céanna RBAC agus MFA go díreach le freagrachtaí róil:

“Cuireann sé rialuithe rochtana rólbhunaithe (RBAC) chun feidhme agus forfheidhmíonn sé fíordheimhniú láidir (m.sh., fíordheimhniú ilfhachtóiriúil (MFA)).”

Ón rannán “Róil agus freagrachtaí,” clause 4.2.3.

I gcás eagraíochtaí níos mó, éilíonn an Beartas Ionduchtaithe agus Foirceanta fiontair go logálfaidh an córas IAM cruthú cuntas, sannuithe ról agus ceadanna, agus imeachtaí díghníomhachtaithe; go dtacóidh sé le teimpléid rochtana rólbhunaithe; agus go gcomhtháthóidh sé le córais Acmhainní Daonna le haghaidh truicear d’iontrálaithe, d’aistrithe agus d’fhágálaithe. Cuidíonn an clásal sin scéal an iniúchta a insint in aon áit amháin: ionduchtú caighdeánaithe, saolré aitheantais spreagtha ag Acmhainní Daonna agus imeachtaí IAM inrianaithe.

Mapáil IAM, MFA, PAM agus athbhreithnithe chuig rialuithe ISO/IEC 27001:2022

Déileálann Zenith Controls: An Treoir Tras-Chomhlíonta de chuid Clarysec le rialú rochtana mar theaghlach rialuithe nasctha, ní mar mhír ar sheicliosta. Maidir le ISO/IEC 27001:2022, áirítear ar na rialuithe is ábhartha:

• Control 5.15, Rialú rochtana
• Control 5.16, Bainistíocht aitheantais
• Control 5.17, Faisnéis fhíordheimhnithe
• Control 5.18, Cearta rochtana
• Control 8.2, Cearta rochtana pribhléideacha
• Control 8.3, Srianadh rochtana ar fhaisnéis
• Control 8.5, Fíordheimhniú slán
• Control 8.15, Logáil
• Control 8.16, Gníomhaíochtaí faireacháin

Maidir le faisnéis fhíordheimhnithe, mapálann Zenith Controls Control 5.17 mar rialú coisctheach a thacaíonn le rúndacht, sláine agus infhaighteacht, le cumas oibríochtúil Bainistíochta Aitheantais agus Rochtana. Nascann sé go díreach le bainistíocht aitheantais, fíordheimhniú slán, róil agus freagrachtaí, úsáid inghlactha agus comhlíonadh beartais. Áirítear le slándáil dintiúr saolré fíordheimhnitheoirí, eisiúint shlán, stóráil, athshocrú, aisghairm, tóicíní MFA, eochracha príobháideacha agus dintiúir seirbhíse.

Maidir le cearta rochtana, mapálann Zenith Controls Control 5.18 chuig deonú, athbhreithniú, modhnú agus aisghairm fhoirmiúil. Nascann sé le rialú rochtana, bainistíocht aitheantais, scaradh dualgas, cearta rochtana pribhléideacha agus faireachán ar chomhlíonadh. Is é seo an rialú a thiontaíonn prionsabal na pribhléidí is lú ina fhianaise.

Maidir le cearta rochtana pribhléideacha, mapálann Zenith Controls Control 8.2 chuig riosca speisialta cuntas ardaithe, lena n-áirítear riarthóirí fearainn, úsáideoirí root, riarthóirí tionóntaí néalríomhaireachta, forúsáideoirí bunachar sonraí agus rialaitheoirí CI/CD. Nascann an treoir rochtain phribhléideach le bainistíocht aitheantais, cearta rochtana, srianadh rochtana ar fhaisnéis, fíordheimhniú slán, cianobair, logáil agus faireachán.

Is féidir le tuarascáil athbhreithnithe rochtana dea-dheartha amháin tacú le ISO/IEC 27001:2022, NIS2, DORA agus GDPR má áirítear inti raon feidhme, úinéir córais, athbhreithneoir, liosta cuntas, bonn cirt don ról, bratach phribhléideach, cinntí, baint, eisceachtaí agus dáta críochnaithe.

Tá fianaise MFA níos mó ná seat scáileáin

Botún coitianta iniúchta is ea seat scáileáin a chur i láthair a deir “MFA cumasaithe.” Teastaíonn níos mó ná sin ó iniúchóirí. Ní mór dóibh a thuiscint cá bhfuil MFA i bhfeidhm, cé atá eisiata, conas a fhormheastar eisceachtaí, an bhfuil cuntais phribhléideacha clúdaithe, agus an bhfuil an chumraíocht theicniúil ag teacht leis an mbeartas.

Ó Zenith Blueprint, céim na Rialuithe i nGníomh, Step 19, fiafróidh iniúchóirí conas a chuirtear beartais pasfhocail agus MFA i bhfeidhm, cé na córais atá cosanta, cé dó a mbaineann MFA, agus an féidir feidhmchláir chriticiúla a thástáil le cuntas samplach. D’fhéadfadh cumraíocht IdP, beartais rochtana coinníollaí, staitisticí clárúcháin MFA agus nósanna imeachta athshocraithe pasfhocail a bheith san fhianaise.

I dtimpeallachtaí fiontair, deir Beartas um Bainistíocht Cuntas Úsáideora agus Pribhléidí de chuid Clarysec:

“Nuair is indéanta go teicniúil, tá fíordheimhniú ilfhachtóiriúil (MFA) éigeantach do: 6.3.2.1 Cuntais riaracháin agus cuntais ar leibhéal root 6.3.2.2 Rochtain chianda (VPN, ardáin néalríomhaireachta) 6.3.2.3 Rochtain ar shonraí íogaire nó rialáilte”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme,” clause 6.3.2.

Cruthaíonn sé seo droichead díreach iniúchta. Má tá MFA éigeantach do chuntais riaracháin, rochtain chianda agus sonraí rialáilte, ba cheart go n-áireofaí sa phacáiste fianaise liostaí cuntas riaracháin agus cuntas ar leibhéal root, cumraíocht rochtana cianda, beartais rochtana coinníollaí ardán néalríomhaireachta, liostaí feidhmchlár sonraí íogaire, tuarascálacha clárúcháin MFA, formheasanna eisceachta, rialuithe cúitimh agus fianaise athbhreithnithe foláirimh le déanaí maidir le hiarrachtaí logála isteach teipthe nó iarrachtaí seachbhóthair MFA.

Maidir le NIST SP 800-53 Rev. 5, ailíníonn sé seo le IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access agus AU-2 Event Logging. Maidir le COBIT 2019, tacaíonn sé le DSS05.04 Manage user identity and logical access agus cleachtais ghaolmhara faireacháin slándála.

Leathnaíonn caighdeáin tacaíochta ISO an pictiúr. Leathnaíonn ISO/IEC 27018:2020 ionchais fhíordheimhnithe don néalríomhaireacht phoiblí a láimhseálann sonraí pearsanta. Tacaíonn ISO/IEC 24760-1:2019 le ceangal fíordheimhnitheora agus bainistíocht saolré. Tugann ISO/IEC 29115:2013 leibhéil dearbhaithe fíordheimhnithe isteach, atá úsáideach agus cinneadh á dhéanamh cá bhfuil tóicíní crua-earraí nó MFA atá frithsheasmhach in aghaidh fioscaireachta riachtanach. Tacaíonn ISO/IEC 27033-1:2015 le fíordheimhniú láidir líonra do rochtain chianda nó idir-líonra.

Is í fianaise PAM an bealach is tapúla chuig mórfhionnachtain nó chuig iniúchadh glan

Is í rochtain phribhléideach an áit a mbíonn iniúchóirí amhrasach, toisc gur féidir le cuntais phribhléideacha rialuithe a sheachaint, sonraí a bhaint, marthanacht a chruthú agus logaí a athrú. In Zenith Blueprint, deir Step 19:

“In aon chóras faisnéise, is cumhacht í rochtain phribhléideach, agus leis an gcumhacht sin tagann riosca.”

Díríonn an treoir ar cé aige a bhfuil rochtain phribhléideach, cad a cheadaíonn sí, conas a bhainistítear í agus conas a dhéantar faireachán uirthi le himeacht ama. Molann sí fardal cothrom le dáta, prionsabal na pribhléidí is lú, RBAC, ardú bunaithe ar am nó díreach in am, sreafaí oibre formheasa, cuntais uathúla ainmnithe, seachaint cuntas comhroinnte, logáil break-glass, córais PAM, rothlú dintiúr, boghtáil, taifeadadh seisiúin, ardú sealadach, faireachán agus athbhreithniú rialta.

Tiontaíonn Beartas Rialaithe Rochtana fiontair Clarysec é seo ina cheanglas rialaithe:

“Ní mór rochtain riaracháin a rialú go docht trí: 5.4.1.1 Cuntais phribhléideacha ar leith 5.4.1.2 Faireachán agus taifeadadh seisiúin 5.4.1.3 Fíordheimhniú ilfhachtóiriúil 5.4.1.4 Ardú faoi theorainn ama nó ardú arna spreagadh ag sreabhadh oibre”

Ón rannán “Ceanglais rialachais,” clause 5.4.1.

Is geall le script tástála iniúchta é an sliocht seo. Má deir an beartas cuntais riaracháin ar leith, taispeáin liosta na gcuntas pribhléideach agus cruthaigh go mapálann gach ceann acu chuig duine ainmnithe. Má deir sé faireachán seisiúin, taispeáin seisiúin thaifeadta nó logaí PAM. Má deir sé MFA, taispeáin cur chun feidhme do gach conair rochtana pribhléideach. Má deir sé ardú faoi theorainn ama, taispeáin stampaí ama dul in éag agus ticéid formheasa.

Tá an leagan SME chomh díreach céanna. Deir Beartas um Bainistíocht Cuntas Úsáideora agus Pribhléidí SME:

“Teastaíonn formheas breise ón mBainisteoir Ginearálta nó ón gCeannaire TF le haghaidh pribhléidí ardaithe nó riaracháin, agus ní mór iad a dhoiciméadú, a theorannú ó thaobh ama de, agus a chur faoi athbhreithniú tréimhsiúil.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme,” clause 6.2.2.

I gcás eagraíochtaí níos lú, is minic gurb é seo an difríocht idir “tá muinín againn as ár riarthóir” agus “rialaímid riosca pribhléideach.” Ní éilíonn an t-iniúchóir uirlisí fiontair i ngach SME, ach éilíonn siad fianaise atá comhréireach leis an riosca. D’fhéadfadh ticéad, formheas, sannadh sealadach grúpa, cur chun feidhme MFA agus taifead athbhreithnithe a bheith leordhóthanach nuair atá an raon feidhme teoranta agus an riosca níos ísle.

Cruthaíonn athbhreithnithe rochtana go bhfuil prionsabal na pribhléidí is lú ag feidhmiú

Léiríonn athbhreithnithe rochtana an gcarnann ceadanna go ciúin. Léiríonn siad freisin an dtuigeann bainisteoirí an rochtain atá ag a bhfoirne i ndáiríre.

Éilíonn an Beartas um Bainistíocht Cuntas Úsáideora agus Pribhléidí fiontair:

“Ní mór do Shlándáil TF, i gcomhar le bainisteoirí roinne, athbhreithnithe ráithiúla a dhéanamh ar gach cuntas úsáideora agus ar na pribhléidí gaolmhara.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme,” clause 6.5.1.

I gcás SMEs, socraíonn an Beartas um Bainistíocht Cuntas Úsáideora agus Pribhléidí SME rithim chomhréireach:

“Ní mór athbhreithniú ar gach cuntas úsáideora agus pribhléid a dhéanamh gach sé mhí.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme,” clause 6.4.1.

Áirítear in athbhreithniú rochtana inchreidte ainm an chórais, raon feidhme, ainm an athbhreithneora, dáta onnmhairithe, dáta athbhreithnithe, úinéir aitheantais, roinn, bainisteoir, stádas fostaíochta, ról nó teidlíocht, bratach phribhléideach, bratach íogaireachta sonraí, cinneadh, ticéad leigheasach, dáta dúnta, úinéir eisceachta agus dáta éaga eisceachta.

I gcás Zenith Controls, is é Control 5.18 maidir le cearta rochtana an áit a ndéantar fianaise thras-chomhlíonta de seo. Mapálann an treoir cearta rochtana chuig GDPR Article 25 toisc gur cheart rochtain a theorannú trí dhearadh agus de réir réamhshocraithe. Mapálann sí chuig NIS2 Article 21(2)(i) toisc go n-éilíonn beartais rialaithe rochtana agus bainistíocht sócmhainní sannadh bunaithe ar riosca, baint thráthúil rochtana nach bhfuil riachtanach agus aisghairm fhoirmiúil. Mapálann sí chuig DORA toisc go dteastaíonn rochtain rólbhunaithe, faireachán agus próisis aisghairme ó chórais TFC airgeadais.

Is minic a thástálann iniúchóirí atá dírithe ar NIST é seo trí AC-2 Account Management, AC-5 Separation of Duties agus AC-6 Least Privilege. Féachann iniúchóirí COBIT 2019 chuig DSS05.04 Manage user identity and logical access agus DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. Díríonn iniúchóirí ISACA ITAF ar an bhfuil an fhianaise leordhóthanach, iontaofa agus iomlán.

Is furasta dí-ionduchtú agus aisghairm tóicín a shampláil

Tá fágálaithe ar cheann de na háiteanna is éasca chun a chruthú an n-oibríonn an saolré. Is minic a roghnaíonn iniúchóirí fostaí foirceanta le déanaí agus iarrann siad taifead foirceanta Acmhainní Daonna, ticéad, loga díchumasaithe cuntais, fianaise díghníomhachtaithe SaaS, baint VPN, aisghairm MFA, baint tóicín API agus filleadh sócmhainní.

Sa Beartas Ionduchtaithe agus Foirceanta SME, deir Clarysec:

“Ní mór cuntais fhoirceanta a ghlasáil nó a scriosadh, agus ní mór tóicíní rochtana gaolmhara a aisghairm, lena n-áirítear rochtain chianda (VPN), ceangail aipe MFA agus tóicíní API.”

Ón rannán “Ceanglais chun an beartas a chur chun feidhme,” clause 6.3.3.

Tá sé seo tábhachtach toisc nach ainm úsáideora agus pasfhocal amháin atá i gceist le rochtain nua-aimseartha. Is féidir le rochtain leanúint trí thóicíní athnuachana, eochracha API, eochracha SSH, deontais OAuth, cuntais seirbhíse, cearta riaracháin áitiúla, seisiúin shoghluaiste agus tairseacha tríú páirtí. Is fianaise neamhiomlán é taifead díghníomhachtaithe Acmhainní Daonna gan aisghairm tóicín.

Insíonn Zenith Blueprint, céim na Rialuithe i nGníomh, Step 16, d’eagraíochtaí a bheith réidh le seicliosta foirceanta doiciméadaithe, fianaise ó fhágálaí le déanaí, loga díchumasaithe cuntas úsáideora ó eolaire nó MDM, foirm shínithe um fhilleadh sócmhainní agus doiciméadacht dí-ionduchtaithe a chuimsíonn oibleagáidí rúndachta.

D’iarr iniúchóir Maria sampla d’fhorbróir sinsearach a bhí ag fágáil agus a raibh rochtain phribhléideach aige ar bhunachair shonraí táirgthe. Chuir a foireann an Beartas Ionduchtaithe agus Foirceanta SME, an seicliosta foirceanta tógtha ó Zenith Blueprint Step 16, an ticéad ITSM arna spreagadh ag Acmhainní Daonna, loga díchumasaithe an eolaire, aisghairm an teastais VPN, baint ó eagraíocht GitHub, scriosadh eochair AWS IAM agus an ticéad fíorúcháin dúnta sínithe ag an mBainisteoir TF i láthair. Bhí an fhianaise iomlán, tráthúil agus ceangailte go díreach leis an mbeartas.

Reáchtáil sprint fianaise trí shampla sula ndéanann an t-iniúchóir é

Cleachtadh praiticiúil ullmhachta is ea trí shampla a roghnú roimh an iniúchadh:

1. Fostaí nua a tháinig isteach le 90 lá anuas
2. Úsáideoir pribhléideach a bhfuil rochtain riaracháin aige ar an néalríomhaireacht, bunachar sonraí, táirgeadh nó IAM
3. Fágálaí nó fostaí ar athraíodh a ról le 90 lá anuas

Ansin ceangail gach sampla le taifid ISMS: cás riosca, cinneadh cóireála, roghnú rialaithe sa Ráiteas Infheidhmeachta, clásal beartais, cumraíocht theicniúil, taifead athbhreithnithe agus gníomh ceartaitheach má tá bearna ann.

Tiontaíonn sé seo ullmhúchán iniúchta ó bhailiú doiciméad go fíorú rialuithe.

Ullmhaigh do lionsaí éagsúla iniúchta

Bíonn ceisteanna éagsúla mar thoradh ar chúlraí iniúchta éagsúla, fiú nuair atá an fhianaise mar an gcéanna.

Léiríonn ullmhú fianaise a shásaíonn na peirspictíochtaí seo go léir clár comhlíonta aibí agus laghdaíonn sé obair dhúbláilte.

Fionnachtana coitianta agus gníomhartha coisctheacha

Tá fionnachtana rialaithe rochtana intuartha. Tá na gníomhartha coisctheacha intuartha freisin.

Cuireann an Beartas Rialaithe Rochtana fiontair ceanglas coinneála leis a choisceann ceann de na teipeanna fianaise is coitianta:

“Ní mór cinntí formheasa a logáil agus a choinneáil chun críocha iniúchta ar feadh íosmhéid 2 bhliain.”

Ón rannán “Ceanglais rialachais,” clause 5.3.2.

Má imíonn formheasanna tar éis glantacháin ríomhphoist, d’fhéadfadh an rialú a bheith oibrithe, ach ní féidir leis an iniúchadh brath air. Is cuid de dhearadh rialaithe í coinneáil.

Teastaíonn méadrachtaí rochtana ó chuntasacht bainistíochta

Déanann NIS2 Article 20 agus DORA Articles 5 agus 6 ábhar bainistíochta de rialú rochtana toisc gur féidir le comhréiteach aitheantais iompú ina chur isteach oibríochtúil, tuairisciú rialála, sárú sonraí agus dochar do chustaiméirí. Éilíonn ISO/IEC 27001:2022 Clauses 5.1 go 5.3 freisin ar an ardbhainistíocht an ISMS a ailíniú le straitéis ghnó, acmhainní a sholáthar, tábhacht a chur in iúl, freagrachtaí a shannadh agus feabhsú leanúnach a chur chun cinn.

Áirítear ar mhéadrachtaí úsáideacha rialaithe rochtana:

• Céatadán na gcóras criticiúil atá clúdaithe ag SSO
• Céatadán na gcuntas pribhléideach le MFA
• Líon na gcuntas buan pribhléideach i gcomparáid le cuntais JIT
• Ráta críochnaithe athbhreithnithe rochtana
• Líon na gceadanna iomarcacha a aisghaireadh
• Comhlíonadh SLA díghníomhachtaithe fágálaithe
• Líon na gcuntas díomhaoin
• Clúdach úinéirí cuntas seirbhíse
• Clúdach taifeadta seisiúin PAM
• Líon agus aois eisceachtaí MFA

Cuidíonn na méadrachtaí seo leis an mbainistíocht cóireáil riosca a fhormheas agus maoirseacht a léiriú. Déanann siad iniúchtaí níos inchreidte freisin toisc gur féidir leis an eagraíocht a thaispeáint go ndéantar faireachán ar rialú rochtana mar riosca beo, ní mar rud a aimsítear arís roimh gach iniúchadh.

Tiontaigh fianaise scaipthe ina muinín iniúchta

Má tá fianaise rialaithe rochtana ISO/IEC 27001:2022 scaipthe ar fud Acmhainní Daonna, ITSM, IAM, PAM, consóil néalríomhaireachta agus scarbhileoga, ní athscríobh beartais eile an chéad chéim eile. Is í ailtireacht fianaise an chéad chéim eile.

Tosaigh leis an seicheamh seo:

1. Sainigh córais, aitheantais agus sonraí atá laistigh den raon feidhme.
2. Mapáil NIS2, DORA, GDPR agus ceanglais chonarthacha isteach i gcomhthéacs an ISMS.
3. Úsáid cásanna riosca ar stíl ISO/IEC 27005:2022 chun tosaíocht a thabhairt do IAM, MFA, PAM agus athbhreithnithe rochtana.
4. Nuashonraigh an Ráiteas Infheidhmeachta agus an Plean Cóireála Riosca.
5. Ailínigh clásail bheartais le sreafaí oibre IAM agus PAM iarbhír.
6. Reáchtáil an sprint fianaise trí shampla.
7. Deisigh bearnaí sula bhfaigheann an t-iniúchóir iad.
8. Coinnigh pacáiste fianaise in-athúsáidte le haghaidh deimhniúcháin, dícheall cuí custaiméirí agus athbhreithnithe rialála.

Is féidir le Clarysec cabhrú leat é seo a chur chun feidhme trí Zenith Blueprint: Treochlár 30 céim don iniúchóir, ceanglais a thras-mhapáil trí Zenith Controls: An Treoir Tras-Chomhlíonta, agus ceanglais a oibriú leis an tsraith cheart beartas Clarysec, lena n-áirítear Beartas Rialaithe Rochtana, Beartas um Bainistíocht Cuntas Úsáideora agus Pribhléidí, agus Beartas Ionduchtaithe agus Foirceanta.

Ní bhaineann ullmhacht iniúchta rialaithe rochtana le cruthú gur cheannaigh tú uirlis IAM. Baineann sí le cruthú go laghdaíonn próisis aitheantais, fíordheimhnithe, pribhléide agus athbhreithnithe riosca gnó fíor agus go sásaíonn siad na caighdeáin agus na rialacháin atá tábhachtach do d’eagraíocht.

Íoslódáil foirne uirlisí Clarysec, reáchtáil an sprint fianaise trí shampla, agus tiontaigh d’fhianaise rialaithe rochtana ó praiseach scaipthe ina punann iniúchta shoiléir, in-athdhéanta agus inchosanta.