Vodič za revizijske dokaze o kontroli pristupa prema ISO 27001
Na dan revizije u 09:10 Maria, CISO brzorastuće fintech platforme u oblaku, ima otvorenu Politiku kontrole pristupa. Voditelj IT-a izvozi postavke uvjetnog pristupa iz pružatelja identiteta. HR traži prijavu prestanka radnog odnosa financijskog analitičara koji je otišao prije šest tjedana. Interni revizor podiže pogled i postavlja pitanje koje su svi očekivali:
„Pokažite mi kako se pristup zahtijeva, odobrava, provodi, pregledava i ukida za korisnika s privilegiranim pristupom osobnim podacima.”
Ta jedna rečenica može pokazati je li program kontrole pristupa spreman za reviziju ili je spreman samo na razini politike.
Marijin tim imao je zreo sustav upravljanja informacijskom sigurnošću, godišnji ciklus recertifikacije prema ISO/IEC 27001:2022, uvedenu višefaktorsku autentikaciju, kontrolu pristupa temeljenu na ulogama u ključnim sustavima i tromjesečne proračunske tablice za preglede prava pristupa. No ova je revizija bila drukčija. Popis revizorskih zahtjeva uključivao je spremnost za nove regulatorne zahtjeve. Za Marijinu organizaciju to je značilo NIS2, DORA i GDPR, promatrane kroz istu operativnu prizmu: identitet, pristup, autentikacija, privilegije i dokazi.
Problem s kojim se suočavaju mnogi CISO-i nije u tome da kontrola pristupa ne postoji. Problem je u tome što dokazi postoje u fragmentima. Odobrenja pri uvođenju u posao nalaze se u Jiri ili ServiceNowu. Postavke MFA-a nalaze se u Microsoft Entra ID-u, Okta platformi ili drugom pružatelju identiteta. Ovlaštenja za AWS, Azure i Google Cloud nalaze se u odvojenim konzolama. Privilegirane radnje mogu biti evidentirane u PAM alatu, a mogu i izostati. HR status nalazi se u BambooHR-u, Workdayu ili proračunskim tablicama. Pregledi prava pristupa mogu biti odobreni e-poštom.
Kada revizor poveže IAM, MFA, PAM, događaje zapošljavanja, promjene uloga i odlazaka, osobne podatke, administraciju u oblaku i regulatorna očekivanja, fragmentirani dokazi brzo se raspadaju.
Revizije kontrole pristupa prema ISO/IEC 27001:2022 nisu samo pregledi tehničke konfiguracije. One su provjere sustava upravljanja. Ispituju jesu li rizici identiteta i pristupa razumljivi, obrađeni, implementirani, praćeni i poboljšavani. Kada su relevantni i NIS2, DORA i GDPR, isti dokazi moraju pokazati upravljanje pravima pristupa utemeljeno na riziku, snažnu autentikaciju, sljediva odobrenja, pravodobno ukidanje pristupa, ograničavanje privilegija, zaštitu osobnih podataka i odgovornost uprave.
Praktičan odgovor nije veća mapa dokumenata. Odgovor je jedinstveni model dokaza o kontroli pristupa koji počinje opsegom ISMS-a i rizikom, prolazi kroz politiku i dizajn kontrola, završava u IAM i PAM alatima te se jasno mapira na ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST i COBIT.
Zašto je kontrola pristupa regulatorna osovina
Kontrola pristupa postala je tema za upravni odbor i regulatorna tijela jer je kompromitacija identiteta danas čest put prema operativnom prekidu, povredi podataka, prijevari i izloženosti opskrbnog lanca.
Prema NIS2, Article 2 i Article 3, čitani zajedno s Prilogom I i Prilogom II, uvode mnoge srednje i veće subjekte u navedenim sektorima u opseg kao ključne ili važne subjekte. To uključuje digitalnu infrastrukturu i pružatelje usluga upravljanja IKT uslugama, kao što su pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnih centara, pružatelji upravljanih usluga i pružatelji upravljanih sigurnosnih usluga. Države članice morale su prenijeti NIS2 do listopada 2024. i primjenjivati nacionalne mjere od listopada 2024., uz popise subjekata predviđene za travanj 2025. Article 20 čini upravljačka tijela odgovornima za odobravanje mjera upravljanja kibernetičkim sigurnosnim rizicima i nadzor nad njihovom provedbom. Article 21 zahtijeva tehničke, operativne i organizacijske mjere, uključujući politike kontrole pristupa, upravljanje imovinom, kibernetičku higijenu, postupanje s incidentima, kontinuitet poslovanja, sigurnost opskrbnog lanca te MFA ili kontinuiranu autentikaciju gdje je primjereno.
DORA dodaje sektorski specifičan sloj operativne otpornosti za financijske subjekte i relevantne pružatelje IKT usluga trećih strana. Article 1, Article 2 i Article 64 uspostavljaju DORA kao jedinstveni okvir koji se primjenjuje od 17. siječnja 2025. Article 5 i Article 6 zahtijevaju upravljanje i dokumentiran okvir za upravljanje IKT rizicima. Article 9 obrađuje zaštitu i prevenciju, uključujući IKT sigurnosne politike, postupke, protokole i alate. Article 24 do Article 30 dodaju testiranje digitalne operativne otpornosti i upravljanje rizicima IKT trećih strana. Za financijske subjekte dokazi o kontroli pristupa postaju dokazi otpornosti, a ne samo dokazi IT administracije.
GDPR uvodi perspektivu osobnih podataka. Article 2 i Article 3 definiraju široku primjenjivost na obradu u EU-u i doseg na tržište EU-a. Article 5 zahtijeva cjelovitost, povjerljivost i dokazivu odgovornost. Article 25 zahtijeva zaštitu podataka u fazi projektiranja i prema zadanim postavkama. Article 32 zahtijeva odgovarajuće tehničke i organizacijske mjere. U praksi to znači kontrolirani pristup, sigurnu autentikaciju, zapisivanje događaja, preglede i pravodobno uklanjanje pristupa za sustave koji obrađuju osobne podatke.
ISO/IEC 27001:2022 daje organizacijama mehanizam sustava upravljanja za objedinjavanje tih obveza. Točke 4.1 do 4.3 zahtijevaju da organizacija razumije kontekst, zainteresirane strane, pravne i ugovorne zahtjeve, sučelja, ovisnosti i opseg ISMS-a. Točke 6.1.1 do 6.1.3 zahtijevaju procjenu rizika informacijske sigurnosti, obradu rizika, usporedbu s Prilogom A, Izjavu o primjenjivosti te odobrenje planova obrade rizika i preostalog rizika. Točka 8.1 zahtijeva operativnu kontrolu, dokumentirane informacije koje pokazuju da su procesi provedeni kako je planirano, kontrolu promjena i kontrolu procesa koje osiguravaju vanjske strane.
Revizijsko pitanje stoga nije „Imate li MFA?” nego „Možete li dokazati da se za identitete i sustave u opsegu rizikom pristupa upravlja, da se on obrađuje, implementira, prati i poboljšava?”
Izgradite okosnicu dokaza od opsega ISMS-a do IAM dokaza
Clarysec započinje pripremu revizije kontrole pristupa tako da dokaze učini sljedivima iz poslovnog konteksta. ISO/IEC 27001:2022 očekuje da ISMS bude integriran u organizacijske procese i prilagođen potrebama organizacije. SaaS dobavljač s 30 zaposlenika i multinacionalna banka neće imati istu arhitekturu pristupa, ali oboje trebaju koherentan lanac dokaza.
| Sloj dokaza | Što dokazuje | Tipični izvorni sustavi | Vrijednost za višestruku usklađenost |
|---|---|---|---|
| Opseg ISMS-a i zahtjevi zainteresiranih strana | Koji su sustavi, podaci, propisi i ovisnosti o trećim stranama u opsegu | Opseg ISMS-a, registar usklađenosti, inventar podataka, registar dobavljača | Podupire ISO/IEC 27001:2022 točke 4.2 i 4.3, određivanje opsega NIS2, mapiranje IKT ovisnosti prema DORA i odgovornost prema GDPR |
| Procjena rizika pristupa | Zašto su IAM, MFA, PAM i pregledi potrebni na temelju rizika | Registar rizika, scenariji prijetnji, plan obrade rizika | Podupire ISO/IEC 27001:2022 točku 6.1, ISO/IEC 27005:2022, DORA okvir IKT rizika i mjere rizika prema NIS2 |
| Politika i standardi | Što organizacija zahtijeva | Politika kontrole pristupa, politika privilegija, politika uvođenja u posao i prestanka radnog odnosa | Pretvara regulatorna očekivanja u provediva interna pravila |
| IAM i PAM konfiguracija | Jesu li kontrole tehnički implementirane | IdP, HRIS, ITSM, PAM, IAM u oblaku, administratorske konzole SaaS aplikacija | Dokazuje načelo najmanjih privilegija, MFA, RBAC, radne tijekove odobravanja i kontrole privilegiranih sesija |
| Evidencije pregleda i praćenja | Ostaje li pristup prikladan tijekom vremena | Kampanje pregleda prava pristupa, SIEM, PAM dnevnički zapisi, potvrde rukovoditelja | Dokazuje kontinuirano djelovanje kontrola, DORA praćenje, NIS2 kibernetičku higijenu i GDPR minimizaciju |
| Evidencije procesa odlaska i iznimaka | Je li pristup uklonjen i jesu li iznimke kontrolirane | HR popis prestanaka radnog odnosa, dnevnički zapisi deaktivacije, registar iznimaka | Dokazuje pravodobno ukidanje prava pristupa, prihvaćanje preostalog rizika i prevenciju povreda |
ISO/IEC 27005:2022 koristan je jer preporučuje objedinjavanje pravnih, regulatornih, ugovornih, sektorskih i internih zahtjeva u zajednički kontekst rizika. Točke 6.4 i 6.5 naglašavaju kriterije rizika koji uzimaju u obzir ciljeve organizacije, zakone, odnose s dobavljačima i ograničenja. Točke 7.1 i 7.2 omogućuju scenarije temeljene na događajima i imovini. Za kontrolu pristupa to znači procjenu strateških scenarija, kao što je „privilegirani SaaS administrator izvozi podatke klijenata iz EU-a”, zajedno sa scenarijima imovine, kao što je „napušteni AWS IAM ključ povezan s produkcijskom pohranom”.
U Clarysecovu Zenith Blueprint: revizorov plan u 30 koraka, ova se okosnica dokaza gradi tijekom faze Controls in Action. Korak 19 usmjeren je na tehnološke kontrole za krajnje uređaje i upravljanje pristupom, dok korak 22 formalizira organizacijski životni ciklus pristupa.
Zenith Blueprint upućuje timove da provjere jesu li dodjela i ukidanje pristupa strukturirani, integrirani s HR-om gdje je moguće, podržani radnim tijekovima zahtjeva za pristup i pregledavani tromjesečno. Također nalaže organizacijama da dokumentiraju vrste identiteta, provedu kontrole za individualne, dijeljene i servisne identitete, primijene snažne politike lozinki i MFA, uklone neaktivne korisničke račune te održavaju sigurnu pohranu u trezoru ili dokumentaciju za servisne vjerodajnice.
Upravo tako revizori testiraju kontrolu pristupa: jedan identitet, jedan sustav, jedno odobrenje, jedna privilegija, jedan pregled i jedno ukidanje prava pristupa.
Što prikupiti za dokaze o kontroli pristupa spremne za reviziju
Paket dokaza o kontroli pristupa treba omogućiti revizoru da uzorkuje bilo kojeg korisnika i prati životni ciklus: zahtjev, odobrenje, dodjelu, autentikaciju, eskalaciju privilegiranog pristupa, praćenje, pregled i ukidanje prava pristupa.
Snažan paket dokaza uključuje:
- Politiku kontrole pristupa i politiku korisničkih računa
- Postupak za zapošljavanje, promjene uloga i prestanke radnog odnosa
- Matricu uloga ili matricu kontrole pristupa
- Popis aplikacija, platformi i repozitorija podataka u opsegu
- MFA konfiguraciju pružatelja identiteta
- Politike uvjetnog pristupa i popis iznimaka
- Popis privilegiranih računa
- Dokaze PAM radnog tijeka, uključujući odobrenja i dnevnike sesija
- Rezultate nedavne kampanje pregleda prava pristupa
- Uzorke potvrda rukovoditelja i korektivnih radnji
- HR izvješće o prestanku radnog odnosa usklađeno s dnevničkim zapisima deaktivacije
- Popis servisnih računa, vlasnike, evidenciju periodične rotacije i dokaze pohrane u trezoru
- Postupak za hitne račune i zapisnik testiranja
- Dokaze o incidentima ili upozorenjima koji uključuju neuspjele prijave, eskalaciju privilegija ili neaktivne račune
- Unose u Izjavi o primjenjivosti za kontrole iz Priloga A povezane s pristupom
Clarysec politike jasno propisuju ovo očekivanje. U Politici kontrole pristupa za MSP-ove, zahtjev je jednostavan i usmjeren na reviziju:
„Mora se voditi sigurna evidencija za sve dodjele pristupa, izmjene i uklanjanja pristupa.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka 6.1.1.
Ista politika za MSP-ove izravno povezuje RBAC i MFA s odgovornostima uloga:
„Implementira kontrolu pristupa temeljenu na ulogama (RBAC) i provodi snažnu autentikaciju (npr. višefaktorsku autentikaciju (MFA)).”
Iz odjeljka „Uloge i odgovornosti”, točka 4.2.3.
Za veće organizacije, korporativna Politika uvođenja u posao i prestanka radnog odnosa zahtijeva da IAM sustav evidentira izradu računa, dodjele uloga i ovlaštenja te događaje deaktivacije, podržava predloške pristupa temeljene na ulogama i integrira se s HR sustavima za okidače zapošljavanja, promjena uloga i odlazaka. Ta točka pomaže ispričati revizijsku priču na jednom mjestu: standardizirano uvođenje u posao, životni ciklus identiteta pokrenut iz HR-a i sljedivi IAM događaji.
Mapirajte IAM, MFA, PAM i preglede na kontrole ISO/IEC 27001:2022
Clarysecov Zenith Controls: vodič za višestruku usklađenost tretira kontrolu pristupa kao povezanu obitelj kontrola, a ne kao stavku kontrolnog popisa. Za ISO/IEC 27001:2022 najrelevantnije kontrole uključuju:
- Kontrola 5.15, kontrola pristupa
- Kontrola 5.16, upravljanje identitetom
- Kontrola 5.17, informacije za autentikaciju
- Kontrola 5.18, prava pristupa
- Kontrola 8.2, privilegirana prava pristupa
- Kontrola 8.3, ograničavanje pristupa informacijama
- Kontrola 8.5, sigurna autentikacija
- Kontrola 8.15, zapisivanje događaja
- Kontrola 8.16, aktivnosti praćenja
Za informacije za autentikaciju, Zenith Controls mapira kontrolu 5.17 kao preventivnu kontrolu koja podupire povjerljivost, cjelovitost i dostupnost, uz operativnu sposobnost upravljanja identitetom i pristupom. Izravno je povezuje s upravljanjem identitetom, sigurnom autentikacijom, ulogama i odgovornostima, prihvatljivom uporabom i usklađenošću s politikama. Sigurnost vjerodajnica uključuje životni ciklus autentikatora, sigurno izdavanje, pohranu, resetiranje, opoziv, MFA tokene, privatne ključeve i servisne vjerodajnice.
Za prava pristupa, Zenith Controls mapira kontrolu 5.18 na formalnu dodjelu, pregled, izmjenu i ukidanje prava pristupa. Povezuje je s kontrolom pristupa, upravljanjem identitetom, razdvajanjem dužnosti, privilegiranim pravima pristupa i praćenjem usklađenosti. To je kontrola koja načelo najmanjih privilegija pretvara u dokaz.
Za privilegirana prava pristupa, Zenith Controls mapira kontrolu 8.2 na poseban rizik povišenih računa, uključujući domenske administratore, root korisnike, administratore tenant okruženja u oblaku, superkorisnike baza podataka i CI/CD kontrolere. Vodič povezuje privilegirani pristup s upravljanjem identitetom, pravima pristupa, ograničavanjem pristupa informacijama, sigurnom autentikacijom, radom na daljinu, zapisivanjem događaja i praćenjem.
| Revizijska tema | Dokazi pristupa za ISO/IEC 27001:2022 | Mapiranje na NIS2 | Mapiranje na DORA | Mapiranje na GDPR |
|---|---|---|---|---|
| Životni ciklus IAM-a | Radni tijek za zapošljavanje, promjene uloga i odlaske, zahtjevi za pristup, odobrenja, predlošci uloga, dnevnički zapisi deaktivacije | Article 21 mjere upravljanja rizicima, politike kontrole pristupa i upravljanje imovinom | Article 5, Article 6 i Article 9 upravljanje, okvir IKT rizika, logička sigurnost i kontrola pristupa | Article 5, Article 25 i Article 32 odgovornost, minimizacija i sigurnost |
| MFA | IdP politika, snimke zaslona uvjetnog pristupa, statistike upisa u MFA, odobrenja iznimaka | Article 21(2)(j) MFA ili kontinuirana autentikacija gdje je primjereno | Siguran pristup kritičnim IKT sustavima i kontrole IKT rizika | Odgovarajuće tehničke mjere protiv neovlaštenog pristupa |
| PAM | Popis privilegiranih računa, odobrenja, JIT eskalacija, dnevnici sesija, periodična rotacija u trezoru | Article 21(2)(i) kontrola pristupa temeljena na riziku i upravljanje imovinom | Zaštita IKT sustava, operativna otpornost i praćenje | Ograničavanje i revizija povišenog pristupa osobnim podacima |
| Pregledi prava pristupa | Tromjesečni ili polugodišnji zapisi pregleda, potvrde rukovoditelja, prijave korektivnih radnji | Kibernetička higijena, politike kontrole pristupa i upravljanje imovinom | Kontinuirano praćenje, pristup temeljen na ulogama i ukidanje prava pristupa | Zaštita podataka prema zadanim postavkama i dokaziva odgovornost |
| Proces odlaska | HR popis prestanaka radnog odnosa, dokaz zaključavanja ili brisanja računa, opoziv tokena | Pravodobno uklanjanje nepotrebnog pristupa | Kontrola nad IKT pristupom tijekom cijelog životnog ciklusa | Sprječavanje neovlaštenog pristupa osobnim podacima |
Jedno dobro osmišljeno izvješće o pregledu prava pristupa može poduprijeti ISO/IEC 27001:2022, NIS2, DORA i GDPR ako uključuje opseg, vlasnika sustava, pregledavatelja, popis računa, obrazloženje uloge, oznaku privilegiranog pristupa, odluke, uklanjanja, iznimke i datum dovršetka.
MFA dokazi više su od snimke zaslona
Česta revizijska pogreška jest prikazivanje snimke zaslona na kojoj piše „MFA omogućen”. Revizorima treba više od toga. Moraju znati gdje se MFA primjenjuje, tko je izuzet, kako se iznimke odobravaju, jesu li privilegirani računi obuhvaćeni i odgovara li tehnička konfiguracija politici.
Iz Zenith Blueprinta, faza Controls in Action, korak 19, revizori će pitati kako se provode politike lozinki i MFA-a, koji su sustavi zaštićeni, na koga se MFA primjenjuje i mogu li se kritične aplikacije testirati pomoću uzorka računa. Dokazi mogu uključivati konfiguraciju IdP-a, politike uvjetnog pristupa, statistiku upisa u MFA i postupke resetiranja lozinke.
Za korporativna okruženja, Clarysecova Politika upravljanja korisničkim računima i privilegijama navodi:
„Gdje je tehnički izvedivo, višefaktorska autentifikacija (MFA) obvezna je za: 6.3.2.1 Administratorske i root račune 6.3.2.2 Udaljeni pristup (VPN, platforme u oblaku) 6.3.2.3 Pristup osjetljivim ili reguliranim podacima”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka 6.3.2.
Time se stvara izravni revizijski most. Ako je MFA obvezan za administratorske račune, udaljeni pristup i regulirane podatke, paket dokaza treba uključivati popise administratorskih i root računa, konfiguraciju udaljenog pristupa, politike uvjetnog pristupa za platforme u oblaku, popise aplikacija s osjetljivim podacima, izvješća o upisu u MFA, odobrenja iznimaka, kompenzacijske kontrole i nedavne dokaze pregleda upozorenja za neuspjele prijave ili pokušaje zaobilaženja MFA-a.
Za NIST SP 800-53 Rev. 5 to je usklađeno s IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access i AU-2 Event Logging. Za COBIT 2019 podržava DSS05.04 Manage user identity and logical access i povezane prakse sigurnosnog praćenja.
Potporni ISO standardi proširuju sliku. ISO/IEC 27018:2020 proširuje očekivanja autentikacije za javni oblak koji obrađuje osobne podatke. ISO/IEC 24760-1:2019 podržava povezivanje autentikatora i upravljanje životnim ciklusom. ISO/IEC 29115:2013 uvodi razine osiguranja autentikacije, korisne pri odlučivanju gdje su potrebni hardverski tokeni ili MFA otporan na phishing. ISO/IEC 27033-1:2015 podržava snažnu mrežnu autentikaciju za udaljeni ili međumrežni pristup.
PAM dokazi najbrži su put do velikog nalaza ili čiste revizije
Privilegirani pristup područje je u kojem revizori postaju skeptični jer privilegirani računi mogu zaobići kontrole, izvući podatke, uspostaviti postojanost i izmijeniti dnevničke zapise. U Zenith Blueprintu, korak 19 navodi:
„U svakom informacijskom sustavu privilegirani pristup je moć, a s tom moći dolazi rizik.”
Smjernice se usredotočuju na to tko ima privilegirani pristup, što on omogućuje, kako se njime upravlja i kako se prati tijekom vremena. Preporučuju ažuran popis, načelo najmanjih privilegija, RBAC, vremenski ograničen ili just-in-time pristup, radne tijekove odobravanja, jedinstvene imenovane račune, izbjegavanje dijeljenih računa, zapisivanje hitnog pristupa, PAM sustave, periodičnu rotaciju vjerodajnica, pohranu u trezoru, snimanje sesija, privremenu eskalaciju, praćenje i redoviti pregled.
Clarysecova korporativna Politika kontrole pristupa pretvara to u zahtjev kontrole:
„Administratorski pristup mora biti strogo kontroliran kroz: 5.4.1.1 Odvojene privilegirane račune 5.4.1.2 Praćenje i snimanje sesije 5.4.1.3 Višefaktorsku autentifikaciju 5.4.1.4 Vremenski ograničenu eskalaciju ovlasti ili eskalaciju pokrenutu radnim tijekom”
Iz odjeljka „Upravljački zahtjevi”, točka 5.4.1.
Ovaj citat gotovo je skripta za revizijsko testiranje. Ako politika zahtijeva odvojene administratorske račune, pokažite popis privilegiranih računa i dokažite da je svaki povezan s imenovanom osobom. Ako zahtijeva praćenje sesija, pokažite snimljene sesije ili PAM dnevničke zapise. Ako zahtijeva MFA, pokažite provedbu za svaki put privilegiranog pristupa. Ako zahtijeva vremenski ograničenu eskalaciju ovlasti, pokažite vremenske oznake isteka i prijave odobrenja.
Verzija za MSP-ove jednako je izravna. Politika upravljanja korisničkim računima i privilegijama za MSP-ove navodi:
„Povišene ili administratorske privilegije zahtijevaju dodatno odobrenje glavnog direktora ili voditelja IT-a te moraju biti dokumentirane, vremenski ograničene i podložne periodičnom pregledu.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka 6.2.2.
Za manje organizacije to je često razlika između „vjerujemo svom administratoru” i „kontroliramo rizik privilegiranog pristupa”. Revizor ne zahtijeva korporativni alat u svakoj organizaciji MSP veličine, ali zahtijeva dokaze razmjerne riziku. Prijava, odobrenje, privremena dodjela grupi, provedba MFA-a i zapis pregleda mogu biti dovoljni kada je opseg ograničen, a rizik niži.
Pregledi prava pristupa dokazuju da načelo najmanjih privilegija djeluje
Pregledi prava pristupa pokazuju akumuliraju li se ovlaštenja neprimjetno. Također pokazuju razumiju li rukovoditelji koji pristup njihovi timovi stvarno imaju.
Korporativna Politika upravljanja korisničkim računima i privilegijama zahtijeva:
„IT sigurnost mora u suradnji s rukovoditeljima odjela provoditi tromjesečne preglede svih korisničkih računa i povezanih privilegija.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka 6.5.1.
Za MSP organizacije, Politika upravljanja korisničkim računima i privilegijama za MSP-ove propisuje razmjeran ciklus:
„Pregled svih korisničkih računa i privilegija mora se provoditi svakih šest mjeseci.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka 6.4.1.
Vjerodostojan pregled prava pristupa uključuje naziv sustava, opseg, ime pregledavatelja, datum izvoza, datum pregleda, vlasnika identiteta, odjel, rukovoditelja, status zaposlenja, ulogu ili ovlaštenje, oznaku privilegiranog pristupa, oznaku osjetljivosti podataka, odluku, prijavu korektivne radnje, datum zatvaranja, vlasnika iznimke i datum isteka iznimke.
Za Zenith Controls, prava pristupa 5.18 mjesto su na kojem to postaje dokaz za višestruku usklađenost. Vodič mapira prava pristupa na GDPR Article 25 jer pristup treba biti ograničen u fazi projektiranja i prema zadanim postavkama. Mapira ih na NIS2 Article 21(2)(i) jer politike kontrole pristupa i upravljanje imovinom zahtijevaju dodjelu utemeljenu na riziku, pravodobno uklanjanje nepotrebnog pristupa i formalno ukidanje prava pristupa. Mapira ih na DORA jer financijski IKT sustavi trebaju pristup temeljen na ulogama, praćenje i procese ukidanja prava pristupa.
Revizori usmjereni na NIST često to testiraju kroz AC-2 Account Management, AC-5 Separation of Duties i AC-6 Least Privilege. Revizori za COBIT 2019 gledaju DSS05.04 Manage user identity and logical access i DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. Revizori ISACA ITAF-a usredotočuju se na to jesu li dokazi dostatni, pouzdani i potpuni.
Proces odlaska i opoziv tokena lako se uzorkuju
Zaposlenici koji odlaze jedno su od najlakših mjesta za dokazivanje funkcionira li životni ciklus. Revizori često odaberu nedavno otišlog zaposlenika i zatraže HR zapis o prestanku radnog odnosa, prijavu, dnevnički zapis onemogućavanja računa, dokaz deaktivacije u SaaS aplikaciji, uklanjanje VPN-a, opoziv MFA-a, uklanjanje API tokena i povrat imovine.
U Politici uvođenja u posao i prestanka radnog odnosa za MSP-ove, Clarysec navodi:
„Računi osoba kojima je radni odnos prestao moraju biti zaključani ili izbrisani, a povezani pristupni tokeni moraju biti opozvani, uključujući udaljeni pristup (VPN), povezivanja s MFA aplikacijom i API tokene.”
Iz odjeljka „Zahtjevi za implementaciju politike”, točka 6.3.3.
To je važno jer suvremeni pristup nije samo korisničko ime i lozinka. Pristup može opstati kroz tokene za osvježavanje, API ključeve, SSH ključeve, OAuth odobrenja, servisne račune, lokalna administratorska prava, mobilne sesije i portale trećih strana. Deaktiviran HR zapis bez opoziva tokena nepotpun je dokaz.
Zenith Blueprint, faza Controls in Action, korak 16, upućuje organizacije da budu spremne s dokumentiranom kontrolnom listom za prestanak radnog odnosa, dokazima za nedavnog odlaznika, dnevničkim zapisom onemogućavanja korisničkog računa iz AD-a ili MDM-a, potpisanim obrascem povrata imovine i dokumentacijom procesa odlaska koja uključuje obveze povjerljivosti.
Marijin revizor zatražio je primjer odlazećeg višeg razvojnog inženjera koji je imao privilegirani pristup produkcijskim bazama podataka. Njezin tim predstavio je Politiku uvođenja u posao i prestanka radnog odnosa za MSP-ove, kontrolnu listu za prestanak radnog odnosa izrađenu prema koraku 16 iz Zenith Blueprinta, ITSM prijavu pokrenutu iz HR-a, dnevnički zapis onemogućavanja u imeniku, opoziv VPN certifikata, uklanjanje iz GitHub organizacije, brisanje AWS IAM ključa i zatvorenu prijavu provjere koju je potpisao voditelj IT-a. Dokazi su bili potpuni, pravodobni i izravno povezani s politikom.
Provedite sprint dokaza na tri uzorka prije revizora
Praktična vježba spremnosti jest odabrati tri uzorka prije revizije:
- Novog zaposlenika koji se pridružio u posljednjih 90 dana
- Privilegiranog korisnika s administratorskim pristupom oblaku, bazi podataka, produkciji ili IAM-u
- Odlaznika ili zaposlenika s promjenom uloge iz posljednjih 90 dana
| Uzorak | Dokazi za prikupljanje | Uvjet prolaza | Čest nalaz |
|---|---|---|---|
| Novi zaposlenik | HR zapis početka rada, zahtjev za pristup, odobrenje, dodjela uloge, upis u MFA, prva prijava | Pristup dodijeljen tek nakon odobrenja i usklađen s ulogom | Pristup dodijeljen prije odobrenja ili preširoka uloga |
| Privilegirani korisnik | Poslovno obrazloženje, odvojeni administratorski račun, dokaz MFA-a, PAM odobrenje, dnevnik sesije, tromjesečni pregled | Privilegija je imenovana, obrazložena, vremenski ograničena gdje je moguće, praćena i pregledana | Dijeljeni administratorski račun, nedostaje MFA, nema dokaza sesije |
| Odlaznik ili premješteni zaposlenik | HR događaj, prijava prestanka radnog odnosa ili promjene uloge, dnevnički zapisi deaktivacije, uklanjanje VPN-a, opoziv MFA ili API tokena, zatvaranje pregleda | Pristup uklonjen pravodobno i potpuno | SaaS račun još aktivan, API token nije opozvan, zadržano staro članstvo u grupi |
Zatim svaki uzorak povežite s ISMS zapisima: scenarij rizika, odluka o obradi rizika, odabir kontrole u Izjavi o primjenjivosti, točka politike, tehnička konfiguracija, zapis pregleda i korektivna radnja ako postoji praznina.
Time se priprema za reviziju pretvara iz prikupljanja dokumenata u provjeru kontrola.
Pripremite se za različite revizijske perspektive
Različita revizijska iskustva dovode do različitih pitanja, čak i kada su dokazi isti.
| Perspektiva revizora | Primarni fokus | Očekivani dokazi |
|---|---|---|
| Revizor za ISO/IEC 27001:2022 | ISMS proces, obrada rizika i djelovanje kontrola | Procjena rizika, Izjava o primjenjivosti (SoA), odobrene politike, zahtjevi za pristup, zapisi pregleda, dnevnički zapisi deaktivacije |
| Revizijska praksa prema ISO/IEC 19011:2018 | Uzorkovanje, potkrepljivanje i dosljednost | Postavke lozinki, pragovi zaključavanja, vremenske oznake odobrenja, zapisi izvršenja, intervjui |
| ISMS revizor prema ISO/IEC 27007:2020 | Provedba ISMS revizije i učinkovitost | Definicije uloga uspoređene sa stvarnim ovlaštenjima, tragovi odobrenja privilegiranog pristupa, dnevnički zapisi opoziva |
| Procjenitelj usmjeren na NIST | Tehnička implementacija i testiranje kontrola | Dokazi za AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 i AU-2 iz IAM, PAM i SIEM alata |
| Revizor za COBIT 2019 ili ISACA | Upravljanje, vlasništvo i pouzdanost dokaza | Procesni dokazi za DSS05.04 i DSS06.03, metrike, iznimke, praćenje korektivnih radnji |
| Pregledavatelj za DORA | IKT rizik, otpornost i kritičnost | Popisi pristupa kritičnim sustavima, praćenje privilegiranog pristupa, kontrole administratora trećih strana, poveznice s testiranjem otpornosti |
| Pregledavatelj za NIS2 | Odgovornost uprave i mjere rizika | Nadzor odbora, mjere kontrole pristupa iz Article 21, obuhvat MFA-a, spremnost za incidente |
| Pregledavatelj za GDPR | Povjerljivost osobnih podataka i odgovornost | Ograničenja pristupa osobnim podacima, dokazi zaštite privatnosti prema zadanim postavkama iz Article 25, sigurnosne mjere iz Article 32 |
Priprema dokaza koji zadovoljavaju sve ove perspektive pokazuje zreo program usklađenosti i smanjuje dvostruki rad.
Česti nalazi i preventivne radnje
Nalazi kontrole pristupa predvidivi su. Preventivne radnje također.
| Nalaz | Zašto je važan | Prevencija |
|---|---|---|
| Pregledi prava pristupa postoje, ali privilegirani računi su izuzeti | Administratorska prava stvaraju rizik najvećeg utjecaja | U svaki pregled uključite oznaku privilegiranog pristupa, PAM zapise i administratorske grupe |
| MFA je omogućen za zaposlenike, ali ne i za službu za podršku, izvođače ili administratore oblaka | Napadači ciljaju iznimke | Održavajte izvješće o obuhvatu MFA-a i registar iznimaka s datumima isteka |
| Proces za nove zaposlenike je dokumentiran, ali promjene uloga nisu upravljane | Nekontrolirano širenje privilegija akumulira se nakon promjena uloga | Pokrenite pregled prava pristupa pri svakoj promjeni odjela ili uloge |
| Dijeljeni administratorski računi postoje bez kompenzacijskih kontrola | Odgovornost za radnje je slaba | Zamijenite ih imenovanim administratorskim računima ili provedite preuzimanje vjerodajnica iz trezora i zapisivanje sesija |
| Odlaznici su onemogućeni u imeniku, ali su aktivni na SaaS platformama | Pristup opstaje izvan temeljnog IdP-a | Održavajte popis aplikacija i kontrolnu listu procesa odlaska za svaki sustav |
| Lozinke servisnih računa nisu poznate ili se nikada ne rotiraju | Neljudski identiteti postaju skrivena stražnja vrata | Dodijelite vlasnike, pohranite tajne vrijednosti u trezor, rotirajte vjerodajnice i pregledavajte dnevničke zapise uporabe |
| Politika propisuje tromjesečni pregled, ali dokazi pokazuju godišnji pregled | Politika i praksa se razilaze | Prilagodite ciklus na temelju rizika ili provedite dokumentirani zahtjev |
| Odobrenja pristupa nalaze se u e-pošti bez pravila zadržavanja | Revizijski trag je krhak | Koristite ITSM radne tijekove i zadržavanje usklađeno s politikom |
Korporativna Politika kontrole pristupa dodaje zahtjev zadržavanja koji sprječava jedan od najčešćih neuspjeha dokaza:
„Odluke o odobrenju moraju biti evidentirane i zadržane za potrebe revizije najmanje 2 godine.”
Iz odjeljka „Upravljački zahtjevi”, točka 5.3.2.
Ako odobrenja nestanu nakon čišćenja e-pošte, kontrola je možda djelovala, ali revizija se na nju ne može osloniti. Zadržavanje je dio dizajna kontrole.
Odgovornost uprave zahtijeva metrike pristupa
NIS2 Article 20 i DORA Article 5 i Article 6 čine kontrolu pristupa pitanjem uprave jer kompromitacija identiteta može dovesti do operativnog prekida, regulatornog izvješćivanja, povrede podataka i štete za klijente. Točke 5.1 do 5.3 norme ISO/IEC 27001:2022 također zahtijevaju da najviše rukovodstvo uskladi ISMS s poslovnom strategijom, osigura resurse, komunicira važnost, dodijeli odgovornosti i promiče kontinuirano poboljšanje.
Korisne metrike kontrole pristupa uključuju:
- Postotak kritičnih sustava obuhvaćenih SSO-om
- Postotak privilegiranih računa s MFA-om
- Broj stalnih privilegiranih računa u odnosu na JIT račune
- Stopu dovršetka pregleda prava pristupa
- Broj opozvanih prekomjernih ovlaštenja
- Usklađenost sa SLA-om deaktivacije odlaznika
- Broj neaktivnih računa
- Obuhvat vlasnika servisnih računa
- Obuhvat snimanja PAM sesija
- Broj i starost MFA iznimaka
Ove metrike pomažu upravi odobriti obradu rizika i dokazati nadzor. Revizije čine vjerodostojnijima jer organizacija može pokazati da se kontrola pristupa prati kao živi rizik, a ne ponovno otkriva prije svake revizije.
Pretvorite raspršene dokaze u revizijsko povjerenje
Ako su dokazi o kontroli pristupa prema ISO/IEC 27001:2022 raspršeni po HR-u, ITSM-u, IAM-u, PAM-u, konzolama u oblaku i proračunskim tablicama, sljedeći korak nije još jedno prepisivanje politike. Sljedeći je korak arhitektura dokaza.
Počnite ovim redoslijedom:
- Definirajte sustave, identitete i podatke u opsegu.
- Mapirajte NIS2, DORA, GDPR i ugovorne zahtjeve u kontekst ISMS-a.
- Upotrijebite scenarije rizika u stilu ISO/IEC 27005:2022 za prioritizaciju IAM-a, MFA-a, PAM-a i pregleda prava pristupa.
- Ažurirajte Izjavu o primjenjivosti i plan obrade rizika.
- Uskladite točke politike sa stvarnim IAM i PAM radnim tijekovima.
- Provedite sprint dokaza na tri uzorka.
- Otklonite praznine prije nego što ih pronađe revizor.
- Održavajte ponovno upotrebljiv paket dokaza za certifikaciju, dubinsku analizu dobavljača prema zahtjevima klijenata i regulatorne preglede.
Clarysec vam može pomoći u implementaciji kroz Zenith Blueprint: revizorov plan u 30 koraka, višestruko mapiranje zahtjeva pomoću Zenith Controls: vodič za višestruku usklađenost i provedbu zahtjeva odgovarajućim skupom Clarysec politika, uključujući Politiku kontrole pristupa, Politiku upravljanja korisničkim računima i privilegijama i Politiku uvođenja u posao i prestanka radnog odnosa.
Spremnost za reviziju kontrole pristupa ne znači dokazati da ste kupili IAM alat. Ona znači dokazati da procesi identiteta, autentikacije, privilegija i pregleda smanjuju stvarni poslovni rizik i zadovoljavaju standarde i propise koji su važni vašoj organizaciji.
Preuzmite Clarysec alate, provedite sprint dokaza na tri uzorka i pretvorite dokaze o kontroli pristupa iz raspršenog nereda u jasan, ponovljiv i dokaziv revizijski portfelj.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
