Hozzáférés-szabályozás és többtényezős hitelesítés KKV-k számára: ISO 27001:2022 A.8.2, A.8.3 és GDPR 32. cikk – az adatkezelés biztonsága

A KKV-k fokozott kockázattal szembesülnek a gyenge hozzáférés-szabályozás és a nem megfelelő hitelesítés miatt. Ez az útmutató bemutatja, hogyan lehet a hozzáférés-szabályozást és a többtényezős hitelesítést az ISO 27001:2022 (A.8.2, A.8.3) és a GDPR követelményeivel összhangba hozni, biztosítva, hogy az érzékeny adatokhoz és rendszerekhez csak a megfelelő személyek férjenek hozzá, csökkentve az incidenskockázatot és auditálhatóvá téve a megfelelést.

Mi forog kockán

A KKV-k számára a hozzáférés-szabályozás és a hitelesítés az adatsértések, az üzletmenet-zavarok és a hatósági szankciók megelőzésének alapja. Ha a hozzáférések kezelése hiányos, a kockázat nem korlátozódik a közvetlen pénzügyi veszteségre: reputációs kárt, szolgáltatáskiesést és jelentős jogi kitettséget is eredményezhet. Az ISO 27001:2022, különösen az A.8.2 (kiemelt hozzáférési jogosultságok) és az A.8.3 (az információkhoz való hozzáférés korlátozása) kontrollok megkövetelik, hogy a szervezetek szigorúan szabályozzák, ki mihez férhet hozzá, különös figyelemmel a kiemelt jogosultságú fiókokra. A GDPR 32. cikke további elvárásokat támaszt: előírja, hogy megfelelő technikai és szervezési intézkedések, például erős hozzáférési korlátozások és biztonságos hitelesítés biztosítsák, hogy a személyes adatokhoz kizárólag jogosult személyek férjenek hozzá.

A gyenge hozzáférés-szabályozás működési hatása valós incidensekben is megmutatkozik: egyetlen kompromittálódott rendszergazdai fiók teljes rendszerkompromittálódáshoz, adatkiszivárgáshoz és hatósági vizsgálatokhoz vezethet. Például egy KKV, amely felhőplatformokat használ többtényezős hitelesítés nélkül az adminisztrátori fiókokon, egy adathalász támadást követően kizáródhat a saját rendszereiből, miközben ügyféladatai kitettségbe kerülnek, és üzleti folyamatai megbénulnak. A felügyeleti hatóságok, például a GDPR szerinti adatvédelmi hatóságok, egyértelmű bizonyítékokat várnak el arra, hogy a hozzáférés-szabályozási kontrollok nemcsak meghatározottak, hanem ténylegesen alkalmazottak és rendszeresen felülvizsgáltak is.

A tét még nagyobb, ha a KKV-k kiszervezett fejlesztőkre vagy külső IT-szolgáltatókra támaszkodnak. Szigorú hozzáférés-kezelés nélkül a külső felek szükségtelen hozzáférést tarthatnak meg, ami tartós sérülékenységeket hoz létre. Azoknak a KKV-knak, amelyek személyes adatokat kezelnek vagy tárolnak – legyen szó ügyfélnyilvántartásokról, HR-aktákról vagy ügyfélprojektek adatairól –, igazolniuk kell tudni, hogy a hozzáférés szigorúan csak a jogos üzleti szükséglettel rendelkezőkre korlátozódik, és a kiemelt jogosultságú fiókok fokozott biztonsági intézkedések, például többtényezős hitelesítés hatálya alá tartoznak. Ennek elmulasztása bírságokat, szerződésvesztést és az ügyfélbizalom helyrehozhatatlan sérülését eredményezheti.

Vegyünk egy olyan helyzetet, amelyben egy kis tanácsadó cég kiszervezi a szoftverfejlesztést. Ha az éles rendszerekhez való kiemelt jogosultságú hozzáférést nem szabályozzák szigorúan és nem vizsgálják felül rendszeresen, egy távozó vállalkozó megtarthatja a hozzáférést, veszélyeztetve az érzékeny ügyféladatokat. Incidens esetén mind az ISO 27001, mind a GDPR megköveteli, hogy a KKV bizonyítani tudja a megfelelő kontrollok meglétét, például az egyedi felhasználói azonosítókat, a szerepköralapú jogosultságokat és az erős hitelesítést. Ezek nélkül a vállalkozásnak nemcsak műszaki helyreállítással, hanem jogi és reputációs következményekkel is számolnia kell.

Hogyan néz ki a megfelelő működés

Egy érett KKV hozzáférés-szabályozási környezetét a hozzáférési jogosultságok egyértelmű, kockázatalapú kiosztása, az erős hitelesítés – beleértve a többtényezős hitelesítést az érzékeny fiókoknál –, valamint annak rendszeres felülvizsgálata jellemzi, hogy ki mihez fér hozzá. Az ISO 27001:2022 A.8.2 és A.8.3 azt az elvárást rögzíti, hogy a kiemelt jogosultságú fiókok kezelése szigorú legyen, az információkhoz való hozzáférés pedig kizárólag tényleges szükséglet alapján történjen. A GDPR 32. cikke megköveteli, hogy ezek a kontrollok ne csak dokumentáltak, hanem működés közben is alkalmazottak legyenek, amit auditnyomokkal, felhasználói hozzáférés-felülvizsgálatokkal és a kikényszerítés bizonyítékaival kell alátámasztani.

A siker azt jelenti, hogy az alábbi eredmények láthatók és bizonyíthatók:

• Szerepköralapú hozzáférés-szabályozás (RBAC): A rendszerekhez és adatokhoz való hozzáférést munkaköri szerepkörök alapján kell megadni, nem eseti kérelmek szerint. Ez biztosítja, hogy a felhasználók csak a feladataik ellátásához szükséges hozzáférést kapják meg, annál többet nem.
• Kiemelt jogosultságú hozzáférések kezelése: Az adminisztrátori vagy más kiemelt jogosultságú fiókok számát minimalizálni kell, kezelésüknek szigorúnak kell lennie, és további védelmi intézkedések, például többtényezős hitelesítés és fokozott felügyelet hatálya alá kell tartozniuk.
• Többtényezős hitelesítés ott, ahol számít: A többtényezős hitelesítést minden magas kockázatú fióknál kötelezően alkalmazni kell, különösen távoli hozzáférés, felhőalapú adminisztrációs konzolok és személyes adatokat kezelő rendszerek esetén.
• Hozzáférés-felülvizsgálatok és hozzáférés-visszavonás: Rendszeres felülvizsgálatokat kell ütemezni annak ellenőrzésére, hogy csak aktuális munkatársak és vállalkozók rendelkeznek hozzáféréssel; a kilépők vagy szerepkört váltók hozzáférését haladéktalanul meg kell szüntetni.
• Ellenőrizhetőség és bizonyítékok: A vállalkozás gyorsan elő tud állítani olyan nyilvántartásokat, amelyek megmutatják, ki mely rendszerekhez és mikor fért hozzá, beleértve a hitelesítési kísérletek és a jogosultságszint-emelések naplóit is.
• Beszállítói és kiszervezett hozzáférés: A harmadik felek és kiszervezett fejlesztők hozzáférésére ugyanazokat a szabványokat kell alkalmazni, mint a belső felhasználókéra, egyértelmű beléptetési, felügyeleti és kiléptetési eljárásokkal.
• Szabályzatalapú kikényszerítés: Minden hozzáférési döntést formális, naprakész szabályzatoknak kell alátámasztaniuk, amelyeket kommunikálnak, felülvizsgálnak és a teljes vállalkozásban kikényszerítenek.

Például egy kis csapattal és több külső fejlesztővel dolgozó szoftveres startup szerepköralapú hozzáférés-szabályozást vezet be a felhőinfrastruktúrájában, minden adminisztrátori fiókhoz többtényezős hitelesítést ír elő, és havonta felülvizsgálja a felhasználói hozzáféréseket. Amikor egy külső fejlesztő befejez egy projektet, hozzáférését azonnal visszavonják, és az auditnaplók megerősítik az eltávolítást. Ha egy ügyfél GDPR-megfelelőségi bizonyítékot kér, a startup be tudja mutatni a hozzáférés-szabályozási szabályzatát, a felhasználói hozzáférési naplókat és a többtényezős hitelesítés konfigurációs bejegyzéseit, hogy igazolja az ISO 27001 és a GDPR követelményeivel való összhangot.

Zenith Blueprint

Gyakorlati megvalósítás

A szabványok és jogszabályok napi KKV-működésbe történő átültetése konkrét, lépésenkénti intézkedéseket igényel. A folyamat annak megértésével kezdődik, hol találhatók a hozzáférési kockázatok, majd a szabályok rögzítésével és a méretnek, valamint a fenyegetettségi környezetnek megfelelő technikai kontrollok beépítésével folytatódik. A Zenith Controls könyvtár gyakorlati keretrendszert biztosít az egyes követelmények operatív kontrollokhoz történő megfeleltetéséhez, míg a Hozzáférés-szabályozási szabályzat meghatározza az összes felhasználóra és rendszerre vonatkozó szabályokat és elvárásokat.

1. lépés: A vagyonelemek és adatok feltérképezése

Mielőtt szabályozni lehetne a hozzáférést, tudni kell, mit kell védeni. Első lépésként készítsen leltárt a kritikus vagyonelemekről, szerverekről, felhőplatformokról, adatbázisokról, kódtárakról és alkalmazásokról. Minden vagyonelemnél azonosítsa a tárolt vagy kezelt adattípusokat, különös figyelemmel a GDPR hatálya alá tartozó személyes adatokra. Ez a feltérképezés támogatja az ISO 27001 és a GDPR 30. cikkének követelményeit, és a hozzáférési döntések alapját képezi.

Például egy SaaS-megoldásokat nyújtó KKV külön vagyonelemként dokumentálja az ügyféladatbázist, a belső HR-nyilvántartásokat és a forráskódtárakat, eltérő kockázati profillal és hozzáférési igényekkel.

2. lépés: Szerepkörök meghatározása és hozzáférések hozzárendelése

A vagyonelemek feltérképezése után határozza meg a szervezet felhasználói szerepköreit, például adminisztrátor, fejlesztő, HR, pénzügy és külső vállalkozó. Minden szerepkörhöz egyértelműen meg kell határozni, mely rendszerekhez és adatokhoz férhet hozzá. A legkisebb jogosultság elvét kell alkalmazni: a felhasználók csak a munkájukhoz minimálisan szükséges hozzáférést kaphatják meg. Dokumentálja ezeket a szerepkör-meghatározásokat és hozzáférés-hozzárendeléseket, és biztosítsa vezetői felülvizsgálatukat és jóváhagyásukat.

Jó példa erre egy marketingügynökség, amely a pénzügyi rendszerhez való hozzáférést a pénzügyi vezetőre korlátozza, és minden nem szükséges munkatársat kizár az ügyféladat-mappákból; kivétel csak dokumentált jóváhagyással engedélyezhető.

3. lépés: Technikai kontrollok bevezetése

Vezessen be technikai mechanizmusokat a hozzáférési korlátozások és hitelesítési követelmények érvényesítésére. Ez magában foglalja:

• A többtényezős hitelesítés engedélyezését minden kiemelt jogosultságú és távoli hozzáférési fiókhoz, különösen felhőalapú adminisztrációs konzolok, VPN-ek és személyes adatokat kezelő rendszerek esetén.
• Szerepköralapú hozzáférés-szabályozás vagy hozzáférés-vezérlési listák (ACL) konfigurálását fájlmegosztásokon, adatbázisokon és alkalmazásokban.
• Egyedi felhasználói azonosítók biztosítását minden fiókhoz; megosztott bejelentkezések nem használhatók.
• Jelszókomplexitási és rendszeres jelszórotációs szabályok kikényszerítését.
• Riasztások beállítását sikertelen bejelentkezési kísérletekre, jogosultságszint-emelésekre és szokatlan hozzáférési mintákra.

Például egy kis ügyvédi iroda Microsoft 365-öt használ, minden munkatárs számára engedélyezett többtényezős hitelesítéssel, SharePointon szerepköralapú jogosultságokkal, és naplózza az érzékeny ügyfélfájlokhoz való összes hozzáférést. A riasztások értesítik az informatikai vezetőt minden sikertelen adminisztrátori bejelentkezési kísérletről.

4. lépés: A felhasználói életciklus kezelése

A hozzáféréskezelés nem egyszeri feladat. Hozzon létre eljárásokat a beléptetésre, a szerepkörváltozásokra és a kiléptetésre. Belépéskor a hozzáférést a szerepkör szerint kell kiosztani. Szerepkörváltáskor vagy kilépéskor a hozzáférést haladéktalanul frissíteni vagy visszavonni kell. Auditcélokra minden hozzáférés-változásról nyilvántartást kell vezetni.

Gyakorlati példa: egy fintech KKV belépés–áthelyezés–kilépés nyilvántartást vezet. Amikor egy fejlesztő távozik, hozzáférését a kódtárakhoz és az éles rendszerekhez még aznap megszüntetik, majd a naplókat ellenőrzik ennek megerősítésére.

5. lépés: Hozzáférések felülvizsgálata és auditálása

Ütemezzen rendszeres, legalább negyedéves felülvizsgálatokat minden felhasználói fiókra és hozzáférési jogosultságra. Ellenőrizze a gazdátlan fiókokat, a túlzott jogosultságokat és azokat a fiókokat, amelyek már nem felelnek meg az aktuális szerepköröknek. Dokumentálja a felülvizsgálati folyamatot és a megtett intézkedéseket. Ez támogatja mind az ISO 27001, mind a GDPR elszámoltathatósági követelményeit.

Például egy designügynökség egyszerű táblázat használatával negyedéves hozzáférés-felülvizsgálatokat végez. Minden szervezeti egység vezetője ellenőrzi az aktuális munkatársakat és hozzáférési jogosultságokat, az informatikai vezető pedig letiltja a nem használt fiókokat.

6. lépés: A kontrollok kiterjesztése beszállítókra és kiszervezett fejlesztőkre

Harmadik felekkel végzett munka esetén biztosítsa, hogy azok kövessék a hozzáférés-szabályozási standardokat. Követelje meg a külső fejlesztőktől az egyedi fiókok használatát, a többtényezős hitelesítés alkalmazását, valamint hozzáférésük korlátozását kizárólag a munkájukhoz szükséges rendszerekre és adatokra. A szerződés megszűnésekor a hozzáférést haladéktalanul meg kell szüntetni. Dokumentálja a jóváhagyásokat és minden kivétel esetén a kockázatelfogadást.

Valós példa: egy KKV kiszervezi a webfejlesztést, és a külső csapatnak időkorlátozott hozzáférést ad egy előéles környezethez, kötelező többtényezős hitelesítéssel. A projekt lezárásakor a hozzáférést eltávolítják, a naplókat pedig auditcélból megőrzik.

Felhasználói fiók- és jogosultságkezelési szabályzat¹

Hozzáférés-szabályozási szabályzat²

Zenith Controls³

Szabályzatok, amelyek fenntarthatóvá teszik a kontrollokat

A szabályzatok jelentik a fenntartható hozzáférés-szabályozás alapját. Meghatározzák az elvárásokat, kijelölik a felelősségeket, és hivatkozási pontként szolgálnak auditok és vizsgálatok során. KKV-k esetében a Hozzáférés-szabályozási szabályzat alapvető dokumentum: lefedi, hogyan történik a hozzáférés megadása, felülvizsgálata és visszavonása, továbbá előírja az olyan technikai kontrollokat, mint a többtényezős hitelesítés az érzékeny rendszereknél. Ezt a szabályzatot kapcsolódó szabályzatokkal együtt kell érvényesíteni, például a Felhasználói fiók- és jogosultságkezelési szabályzattal, a Biztonságos fejlesztési szabályzattal, valamint az Adatvédelmi és magánszféra-védelmi szabályzattal.

Egy erős hozzáférés-szabályozási szabályzatnak:

• Meg kell határoznia, ki hagyja jóvá és vizsgálja felül az egyes rendszerek hozzáférési jogosultságait.
• Elő kell írnia a többtényezős hitelesítést a kiemelt jogosultságú és távoli hozzáférésekhez.
• Meg kell határoznia a felhasználók beléptetésének, szerepkörváltozásának és kiléptetésének folyamatát.
• Kötelezővé kell tennie a rendszeres hozzáférés-felülvizsgálatokat és az eredmények dokumentálását.
• Elő kell írnia, hogy minden felhasználó egyedi azonosítóval rendelkezzen, és a megosztott fiókok használata tilos legyen.
• Hivatkoznia kell a jelszókomplexitásra, a munkamenet-időtúllépésre és a naplózásra vonatkozó technikai standardokra.

Például egy KKV hozzáférés-szabályozási szabályzata kimondhatja, hogy adminisztrátori hozzáférést csak az ügyvezető vagy az informatikai vezető hagyhat jóvá, minden felhőalapú adminisztrátori fiókhoz többtényezős hitelesítést kell használni, és részletesen meghatározhatja a fiókok letiltásának folyamatát munkatársak távozásakor. A szabályzatot évente, valamint a rendszerekben vagy jogszabályi követelményekben bekövetkező jelentős változás esetén felül kell vizsgálni.

Hozzáférés-szabályozási szabályzat²

Ellenőrzőlisták

Az ellenőrzőlisták segítik a KKV-kat a hozzáférés-szabályozási és többtényezős hitelesítési követelmények működésbe ültetésében, biztosítva, hogy egyetlen kritikus lépés se maradjon ki. Minden szakasz – kialakítás, működtetés és ellenőrzés – saját fókuszt és fegyelmet igényel.

Kialakítás: KKV hozzáférés-szabályozási és többtényezős hitelesítési alapok

A hozzáférés-szabályozás létrehozásakor vagy átalakításakor a KKV-knak egyértelmű kialakítási ellenőrzőlistára van szükségük annak biztosítására, hogy minden alapvető elem rendelkezésre álljon. Ebben a szakaszban a megfelelő architektúra kialakítása és a folyamatos működés alapbeállításainak rögzítése a cél.

• Készítsen nyilvántartást minden rendszerről, alkalmazásról és adattárról.
• Azonosítsa és osztályozza az adatokat, a személyes adatokat külön kontrollok alá sorolva.
• Határozza meg a felhasználói szerepköröket, és rendelje hozzá a hozzáférési követelményeket az egyes szerepkörökhöz.
• Készítse el és hagyassa jóvá a hozzáférés-szabályozási és jogosultságkezelési szabályzatokat.
• Válassza ki és konfigurálja a technikai kontrollokat, például a többtényezős hitelesítési megoldásokat, az RBAC-t és a jelszószabályokat.
• Hozzon létre biztonságos beléptetési és kiléptetési eljárásokat minden felhasználó, így a harmadik felek számára is.
• Dokumentáljon minden hozzáférési döntést, és vezessen nyilvántartást auditcélból.

Például egy új felhőkörnyezetet létrehozó KKV felsorolja az összes felhasználót, osztályozza az érzékeny adatokat, engedélyezi a többtényezős hitelesítést az adminisztrátoroknak, és az éles indulás előtt dokumentálja a hozzáférési szabályzatot.

Működtetés: Napi hozzáférés-szabályozás és többtényezős hitelesítés kezelése

A kontrollok kialakítása után a folyamatos működés a fegyelem fenntartásáról és a változások kezeléséről szól. Ez a szakasz a rutinszerű kezelésre, a felügyeletre és a folyamatos kikényszerítésre összpontosít.

• Kényszerítse ki a többtényezős hitelesítést a kiemelt jogosultságú, távoli és érzékeny fiókoknál.
• Vizsgáljon felül és hagyjon jóvá minden új hozzáférési kérelmet dokumentált szerepkörök alapján.
• Kísérje figyelemmel a bejelentkezési kísérleteket, a jogosultságszint-emeléseket és az érzékeny adatokhoz való hozzáférést.
• Haladéktalanul frissítse a hozzáférési jogosultságokat, amikor a felhasználók szerepkört váltanak vagy távoznak.
• Képezze a munkatársakat a biztonságos hitelesítési és hozzáférési gyakorlatokra.
• Biztosítsa, hogy a harmadik felek hozzáférése időkorlátozott legyen és rendszeres felülvizsgálat alá essen.

Gyakorlati példa: egy kiskereskedelmi KKV informatikai vezetője rendszeresen ellenőrzi a többtényezős hitelesítési irányítópultot, áttekinti a hozzáférési naplókat, és új hozzáférés megadása előtt egyeztet a szervezeti egységek vezetőivel.

Ellenőrzés: Audit és felülvizsgálat a megfelelés érdekében

Az ellenőrzés kritikus a megfelelés igazolása és a hiányosságok azonosítása szempontjából. Ez a szakasz ütemezett és eseti felülvizsgálatokat, auditokat és a kontrollok tesztelését foglalja magában.

• Végezzen negyedéves hozzáférés-felülvizsgálatokat, ellenőrizve a gazdátlan fiókokat és a túlzott jogosultságokat.
• Auditálja a többtényezős hitelesítés kikényszerítését, és tesztelje a megkerülési kísérleteket.
• Tekintse át a naplókat gyanús vagy jogosulatlan hozzáférés jeleit keresve.
• Készítsen bizonyítékokat a hozzáférés-felülvizsgálatokról és a többtényezős hitelesítés konfigurációjáról auditokhoz vagy ügyfélkérésekhez.
• Frissítse a szabályzatokat és a technikai kontrollokat a megállapítások vagy incidensek alapján.

Például egy logisztikai KKV ügyfélauditra készülve exportálja a hozzáférési naplókat, áttekinti a többtényezős hitelesítési jelentéseket, és frissíti hozzáférés-szabályozási szabályzatát a közelmúltbeli változások tükrözésére.

Zenith Blueprint⁴

Gyakori hibák

Sok KKV elakad a hozzáférés-szabályozás és a többtényezős hitelesítés bevezetése során, gyakran erőforrás-korlátok, tisztázatlan felelősségek vagy az informális gyakorlatokra való túlzott támaszkodás miatt. A leggyakoribb hibák:

• Megosztott fiókok: Az általános bejelentkezések (például „admin”, „developer”) használata aláássa az elszámoltathatóságot, és lehetetlenné teszi a műveletek személyekhez kötését. Ez gyakori auditmegállapítás, és közvetlenül sérti mind az ISO 27001, mind a GDPR elvárásait.
• Többtényezős hitelesítési hiányosságok: Ha a többtényezős hitelesítést csak a fiókok egy részére alkalmazzák, vagy nem kényszerítik ki távoli és kiemelt jogosultságú hozzáférés esetén, a kritikus rendszerek kitettségben maradnak. A támadók gyakran ezeket a gyenge pontokat célozzák.
• Elavult hozzáférési jogosultságok: A kilépők vagy szerepkört váltók hozzáférésének eltávolításának elmulasztása olyan inaktív fiókok halmazát hozza létre, amelyek könnyen kihasználhatók. A KKV-k ezt gyakran figyelmen kívül hagyják, különösen vállalkozók és harmadik felek esetén.
• Ritka felülvizsgálatok: A rendszeres hozzáférés-felülvizsgálatok kihagyása azt eredményezi, hogy a problémák észrevétlenek maradnak. Ütemezett ellenőrzések nélkül a gazdátlan fiókok és a jogosultsághalmozódás felgyűlik.
• Szabályzati eltérés: Ha a szabályzatokat nem frissítik a rendszerek vagy jogszabályi követelmények változásakor, a kontrollok elszakadnak a tényleges működéstől. Ez különösen kockázatos új felhőplatformok bevezetésekor vagy jelentős üzleti változások után.
• Beszállítói vakfoltok: Veszélyes feltételezés, hogy a harmadik fél szolgáltatók vagy kiszervezett fejlesztők saját hozzáféréseiket megfelelő biztonsággal kezelik. A KKV-knak saját szabványaikat kell kikényszeríteniük, és ellenőrizniük kell a megfelelést.

Például egy digitális marketinggel foglalkozó KKV-nál egy korábbi vállalkozó hónapokkal a távozása után is megtartotta hozzáférését az ügyfélkampányokhoz, mert hiányoztak a kiléptetési ellenőrzések és megosztott bejelentkezéseket használtak. Ez csak egy ügyfél által kért hozzáférés-felülvizsgálat során derült ki, rávilágítva a szigorúbb kontrollok és a rendszeres auditok szükségességére.

Felhasználói fiók- és jogosultságkezelési szabályzat¹

Következő lépések

• Kezdje teljes IBIR- és hozzáférés-szabályozási eszközkészlettel: Zenith Suite
• Lépjen tovább egy teljes körű KKV- és vállalati megfelelőségi csomagra: Complete SME + Enterprise Combo Pack
• Tegye biztonságossá KKV-ját testreszabott megfelelőségi és hozzáférés-szabályozási csomaggal: Full SME Pack

Hivatkozások