ISO 27001 kriptográfiai kivételek: bizonyítékok és CER-útmutató

A David által leginkább rettegett auditmegbeszélés három héttel korábban érkezett el a vártnál. Az InnovatePay éppen felvásárolt egy kisebb céget, a QuickAcquire-t. Az ügylet stratégiai siker volt, de a technológiai környezet mélyén egy örökölt adatátviteli modul rejtőzött, amely olyan kriptográfiai könyvtárat használt, amely nem felelt meg az InnovatePay jóváhagyott szabványainak. A lecserélése hat hónapos projekt lett volna. A külső auditor a következő héten érkezett.

David fejében fájdalmasan tiszta volt a jelenet. A nyugodt és módszeres auditor rátalál az eltérésre, majd felteszi azt az egy kérdést, amely a tudjuk, hogy kockázatos állapotot meg nem feleléssé alakítja: mutassa be a kriptográfiai kivétel bizonyítékait, és azt, hogyan döntötték el, hogy elfogadható.

Ebben a pillanatban a szándék nem számít; a kontroll számít. Dokumentált kivételkezelési folyamat, vezetői kockázatelfogadás, kompenzáló kontrollok, kulcskezelési naplók és időkorlátos helyesbítő intézkedési terv nélkül az auditor valószínűleg kontrollhibaként vagy gyenge IBIR-irányításként kezeli a problémát. Ez az átfogó útmutató bemutatja, hogyan alakítható ez a helyzet az érettség igazolásává a Clarysec eszközkészletei és szabályzatai, az ISO/IEC 27001:2022 A.8.24 Kriptográfia használata kontrollja, valamint a NIS2, DORA, GDPR, NIST és COBIT 2019 követelményeit átfogó megfelelési szemlélet segítségével.

Miért elkerülhetetlenek a kriptográfiai kivételek, és hogyan értékelik őket az auditorok

A kriptográfiai kivételek előre látható okokból jelennek meg. A Clarysec megbízásaiban visszatérő mintákat látunk:

• Örökölt technológiai korlátok, például nem támogatott algoritmusok, titkosítási csomagok vagy kulcshosszak.
• Beszállítói függőség és tanúsítási késedelmek, amelyek akadályozzák a jóváhagyott kriptográfiai megoldások időben történő bevezetését.
• Működési realitások az incidensreagálás vagy a forenzikus tevékenység során, amikor ideiglenes eltérés szükséges a bizonyítékok gyűjtéséhez vagy a szolgáltatásfolytonosság fenntartásához.
• Migrációs időszakok, amikor az átmeneti interoperabilitás korlátozott ideig gyengébb beállításokat kényszerít ki.
• Partner- vagy ügyféloldali korlátok, amelyek megakadályozzák az előnyben részesített alapbeállítások alkalmazását.

Az ISO/IEC 27001:2022 auditorai nem tökéletességet várnak el, hanem kontrollált működést. Azt értékelik, hogy a titkosítás megfelelő és következetes-e, a kulcskezelés irányított és naplózott-e, valamint hogy a szervezet aktívan azonosítja és kezeli-e az elavult algoritmusokat a környezetében. Az első lépés az, hogy a kivételek kezelését össze kell hangolni azzal, amit az auditorok látni szeretnének.

Rögzítse a kivételt szabályzatban és kockázatirányításban

Egy érett IBIR a kivételeket kockázatkezelési döntésként, nem pedig technikai adósságként kezeli. A formális mechanizmus a kriptográfiai kivételkérelem (Cryptographic Exception Request, CER), és az ezt előíró szabályzati záradék a kezelt kivétel és az auditmegállapítás közötti fordulópont.

A Clarysec vállalati Kriptográfiai kontrollok szabályzata előírja: A nem szabványos kriptográfiai algoritmusok használata vagy a jóváhagyott életciklus-gyakorlatoktól való ideiglenes eltérés dokumentált kriptográfiai kivételkérelem (Cryptographic Exception Request, CER) benyújtását igényli. A szabályzatcsalád közvetlenül kapcsolódik a kockázatkezeléshez. A kapcsolódó Kockázatkezelési szabályzat támogatja a kriptográfiai kontrollokhoz kapcsolódó kockázatok értékelését, és dokumentálja a kivételek, az algoritmusok elavulása vagy a kulcsok kompromittálódása esetén alkalmazott kockázatkezelési stratégiát.

Amint a követelmény megjelenik a szabályzatban, minden kivételnek visszakövethetőnek kell lennie egy CER-hez, amely tartalmazza a vezetői kockázatelfogadást, a kapcsolódó kockázati nyilvántartási bejegyzést, a kompenzáló kontrollokat és a kilépési tervet. Ezeket a bizonyítékokat még a kérés előtt mutassa be: vezesse végig az auditort az irányításon, majd a technikai állapoton a Zenith Blueprint interjú- és mintavételi megközelítésével.

Építse fel a CER-t auditra alkalmas kontrollnyilvántartásként

A jegykommentek nem kivételnyilvántartások. A CER-nek strukturáltnak, verziókezeltnek és ugyanúgy mintavételezhetőnek kell lennie, mint bármely más kontrollnak. Akár GRC-eszközben, akár szabályozott sablonban valósul meg, egy erős CER az alábbiakat tartalmazza:

• Kivétel összefoglalása, vagyis mi nem megfelelő, és hol található.
• Hatály, az érintett adattípusok, valamint hogy a kivétel a tárolt adatokra, a továbbított adatokra vagy mindkettőre hatással van-e.
• Üzleti indoklás, vagyis a szolgáltatási vagy üzleti korlátokhoz kapcsolódó indok.
• Biztonsági hatáselemzés, reális fenyegetési forgatókönyvekkel, például visszaminősítési kockázat, MITM, gyenge hashelés, kulcsok kompromittálódása.
• Kompenzáló kontrollok, például szegmentálás, ügyféltanúsítványok, rövid munkamenet-élettartam, WAF-szabályok, kiegészítő hitelesítés, fokozott felügyelet.
• Kockázati besorolás a kompenzáló kontrollok előtt és után, a kockázati mátrixhoz igazítva.
• Felelős, vagyis az üzleti oldalon elszámoltatható kockázatgazda.
• Jóváhagyások, beleértve a biztonsági jóváhagyást, a rendszerfelelős jóváhagyását és a vezetői kockázatelfogadást.
• Lejárati dátum és felülvizsgálati gyakoriság, nem határozatlan időre.
• Kilépési terv, ütemtervvel, függőségekkel, mérföldkövekkel és határidőkkel.
• Bizonyítékhivatkozások, konfigurációkra, naplókra, teszteredményekre, beszállítói nyilatkozatokra és változtatás-jóváhagyásokra mutató linkekkel.

David esetében a QuickAcquire-kivétel rejtett kötelezettségből auditálható döntéssé vált, amikor a nyitómegbeszélésen bemutatta a CER-t, átadta a bizonyítékcsomagot, és felajánlotta a mintavételt.

A minimálisan szükséges bizonyítékcsomag kriptográfiai kivételhez

Az auditorok elvárják, hogy a szervezet túllépjen a technikai pillanatképen. Kivételek esetén irányítási és működési bizonyítékokat keresnek. Egy gyakorlatban használható bizonyítékcsomag az alábbiakat tartalmazza:

1. A kitöltött CER jóváhagyásokkal és lejárati dátummal.
2. A kapcsolódó kockázatértékelést és kockázatkezelési döntést.
3. Az érintett rendszer kulcskezelési eljárásait, a kulcsgenerálás, kulcsterjesztés, kulcsrotáció, hozzáférés és megsemmisítés naplóival.
4. A kriptográfiai beállításokra vonatkozó változtatási nyilvántartásokat, valamint olyan tesztbizonyítékokat, amelyek igazolják, hogy a változtatásokat ellenőrizték vagy a korlátokat megerősítették.
5. A kompenzáló kontrollokra vonatkozó felügyeleti és észlelési bizonyítékokat, beleértve a SIEM-szabályokat és riasztásteszteket.
6. Kommunikációs nyilvántartásokat, amelyek igazolják, hogy az érintett munkatársakat tájékoztatták és képezték az eltérésről és a felügyeleti elvárásokról.
7. Időkorlátos kilépési tervet mérföldkövekkel, dátumokkal, adott esetben költségvetéssel és felelősökkel.
8. Szabályzat-felülvizsgálati előzményeket, amelyek igazolják a kriptográfiai alapkövetelmények karbantartását és az algoritmus-életciklus kezelését.

Ezek a bizonyítéktípusok összhangban vannak az ISO/IEC 27002:2022 kriptográfiára és változáskezelésre vonatkozó útmutatásával.

Használja a Zenith Blueprintet a bizonyítékok gyűjtéséhez és bemutatásához

A Zenith Blueprint bizonyítékkezelési módszere egyszerű és auditorbarát: interjú, felülvizsgálat, megfigyelés és mintavétel. Alkalmazza ezt a kivételekre:

• Interjú a rendszerfelelőssel és a biztonsági vezetővel. Miért szükséges a kivétel, mi változott a legutóbbi felülvizsgálat óta, és mi a következő lépés a kilépési tervben.
• Felülvizsgálat a CER-re, a kockázati bejegyzésre, a szabályzati záradékra, valamint a beszállítói vagy partneroldali korlátokra vonatkozóan. Erősítse meg a lejárati és felülvizsgálati dátumokat.
• Megfigyelés a technikai állapotra, vagyis a pontos konfigurációra és arra, hogy hol érvényesül a kivétel, valamint hol alkalmazzák a kompenzáló kontrollokat.
• Mintavétel több kivételből, általában háromból-ötből, a struktúra, jóváhagyások, felülvizsgálatok, naplózás és lejáratkezelés következetességének igazolására.

Gyakorlati példa: örökölt TLS-kivétel auditálhatóvá tétele

Forgatókönyv: Egy bevételkritikus B2B-integráció régebbi TLS-titkosítási csomagot igényel, mert a partneri végpont nem képes egyeztetni az Ön jóváhagyott beállításait. A kapcsolat megszakítása nem járható út.

Négy lépésben tegye auditálhatóvá:

1. Hozza létre a CER-t, és kapcsolja kockázathoz. Állítson be 90 napos lejáratot 30 napos felülvizsgálatokkal, csatolja a partneri levelezést, és kapcsolja egy üzleti oldali felelős által birtokolt kockázati nyilvántartási bejegyzéshez.
2. Válasszon bizonyítékot termelő kompenzáló kontrollokat. Korlátozza a forrás IP-címeket a partneri tartományokra tűzfal-változtatási nyilvántartásokkal. Ha lehetséges, kényszerítse ki a kölcsönös TLS-t, és őrizze meg a tanúsítványkiadási nyilvántartásokat. Növelje a TLS-kézfogási rendellenességek felügyeletét, és őrizze meg a SIEM-szabálydefiníciókat és riasztásteszteket.
3. Igazolja a kulcskezelési fegyelmet. Mutassa be a KMS-hozzáférési naplókat, az RBAC-hozzárendeléseket, a vészhelyzeti hozzáférési bejegyzéseket és az időszakos hozzáférés-felülvizsgálati jegyzőkönyveket. Kisebb programok esetén az alapkövetelményt a Cryptographic Controls Policy-sme kifejezetten rögzíti: A kriptográfiai kulcsokhoz való minden hozzáférést naplózni kell és auditcélú felülvizsgálatra meg kell őrizni, rendszeres hozzáférés-felülvizsgálatokkal együtt.
4. Csomagolja össze a kivételt. Állítson össze egyetlen bizonyítékmappát vagy PDF-et, amely tartalmazza a CER-t, a kockázati bejegyzést, az átjáró konfigurációs pillanatképét, a tűzfal-változtatási jegyeket, a KMS-naplókat, a SIEM-szabályokat és eseménymintákat, a tesztnyilvántartásokat, valamint az üzemeltetésnek küldött kommunikációt.

Kriptográfiai agilitás: annak igazolása, hogy a kivételek tervezetten ideiglenesek

Az ISO/IEC 27002:2022 ösztönzi a kriptográfiai agilitást, vagyis azt a képességet, hogy az algoritmusok és csomagok teljes rendszerek újraépítése nélkül frissíthetők legyenek. Az auditorok az agilitás bizonyítékait keresik, nem ígéreteket:

• Szabályzat-felülvizsgálati ütemezés, amely verziózott változásnaplókkal frissíti az elfogadható algoritmusokat és gyakorlatokat.
• Kriptográfiai frissítési tesztnyilvántartások, amelyek igazolják a biztonságos bevezetési útvonalakat.
• Kommunikáció, amely értesíti a munkatársakat a kriptográfiai változásokról és működési hatásaikról.
• Feladatlistában szereplő elemek, amelyeknél a teljesítési előrehaladás a kivételek lejárati dátumaihoz kapcsolódik.

Amikor a kivételkezelés irányítása találkozik a forenzikával

A kivételek megnehezíthetik a vizsgálatokat, különösen akkor, ha a titkosítás vagy a nem támogatott eszközök akadályozzák a bizonyítékgyűjtést. A Clarysec Bizonyítékgyűjtési és forenzikai szabályzata ezt kifejezett szempontokkal kezeli a nem támogatott vagy titkosított eszközökről szükséges bizonyítékokra vonatkozóan. A KKV-verzió, az Evidence Collection and Forensics Policy-sme, előre számol a gyakorlati hibamódokkal, például azzal, ha a bizonyítékot rendszerösszeomlás vagy sérült adathordozó miatt nem lehet a szabályzat szerint begyűjteni.

Tervezze be ezt a CER-ekbe. Tüntesse fel a lehetséges forenzikus hatást, helyezze letétbe a szükséges kulcsokat, és határozza meg a sürgősségi hozzáférési és naplózási követelményeket.

Több megfelelési keretrendszert átfogó megfeleltetés: egy kivétel, több nézőpont

Szabályozott vagy több keretrendszert alkalmazó környezetekben ugyanazt a kivételt eltérő nézőpontokból vizsgálják. Használja a Zenith Controls útmutatót, hogy a bizonyítékcsomag következetes maradjon.

Hogyan kérdeznek a különböző auditorok, és hogyan válaszoljon

Még egyetlen auditon belül is eltérhetnek a megközelítések. Készüljön fel mindegyikre, és irányítsa a narratívát:

• Az ISO/IEC 27001:2022 auditor megkérdezi, hol található a kriptográfiai szabályzat, hol van definiálva a kivételkezelési folyamat, milyen gyakran vizsgálják felül a kivételeket, és mintát akar venni. Kezdjen a CER-ekkel és egy szabályozott nyilvántartással.
• A NIST-orientált auditor a titkosítási csomagokra vonatkozó alapkövetelményeket, a visszaminősítés elleni védelmet, a kulcsgenerálási és -megsemmisítési eljárásokat, valamint a riasztással kiegészített naplókat keresi. Készítse elő a KMS-naplókat, SIEM-szabályokat és ellenőrző teszteket.
• A COBIT- vagy ISACA-auditor arra összpontosít, ki a kockázat gazdája, ki fogadta el, mi a felülvizsgálati ütemezés, és mely mutatók jelzik a kivételek csökkenését. Hozzon irányító bizottsági jegyzőkönyveket és kivétel-elévülési jelentéseket.
• A szabályozói szemléletű felülvizsgáló azt kérdezi, hogyan érinti a kivétel a kritikus szolgáltatások rendelkezésre állását és sértetlenségét, és nőtt-e a személyes adatok kitettségi kockázata. Mutasson be rezilienciatervezési bizonyítékokat és határozott helyesbítési ütemtervet.

Gyakori hibák, amelyek meg nem felelést eredményeznek

• Lejárati dátum nélküli kivételek, amelyeket az auditor kezeletlen kockázatként értelmez.
• Nincs vezetői kockázatelfogadás, például amikor egy mérnök egy jegyben hagy jóvá valamit elszámoltatható felelősség nélkül.
• Leírt, de bizonyítékokkal alá nem támasztott kompenzáló kontrollok, például SIEM-szabályok nélküli felügyeleti állítások.
• Hiányzó vagy hozzáférhetetlen kulcskezelési naplók.
• A szabályzat mást mond, mint a gyakorlat, például a CER-ek kötelezőek, de nem használják őket.

Auditnapi ellenőrzőlista kriptográfiai kivételekhez

• Egy aktuális nyilvántartás felsorolja az összes kriptográfiai kivételt CER-azonosítóval, felelősökkel, jóváhagyásokkal, felülvizsgálati dátumokkal és lejáratokkal.
• Minden kivétel kapcsolódik kockázati bejegyzéshez és dokumentált kockázatkezelési döntéshez.
• Kivételenként legalább két kompenzáló kontroll áll rendelkezésre, erős bizonyítékokkal.
• A kulcshozzáférés naplózott, a naplókat megőrzik, és hozzáférés-felülvizsgálatokat végeznek.
• A kriptográfiai szabályzat felülvizsgálati előzményei elérhetők, verziózott változásokkal.
• Három vagy több kivételből tud mintát venni, és következetes történetet tud bemutatni.
• Egy ütemterv bemutatja a kivételek időbeli csökkentését.

Beszállítói és partneri korlátok

Sok kivétel a közvetlen kontrollon kívülről ered. A partnerek titkosítási csomagokat írnak elő, a beszállítók késnek az ütemtervekkel, vagy a felvásárolt rendszerek adósságot hordoznak. A külső korlátokat az irányítás részének kell tekinteni, nem mentségnek. Kérjen beszállítói nyilatkozatokat a kriptográfiai ütemtervekről, építsen be szerződéses záradékokat, amelyek kriptográfiai alapkövetelményeket határoznak meg, és rögzítse a külső függőségeket a kockázati nyilvántartásban.

Következő lépések: építse fel kivételkezelési programját egy sprint alatt

1. Leltározza az összes kriptográfiai kivételt, beleértve a peremhálózati szolgáltatásokban rejtett kivételeket is.
2. Hozzon létre vagy utólag alakítson ki CER-eket minden kivételhez jóváhagyásokkal, lejárattal és kilépési tervekkel.
3. Kapcsoljon minden CER-t kockázati nyilvántartási bejegyzéshez, elszámoltatható felelőssel.
4. Állítson össze szabványos kivétel-bizonyítékcsomag sablont, és gyakorolja az auditmintavételt.
5. Ellenőrizze a több keretrendszerre kiterjedő megfelelési felkészültséget a Zenith Controls útmutatóval.

Alakítsa a kriptográfiai kivételek miatti szorongást auditbizalommá. Foglaljon munkamegbeszélést a Clarysec-kel. Egyetlen megbízás keretében bevezetünk egy CER-munkafolyamatot, egy kivételnyilvántartást és egy auditra kész bizonyítékcsomag-struktúrát. Az eredmény: gyorsabb auditok, kevesebb ismétlődő megállapítás, és olyan kriptográfiai kivételek, amelyek improvizáció helyett irányítást igazolnak.