ISO 27001 szerinti hozzáférés-szabályozási auditbizonyítékok útmutatója
Auditnapon 09:10 van. Maria, egy gyorsan növekvő FinTech- és felhőplatform információbiztonsági vezetője, nyitva tartja a hozzáférés-szabályozási szabályzatot. Az informatikai vezető a feltételes hozzáférési beállításokat exportálja az identitásszolgáltatóból. A HR egy hat hete távozott pénzügyi elemző kilépési jegyét keresi. A belső auditor felnéz, és felteszi azt a kérdést, amelyre mindenki számított:
„Mutassa be, hogyan történik a hozzáférés igénylése, jóváhagyása, kikényszerítése, felülvizsgálata és megszüntetése egy olyan felhasználó esetében, aki emelt jogosultságú hozzáféréssel rendelkezik személyes adatokhoz.”
Ez az egyetlen mondat gyorsan megmutatja, hogy a hozzáférés-szabályozási program valóban auditkész-e, vagy csupán szabályzati szinten rendezett.
Maria csapatának érett információbiztonság-irányítási rendszere (IBIR), éves ISO/IEC 27001:2022 újratanúsítási ciklusa, bevezetett többtényezős hitelesítése, az alapvető rendszerekben szerepköralapú hozzáférés-szabályozása és negyedéves hozzáférés-felülvizsgálati táblázatai voltak. Ez az audit azonban más volt. Az auditor bekérési listája tartalmazta a kialakulóban lévő szabályozási követelményekre való felkészültséget is. Maria szervezete számára ez NIS2, DORA és GDPR követelményeket jelentett, mind ugyanazon működési nézőponton keresztül vizsgálva: identitás, hozzáférés, hitelesítés, jogosultság és bizonyíték.
A sok információbiztonsági vezetőt érintő probléma nem az, hogy nincs hozzáférés-szabályozás. A probléma az, hogy a bizonyítékok töredezetten léteznek. A beléptetési jóváhagyások Jira vagy ServiceNow rendszerben találhatók. Az MFA-beállítások Microsoft Entra ID, Okta vagy más identitásszolgáltató rendszerében vannak. Az AWS, Azure és Google Cloud jogosultságai külön konzolokban szerepelnek. A kiemelt jogosultságú műveleteket esetleg egy PAM-eszköz naplózza, vagy egyáltalán nem naplózza. A HR-státusz BambooHR, Workday vagy táblázatok formájában érhető el. A hozzáférés-felülvizsgálatok jóváhagyása e-mailben történhet.
Amikor egy auditor összekapcsolja az IAM, MFA, PAM, belépés-áthelyezés-kilépés események, személyes adatok, felhőadminisztráció és szabályozási elvárások kérdéskörét, a töredezett bizonyítékkészlet gyorsan szétesik.
Az ISO/IEC 27001:2022 szerinti hozzáférés-szabályozási auditok nem pusztán technikai konfigurációs felülvizsgálatok. Ezek az irányítási rendszer működésére irányuló vizsgálatok. Azt ellenőrzik, hogy az identitás- és hozzáférési kockázatok ismertek-e, kezelésük megtörtént-e, a kontrollokat bevezették-e, figyelik-e őket, és folyamatosan fejlesztik-e azokat. Ha a NIS2, DORA és GDPR is releváns, ugyanazon bizonyítékoknak kockázatalapú hozzáférés-irányítást, erős hitelesítést, visszakövethető jóváhagyásokat, időben végrehajtott hozzáférés-visszavonást, jogosultságkorlátozást, személyesadat-védelmet és vezetői elszámoltathatóságot kell igazolniuk.
A gyakorlati válasz nem egy nagyobb iratgyűjtő. A megoldás egyetlen hozzáférés-szabályozási bizonyítékmodell, amely az IBIR alkalmazási területéből és a kockázatokból indul ki, végigvezeti a szabályzati és kontrolltervezési lépéseket, beépül az IAM- és PAM-eszközökbe, és egyértelműen megfeleltethető az ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST és COBIT követelményeinek.
Miért a hozzáférés-szabályozás a szabályozási megfelelés egyik kulcspontja
A hozzáférés-szabályozás igazgatósági és szabályozói szinten is kiemelt témává vált, mert az identitás kompromittálódása ma már gyakori út az üzemzavarhoz, adatsértéshez, csaláshoz és ellátási lánc kitettséghez.
A NIS2 keretében a 2. és 3. cikk az Annex I és Annex II mellékletekkel együtt számos, felsorolt ágazatban működő közepes és nagyobb szervezetet von be a hatály alá alapvető vagy fontos szervezetként. Ide tartoznak a digitális infrastruktúra és az IKT-szolgáltatásmenedzsment szolgáltatói, például a felhőszolgáltatók, adatközpont-szolgáltatók, menedzselt szolgáltatók és menedzselt biztonsági szolgáltatók. A tagállamoknak 2024 októberéig kellett átültetniük a NIS2 irányelvet, és 2024 októberétől kellett alkalmazniuk a nemzeti intézkedéseket; a szervezeti listák határideje 2025 áprilisa. A 20. cikk a vezető testületeket teszi felelőssé a kiberbiztonsági kockázatkezelési intézkedések jóváhagyásáért és a végrehajtás felügyeletéért. A 21. cikk technikai, működési és szervezeti intézkedéseket ír elő, beleértve a hozzáférés-szabályozási szabályzatokat, az eszközkezelést, a kiberhigiéniát, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, valamint adott esetben az MFA-t vagy a folyamatos hitelesítést.
A DORA ágazatspecifikus operatív reziliencia réteget ad a pénzügyi szervezetek és az érintett IKT harmadik fél szolgáltatók számára. Az 1., 2. és 64. cikk a DORA-t egységes keretrendszerként határozza meg, amely 2025. január 17-től alkalmazandó. Az 5. és 6. cikk irányítást és dokumentált IKT-kockázatkezelési keretrendszert ír elő. A 9. cikk a védelemmel és megelőzéssel foglalkozik, beleértve az IKT-biztonsági szabályzatokat, eljárásokat, protokollokat és eszközöket. A 24–30. cikk digitális operatív reziliencia tesztelést és IKT harmadik fél kockázatkezelést ad hozzá. Pénzügyi szervezetek esetében a hozzáférés-szabályozási bizonyíték reziliencia-bizonyítékká válik, nem csupán informatikai adminisztrációs bizonyítékká.
A GDPR a személyes adatok nézőpontját hozza be. A 2. és 3. cikk széles körű alkalmazhatóságot határoz meg az EU-ban végzett adatkezelésre és az EU piacának elérésére. Az 5. cikk sértetlenséget, bizalmasságot és igazolható elszámoltathatóságot ír elő. A 25. cikk beépített és alapértelmezett adatvédelmet követel meg. A 32. cikk megfelelő technikai és szervezési intézkedéseket ír elő. A gyakorlatban ez szabályozott hozzáférést, biztonságos hitelesítést, naplózást, felülvizsgálatot és időben végrehajtott hozzáférésmegszüntetést jelent a személyes adatokat kezelő rendszerek esetében.
Az ISO/IEC 27001:2022 azt az irányítási rendszert adja, amellyel ezek a kötelezettségek egységesíthetők. A 4.1–4.3 szakasz megköveteli, hogy a szervezet megértse a kontextust, az érdekelt feleket, a jogi és szerződéses követelményeket, az interfészeket, a függőségeket és az IBIR alkalmazási területét. A 6.1.1–6.1.3 szakasz információbiztonsági kockázatértékelést, kockázatkezelést, Annex A szerinti összevetést, alkalmazhatósági nyilatkozatot, valamint a kockázatkezelési tervek és a maradványkockázat jóváhagyását írja elő. A 8.1 szakasz operatív kontrollt, a folyamatok tervezett végrehajtását igazoló dokumentált információkat, változáskezelést és a külső szolgáltatásként biztosított folyamatok kontrollját követeli meg.
Az auditkérdés ezért nem az, hogy „Van-e MFA?”. Hanem az, hogy „Tudja-e bizonyítani az alkalmazási területbe tartozó identitások és rendszerek esetében, hogy a hozzáférési kockázat irányított, kezelt, kontrollált, figyelemmel kísért és fejlesztett?”
Építse fel a bizonyítékok gerincét az IBIR alkalmazási területétől az IAM-bizonyítékig
A Clarysec a hozzáférés-szabályozási auditfelkészülést azzal kezdi, hogy a bizonyítékokat visszakövethetővé teszi az üzleti kontextusból. Az ISO/IEC 27001:2022 elvárja, hogy az IBIR beépüljön a szervezeti folyamatokba, és igazodjon a szervezet igényeihez. Egy 30 fős SaaS-beszállítónak és egy multinacionális banknak nem ugyanaz lesz a hozzáférési architektúrája, de mindkettőnek koherens bizonyítékláncra van szüksége.
| Bizonyítékréteg | Mit bizonyít | Tipikus forrásrendszerek | Keresztmegfelelési érték |
|---|---|---|---|
| IBIR alkalmazási területe és érdekelt felek követelményei | Mely rendszerek, adatok, jogszabályok és harmadik fél függőségek tartoznak a hatály alá | IBIR alkalmazási területe, megfelelőségi nyilvántartás, adatnyilvántartás, beszállítói nyilvántartás | Támogatja az ISO/IEC 27001:2022 4.2 és 4.3 szakasz követelményeit, a NIS2 hatálymeghatározását, a DORA IKT-függőségi feltérképezését és a GDPR szerinti elszámoltathatóságot |
| Hozzáférési kockázatértékelés | Miért szükséges az IAM, az MFA, a PAM és a felülvizsgálatok kockázati alapon | Kockázati nyilvántartás, fenyegetési forgatókönyvek, kockázatkezelési terv | Támogatja az ISO/IEC 27001:2022 6.1 szakasz, az ISO/IEC 27005:2022, a DORA IKT-kockázati keretrendszer és a NIS2 kockázati intézkedések követelményeit |
| Szabályzatok és standardok | Mit követel meg a szervezet | Hozzáférés-szabályozási szabályzat, jogosultságkezelési szabályzat, beléptetési és kiléptetési szabályzat | A szabályozási elvárásokat betartható belső szabályokká alakítja |
| IAM- és PAM-konfiguráció | A kontrollok technikailag bevezetésre kerültek-e | IdP, HRIS, ITSM, PAM, felhő IAM, SaaS adminisztrációs konzolok | Bizonyítja a legkisebb jogosultság elvét, az MFA-t, az RBAC-t, a jóváhagyási munkafolyamatokat és az emelt jogosultságú munkamenetek kontrolljait |
| Felülvizsgálati és felügyeleti nyilvántartások | A hozzáférés idővel továbbra is megfelelő-e | Hozzáférés-felülvizsgálati kampányok, SIEM, PAM-naplók, vezetői megfelelőségi nyilatkozatok | Bizonyítja a kontrollok folyamatos működését, a DORA szerinti monitoringot, a NIS2 szerinti kiberhigiéniát és a GDPR szerinti adattakarékosságot |
| Kiléptetési és kivételnyilvántartások | A hozzáférést megszüntették-e, és a kivételek kontrolláltak-e | HR kilépési lista, deaktiválási naplók, kivételnyilvántartás | Bizonyítja az időben végrehajtott hozzáférés-visszavonást, a maradványkockázat elfogadását és az adatsértések megelőzését |
Az ISO/IEC 27005:2022 azért hasznos, mert javasolja a jogi, szabályozási, szerződéses, ágazatspecifikus és belső követelmények közös kockázati kontextusba rendezését. A 6.4 és 6.5 szakasz olyan kockázati kritériumokat hangsúlyoz, amelyek figyelembe veszik a szervezeti célokat, jogszabályokat, beszállítói kapcsolatokat és korlátokat. A 7.1 és 7.2 szakasz eseményalapú és vagyonelem-alapú forgatókönyveket tesz lehetővé. Hozzáférés-szabályozás esetén ez olyan stratégiai forgatókönyvek értékelését jelenti, mint „emelt jogosultságú SaaS-rendszergazda EU-s ügyféladatokat exportál”, valamint olyan vagyonelem-forgatókönyvekét, mint „gazdátlan AWS IAM-kulcs éles tárolóhoz kapcsolva”.
A Clarysec Zenith Blueprint: 30 lépéses auditori ütemterv anyagában ez a bizonyítékgerinc a Controls in Action szakaszban épül fel. A Step 19 a végpont- és hozzáférés-kezelés technológiai kontrolljaira összpontosít, míg a Step 22 a szervezeti hozzáférési életciklust formalizálja.
A Zenith Blueprint előírja a csapatoknak, hogy ellenőrizzék: a hozzáférés létrehozása és megszüntetése strukturált-e, ahol lehetséges, kapcsolódik-e a HR-hez, hozzáférési kérelem munkafolyamatok támogatják-e, és negyedévente felülvizsgálják-e. Arra is utasítja a szervezeteket, hogy dokumentálják az identitástípusokat, érvényesítsék az egyéni, megosztott és szolgáltatásidentitásokra vonatkozó kontrollokat, alkalmazzanak erős jelszószabályokat és MFA-t, szüntessék meg az inaktív fiókokat, valamint tartsanak fenn biztonságos páncéltermi tárolást vagy dokumentációt a szolgáltatási hitelesítő adatokhoz.
Pontosan így tesztelik az auditorok a hozzáférés-szabályozást: egyszerre egy identitás, egy rendszer, egy jóváhagyás, egy jogosultság, egy felülvizsgálat és egy visszavonás mentén.
Mit kell összegyűjteni auditkész hozzáférés-szabályozási bizonyítékként
A hozzáférés-szabályozási bizonyítékcsomagnak lehetővé kell tennie, hogy az auditor bármely felhasználót mintaként kiválasson, és végigkövesse az életciklust: kérelem, jóváhagyás, hozzárendelés, hitelesítés, emelt jogosultság, monitoring, felülvizsgálat és visszavonás.
Egy erős bizonyítékcsomag tartalma:
- Hozzáférés-szabályozási szabályzat és felhasználói fiókokra vonatkozó szabályzat
- Belépés-áthelyezés-kilépés eljárás
- Szerepkörmátrix vagy hozzáférés-szabályozási mátrix
- Az alkalmazási területbe tartozó alkalmazások, platformok és adattárak listája
- Identitásszolgáltatói MFA-konfiguráció
- Feltételes hozzáférési szabályzatok és kivétellista
- Kiemelt jogosultságú fiókok nyilvántartása
- PAM-munkafolyamat bizonyítékai, beleértve a jóváhagyásokat és a munkamenetnaplókat
- Friss hozzáférés-felülvizsgálati kampány eredménye
- Minta vezetői megfelelőségi nyilatkozatok és korrekciós intézkedések
- HR kilépési jelentés deaktiválási naplókkal összevetve
- Szolgáltatásfiókok nyilvántartása, tulajdonosok, rotációs bejegyzések és páncéltermi bizonyíték
- Vészhelyzeti fiókra vonatkozó eljárás és tesztnapló
- Incidens- vagy riasztási bizonyíték sikertelen bejelentkezésekre, jogosultságkiterjesztésre vagy inaktív fiókokra vonatkozóan
- Az alkalmazhatósági nyilatkozat kapcsolódó bejegyzései a hozzáféréssel kapcsolatos Annex A kontrollokhoz
A Clarysec szabályzatai ezt az elvárást egyértelművé teszik. A KKV-k számára készült Hozzáférés-szabályozási szabályzat KKV-k számára követelménye egyszerű és auditközpontú:
„Minden hozzáférés-kiosztásról, módosításról és megszüntetésről biztonságos nyilvántartást kell vezetni.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.1.1. pontjából.
Ugyanez a KKV-szabályzat közvetlenül összekapcsolja az RBAC-t és az MFA-t a szerepköri felelősségekkel:
„Szerepköralapú hozzáférés-szabályozást (RBAC) vezet be, és erős hitelesítést érvényesít (pl. többtényezős hitelesítés (MFA)).”
A „Szerepkörök és felelősségek” szakasz 4.2.3. pontjából.
Nagyobb szervezeteknél a vállalati Beléptetési és kiléptetési szabályzat megköveteli, hogy az IAM-rendszer naplózza a fióklétrehozást, a szerepkör- és jogosultság-hozzárendeléseket, valamint a deaktiválási eseményeket, támogassa a szerepköralapú hozzáférési sablonokat, és integrálódjon a HR-rendszerekkel a belépés-áthelyezés-kilépés kiváltó eseményeihez. Ez a pont egy helyen segít elmondani az audittörténetet: szabványosított beléptetés, HR által kiváltott identitáséletciklus és visszakövethető IAM-események.
Az IAM, MFA, PAM és a felülvizsgálatok megfeleltetése az ISO/IEC 27001:2022 kontrolloknak
A Clarysec Zenith Controls: keresztmegfelelési útmutató a hozzáférés-szabályozást összekapcsolt kontrollcsaládként kezeli, nem ellenőrzőlistás tételként. Az ISO/IEC 27001:2022 szempontjából a legfontosabb kontrollok:
- Control 5.15, Hozzáférés-szabályozás
- Control 5.16, Identitáskezelés
- Control 5.17, Hitelesítési információk
- Control 5.18, Hozzáférési jogosultságok
- Control 8.2, Emelt jogosultságú hozzáférési jogosultságok
- Control 8.3, Információ-hozzáférési korlátozás
- Control 8.5, Biztonságos hitelesítés
- Control 8.15, Naplózás
- Control 8.16, Tevékenységek monitoringja
A hitelesítési információk esetében a Zenith Controls az 5.17 kontrollt megelőző kontrollként térképezi fel, amely támogatja a bizalmasságot, sértetlenséget és rendelkezésre állást, és amelynek működési képessége az Identity and Access Management (IAM). Közvetlenül kapcsolódik az identitáskezeléshez, a biztonságos hitelesítéshez, a szerepkörökhöz és felelősségekhez, az elfogadható használathoz, valamint a szabályzatoknak és standardoknak való megfeleléshez. A hitelesítő adatok biztonsága magában foglalja a hitelesítők életciklusát, biztonságos kiadását, tárolását, visszaállítását, visszavonását, az MFA-tokeneket, a privát kulcsokat és a szolgáltatási hitelesítő adatokat.
A hozzáférési jogosultságok esetében a Zenith Controls az 5.18 kontrollt a formális jogosultságadásra, felülvizsgálatra, módosításra és visszavonásra térképezi fel. Kapcsolódik a hozzáférés-szabályozáshoz, az identitáskezeléshez, a feladatkörök szétválasztásához, az emelt jogosultságú hozzáférési jogosultságokhoz és a megfelelés nyomon követéséhez. Ez az a kontroll, amely a legkisebb jogosultság elvét bizonyítékká alakítja.
Az emelt jogosultságú hozzáférési jogosultságok esetében a Zenith Controls a 8.2 kontrollt az emelt fiókok speciális kockázatára térképezi fel, beleértve a domain rendszergazdákat, root felhasználókat, felhőtenant-adminokat, adatbázis-superusereket és CI/CD-vezérlőket. Az útmutató az emelt jogosultságú hozzáférést összekapcsolja az identitáskezeléssel, a hozzáférési jogosultságokkal, az információ-hozzáférés korlátozásával, a biztonságos hitelesítéssel, a távmunkával, a naplózással és a monitoringgal.
| Audit téma | ISO/IEC 27001:2022 hozzáférési bizonyíték | NIS2 megfeleltetés | DORA megfeleltetés | GDPR megfeleltetés |
|---|---|---|---|---|
| IAM-életciklus | Belépés-áthelyezés-kilépés munkafolyamat, hozzáférési kérelmek, jóváhagyások, szerepkörsablonok, deaktiválási naplók | 21. cikk szerinti kockázatkezelési intézkedések, hozzáférés-szabályozási szabályzatok és eszközkezelés | 5., 6. és 9. cikk szerinti irányítás, IKT-kockázati keretrendszer, logikai biztonság és hozzáférés-szabályozás | 5., 25. és 32. cikk szerinti elszámoltathatóság, adattakarékosság és biztonság |
| MFA | IdP-szabályzat, feltételes hozzáférési képernyőképek, MFA-regisztrációs statisztikák, kivétel-jóváhagyások | 21(2)(j) cikk szerinti MFA vagy folyamatos hitelesítés, ahol indokolt | Biztonságos hozzáférés kritikus IKT-rendszerekhez és IKT-kockázati kontrollok | Megfelelő technikai intézkedések a jogosulatlan hozzáférés ellen |
| PAM | Kiemelt jogosultságú fiókok nyilvántartása, jóváhagyások, JIT jogosultságemelés, munkamenetnaplók, páncéltermi rotáció | 21(2)(i) cikk szerinti kockázatalapú hozzáférés-szabályozás és eszközkezelés | IKT-rendszerek védelme, operatív reziliencia és monitoring | A személyes adatokhoz való emelt jogosultságú hozzáférés korlátozása és auditja |
| Hozzáférés-felülvizsgálatok | Negyedéves vagy féléves felülvizsgálati bejegyzések, vezetői megfelelőségi nyilatkozatok, helyesbítő jegyek | Kiberhigiénia, hozzáférés-szabályozási szabályzatok és eszközkezelés | Folyamatos monitoring, szerepköralapú hozzáférés és visszavonás | Alapértelmezett adatvédelem és igazolható elszámoltathatóság |
| Kiléptetés | HR kilépési lista, fiókzárolási vagy törlési bizonyíték, token-visszavonás | A szükségtelen hozzáférés időben történő megszüntetése | IKT-hozzáférés kontrollja a teljes életciklus során | Jogosulatlan személyesadat-hozzáférés megelőzése |
Egyetlen jól kialakított hozzáférés-felülvizsgálati jelentés is támogathatja az ISO/IEC 27001:2022, NIS2, DORA és GDPR követelményeket, ha tartalmazza az alkalmazási területet, a rendszergazdát, a felülvizsgálót, a fióklistát, a szerepköri indoklást, az emelt jogosultság jelölését, a döntéseket, az eltávolításokat, a kivételeket és a teljesítési dátumot.
Az MFA-bizonyíték több mint egy képernyőkép
Gyakori audithiba, ha a szervezet egy olyan képernyőképet mutat be, amely szerint „MFA engedélyezve”. Az auditoroknak ennél többre van szükségük. Tudniuk kell, hol alkalmazandó az MFA, kik vannak kizárva, hogyan hagyják jóvá a kivételeket, lefedi-e az emelt jogosultságú fiókokat, és a technikai konfiguráció megfelel-e a szabályzatnak.
A Zenith Blueprint Controls in Action szakaszának Step 19 lépése alapján az auditorok megkérdezik, hogyan érvényesülnek a jelszó- és MFA-szabályzatok, mely rendszerek védettek, kire vonatkozik az MFA, és tesztelhetők-e a kritikus alkalmazások egy mintafiókkal. A bizonyítékok közé tartozhat az IdP-konfiguráció, a feltételes hozzáférési szabályzatok, az MFA-regisztrációs statisztikák és a jelszó-visszaállítási eljárások.
Vállalati környezetek esetén a Clarysec Felhasználói fiók- és jogosultságkezelési szabályzat kimondja:
„Ahol technikailag megvalósítható, a többtényezős hitelesítés (MFA) kötelező: 6.3.2.1 Adminisztratív és root szintű fiókoknál 6.3.2.2 Távoli hozzáférésnél (VPN, felhőplatformok) 6.3.2.3 Érzékeny vagy szabályozott adatokhoz való hozzáférésnél”
A „A szabályzat végrehajtásának követelményei” szakasz 6.3.2. pontjából.
Ez közvetlen auditkapcsolatot teremt. Ha az MFA kötelező az adminisztrátori fiókokra, a távoli hozzáférésre és a szabályozott adatokra, a bizonyítékcsomagnak tartalmaznia kell az adminisztratív és root szintű fióklistákat, a távoli hozzáférés konfigurációját, a felhőplatformok feltételes hozzáférési szabályzatait, az érzékeny adatokat kezelő alkalmazások listáját, az MFA-regisztrációs jelentéseket, a kivétel-jóváhagyásokat, a kompenzáló kontrollokat, valamint a sikertelen bejelentkezésekre vagy MFA-megkerülési kísérletekre vonatkozó friss riasztások felülvizsgálati bizonyítékait.
A NIST SP 800-53 Rev. 5 esetében ez összhangban van az IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access és AU-2 Event Logging követelményekkel. COBIT 2019 esetén támogatja a DSS05.04 Manage user identity and logical access kontrollt és a kapcsolódó biztonságfelügyeleti gyakorlatokat.
A támogató ISO szabványok tágabb képet adnak. Az ISO/IEC 27018:2020 kiterjeszti a hitelesítési elvárásokat a személyes adatokat kezelő nyilvános felhőre. Az ISO/IEC 24760-1:2019 támogatja a hitelesítőkhöz kötést és az életciklus-kezelést. Az ISO/IEC 29115:2013 hitelesítési bizonyossági szinteket vezet be, ami hasznos annak eldöntéséhez, hol szükséges hardveres token vagy adathalászattal szemben ellenálló MFA. Az ISO/IEC 27033-1:2015 támogatja az erős hálózati hitelesítést távoli vagy hálózatközi hozzáférés esetén.
A PAM-bizonyíték a leggyorsabb út egy jelentős megállapításhoz vagy egy tiszta audithoz
Az emelt jogosultságú hozzáférés az a terület, ahol az auditorok különösen szkeptikussá válnak, mert az emelt jogosultságú fiókok megkerülhetik a kontrollokat, adatokat nyerhetnek ki, perzisztenciát hozhatnak létre és módosíthatják a naplókat. A Zenith Blueprint Step 19 lépése kimondja:
„Bármely információs rendszerben az emelt jogosultságú hozzáférés hatalom, és ezzel a hatalommal kockázat jár.”
Az iránymutatás arra összpontosít, hogy ki rendelkezik emelt jogosultságú hozzáféréssel, az mire jogosít, hogyan kezelik, és hogyan figyelik idővel. Naprakész nyilvántartást, a legkisebb jogosultság elvét, RBAC-t, időalapú vagy just-in-time jogosultságemelést, jóváhagyási munkafolyamatokat, egyedi névre szóló fiókokat, a megosztott fiókok kerülését, vészhelyzeti fiókok naplózását, PAM-rendszereket, hitelesítő adatok rotációját, páncéltermi tárolást, munkamenetrögzítést, ideiglenes jogosultságemelést, monitoringot és rendszeres felülvizsgálatot javasol.
A Clarysec vállalati Hozzáférés-szabályozási szabályzat ezt kontrollkövetelménnyé alakítja:
„Az adminisztratív hozzáférést szigorúan kontrollálni kell az alábbiakkal: 5.4.1.1 Külön emelt jogosultságú fiókok 5.4.1.2 Munkamenetek megfigyelése és rögzítése 5.4.1.3 Többtényezős hitelesítés 5.4.1.4 Időkorlátos vagy munkafolyamat által kiváltott jogosultságemelés”
Az „Irányítási követelmények” szakasz 5.4.1. pontjából.
Ez az idézet szinte audit-tesztszkript. Ha a szabályzat külön adminisztrátori fiókokat ír elő, mutassa be a kiemelt jogosultságú fiókok listáját, és bizonyítsa, hogy mindegyik egy névre szóló személyhez kapcsolódik. Ha munkamenet-megfigyelést ír elő, mutassa be a rögzített munkameneteket vagy PAM-naplókat. Ha MFA-t ír elő, mutassa be annak kikényszerítését minden emelt jogosultságú hozzáférési útvonalon. Ha időkorlátos jogosultságemelést ír elő, mutassa be a lejárati időbélyegeket és a jóváhagyási jegyeket.
A KKV-verzió ugyanilyen közvetlen. A Felhasználói fiók- és jogosultságkezelési szabályzat KKV-k számára kimondja:
„Az emelt vagy adminisztratív jogosultságok további jóváhagyást igényelnek az ügyvezetőtől vagy az informatikai vezetőtől, és azokat dokumentálni kell, időkorláthoz kell kötni, valamint időszakos felülvizsgálat alá kell vonni.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.2.2. pontjából.
Kisebb szervezeteknél gyakran ez jelenti a különbséget aközött, hogy „megbízunk az adminunkban”, illetve „kontrolláljuk a kiemelt jogosultságú kockázatot”. Az auditor nem követel meg minden KKV-tól vállalati szintű eszközrendszert, de a kockázattal arányos bizonyítékot igen. Korlátozott hatály és alacsonyabb kockázat esetén elegendő lehet egy jegy, jóváhagyás, ideiglenes csoport-hozzárendelés, MFA-kikényszerítés és felülvizsgálati bejegyzés.
A hozzáférés-felülvizsgálatok bizonyítják, hogy a legkisebb jogosultság elve működik
A hozzáférés-felülvizsgálatok megmutatják, hogy a jogosultságok csendben felhalmozódnak-e. Azt is megmutatják, hogy a vezetők értik-e, milyen hozzáférésekkel rendelkeznek ténylegesen a csapataik.
A vállalati Felhasználói fiók- és jogosultságkezelési szabályzat előírja:
„Az információbiztonsági terület köteles negyedévente, a részlegvezetőkkel együttműködésben felülvizsgálni valamennyi felhasználói fiókot és a hozzájuk kapcsolódó jogosultságokat.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.5.1. pontjából.
KKV-k esetében a Felhasználói fiók- és jogosultságkezelési szabályzat KKV-k számára arányos gyakoriságot határoz meg:
„Valamennyi felhasználói fiók és jogosultság felülvizsgálatát hat havonta el kell végezni.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.4.1. pontjából.
Egy hiteles hozzáférés-felülvizsgálat tartalmazza a rendszer nevét, a hatályt, a felülvizsgáló nevét, az exportálás dátumát, a felülvizsgálat dátumát, az identitás tulajdonosát, a szervezeti egységet, a vezetőt, a foglalkoztatási státuszt, a szerepkört vagy jogosultságot, az emelt jogosultság jelölését, az adatérzékenységi jelölést, a döntést, a helyesbítő jegyet, a lezárás dátumát, a kivételgazdát és a kivétel lejárati dátumát.
A Zenith Controls esetében az 5.18 hozzáférési jogosultságok kontrollnál válik ez keresztmegfelelési bizonyítékká. Az útmutató a hozzáférési jogosultságokat a GDPR 25. cikk rendelkezéshez térképezi, mert a hozzáférést beépített és alapértelmezett módon korlátozni kell. A NIS2 21(2)(i) cikk rendelkezéshez is kapcsolja, mert a hozzáférés-szabályozási szabályzatok és az eszközkezelés kockázatalapú hozzárendelést, a szükségtelen hozzáférés időben történő megszüntetését és formális visszavonást követelnek meg. A DORA-hoz is kapcsolódik, mert a pénzügyi IKT-rendszereknek szerepköralapú hozzáférésre, monitoringra és visszavonási folyamatokra van szükségük.
A NIST-orientált auditorok ezt gyakran az AC-2 Account Management, AC-5 Separation of Duties és AC-6 Least Privilege kontrollokon keresztül tesztelik. A COBIT 2019 auditorok a DSS05.04 Manage user identity and logical access és a DSS06.03 Manage roles, responsibilities, access privileges and levels of authority gyakorlatokra tekintenek. Az ISACA ITAF auditorok arra összpontosítanak, hogy a bizonyíték elégséges, megbízható és teljes-e.
A kiléptetés és a token-visszavonás könnyen mintázható
A kilépők az egyik legegyszerűbb területet jelentik annak bizonyítására, hogy az életciklus működik-e. Az auditorok gyakran kiválasztanak egy nemrég megszűnt munkaviszonyú munkavállalót, és bekérik a HR kilépési nyilvántartást, a jegyet, a fiókletiltási naplót, a SaaS-deaktiválási bizonyítékot, a VPN eltávolítását, az MFA visszavonását, az API-token eltávolítását és az eszközvisszaadást.
A Beléptetési és kiléptetési szabályzat KKV-k számára dokumentumban a Clarysec kimondja:
„A megszüntetett fiókokat zárolni vagy törölni kell, és a kapcsolódó hozzáférési tokeneket vissza kell vonni, beleértve a távoli hozzáférést (VPN), az MFA-alkalmazáskötéseket és az API-tokeneket.”
A „A szabályzat végrehajtásának követelményei” szakasz 6.3.3. pontjából.
Ez azért fontos, mert a modern hozzáférés nem csupán felhasználónév és jelszó. A hozzáférés fennmaradhat frissítési tokeneken, API-kulcsokon, SSH-kulcsokon, OAuth-engedélyeken, szolgáltatásfiókokon, helyi adminjogokon, mobil munkameneteken és harmadik fél portálokon keresztül. Egy deaktivált HR-bejegyzés token-visszavonás nélkül hiányos bizonyíték.
A Zenith Blueprint Controls in Action szakaszának Step 16 lépése arra készíti fel a szervezeteket, hogy rendelkezzenek dokumentált kilépési ellenőrzőlistával, egy nemrég távozott munkavállalóra vonatkozó bizonyítékokkal, AD-ből vagy MDM-ből származó felhasználói fiókletiltási naplóval, aláírt eszköz-visszaszolgáltatási űrlappal és olyan kiléptetési dokumentációval, amely tartalmazza a titoktartási kötelezettségeket.
Maria auditorja egy távozó senior fejlesztőt kért, aki emelt jogosultságú hozzáféréssel rendelkezett éles adatbázisokhoz. A csapat bemutatta a Beléptetési és kiléptetési szabályzat KKV-k számára dokumentumot, a Zenith Blueprint Step 16 alapján felépített kilépési ellenőrzőlistát, a HR által kiváltott ITSM-jegyet, a címtárletiltási naplót, a VPN-tanúsítvány visszavonását, a GitHub-szervezetből való eltávolítást, az AWS IAM-kulcs törlését és az informatikai vezető által aláírt lezárt ellenőrző jegyet. A bizonyíték teljes, időszerű és közvetlenül a szabályzathoz kapcsolt volt.
Futtasson hárommintás bizonyíték-sprintet, mielőtt az auditor teszi meg
Gyakorlati felkészültségi gyakorlatként az audit előtt válasszon ki három mintát:
- Egy új munkavállalót, aki az elmúlt 90 napban lépett be
- Egy emelt jogosultságú felhasználót, aki adminisztrátori hozzáféréssel rendelkezik felhőhöz, adatbázishoz, éles környezethez vagy IAM-hez
- Egy kilépőt vagy szerepkört váltott munkavállalót az elmúlt 90 napból
| Minta | Összegyűjtendő bizonyíték | Megfelelési feltétel | Gyakori megállapítás |
|---|---|---|---|
| Új munkavállaló | HR belépési bejegyzés, hozzáférési kérelem, jóváhagyás, szerepkör-hozzárendelés, MFA-regisztráció, első bejelentkezés | A hozzáférést csak jóváhagyás után, a szerepkörrel összhangban adták meg | A hozzáférést jóváhagyás előtt adták meg, vagy a szerepkör túl széles |
| Emelt jogosultságú felhasználó | Üzleti indoklás, külön adminisztrátori fiók, MFA-bizonyíték, PAM-jóváhagyás, munkamenetnapló, negyedéves felülvizsgálat | A jogosultság névre szóló, indokolt, ahol lehetséges időkorlátos, monitorozott és felülvizsgált | Megosztott adminfiók, hiányzó MFA, nincs munkamenet-bizonyíték |
| Kilépő vagy áthelyezett munkavállaló | HR-esemény, kilépési vagy szerepkörváltási jegy, deaktiválási naplók, VPN eltávolítása, MFA- vagy API-token visszavonása, felülvizsgálat lezárása | A hozzáférést időben és teljeskörűen megszüntették | A SaaS-fiók még aktív, az API-token nincs visszavonva, régi csoporttagság megmaradt |
Ezután kapcsolja össze az egyes mintákat az IBIR nyilvántartásaival: kockázati forgatókönyv, kockázatkezelési döntés, alkalmazhatósági nyilatkozat kontrollkiválasztása, szabályzati pont, technikai konfiguráció, felülvizsgálati bejegyzés és helyesbítő intézkedés, ha hiányosság merül fel.
Így az auditfelkészülés dokumentumgyűjtésből kontroll-ellenőrzéssé válik.
Készüljön fel a különböző auditori nézőpontokra
A különböző auditori háttér eltérő kérdéseket eredményez, még akkor is, ha a bizonyíték ugyanaz.
| Auditori nézőpont | Elsődleges fókusz | Várt bizonyíték |
|---|---|---|
| ISO/IEC 27001:2022 auditor | IBIR-folyamat, kockázatkezelés és kontrollműködés | Kockázatértékelés, SoA, jóváhagyott szabályzatok, hozzáférési kérelmek, felülvizsgálati bejegyzések, deaktiválási naplók |
| ISO/IEC 19011:2018 auditgyakorlat | Mintavétel, megerősítés és következetesség | Jelszóbeállítások, zárolási küszöbértékek, jóváhagyási időbélyegek, teljesítési bejegyzések, interjúk |
| ISO/IEC 27007:2020 IBIR-auditor | IBIR-audit végrehajtása és eredményessége | Szerepkör-definíciók összevetése a tényleges jogosultságokkal, emelt jogosultságú jóváhagyási auditnyomok, visszavonási naplók |
| NIST-fókuszú értékelő | Technikai bevezetés és kontrolltesztelés | AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 és AU-2 bizonyítékok IAM-, PAM- és SIEM-eszközökből |
| COBIT 2019 vagy ISACA auditor | Irányítás, tulajdonosi felelősség és bizonyítékmegbízhatóság | DSS05.04 és DSS06.03 folyamatbizonyítékok, mutatók, kivételek, helyesbítő intézkedések nyomon követése |
| DORA-felülvizsgáló | IKT-kockázat, reziliencia és kritikusság | Kritikus rendszerek hozzáférési listái, emelt jogosultságú hozzáférések monitoringja, harmadik fél adminisztrátori kontrolljai, rezilienciatesztelési kapcsolódások |
| NIS2-felülvizsgáló | Vezetői elszámoltathatóság és kockázati intézkedések | Igazgatósági felügyelet, 21. cikk szerinti hozzáférés-szabályozási intézkedések, MFA-lefedettség, incidenskezelési felkészültség |
| GDPR-felülvizsgáló | Személyes adatok bizalmassága és elszámoltathatóság | Személyes adatokhoz való hozzáférési korlátozások, 25. cikk szerinti alapértelmezett adatvédelmi bizonyítékok, 32. cikk szerinti biztonsági intézkedések |
Az olyan bizonyítékkészlet előkészítése, amely mindezeket a nézőpontokat kielégíti, érett megfelelőségi programot mutat, és csökkenti a párhuzamos munkát.
Gyakori megállapítások és megelőző intézkedések
A hozzáférés-szabályozási megállapítások előre jelezhetők. A megelőző intézkedések is.
| Megállapítás | Miért fontos | Megelőzés |
|---|---|---|
| Vannak hozzáférés-felülvizsgálatok, de az emelt jogosultságú fiókok kimaradnak | Az adminjogok jelentik a legnagyobb hatású kockázatot | Minden felülvizsgálatban szerepeljen emelt jogosultsági jelölés, PAM-bejegyzések és admincsoportok |
| Az MFA engedélyezett a munkavállalóknak, de nem a service desk, a vállalkozók vagy a felhőadminok számára | A támadók a kivételeket célozzák | Tartson fenn MFA-lefedettségi jelentést és lejárati dátumokkal ellátott kivételnyilvántartást |
| A beléptetési folyamat dokumentált, de az áthelyezések nincsenek kezelve | A jogosultsághalmozódás szerepkörváltás után alakul ki | Minden szervezeti egység- vagy szerepkörváltozás indítson hozzáférés-felülvizsgálatot |
| Megosztott adminfiókok léteznek kompenzáló kontrollok nélkül | Az elszámoltathatóság gyenge | Cserélje le őket névre szóló adminfiókokra, vagy kényszerítse ki a páncéltermi kivételt és a munkamenetnaplózást |
| A kilépők a címtárban le vannak tiltva, de SaaS-platformokon aktívak maradnak | A hozzáférés a központi IdP-n kívül fennmarad | Tartson fenn alkalmazásnyilvántartást és minden rendszerre kiterjedő kiléptetési ellenőrzőlistát |
| A szolgáltatásfiókok jelszavai ismeretlenek vagy soha nem rotálódnak | A nem emberi identitások rejtett hátsó kapukká válnak | Rendeljen hozzá tulajdonosokat, tárolja páncélteremben a titkos adatokat, rotálja a hitelesítő adatokat és vizsgálja felül a használati naplókat |
| A szabályzat negyedéves felülvizsgálatot ír elő, de a bizonyíték éves felülvizsgálatot mutat | A szabályzat és a gyakorlat eltér | Igazítsa a gyakoriságot kockázat alapján, vagy érvényesítse a dokumentált követelményt |
| A hozzáférési jóváhagyások e-mailben vannak, megőrzési szabály nélkül | Az auditnyom sérülékeny | Használjon ITSM-munkafolyamatokat és a szabályzathoz igazított megőrzést |
A vállalati Hozzáférés-szabályozási szabályzat olyan megőrzési követelményt ad hozzá, amely megelőzi az egyik leggyakoribb bizonyítékhibát:
„A jóváhagyási döntéseket auditcélból naplózni és legalább 2 évig meg kell őrizni.”
Az „Irányítási követelmények” szakasz 5.3.2. pontjából.
Ha a jóváhagyások eltűnnek az e-mail-tisztítás után, a kontroll ugyan működhetett, de az audit nem támaszkodhat rá. A megőrzés a kontrolltervezés része.
A vezetői elszámoltathatósághoz hozzáférési mutatók szükségesek
A NIS2 20. cikk és a DORA 5. és 6. cikk vezetői kérdéssé teszi a hozzáférés-szabályozást, mert az identitás kompromittálódása üzemzavarrá, szabályozott jelentéstétellé, adatsértéssé és ügyfélkárrá válhat. Az ISO/IEC 27001:2022 5.1–5.3 szakasz azt is megköveteli a felső vezetéstől, hogy az IBIR-t összehangolja az üzleti stratégiával, erőforrásokat biztosítson, kommunikálja annak fontosságát, felelősségeket jelöljön ki és előmozdítsa a folyamatos fejlesztést.
Hasznos hozzáférés-szabályozási mutatók:
- Az SSO-val lefedett kritikus rendszerek aránya
- Az MFA-val védett emelt jogosultságú fiókok aránya
- Az állandó emelt jogosultságú fiókok száma a JIT-fiókokhoz képest
- Hozzáférés-felülvizsgálatok teljesítési aránya
- Visszavont túlzott jogosultságok száma
- Kilépők deaktiválási SLA-megfelelése
- Inaktív fiókok száma
- Szolgáltatásfiók-tulajdonosi lefedettség
- PAM-munkamenetrögzítési lefedettség
- MFA-kivételek száma és életkora
Ezek a mutatók segítik a vezetést a kockázatkezelés jóváhagyásában és a felügyelet igazolásában. Az auditokat is hitelesebbé teszik, mert a szervezet be tudja mutatni, hogy a hozzáférés-szabályozást élő kockázatként figyeli, nem pedig minden audit előtt fedezi fel újra.
Alakítsa a szétszórt bizonyítékokat auditori bizalommá
Ha az ISO/IEC 27001:2022 hozzáférés-szabályozási bizonyítékai HR-, ITSM-, IAM-, PAM-rendszerekben, felhőkonzolokban és táblázatokban szétszórva találhatók, a következő lépés nem egy újabb szabályzatátírás. A következő lépés a bizonyítékarchitektúra.
Kezdje ezzel a sorrenddel:
- Határozza meg az alkalmazási területbe tartozó rendszereket, identitásokat és adatokat.
- Térképezze a NIS2, DORA, GDPR és szerződéses követelményeket az IBIR kontextusába.
- Használjon ISO/IEC 27005:2022 jellegű kockázati forgatókönyveket az IAM, MFA, PAM és hozzáférés-felülvizsgálatok priorizálásához.
- Frissítse az alkalmazhatósági nyilatkozatot és a kockázatkezelési tervet.
- Hangolja össze a szabályzati pontokat a tényleges IAM- és PAM-munkafolyamatokkal.
- Futtassa le a hárommintás bizonyíték-sprintet.
- Javítsa ki a hiányosságokat, mielőtt az auditor találja meg őket.
- Tartson fenn újrahasznosítható bizonyítékcsomagot tanúsításhoz, ügyfél-átvilágításhoz és szabályozói felülvizsgálatokhoz.
A Clarysec segíthet ennek bevezetésében a Zenith Blueprint: 30 lépéses auditori ütemterv segítségével, a követelmények keresztmegfeleltetésében a Zenith Controls: keresztmegfelelési útmutató használatával, valamint a követelmények működési alkalmazásában a megfelelő Clarysec szabályzatkészlettel, beleértve a Hozzáférés-szabályozási szabályzat, a Felhasználói fiók- és jogosultságkezelési szabályzat és a Beléptetési és kiléptetési szabályzat dokumentumokat.
A hozzáférés-szabályozás auditkészsége nem annak bizonyításáról szól, hogy a szervezet vásárolt egy IAM-eszközt. Arról szól, hogy bizonyítható legyen: az identitás-, hitelesítési, jogosultság- és felülvizsgálati folyamatok csökkentik a valós üzleti kockázatot, és megfelelnek a szervezet számára releváns szabványoknak és jogszabályoknak.
Töltse le a Clarysec eszközkészleteket, futtassa le a hárommintás bizonyíték-sprintet, és alakítsa hozzáférés-szabályozási bizonyítékait szétszórt halmazból világos, megismételhető és igazolható auditportfólióvá.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
