Prieigos kontrolė ir daugiaveiksnis autentifikavimas MVĮ: ISO 27001:2022 A.8.2, A.8.3 ir GDPR tvarkymo saugumas

MVĮ patiria didesnę riziką dėl netinkamos prieigos kontrolės ir silpno autentifikavimo. Šiame vadove parodoma, kaip suderinti prieigos kontrolę ir MFA su ISO 27001:2022 (A.8.2, A.8.3) ir GDPR, kad prie jautrių duomenų bei sistemų galėtų prieiti tik tam teisę turintys asmenys, būtų mažinama saugumo pažeidimų rizika ir pagrindžiama atitiktis.

Kokia rizika

MVĮ prieigos kontrolė ir autentifikavimas yra pagrindinės priemonės, padedančios išvengti duomenų saugumo pažeidimų, veiklos sutrikimų ir reguliavimo sankcijų. Kai prieiga valdoma netinkamai, rizika neapsiriboja tiesioginiais finansiniais nuostoliais; ji apima reputacijos žalą, veiklos prastovas ir reikšmingą teisinę riziką. ISO 27001:2022, ypač kontrolės priemonės A.8.2 (privilegijuotosios prieigos teisės) ir A.8.3 (informacijos prieigos ribojimas), reikalauja, kad organizacijos griežtai valdytų, kas ir prie ko gali jungtis, ypatingą dėmesį skirdamos paskyroms su padidintomis privilegijomis. GDPR 32 straipsnyje nustatyti papildomi reikalavimai: turi būti įdiegtos techninės ir organizacinės priemonės (TOM), tokios kaip patikimi prieigos apribojimai ir saugus autentifikavimas, kad asmens duomenys būtų prieinami tik autorizuotiems asmenims.

Silpnos prieigos kontrolės poveikis veiklai matomas realiuose incidentuose: viena kompromituota administratoriaus paskyra gali lemti visišką sistemų kompromitavimą, duomenų eksfiltraciją ir priežiūros institucijų tyrimus. Pavyzdžiui, MVĮ, naudojanti debesijos platformas be MFA administratoriaus paskyroms, po sukčiavimo apsimetant atakos gali netekti prieigos prie savo sistemų, o klientų duomenys gali būti atskleisti ir veiklos procesai paralyžiuoti. Reguliavimo institucijos, pavyzdžiui, GDPR priežiūros institucijos, tikisi aiškių įrodymų, kad prieigos kontrolės priemonės yra ne tik apibrėžtos, bet ir taikomos bei reguliariai peržiūrimos.

Rizika dar labiau padidėja, kai MVĮ remiasi išorės kūrėjais arba trečiųjų šalių IT paslaugų teikėjais. Be griežtos prieigos valdysenos išorės šalys gali išsaugoti nebūtiną prieigą ir sukurti nuolatinius pažeidžiamumus. MVĮ, kurios tvarko arba saugo asmens duomenis, nesvarbu, ar tai klientų įrašai, personalo dokumentai, ar klientų projektų duomenys, turi gebėti pagrįsti, kad prieiga griežtai ribojama tik teisėtą poreikį turintiems asmenims, o privilegijuotosioms paskyroms taikomos sustiprintos saugumo priemonės, tokios kaip MFA. To neužtikrinus gali būti skirtos baudos, prarastos sutartys ir negrįžtamai pakenkta klientų pasitikėjimui.

Apsvarstykime scenarijų, kai nedidelė konsultacijų įmonė programinės įrangos kūrimą perduoda išorės tiekėjui. Jei privilegijuotoji prieiga prie produkcinių sistemų nėra griežtai kontroliuojama ir reguliariai peržiūrima, išeinantis rangovas gali išsaugoti prieigą ir sukelti riziką jautriems klientų duomenims. Įvykus pažeidimui, tiek ISO 27001, tiek GDPR reikalauja, kad MVĮ parodytų turėjusi tinkamas kontrolės priemones, tokias kaip unikalios tapatybės, vaidmenimis grindžiami leidimai ir stiprus autentifikavimas. Be to organizacija susiduria ne tik su techniniu atkūrimu, bet ir su teisinėmis bei reputacinėmis pasekmėmis.

Kaip atrodo tinkama praktika

Brandžioje MVĮ prieigos kontrolės aplinkoje prieigos teisės skiriamos aiškiai ir rizika grindžiamu pagrindu, naudojamas patikimas autentifikavimas, įskaitant MFA jautrioms paskyroms, o prieigos turėtojai reguliariai peržiūrimi. ISO 27001:2022 A.8.2 ir A.8.3 nustato lūkestį, kad privilegijuotosios paskyros būtų griežtai valdomos, o prieiga prie informacijos būtų suteikiama tik tiems, kuriems jos iš tiesų reikia. GDPR 32 straipsnyje reikalaujama, kad šios kontrolės priemonės būtų ne tik dokumentuotos, bet ir veiktų praktiškai; tai pagrindžiama audito pėdsakais, naudotojų prieigos peržiūromis ir politikų vykdymo įrodymais.

Sėkmė reiškia, kad šie rezultatai yra matomi ir įrodomi:

• Vaidmenimis grindžiama prieigos kontrolė (RBAC): prieiga prie sistemų ir duomenų suteikiama pagal pareiginius vaidmenis, o ne pagal ad hoc prašymus. Taip užtikrinama, kad naudotojai gautų tik tiek prieigos, kiek būtina jų pareigoms atlikti, ir nieko daugiau.
• Privilegijuotosios prieigos valdymas: paskyrų su administratoriaus arba padidintais leidimais skaičius mažinamas, jos griežtai kontroliuojamos ir joms taikomos papildomos apsaugos priemonės, tokios kaip MFA ir sustiprinta stebėsena.
• MFA ten, kur ji svarbiausia: daugiaveiksnis autentifikavimas taikomas visoms didelės rizikos paskyroms, ypač nuotolinei prieigai, debesijos administravimo konsolėms ir sistemoms, kuriose tvarkomi asmens duomenys.
• Prieigos peržiūros ir atšaukimas: reguliarios peržiūros suplanuojamos siekiant patikrinti, ar prieigą turi tik esami darbuotojai ir rangovai; išeinantiems arba vaidmenis keičiantiems asmenims prieiga pašalinama nedelsiant.
• Audituojamumas ir įrodymai: organizacija gali greitai pateikti įrašus, rodančius, kas, prie kokių sistemų ir kada turėjo prieigą, įskaitant autentifikavimo bandymų ir privilegijų eskalavimo žurnalus.
• Tiekėjų ir išorės kūrėjų prieiga: trečiųjų šalių ir išorės kūrėjų prieiga valdoma pagal tuos pačius standartus kaip ir vidinių naudotojų prieiga, taikant aiškias priėmimo, stebėsenos ir prieigos nutraukimo procedūras.
• Politikomis grindžiamas vykdymas: visi sprendimai dėl prieigos grindžiami formaliomis, aktualiomis politikomis, kurios komunikuojamos, peržiūrimos ir taikomos visoje organizacijoje.

Pavyzdžiui, programinės įrangos startuolis, turintis nedidelę komandą ir kelis išorės kūrėjus, įgyvendina RBAC savo debesijos infrastruktūroje, reikalauja MFA visoms administratoriaus paskyroms ir kas mėnesį peržiūri naudotojų prieigą. Išorės kūrėjui užbaigus projektą, jo prieiga atšaukiama nedelsiant, o audito žurnalai patvirtina pašalinimą. Jei klientas paprašo GDPR atitikties įrodymų, startuolis gali pateikti savo prieigos kontrolės politiką, naudotojų prieigos žurnalus ir MFA konfigūracijos įrašus, kad parodytų suderinamumą su ISO 27001 ir GDPR reikalavimais.

Zenith Blueprint

Praktinis kelias

Standartų ir reglamentų reikalavimų perkėlimas į kasdienę MVĮ veiklą reikalauja konkrečių, nuoseklių veiksmų. Kelias prasideda nuo supratimo, kur yra jūsų prieigos rizikos, taisyklių įtvirtinimo ir techninių kontrolės priemonių, atitinkančių jūsų organizacijos dydį ir grėsmių aplinką, įdiegimo. Zenith Controls biblioteka pateikia praktinę struktūrą kiekvienam reikalavimui susieti su veiklos kontrolės priemonėmis, o Prieigos kontrolės politika nustato taisykles ir lūkesčius visiems naudotojams bei sistemoms.

1 žingsnis: susiekite savo turtą ir duomenis

Prieš valdydami prieigą turite žinoti, ką saugote. Pradėkite nuo kritinio turto apskaitos: serverių, debesijos platformų, duomenų bazių, pirminio kodo saugyklų ir taikomųjų programų. Kiekvienam turtui nustatykite saugomų arba tvarkomų duomenų tipus, ypatingą dėmesį skirdami asmens duomenims, kuriems taikomas GDPR. Toks susiejimas padeda įgyvendinti tiek ISO 27001, tiek GDPR 30 straipsnio reikalavimus ir sudaro pagrindą sprendimams dėl prieigos.

Pavyzdžiui, SaaS sprendimus teikianti MVĮ kaip atskirus turtus dokumentuoja klientų duomenų bazę, vidaus personalo įrašus ir pirminio kodo saugyklas; kiekvienas jų turi skirtingą rizikos profilį ir prieigos poreikius.

2 žingsnis: apibrėžkite vaidmenis ir priskirkite prieigą

Kai turtas susietas, apibrėžkite organizacijos naudotojų vaidmenis, pavyzdžiui, administratoriaus, kūrėjo, personalo, finansų ir išorės rangovo. Kiekvienam vaidmeniui turi būti aiškiai nurodyta, prie kokių sistemų ir duomenų jis gali prieiti. Taikomas mažiausios privilegijos principas: naudotojai turi turėti tik minimalią jų darbui reikalingą prieigą. Dokumentuokite šiuos vaidmenų apibrėžimus ir prieigos priskyrimus bei užtikrinkite, kad juos peržiūrėtų ir patvirtintų vadovybė.

Geras pavyzdys – rinkodaros agentūra, kuri prieigą prie finansų sistemos apriboja finansų vadovu ir blokuoja nebūtiną darbuotojų prieigą prie klientų duomenų aplankų; išimtys leidžiamos tik gavus dokumentuotą patvirtinimą.

3 žingsnis: įgyvendinkite technines kontrolės priemones

Įdiekite techninius mechanizmus, skirtus prieigos apribojimams ir autentifikavimo reikalavimams vykdyti. Tai apima:

• MFA įjungimą visoms privilegijuotosioms ir nuotolinės prieigos paskyroms, ypač debesijos administravimo konsolėms, VPN ir sistemoms, kuriose tvarkomi asmens duomenys.
• RBAC arba prieigos kontrolės sąrašų (ACL) konfigūravimą bendrinamiems failų ištekliams, duomenų bazėms ir taikomosioms programoms.
• Unikalių naudotojų tapatybių užtikrinimą visoms paskyroms; bendrieji prisijungimai neturi būti naudojami.
• Slaptažodžių sudėtingumo ir periodinio slaptažodžių keitimo politikų taikymą.
• Įspėjimų dėl nepavykusių prisijungimo bandymų, privilegijų eskalavimo ir neįprastų prieigos modelių nustatymą.

Pavyzdžiui, nedidelė teisinių paslaugų įmonė naudoja Microsoft 365 su visiems darbuotojams įjungta MFA, SharePoint taiko vaidmenimis grindžiamus leidimus ir žurnaluose registruoja visą prieigą prie jautrių klientų failų. Įspėjimai informuoja IT vadovą apie visus nepavykusius administratoriaus prisijungimo bandymus.

4 žingsnis: valdykite naudotojo gyvavimo ciklą

Prieigos valdymas nėra vienkartinė užduotis. Nustatykite naudotojų priėmimo, vaidmenų pakeitimų ir darbo santykių nutraukimo procedūras. Asmeniui prisijungus prie organizacijos, jo prieiga suteikiama pagal vaidmenį. Keičiantis vaidmeniui arba išeinant, prieiga nedelsiant atnaujinama arba atšaukiama. Visų prieigos pakeitimų įrašai turi būti saugomi audito tikslais.

Praktinis pavyzdys: finansinių technologijų MVĮ tvarko priimamų, perkeliamų ir išeinančių darbuotojų registrą. Kūrėjui išėjus, jo prieiga prie pirminio kodo saugyklų ir produkcinių sistemų pašalinama tą pačią dieną, o žurnalai patikrinami siekiant tai patvirtinti.

5 žingsnis: peržiūrėkite ir audituokite prieigą

Suplanuokite reguliarias, bent ketvirtines, visų naudotojų paskyrų ir jų prieigos teisių peržiūras. Tikrinkite be savininko likusias paskyras, perteklines privilegijas ir paskyras, kurios nebeatitinka dabartinių vaidmenų. Dokumentuokite peržiūros procesą ir visus atliktus veiksmus. Tai padeda įgyvendinti tiek ISO 27001, tiek GDPR atskaitomybės reikalavimus.

Pavyzdžiui, dizaino agentūra kas ketvirtį atlieka prieigos peržiūras naudodama paprastą skaičiuoklę. Kiekvienas padalinio vadovas patvirtina esamus darbuotojus ir prieigos teises, o IT vadovas išjungia nenaudojamas paskyras.

6 žingsnis: išplėskite kontrolės priemones tiekėjams ir išorės kūrėjams

Dirbdami su trečiosiomis šalimis užtikrinkite, kad jos laikytųsi jūsų prieigos kontrolės standartų. Reikalaukite, kad išorės kūrėjai naudotų unikalias paskyras, taikytų MFA ir kad jų prieiga būtų ribojama tik tomis sistemomis ir duomenimis, kurių reikia darbui atlikti. Pasibaigus sutarčiai, jų prieiga turi būti nedelsiant nutraukta. Dokumentuokite patvirtinimus ir rizikos priėmimą dėl visų išimčių.

Realus atvejis: MVĮ perduoda interneto svetainių kūrimą išorės tiekėjui ir suteikia išorės komandai ribotos trukmės prieigą prie testavimo aplinkos, taikydama MFA. Projektui pasibaigus, prieiga pašalinama, o žurnalai saugomi auditui.

Naudotojų paskyrų ir privilegijų valdymo politika¹

Prieigos kontrolės politika²

Zenith Controls³

Politikos, kurios užtikrina įgyvendinimą

Politikos yra tvarios prieigos kontrolės pagrindas. Jos apibrėžia lūkesčius, paskirsto atsakomybes ir yra atskaitos taškas auditams bei tyrimams. MVĮ atveju Prieigos kontrolės politika yra bazinė: joje nustatoma, kaip prieiga suteikiama, peržiūrima ir atšaukiama, taip pat įpareigojama taikyti technines kontrolės priemones, pavyzdžiui, MFA jautrioms sistemoms. Ši politika turi būti taikoma kartu su susijusiomis politikomis, tokiomis kaip Naudotojų paskyrų ir privilegijų valdymo politika, Saugaus kūrimo politika ir Duomenų apsaugos ir privatumo politika.

Tvirta prieigos kontrolės politika turi:

• Nurodyti, kas tvirtina ir peržiūri kiekvienos sistemos prieigos teises.
• Reikalauti MFA privilegijuotajai ir nuotolinei prieigai.
• Apibrėžti naudotojų priėmimo, vaidmenų pakeitimų ir darbo santykių nutraukimo tvarką.
• Įpareigoti reguliariai atlikti prieigos peržiūras ir dokumentuoti rezultatus.
• Reikalauti, kad visi naudotojai turėtų unikalias tapatybes, o bendrosios paskyros būtų draudžiamos.
• Nurodyti techninius slaptažodžių sudėtingumo, sesijų laiko limitų ir žurnalavimo standartus.

Pavyzdžiui, MVĮ prieigos kontrolės politikoje gali būti nustatyta, kad administratoriaus lygmens prieigą gali patvirtinti tik generalinis direktorius arba IT vadovas, visoms debesijos administratoriaus paskyroms privaloma MFA, o darbuotojams išėjus iš darbo paskyrų išjungimo procesas turi būti detalizuotas. Politika peržiūrima kasmet ir visada, kai reikšmingai keičiasi sistemos arba teisiniai reikalavimai.

Prieigos kontrolės politika²

Kontroliniai sąrašai

Kontroliniai sąrašai padeda MVĮ operaciniu lygmeniu įgyvendinti prieigos kontrolės ir MFA reikalavimus, užtikrinant, kad nebūtų praleistas nė vienas kritinis žingsnis. Kiekvienas etapas – projektavimas, eksploatavimas ir tikrinimas – reikalauja atskiro dėmesio ir disciplinos.

Projektavimas: MVĮ prieigos kontrolės ir MFA pagrindai

Nustatydamos arba iš esmės pertvarkydamos prieigos kontrolės priemones, MVĮ turi turėti aiškų projektavimo etapo kontrolinį sąrašą, kad visi baziniai elementai būtų parengti. Šiame etape siekiama tinkamai suprojektuoti architektūrą ir nustatyti bazinį lygį nuolatinei veiklai.

• Inventorizuokite visas sistemas, taikomąsias programas ir duomenų saugyklas.
• Identifikuokite ir suklasifikuokite duomenis, pažymėdami asmens duomenis specialioms kontrolės priemonėms.
• Apibrėžkite naudotojų vaidmenis ir susiekite prieigos reikalavimus su kiekvienu vaidmeniu.
• Parenkite ir patvirtinkite prieigos kontrolės bei privilegijų valdymo politikas.
• Pasirinkite ir sukonfigūruokite technines kontrolės priemones, pvz., MFA sprendimus, RBAC ir slaptažodžių politikas.
• Nustatykite saugias visų naudotojų, įskaitant trečiąsias šalis, priėmimo ir prieigos nutraukimo procedūras.
• Dokumentuokite visus sprendimus dėl prieigos ir saugokite įrašus auditui.

Pavyzdžiui, MVĮ, kuri diegia naują debesijos aplinką, prieš paleidimą sudaro visų naudotojų sąrašą, suklasifikuoja jautrius duomenis, įjungia MFA administratoriams ir dokumentuoja prieigos politiką.

Eksploatavimas: kasdienis prieigos kontrolės ir MFA valdymas

Įdiegus kontrolės priemones, kasdienis veikimas reiškia disciplinos palaikymą ir reagavimą į pokyčius. Šiame etape daugiausia dėmesio skiriama įprastam valdymui, stebėsenai ir nuolatiniam reikalavimų vykdymui.

• Taikykite MFA privilegijuotosioms, nuotolinėms ir jautrioms paskyroms.
• Peržiūrėkite ir tvirtinkite visas naujas prieigos užklausas pagal dokumentuotus vaidmenis.
• Stebėkite prisijungimo bandymus, privilegijų eskalavimą ir prieigą prie jautrių duomenų.
• Nedelsdami atnaujinkite prieigos teises, kai naudotojai keičia vaidmenis arba išeina.
• Mokykite darbuotojus saugaus autentifikavimo ir prieigos praktikų.
• Užtikrinkite, kad trečiųjų šalių prieiga būtų ribotos trukmės ir reguliariai peržiūrima.

Praktinis pavyzdys: mažmeninės prekybos MVĮ IT vadovas reguliariai tikrina MFA valdymo skydą, peržiūri prieigos žurnalus ir, prieš suteikdamas naują prieigą, patvirtina poreikį su padalinių vadovais.

Tikrinimas: auditas ir peržiūra atitikčiai užtikrinti

Tikrinimas yra būtinas siekiant pagrįsti atitiktį ir nustatyti spragas. Šis etapas apima planines ir ad hoc peržiūras, auditus ir kontrolės priemonių testavimą.

• Kas ketvirtį atlikite prieigos peržiūras, tikrindami be savininko likusias paskyras arba perteklines privilegijas.
• Audituokite MFA taikymą ir testuokite galimus apėjimo bandymus.
• Peržiūrėkite žurnalus dėl įtartinos arba neteisėtos prieigos.
• Parenkite prieigos peržiūrų ir MFA konfigūracijos įrodymus auditams arba klientų prašymams.
• Atnaujinkite politikas ir technines kontrolės priemones pagal išvadas arba incidentus.

Pavyzdžiui, logistikos MVĮ ruošiasi kliento auditui eksportuodama prieigos žurnalus, peržiūrėdama MFA ataskaitas ir atnaujindama prieigos kontrolės politiką, kad ji atspindėtų naujausius pakeitimus.

Zenith Blueprint⁴

Dažniausios klaidos

Daugelis MVĮ susiduria su sunkumais įgyvendindamos prieigos kontrolę ir MFA – dažnai dėl ribotų išteklių, aiškumo stokos arba per didelio pasikliovimo neformaliomis praktikomis. Dažniausios klaidos:

• Bendrosios paskyros: bendrųjų prisijungimų, pvz., „admin“ arba „developer“, naudojimas kenkia atskaitomybei ir neleidžia atsekti veiksmų iki konkrečių asmenų. Tai dažna audito išvada ir tiesioginis ISO 27001 bei GDPR lūkesčių pažeidimas.
• MFA spragos: MFA taikymas tik daliai paskyrų arba jos netaikymas nuotolinei ir privilegijuotajai prieigai palieka kritines sistemas pažeidžiamas. Užpuolikai dažnai taikosi būtent į šias silpnąsias vietas.
• Pasenusios prieigos teisės: nepašalinus prieigos išeinantiems darbuotojams arba vaidmenis keičiantiems asmenims, susidaro neaktyvių paskyrų visuma, tinkama išnaudojimui. MVĮ tai dažnai pražiūri, ypač dirbdamos su rangovais ir trečiosiomis šalimis.
• Retos peržiūros: neatliekant reguliarių prieigos peržiūrų, problemos lieka nepastebėtos. Be suplanuotų patikrų kaupiasi be savininko likusios paskyros ir didėja prieigos teisių išsiplėtimas.
• Politikų neatitiktis praktikai: neatnaujinant politikų keičiantis sistemoms arba teisiniams reikalavimams, kontrolės priemonės nebeatitinka realios padėties. Tai ypač rizikinga diegiant naujas debesijos platformas arba po reikšmingų organizacijos pokyčių.
• Tiekėjų aklosios zonos: prielaida, kad trečiųjų šalių paslaugų teikėjai arba išorės kūrėjai patys saugiai valdys savo prieigą, yra nesėkmės prielaida. MVĮ turi taikyti savo standartus ir tikrinti atitiktį.

Pavyzdžiui, skaitmeninės rinkodaros MVĮ buvęs rangovas kelis mėnesius po išėjimo išsaugojo prieigą prie klientų kampanijų, nes nebuvo darbo santykių nutraukimo patikrų ir buvo naudojami bendrieji prisijungimai. Tai paaiškėjo tik klientui paprašius prieigos peržiūros, parodant griežtesnių kontrolės priemonių ir reguliarių auditų būtinybę.

Naudotojų paskyrų ir privilegijų valdymo politika¹

Tolesni veiksmai

• Pradėkite nuo išsamaus ISVS ir prieigos kontrolės priemonių rinkinio: Zenith Suite
• Pereikite prie visapusiško MVĮ ir įmonės atitikties paketo: Complete SME + Enterprise Combo Pack
• Apsaugokite savo MVĮ naudodami pritaikytą atitikties ir prieigos kontrolės paketą: Full SME Pack

Nuorodos