ISO 27001 kriptografinės išimtys: įrodymų ir CER vadovas

Audito pokalbis, kurio David labiausiai baiminosi, įvyko trimis savaitėmis anksčiau, nei tikėtasi. InnovatePay ką tik įsigijo mažesnę įmonę QuickAcquire. Sandoris buvo strategiškai sėkmingas, tačiau technologijų pakete slėpėsi senasis duomenų perdavimo modulis, naudojantis kriptografinę biblioteką, kuri neatitiko InnovatePay patvirtintų standartų. Jos pakeitimas buvo šešių mėnesių projektas. Išorės auditorius turėjo atvykti jau kitą savaitę.

David mintyse ši scena buvo skausmingai aiški. Ramus ir metodiškas auditorius pastebėtų nukrypimą ir užduotų vieną klausimą, kuris žinome, kad tai rizikinga paverčia neatitiktimi: parodykite kriptografinės išimties įrodymus ir kaip nusprendėte, kad ji priimtina.

Tuo momentu ketinimai nebeturi reikšmės; reikšmę turi kontrolė. Be dokumentuoto išimties proceso, vadovybės rizikos priėmimo, kompensuojančių kontrolės priemonių, raktų valdymo žurnalų ir terminuoto taisomųjų veiksmų plano auditorius greičiausiai šį klausimą vertins kaip kontrolės nesuveikimą arba silpną ISVS valdyseną. Šis išsamus vadovas parodo, kaip tą momentą paversti brandos demonstravimu, naudojant Clarysec įrankių rinkinius ir politikas, ISO/IEC 27001:2022 kontrolės priemonę A.8.24 Kriptografijos naudojimas ir kelių atitikties sričių požiūrį, apimantį NIS2, DORA, GDPR, NIST ir COBIT 2019.

Kodėl kriptografinės išimtys neišvengiamos ir kaip jas vertina auditoriai

Kriptografinės išimtys atsiranda dėl prognozuojamų priežasčių. Clarysec projektuose matome pasikartojančius modelius:

• Senųjų technologijų apribojimai, pavyzdžiui, nepalaikomi algoritmai, šifrų rinkiniai arba raktų ilgiai.
• Priklausomybė nuo tiekėjo ir sertifikavimo vėlavimai, trukdantys laiku pereiti prie patvirtintos kriptografijos.
• Operacinės realijos reagavimo į incidentus arba skaitmeninės kriminalistikos metu, kai reikia laikinų nukrypimų įrodymams surinkti arba paslaugos tęstinumui išlaikyti.
• Migracijos laikotarpiai, kai pereinamojo laikotarpio sąveika ribotam laikui verčia taikyti silpnesnius nustatymus.
• Partnerių arba klientų apribojimai, neleidžiantys taikyti pageidaujamo bazinio lygio.

ISO/IEC 27001:2022 auditoriai nereikalauja tobulumo – jie reikalauja kontrolės. Jie vertina, ar šifravimas yra tinkamas ir nuoseklus, ar raktų valdymas reglamentuotas ir registruojamas žurnaluose, taip pat ar aktyviai identifikuojate ir valdote pasenusius algoritmus savo aplinkoje. Pirmasis žingsnis – suderinti išimčių valdymą su tuo, ką auditoriai tikisi pamatyti.

Įtvirtinkite išimtį politikoje ir rizikos valdysenoje

Brandži ISVS išimtis vertina kaip rizikos tvarkymo sprendimus, o ne kaip techninę skolą. Formalus mechanizmas yra kriptografinės išimties prašymas (CER), o politikos nuostata, kuri jo reikalauja, yra esminė riba tarp valdomos išimties ir audito išvados.

Clarysec organizacinė Kriptografinių kontrolės priemonių politika reikalauja: Nestandartinių kriptografinių algoritmų naudojimui arba laikinam nukrypimui nuo patvirtintų gyvavimo ciklo praktikų būtinas dokumentuotas kriptografinės išimties prašymas. Ši politikų šeima tiesiogiai susieta su rizikos tvarkymu. Susijusi Rizikos valdymo politika padeda vertinti kriptografinių kontrolės priemonių rizikas ir dokumentuoja rizikos tvarkymo strategiją išimtims, algoritmų pasenimui arba raktų kompromitavimo scenarijams.

Kai reikalavimas įtvirtintas politikoje, kiekviena išimtis turi būti atsekama iki CER, kuriame nurodytas vadovybės rizikos priėmimas, susietas rizikų registro įrašas, kompensuojančios kontrolės priemonės ir išėjimo planas. Šiuos artefaktus pateikite anksčiau, nei jų bus paprašyta: pirmiausia auditoriams parodykite valdyseną, tada pereikite prie techninės būsenos, taikydami interviu, peržiūros, stebėjimo ir atrankos metodą, aprašytą Zenith Blueprint.

CER kaip auditui tinkamas kontrolės įrašas

Užklausų komentarai nėra išimties įrašai. CER turi būti struktūruotas, valdomas pagal versijų kontrolę ir tinkamas atrankai kaip bet kuri kita kontrolės priemonė. Nesvarbu, ar jis įgyvendintas GRC priemonėje, ar kontroliuojamame šablone, stiprus CER apima:

• Išimties santrauką – kas neatitinka reikalavimų ir kur.
• Taikymo sritį – duomenų tipus ir tai, ar išimtis veikia saugomus duomenis, perduodamus duomenis, ar abu.
• Veiklos pagrindimą – kodėl išimtis susijusi su paslaugos arba veiklos apribojimais.
• Saugumo poveikio vertinimą – realistiškus grėsmių scenarijus, tokius kaip susilpninimo rizika, MITM, silpnas maišos skaičiavimas, raktų kompromitavimas.
• Kompensuojančias kontrolės priemones – pavyzdžiui, segmentavimą, kliento sertifikatus, trumpą sesijos galiojimo trukmę, WAF taisykles, papildomą autentifikavimą, sustiprintą stebėseną.
• Rizikos reitingą prieš ir po kompensuojančių kontrolės priemonių, suderintą su jūsų rizikos matrica.
• Savininką – atskaitingą verslo rizikos savininką.
• Patvirtinimus – saugumo funkcijos, sistemos savininko ir vadovybės rizikos priėmimą.
• Galiojimo pabaigos datą ir peržiūros periodiškumą – be neterminuotų išimčių.
• Išėjimo planą – veiksmų planą, priklausomybes, etapus ir įvykdymo terminus.
• Įrodymų nuorodas – nuorodas į konfigūracijas, žurnalus, testavimo rezultatus, tiekėjo pareiškimus ir pakeitimų patvirtinimus.

David atveju QuickAcquire išimtis iš paslėpto įsipareigojimo tapo audituojamu sprendimu, kai jis ją pateikė CER forma pradiniame susitikime, pasiūlė įrodymų paketą ir pakvietė atlikti atranką.

Minimalus pakankamas kriptografinės išimties įrodymų paketas

Auditoriai tikisi daugiau nei techninės momentinės būsenos. Išimčių atveju jiems reikia valdysenos ir operacinių įrodymų. Praktinis įrodymų paketas apima:

1. Užpildytą CER su patvirtinimais ir galiojimo pabaigos data.
2. Susietą rizikos vertinimą ir rizikos tvarkymo sprendimą.
3. Paveiktos sistemos raktų valdymo procedūras su raktų generavimo, paskirstymo, periodinio raktų keitimo, prieigos ir sunaikinimo žurnalais.
4. Kriptografijos nustatymų pakeitimų įrašus ir testavimo įrodymus, rodančius, kad pakeitimai buvo patikrinti arba apribojimai patvirtinti.
5. Kompensuojančių kontrolės priemonių stebėsenos ir aptikimo įrodymus, įskaitant SIEM taisykles ir įspėjimų testus.
6. Komunikacijos įrašus, rodančius, kad paveikti darbuotojai buvo informuoti ir apmokyti dėl nukrypimo bei stebėsenos lūkesčių.
7. Terminuotą išėjimo planą su etapais, datomis, biudžetu, kai taikoma, ir savininkais.
8. Politikos peržiūros istoriją, kuri įrodo kriptografijos bazinio lygio palaikymą ir algoritmų gyvavimo ciklo valdymą.

Šie įrodymų tipai atitinka ISO/IEC 27002:2022 gaires dėl kriptografijos ir pakeitimų kontrolės.

Naudokite Zenith Blueprint įrodymams surinkti ir pateikti

Zenith Blueprint taikomas įrodymų metodas yra aiškus ir patogus auditoriams: interviu, peržiūra, stebėjimas ir atranka. Taikykite jį išimtims:

• Interviu su sistemos savininku ir saugumo vadovu. Kodėl išimtis būtina, kas pasikeitė nuo paskutinės peržiūros ir koks kitas išėjimo plano veiksmas.
• Peržiūra – CER, rizikos įrašo, politikos nuostatos ir tiekėjo arba partnerio apribojimų. Patvirtinkite galiojimo pabaigos ir peržiūros datas.
• Stebėjimas – techninės būsenos, t. y. tikslios konfigūracijos ir vietos, kur išimtis taikoma, taip pat kur pritaikytos kompensuojančios kontrolės priemonės.
• Atranka – kelių išimčių, paprastai nuo trijų iki penkių, siekiant pagrįsti struktūros, patvirtinimų, peržiūrų, žurnalavimo ir galiojimo pabaigos valdymo nuoseklumą.

Praktinis pavyzdys: kaip pasenusią TLS išimtį padaryti tinkamą auditui

Scenarijus: Pajamoms kritiška B2B integracija reikalauja senesnio TLS šifrų rinkinio, nes partnerio galinis taškas negali suderėti dėl jūsų patvirtintų nustatymų. Ryšio nutraukti negalima.

Padarykite tai audituojama keturiais veiksmais:

1. Sukurkite CER ir susiekite jį su rizika. Nustatykite 90 dienų galiojimo terminą su 30 dienų peržiūromis, pridėkite partnerio korespondenciją ir susiekite su rizikų registro įrašu, kurio savininkas yra verslo funkcija.
2. Pasirinkite kompensuojančias kontrolės priemones, kurios generuoja įrodymus. Apribokite šaltinio IP adresus iki partnerio intervalų, turėdami ugniasienės pakeitimų įrašus. Jei įmanoma, taikykite abipusį TLS ir saugokite sertifikatų išdavimo įrašus. Sustiprinkite rankos paspaudimo anomalijų stebėseną ir saugokite SIEM taisyklių apibrėžtis bei įspėjimų testus.
3. Pagrįskite raktų valdymo discipliną. Parodykite KMS prieigos žurnalus, RBAC priskyrimus, avarinės prieigos („break glass“) įrašus ir periodinių prieigos peržiūrų protokolus. Mažesnėms organizacijoms bazinis reikalavimas aiškiai nurodytas Cryptographic Controls Policy-sme: Visa prieiga prie kriptografinių raktų turi būti registruojama žurnaluose ir saugoma audito peržiūrai, atliekant reguliarias prieigos peržiūras.
4. Parenkite išimties paketą. Parenkite vieną įrodymų aplanką arba PDF, kuriame būtų CER, rizikos įrašas, šliuzo konfigūracijos momentinė kopija, ugniasienės pakeitimų užklausos, KMS žurnalai, SIEM taisyklių ir įvykių pavyzdžiai, testavimo įrašai ir komunikacija operacijų komandai.

Kriptografinis lankstumas: kaip įrodyti, kad išimtys yra laikinos pagal sumanymą

ISO/IEC 27002:2022 skatina kriptografinį lankstumą – gebėjimą atnaujinti algoritmus ir rinkinius neperprojektuojant visų sistemų. Auditoriai ieško ne pažadų, o lankstumo įrodymų:

• Politikos peržiūros periodiškumo, pagal kurį priimtini algoritmai ir praktikos atnaujinami su versijuotais pakeitimų žurnalais.
• Kriptografijos atnaujinimų testavimo įrašų, kurie įrodo saugius diegimo kelius.
• Komunikacijos, informuojančios personalą apie kriptografijos pakeitimus ir operacinį poveikį.
• Darbų sąrašo elementų, kurių įgyvendinimo pažanga susieta su išimčių galiojimo pabaigos datomis.

Išimčių valdysena ir skaitmeninė kriminalistika

Išimtys gali apsunkinti tyrimus, ypač kai šifravimas arba nepalaikomi įrenginiai blokuoja įrodymų rinkimą. Clarysec Įrodymų rinkimo ir kriminalistikos politika tai sprendžia aiškiai numatydama reikalavimus įrodymams, reikalingiems iš nepalaikomų arba šifruotų įrenginių. MVĮ versija Evidence Collection and Forensics Policy-sme numato praktinius nesėkmės scenarijus, pavyzdžiui, kai įrodymų negalima surinkti pagal politiką dėl sistemos gedimo arba sugadintos laikmenos.

Numatykite tai savo CER. Įtraukite galimą poveikį skaitmeninei kriminalistikai, deponuokite reikalingus raktus ir apibrėžkite avarinės prieigos bei žurnalavimo reikalavimus.

Kelių atitikties sričių susiejimas: viena išimtis, keli vertinimo pjūviai

Reguliuojamose arba kelių standartų ir reglamentų aplinkose ta pati išimtis bus vertinama skirtingais pjūviais. Naudokite Zenith Controls vadovą, kad įrodymų paketas išliktų nuoseklus.

Kaip klausinės skirtingi auditoriai ir kaip atsakyti

Net vieno audito metu stiliai skiriasi. Pasirenkite kiekvienam stiliui ir valdykite pasakojimą:

• ISO/IEC 27001:2022 auditorius klaus, kur yra kriptografijos politika, kur apibrėžtas išimčių procesas, kaip dažnai išimtys peržiūrimos, ir norės atlikti atranką. Pradėkite nuo CER ir kontroliuojamo registro.
• Į NIST orientuotas auditorius ieškos šifrų rinkinių bazinių lygių, susilpninimo apsaugų, raktų generavimo ir sunaikinimo procedūrų bei žurnalų su įspėjimais. Pateikite KMS žurnalus, SIEM taisykles ir validavimo testus.
• COBIT arba ISACA auditorius sutelks dėmesį į tai, kam priklauso rizika, kas ją priėmė, koks peržiūros periodiškumas ir kokie rodikliai rodo išimčių mažėjimą. Pateikite valdymo komiteto protokolus ir išimčių galiojimo trukmės ataskaitas.
• Reguliuotojo požiūriu vertinantis tikrintojas klaus, kaip išimtis veikia kritinių paslaugų prieinamumą ir vientisumą ir ar padidėjo asmens duomenų atskleidimo rizika. Pateikite atsparumo planavimo artefaktus ir aiškų taisomųjų veiksmų grafiką.

Dažnos klaidos, sukeliančios neatitiktis

• Išimtys be galiojimo pabaigos datų, vertinamos kaip nevaldoma rizika.
• Nėra vadovybės rizikos priėmimo, kai inžinierius patvirtino užklausą be atskaitingos savininkystės.
• Kompensuojančios kontrolės priemonės aprašytos, bet nepagrįstos įrodymais, pavyzdžiui, stebėsenos teiginiai be SIEM taisyklių.
• Trūksta raktų valdymo žurnalų arba jie neprieinami.
• Politikoje numatyta viena, o praktikoje daroma kita, pavyzdžiui, CER privalomi, bet nenaudojami.

Audito dienos kontrolinis sąrašas kriptografinėms išimtims

• Aktualus registras nurodo visas kriptografines išimtis su CER identifikatoriais, savininkais, patvirtinimais, peržiūros datomis ir galiojimo pabaigomis.
• Kiekviena išimtis susieta su rizikos įrašu ir dokumentuotu rizikos tvarkymo sprendimu.
• Kiekvienai išimčiai taikomos bent dvi kompensuojančios kontrolės priemonės su aiškiais įrodymais.
• Prieiga prie raktų registruojama žurnaluose, žurnalai saugomi ir atliekamos prieigos peržiūros.
• Prieinama kriptografijos politikos peržiūros istorija su versijuotais pakeitimais.
• Galite atrinkti tris ar daugiau išimčių ir pateikti nuoseklų paaiškinimą.
• Veiksmų planas rodo išimčių mažėjimą laikui bėgant.

Tiekėjų ir partnerių apribojimai

Daugelis išimčių atsiranda už jūsų tiesioginės kontrolės ribų. Partneriai nustato šifrų rinkinius, tiekėjai vėluoja su veiksmų planais arba įsigytos sistemos atsineša skolą. Išorinius apribojimus vertinkite kaip valdysenos dalį, o ne kaip pasiteisinimus. Reikalaukite tiekėjų pareiškimų dėl kriptografijos veiksmų planų, įtraukite sutartines nuostatas, nustatančias kriptografijos bazinius lygius, ir įrašykite išorines priklausomybes į rizikų registrą.

Tolesni veiksmai: sukurkite išimčių programą per vieną sprintą

1. Inventorizuokite visas kriptografines išimtis, įskaitant paslėptas išimtis kraštinėse paslaugose.
2. Sukurkite arba pritaikykite CER kiekvienai išimčiai, įtraukdami patvirtinimus, galiojimo pabaigą ir išėjimo planus.
3. Susiekite kiekvieną CER su rizikų registro įrašu, kuriam priskirtas atskaitingas savininkas.
4. Parenkite standartinį išimties įrodymų paketo šabloną ir surepetuokite audito atranką.
5. Patikrinkite pasirengimą kelių atitikties sričių vertinimui naudodami Zenith Controls vadovą.

Kriptografinių išimčių keliamą nerimą paverskite pasitikėjimu audito metu. Užsisakykite darbo sesiją su Clarysec. Vieno projekto metu įdiegiame CER darbo eigą, išimčių registrą ir auditui tinkamą įrodymų paketo struktūrą. Rezultatas – greitesni auditai, mažiau pasikartojančių išvadų ir kriptografinės išimtys, kurios rodo valdyseną, o ne improvizaciją.