ISO 27001 prieigos kontrolės audito įrodymų vadovas
Audito dieną, 09:10. Maria, sparčiai augančios fintech ir debesijos platformos CISO, yra atsivertusi prieigos kontrolės politiką. IT vadovas eksportuoja sąlyginės prieigos nustatymus iš tapatybės teikėjo. Personalo skyrius ieško finansų analitiko, išėjusio prieš šešias savaites, darbo santykių nutraukimo užklausos. Vidaus auditorius pakelia akis ir užduoda klausimą, kurio visi laukė:
„Parodykite, kaip naudotojui, turinčiam privilegijuotą prieigą prie asmens duomenų, prieiga yra prašoma, patvirtinama, suteikiama, peržiūrima ir panaikinama.“
Vienas toks sakinys gali parodyti, ar prieigos kontrolės programa iš tikrųjų parengta auditui, ar tik aprašyta politikoje.
Marios komanda turėjo brandžią informacijos saugumo valdymo sistemą, metinį ISO/IEC 27001:2022 pakartotinio sertifikavimo ciklą, įdiegtą daugiaveiksnį autentifikavimą, vaidmenimis grindžiamą prieigos kontrolę pagrindinėse sistemose ir ketvirtinių prieigos peržiūrų skaičiuokles. Tačiau šis auditas buvo kitoks. Auditoriaus prašymų sąraše buvo pasirengimas naujiems reglamentavimo reikalavimams. Marios organizacijai tai reiškė NIS2, DORA ir GDPR, vertinamus per tą pačią veiklos prizmę: tapatybę, prieigą, autentifikavimą, privilegijas ir įrodymus.
Daugelio CISO problema nėra ta, kad prieigos kontrolės nėra. Problema ta, kad įrodymai yra suskaidyti. Darbuotojų priėmimo patvirtinimai yra Jira arba ServiceNow. MFA nustatymai yra Microsoft Entra ID, Okta arba kitame tapatybės teikėjuje. AWS, Azure ir Google Cloud leidimai yra atskirose konsolėse. Privilegijuoti veiksmai gali būti registruojami PAM priemonėje arba apskritai neregistruojami. Personalo statusas yra BambooHR, Workday arba skaičiuoklėse. Prieigos peržiūros gali būti patvirtinamos el. paštu.
Kai auditorius susieja IAM, MFA, PAM, darbuotojų priėmimo, pareigų keitimo ir išėjimo įvykius, asmens duomenis, debesijos administravimą ir reglamentavimo lūkesčius, fragmentuoti įrodymai greitai suyra.
ISO/IEC 27001:2022 prieigos kontrolės auditai nėra vien techninės konfigūracijos peržiūros. Tai valdymo sistemos patikrinimai. Jie vertina, ar tapatybės ir prieigos rizikos yra suprastos, tvarkomos, įgyvendintos, stebimos ir tobulinamos. Kai taip pat aktualūs NIS2, DORA ir GDPR, tie patys įrodymai turi parodyti rizika grindžiamą prieigos valdyseną, stiprų autentifikavimą, atsekamus patvirtinimus, savalaikį atšaukimą, privilegijų ribojimą, asmens duomenų apsaugą ir vadovybės atskaitomybę.
Praktinis atsakymas nėra storesnis dokumentų segtuvas. Tai vienas prieigos kontrolės įrodymų modelis, kuris prasideda nuo ISVS taikymo srities ir rizikos, eina per politiką ir kontrolės priemonių projektavimą, įgyvendinamas IAM ir PAM priemonėse ir aiškiai susiejamas su ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ir COBIT.
Kodėl prieigos kontrolė yra reglamentavimo atraminis elementas
Prieigos kontrolė tapo valdybos ir reguliuotojų dėmesio objektu, nes tapatybės kompromitavimas šiandien yra dažnas kelias į veiklos sutrikimus, duomenų saugumo pažeidimus, sukčiavimą ir tiekimo grandinės rizikos poveikį.
Pagal NIS2, Articles 2 ir 3, skaitomus kartu su Annex I ir Annex II, į taikymo sritį patenka daug vidutinio dydžio ir didesnių subjektų nurodytuose sektoriuose kaip esminiai arba svarbūs subjektai. Tai apima skaitmeninę infrastruktūrą ir IRT paslaugų valdymo teikėjus, pavyzdžiui, debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, valdomų paslaugų teikėjus ir valdomų saugumo paslaugų teikėjus. Valstybės narės turėjo perkelti NIS2 į nacionalinę teisę iki 2024 m. spalio ir taikyti nacionalines priemones nuo 2024 m. spalio, o subjektų sąrašai turėjo būti parengti iki 2025 m. balandžio. Article 20 nustato valdymo organų atsakomybę patvirtinti kibernetinio saugumo rizikos valdymo priemones ir prižiūrėti jų įgyvendinimą. Article 21 reikalauja techninių, operacinių ir organizacinių priemonių, įskaitant prieigos kontrolės politikas, turto valdymą, kibernetinę higieną, incidentų valdymo procedūras, veiklos tęstinumą, tiekimo grandinės saugumą ir, kai taikoma, MFA arba tęstinį autentifikavimą.
DORA finansų subjektams ir atitinkamiems IRT trečiųjų šalių paslaugų teikėjams prideda sektoriui būdingą veiklos atsparumo sluoksnį. Articles 1, 2 ir 64 įtvirtina DORA kaip vienodą sistemą, taikomą nuo 2025 m. sausio 17 d. Articles 5 ir 6 reikalauja valdysenos ir dokumentuotos IRT rizikos valdymo sistemos. Article 9 apima apsaugą ir prevenciją, įskaitant IRT saugumo politikas, procedūras, protokolus ir priemones. Articles 24–30 papildo reikalavimus skaitmeninio veiklos atsparumo testavimu ir IRT trečiųjų šalių rizikos valdymu. Finansų subjektams prieigos kontrolės įrodymai tampa atsparumo įrodymais, o ne vien IT administravimo įrodymais.
GDPR įveda asmens duomenų perspektyvą. Articles 2 ir 3 apibrėžia plačią taikymo sritį ES atliekamam tvarkymui ir ES rinkai. Article 5 reikalauja vientisumo, konfidencialumo ir įrodomos atskaitomybės. Article 25 reikalauja pritaikytosios ir standartizuotosios duomenų apsaugos. Article 32 reikalauja tinkamų techninių ir organizacinių priemonių. Praktikoje tai reiškia kontroliuojamą prieigą, saugų autentifikavimą, žurnalavimą, peržiūrą ir savalaikį prieigos panaikinimą sistemose, kuriose tvarkomi asmens duomenys.
ISO/IEC 27001:2022 suteikia organizacijoms valdymo sistemos mechanizmą šioms pareigoms suvienodinti. 4.1–4.3 punktai reikalauja, kad organizacija suprastų kontekstą, suinteresuotąsias šalis, teisines ir sutartines pareigas, sąsajas, priklausomybes ir ISVS taikymo sritį. 6.1.1–6.1.3 punktai reikalauja informacijos saugumo rizikos vertinimo, rizikos tvarkymo, Annex A palyginimo, Taikomumo pareiškimo ir rizikos tvarkymo planų bei liekamosios rizikos patvirtinimo. 8.1 punktas reikalauja veiklos kontrolės, dokumentuotos informacijos, įrodančios, kad procesai vyko taip, kaip planuota, pakeitimų kontrolės ir išorės teikiamų procesų kontrolės.
Todėl audito klausimas nėra „Ar turite MFA?“ Jis yra toks: „Ar galite įrodyti, kad taikymo srityje esančių tapatybių ir sistemų prieigos rizika valdoma, tvarkoma, įgyvendinama, stebima ir tobulinama?“
Sukurkite įrodymų grandinę nuo ISVS taikymo srities iki IAM įrodymų
Clarysec prieigos kontrolės audito pasirengimą pradeda nuo įrodymų atsekamumo iki verslo konteksto. ISO/IEC 27001:2022 tikisi, kad ISVS bus integruota į organizacijos procesus ir pritaikyta organizacijos poreikiams. 30 darbuotojų SaaS tiekėjas ir tarptautinis bankas neturės tokios pačios prieigos architektūros, tačiau abiem reikia nuoseklios įrodymų grandinės.
| Įrodymų sluoksnis | Ką įrodo | Tipinės šaltinių sistemos | Vertė kelių atitikties sričių požiūriu |
|---|---|---|---|
| ISVS taikymo sritis ir suinteresuotųjų šalių reikalavimai | Kurios sistemos, duomenys, reglamentai ir trečiųjų šalių priklausomybės patenka į taikymo sritį | ISVS taikymo sritis, atitikties registras, duomenų apskaita, tiekėjų registras | Palaiko ISO/IEC 27001:2022 4.2 ir 4.3 punktus, NIS2 taikymo srities nustatymą, DORA IRT priklausomybių atvaizdavimą, GDPR atskaitomybę |
| Prieigos rizikos vertinimas | Kodėl IAM, MFA, PAM ir peržiūros reikalingos pagal riziką | Rizikų registras, grėsmių scenarijai, rizikos tvarkymo planas | Palaiko ISO/IEC 27001:2022 6.1 punktą, ISO/IEC 27005:2022, DORA IRT rizikos sistemą, NIS2 rizikos priemones |
| Politika ir standartai | Ko organizacija reikalauja | Prieigos kontrolės politika, privilegijų politika, įdarbinimo ir darbo santykių nutraukimo politika | Reglamentavimo lūkesčius paverčia įgyvendinamomis vidaus taisyklėmis |
| IAM ir PAM konfigūracija | Ar kontrolės priemonės techniškai įgyvendintos | IdP, HRIS, ITSM, PAM, debesijos IAM, SaaS administravimo konsolės | Įrodo mažiausių privilegijų principą, MFA, RBAC, patvirtinimo darbo eigas ir privilegijuotųjų sesijų kontrolę |
| Peržiūros ir stebėsenos įrašai | Ar prieiga laikui bėgant išlieka tinkama | Prieigos peržiūrų kampanijos, SIEM, PAM žurnalai, vadovų patvirtinimai | Įrodo nuolatinį kontrolės priemonių veikimą, DORA stebėseną, NIS2 kibernetinę higieną, GDPR minimizavimą |
| Darbo santykių nutraukimo ir išimčių įrašai | Ar prieiga panaikinama ir išimtys kontroliuojamos | Personalo nutraukimų sąrašas, deaktyvavimo žurnalai, išimčių registras | Įrodo savalaikį atšaukimą, liekamosios rizikos priėmimą ir pažeidimų prevenciją |
ISO/IEC 27005:2022 yra naudinga, nes rekomenduoja teisinius, reglamentavimo, sutartinius, sektoriui būdingus ir vidaus reikalavimus sujungti į bendrą rizikos kontekstą. 6.4 ir 6.5 punktai pabrėžia rizikos kriterijus, kuriuose atsižvelgiama į organizacijos tikslus, teisės aktus, tiekėjų santykius ir apribojimus. 7.1 ir 7.2 punktai leidžia taikyti įvykiais ir turtu pagrįstus scenarijus. Prieigos kontrolės atveju tai reiškia strateginių scenarijų, tokių kaip „privilegijuotas SaaS administratorius eksportuoja ES klientų duomenis“, vertinimą kartu su turto scenarijais, tokiais kaip „bešeimininkis AWS IAM raktas prijungtas prie produkcinės saugyklos“.
Clarysec Zenith Blueprint: 30 žingsnių auditoriaus veiksmų plane ši įrodymų grandinė kuriama etape „Kontrolės priemonės praktikoje“. 19 žingsnis sutelktas į technologines kontrolės priemones galinių įrenginių ir prieigos valdymui, o 22 žingsnis formalizuoja organizacinį prieigos gyvavimo ciklą.
Zenith Blueprint nurodo komandoms patikrinti, ar prieigos suteikimas ir prieigos teisių panaikinimas yra struktūruoti, kai įmanoma integruoti su Personalo skyriumi, paremti prieigos užklausų darbo eigomis ir peržiūrimi kas ketvirtį. Jis taip pat nurodo organizacijoms dokumentuoti tapatybių tipus, taikyti kontrolės priemones individualioms, bendroms ir paslaugų tapatybėms, taikyti stiprias slaptažodžių politikas ir MFA, pašalinti neaktyvias paskyras ir užtikrinti saugų paslaugų prisijungimo duomenų saugojimą saugykloje arba dokumentavimą.
Būtent taip auditoriai tikrina prieigos kontrolę: po vieną tapatybę, vieną sistemą, vieną patvirtinimą, vieną privilegiją, vieną peržiūrą ir vieną prieigos atšaukimą.
Ką surinkti auditui tinkamiems prieigos kontrolės įrodymams
Jūsų prieigos kontrolės įrodymų paketas turi leisti auditoriui pasirinkti bet kurį naudotoją ir atsekti visą gyvavimo ciklą: prašymą, patvirtinimą, priskyrimą, autentifikavimą, privilegijų pakėlimą, stebėseną, peržiūrą ir atšaukimą.
Tvirtas įrodymų paketas apima:
- Prieigos kontrolės politiką ir naudotojų paskyrų politiką
- Darbuotojų priėmimo, pareigų keitimo ir išėjimo procedūrą
- Vaidmenų matricą arba prieigos kontrolės matricą
- Taikymo srityje esančių taikomųjų programų, platformų ir duomenų saugyklų sąrašą
- Tapatybės teikėjo MFA konfigūraciją
- Sąlyginės prieigos politikas ir išimčių sąrašą
- Privilegijuotųjų paskyrų registrą
- PAM darbo eigų įrodymus, įskaitant patvirtinimus ir sesijų žurnalus
- Naujausią prieigos peržiūros kampanijos rezultatą
- Vadovų patvirtinimų pavyzdžius ir taisomuosius veiksmus
- Personalo nutraukimo ataskaitą, sulygintą su deaktyvavimo žurnalais
- Paslaugų paskyrų registrą, savininkus, periodinio keitimo įrašus ir saugyklos įrodymus
- „Break-glass“ paskyros procedūrą ir testavimo žurnalą
- Incidento arba įspėjimo įrodymus, susijusius su nepavykusiais prisijungimais, privilegijų pakėlimu arba neaktyviomis paskyromis
- Taikomumo pareiškimo įrašus dėl su prieiga susijusių Annex A kontrolės priemonių
Clarysec politikos šį lūkestį išreiškia aiškiai. MVĮ skirtoje Prieigos kontrolės politikoje reikalavimas yra paprastas ir orientuotas į auditą:
„Turi būti tvarkomas saugus visų prieigos suteikimų, pakeitimų ir panaikinimų įrašas.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, 6.1.1 punktas.
Ta pati MVĮ politika RBAC ir MFA tiesiogiai susieja su vaidmenų atsakomybėmis:
„Įgyvendina vaidmenimis grindžiamą prieigos kontrolę (RBAC) ir taiko stiprų autentifikavimą (pvz., daugiaveiksnį autentifikavimą (MFA)).“
Iš skyriaus „Vaidmenys ir atsakomybės“, 4.2.3 punktas.
Didesnėms organizacijoms skirta įmonių Įdarbinimo ir darbo santykių nutraukimo politika reikalauja, kad IAM sistema registruotų paskyrų sukūrimą, vaidmenų ir leidimų priskyrimus bei deaktyvavimo įvykius, palaikytų vaidmenimis grindžiamos prieigos šablonus ir integruotųsi su Personalo sistemomis darbuotojų priėmimo, pareigų keitimo ir išėjimo inicijavimo įvykiams. Ši nuostata padeda audito istoriją papasakoti vienoje vietoje: standartizuotas priėmimas į darbą, Personalo skyriaus inicijuotas tapatybės gyvavimo ciklas ir atsekami IAM įvykiai.
Susiekite IAM, MFA, PAM ir peržiūras su ISO/IEC 27001:2022 kontrolės priemonėmis
Clarysec Zenith Controls: kelių atitikties sričių vadovas prieigos kontrolę traktuoja kaip susijusią kontrolės priemonių šeimą, o ne kaip kontrolinio sąrašo punktą. ISO/IEC 27001:2022 kontekste svarbiausios kontrolės priemonės yra:
- Kontrolės priemonė 5.15, prieigos kontrolė
- Kontrolės priemonė 5.16, tapatybės valdymas
- Kontrolės priemonė 5.17, autentifikavimo informacija
- Kontrolės priemonė 5.18, prieigos teisės
- Kontrolės priemonė 8.2, privilegijuotosios prieigos teisės
- Kontrolės priemonė 8.3, informacijos prieigos ribojimas
- Kontrolės priemonė 8.5, saugus autentifikavimas
- Kontrolės priemonė 8.15, žurnalavimas
- Kontrolės priemonė 8.16, stebėsenos veikla
Autentifikavimo informacijos srityje Zenith Controls susieja kontrolės priemonę 5.17 kaip prevencinę kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą, su veiklos lygmens tapatybės ir prieigos valdymo geba. Ji tiesiogiai susijusi su tapatybės valdymu, saugiu autentifikavimu, vaidmenimis ir atsakomybėmis, priimtinu naudojimu ir politikų laikymusi. Prisijungimo duomenų saugumas apima autentifikatorių gyvavimo ciklą, saugų išdavimą, saugojimą, atkūrimą, atšaukimą, MFA žetonus, privačiuosius raktus ir paslaugų prisijungimo duomenis.
Prieigos teisių srityje Zenith Controls susieja kontrolės priemonę 5.18 su formaliu suteikimu, peržiūra, pakeitimu ir atšaukimu. Ji susijusi su prieigos kontrole, tapatybės valdymu, pareigų atskyrimu, privilegijuotosios prieigos teisėmis ir atitikties stebėsena. Tai kontrolės priemonė, kuri mažiausių privilegijų principą paverčia įrodymais.
Privilegijuotosios prieigos teisių srityje Zenith Controls susieja kontrolės priemonę 8.2 su specialia padidintų paskyrų rizika, įskaitant domeno administratorius, root naudotojus, debesijos nuomininko administratorius, duomenų bazių supernaudotojus ir CI/CD valdiklius. Vadovas privilegijuotąją prieigą susieja su tapatybės valdymu, prieigos teisėmis, informacijos prieigos ribojimu, saugiu autentifikavimu, nuotoliniu darbu, žurnalavimu ir stebėsena.
| Audito tema | ISO/IEC 27001:2022 prieigos įrodymai | NIS2 susiejimas | DORA susiejimas | GDPR susiejimas |
|---|---|---|---|---|
| IAM gyvavimo ciklas | Darbuotojų priėmimo, pareigų keitimo ir išėjimo darbo eiga, prieigos užklausos, patvirtinimai, vaidmenų šablonai, deaktyvavimo žurnalai | Article 21 rizikos valdymo priemonės, prieigos kontrolės politikos ir turto valdymas | Articles 5, 6 ir 9 valdysena, IRT rizikos sistema, loginė sauga ir prieigos kontrolė | Articles 5, 25 ir 32 atskaitomybė, minimizavimas ir saugumas |
| MFA | IdP politika, sąlyginės prieigos ekrano kopijos, MFA registracijos statistika, išimčių patvirtinimai | Article 21(2)(j) MFA arba tęstinis autentifikavimas, kai taikoma | Saugi prieiga prie kritinių IRT sistemų ir IRT rizikos kontrolės priemonės | Tinkamos techninės priemonės nuo neteisėtos prieigos |
| PAM | Privilegijuotųjų paskyrų registras, patvirtinimai, JIT privilegijų pakėlimas, sesijų žurnalai, saugyklos periodinis keitimas | Article 21(2)(i) rizika grindžiama prieigos kontrolė ir turto valdymas | IRT sistemų apsauga, veiklos atsparumas ir stebėsena | Padidintos prieigos prie asmens duomenų ribojimas ir auditas |
| Prieigos peržiūros | Ketvirtiniai arba pusmečio peržiūros įrašai, vadovų patvirtinimai, taisymo užklausos | Kibernetinė higiena, prieigos kontrolės politikos ir turto valdymas | Nuolatinė stebėsena, vaidmenimis grindžiama prieiga ir atšaukimas | Standartizuotoji duomenų apsauga ir įrodoma atskaitomybė |
| Darbo santykių nutraukimas | Personalo nutraukimo sąrašas, paskyros užrakinimo arba ištrynimo įrodymai, prieigos raktų atšaukimas | Savalaikis nereikalingos prieigos panaikinimas | IRT prieigos kontrolė per visą gyvavimo ciklą | Neteisėtos prieigos prie asmens duomenų prevencija |
Viena tinkamai parengta prieigos peržiūros ataskaita gali palaikyti ISO/IEC 27001:2022, NIS2, DORA ir GDPR, jei joje yra taikymo sritis, sistemos savininkas, peržiūrą atliekantis asmuo, paskyrų sąrašas, vaidmens pagrindimas, privilegijuotumo žyma, sprendimai, pašalinimai, išimtys ir užbaigimo data.
MFA įrodymai yra daugiau nei ekrano kopija
Dažna audito klaida – pateikti ekrano kopiją su užrašu „MFA įjungtas“. Auditoriams reikia daugiau. Jie turi žinoti, kur MFA taikomas, kam jis netaikomas, kaip tvirtinamos išimtys, ar privilegijuotosios paskyros įtrauktos į aprėptį ir ar techninė konfigūracija atitinka politiką.
Pagal Zenith Blueprint, etapą „Kontrolės priemonės praktikoje“, 19 žingsnį, auditoriai klaus, kaip taikomos slaptažodžių ir MFA politikos, kurios sistemos apsaugotos, kam taikomas MFA ir ar kritines taikomąsias programas galima patikrinti naudojant pavyzdinę paskyrą. Įrodymai gali apimti IdP konfigūraciją, sąlyginės prieigos politikas, MFA registracijos statistiką ir slaptažodžio atkūrimo procedūras.
Įmonių aplinkoms skirtoje Clarysec Naudotojų paskyrų ir privilegijų valdymo politikoje nurodyta:
„Kai techniškai įmanoma, daugiaveiksnis autentifikavimas (MFA) yra privalomas: 6.3.2.1 Administracinėms ir root lygmens paskyroms 6.3.2.2 Nuotolinei prieigai (VPN, debesijos platformoms) 6.3.2.3 Prieigai prie jautrių arba reglamentuojamų duomenų“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, 6.3.2 punktas.
Tai sukuria tiesioginį audito tiltą. Jei MFA privalomas administratoriaus paskyroms, nuotolinei prieigai ir reglamentuojamiems duomenims, įrodymų pakete turi būti administracinių ir root lygmens paskyrų sąrašai, nuotolinės prieigos konfigūracija, debesijos platformų sąlyginės prieigos politikos, jautrių duomenų taikomųjų programų sąrašai, MFA registracijos ataskaitos, išimčių patvirtinimai, kompensuojančios kontrolės priemonės ir naujausi nepavykusių prisijungimų arba MFA apėjimo bandymų įspėjimų peržiūros įrodymai.
NIST SP 800-53 Rev. 5 kontekste tai atitinka IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access ir AU-2 Event Logging. COBIT 2019 kontekste tai palaiko DSS05.04 Manage user identity and logical access ir susijusias saugumo stebėsenos praktikas.
Papildomi ISO standartai išplečia vaizdą. ISO/IEC 27018:2020 praplečia autentifikavimo lūkesčius viešojoje debesijoje tvarkant asmens duomenis. ISO/IEC 24760-1:2019 palaiko autentifikatoriaus susiejimą ir gyvavimo ciklo valdymą. ISO/IEC 29115:2013 įveda autentifikavimo patikimumo lygius, naudingus sprendžiant, kur būtini aparatiniai raktai arba sukčiavimui atsparus MFA. ISO/IEC 27033-1:2015 palaiko stiprų tinklo autentifikavimą nuotolinei arba tarp tinklų vykdomai prieigai.
PAM įrodymai yra greičiausias kelias į reikšmingą išvadą arba švarų auditą
Privilegijuotoji prieiga yra sritis, kurioje auditoriai tampa ypač skeptiški, nes privilegijuotosios paskyros gali apeiti kontrolės priemones, iškelti duomenis, sukurti išlikimo mechanizmus ir keisti žurnalus. Zenith Blueprint 19 žingsnyje nurodyta:
„Bet kurioje informacinėje sistemoje privilegijuotoji prieiga yra galia, o su šia galia atsiranda rizika.“
Gairėse dėmesys skiriamas tam, kas turi privilegijuotąją prieigą, ką ji leidžia, kaip ji valdoma ir kaip laikui bėgant stebima. Rekomenduojama turėti aktualų registrą, mažiausių privilegijų principą, RBAC, laiku ribotą arba reikiamu metu suteikiamą privilegijų pakėlimą, patvirtinimo darbo eigas, unikalias vardines paskyras, vengti bendrų paskyrų, registruoti „break-glass“ veiksmus, naudoti PAM sistemas, periodiškai keisti prisijungimo duomenis, saugoti juos saugykloje, įrašyti sesijas, taikyti laikiną privilegijų pakėlimą, stebėti ir reguliariai peržiūrėti.
Clarysec įmonių Prieigos kontrolės politika tai paverčia kontrolės reikalavimu:
„Administracinė prieiga turi būti griežtai kontroliuojama taikant: 5.4.1.1 Atskirąsias privilegijuotąsias paskyras 5.4.1.2 Sesijų stebėseną ir įrašymą 5.4.1.3 Daugiaveiksnį autentifikavimą 5.4.1.4 Terminuotą arba darbo eigos inicijuojamą privilegijų pakėlimą“
Iš skyriaus „Valdysenos reikalavimai“, 5.4.1 punktas.
Ši citata beveik yra audito testavimo scenarijus. Jei politikoje nurodytos atskiros administratoriaus paskyros, parodykite privilegijuotųjų paskyrų sąrašą ir įrodykite, kad kiekviena susieta su vardiniu asmeniu. Jei nurodyta sesijų stebėsena, parodykite įrašytas sesijas arba PAM žurnalus. Jei nurodytas MFA, parodykite jo taikymą kiekvienam privilegijuotosios prieigos keliui. Jei nurodytas terminuotas privilegijų pakėlimas, parodykite galiojimo pabaigos laiko žymas ir patvirtinimo užklausas.
MVĮ versija yra tokia pat tiesioginė. Naudotojų paskyrų ir privilegijų valdymo politika MVĮ nurodo:
„Padidintoms arba administracinėms privilegijoms reikalingas papildomas Generalinio direktoriaus arba IT vadovo patvirtinimas; jos turi būti dokumentuotos, terminuotos ir periodiškai peržiūrimos.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, 6.2.2 punktas.
Mažesnėms organizacijoms tai dažnai yra skirtumas tarp „pasitikime savo administratoriumi“ ir „valdome privilegijuotosios prieigos riziką“. Auditorius ne kiekvienoje MVĮ reikalauja įmonės lygio priemonių, bet reikalauja rizikai proporcingų įrodymų. Užklausa, patvirtinimas, laikinas grupės priskyrimas, MFA taikymas ir peržiūros įrašas gali būti pakankami, kai taikymo sritis ribota, o rizika mažesnė.
Prieigos peržiūros įrodo, kad mažiausių privilegijų principas veikia
Prieigos peržiūros parodo, ar leidimai tyliai nesikaupia. Jos taip pat parodo, ar vadovai supranta, kokią prieigą iš tikrųjų turi jų komandos.
Įmonių Naudotojų paskyrų ir privilegijų valdymo politika reikalauja:
„IT saugumo funkcija, bendradarbiaudama su padalinių vadovais, kas ketvirtį turi atlikti visų naudotojų paskyrų ir susijusių privilegijų peržiūras.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, 6.5.1 punktas.
MVĮ atveju Naudotojų paskyrų ir privilegijų valdymo politika MVĮ nustato proporcingą periodiškumą:
„Visų naudotojų paskyrų ir privilegijų peržiūra turi būti atliekama kas šešis mėnesius.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, 6.4.1 punktas.
Patikima prieigos peržiūra apima sistemos pavadinimą, taikymo sritį, peržiūrą atlikusio asmens vardą, eksporto datą, peržiūros datą, tapatybės savininką, padalinį, vadovą, darbo santykių statusą, vaidmenį arba teisę, privilegijuotumo žymą, duomenų jautrumo žymą, sprendimą, taisymo užklausą, uždarymo datą, išimties savininką ir išimties galiojimo pabaigos datą.
Zenith Controls kontekste prieigos teisės 5.18 yra vieta, kur tai tampa kelių atitikties sričių įrodymu. Vadovas susieja prieigos teises su GDPR Article 25, nes prieiga turi būti ribojama pagal projektavimą ir pagal numatytuosius nustatymus. Jis susieja jas su NIS2 Article 21(2)(i), nes prieigos kontrolės politikos ir turto valdymas reikalauja rizika grindžiamo priskyrimo, savalaikio nereikalingos prieigos panaikinimo ir formalaus atšaukimo. Jis susieja jas su DORA, nes finansų IRT sistemoms reikia vaidmenimis grindžiamos prieigos, stebėsenos ir atšaukimo procesų.
Į NIST orientuoti auditoriai dažnai tai tikrina per AC-2 Account Management, AC-5 Separation of Duties ir AC-6 Least Privilege. COBIT 2019 auditoriai žiūri į DSS05.04 Manage user identity and logical access ir DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. ISACA ITAF auditoriai vertina, ar įrodymai yra pakankami, patikimi ir išsamūs.
Darbo santykių nutraukimą ir prieigos raktų atšaukimą lengva atrinkti testavimui
Išeinantys darbuotojai yra viena lengviausių vietų įrodyti, ar gyvavimo ciklas veikia. Auditoriai dažnai pasirenka neseniai išėjusį darbuotoją ir paprašo Personalo skyriaus nutraukimo įrašo, užklausos, paskyros išjungimo žurnalo, SaaS deaktyvavimo įrodymų, VPN pašalinimo, MFA atšaukimo, API rakto pašalinimo ir turto grąžinimo.
Clarysec Įdarbinimo ir darbo santykių nutraukimo politikoje MVĮ nurodyta:
„Nutrauktos paskyros turi būti užrakintos arba ištrintos, o susiję prieigos raktai turi būti atšaukti, įskaitant nuotolinę prieigą (VPN), MFA programos susiejimus ir API raktus.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, 6.3.3 punktas.
Tai svarbu, nes šiuolaikinė prieiga nėra vien naudotojo vardas ir slaptažodis. Prieiga gali išlikti per atnaujinimo žetonus, API raktus, SSH raktus, OAuth suteikimus, paslaugų paskyras, vietinio administratoriaus teises, mobiliąsias sesijas ir trečiųjų šalių portalus. Deaktyvuotas Personalo įrašas be prieigos raktų atšaukimo yra neišsamus įrodymas.
Zenith Blueprint, etapo „Kontrolės priemonės praktikoje“ 16 žingsnis, nurodo organizacijoms būti pasirengusioms su dokumentuotu nutraukimo kontroliniu sąrašu, neseniai išėjusio darbuotojo įrodymais, naudotojo paskyros išjungimo žurnalu iš AD arba MDM, pasirašyta turto grąžinimo forma ir darbo santykių nutraukimo dokumentacija, apimančia konfidencialumo įsipareigojimus.
Marios auditorius paprašė įrodymų apie išeinantį vyresnįjį kūrėją, turėjusį privilegijuotąją prieigą prie produkcinių duomenų bazių. Jos komanda pateikė Įdarbinimo ir darbo santykių nutraukimo politiką MVĮ, pagal Zenith Blueprint 16 žingsnį sudarytą nutraukimo kontrolinį sąrašą, Personalo skyriaus inicijuotą ITSM užklausą, katalogo išjungimo žurnalą, VPN sertifikato atšaukimą, pašalinimą iš GitHub organizacijos, AWS IAM rakto ištrynimą ir uždarytą patikrinimo užklausą, pasirašytą IT vadovo. Įrodymai buvo išsamūs, savalaikiai ir tiesiogiai susieti su politika.
Atlikite trijų pavyzdžių įrodymų sprintą prieš tai padarant auditoriui
Praktinis pasirengimo veiksmas – prieš auditą pasirinkti tris pavyzdžius:
- Naują darbuotoją, įsidarbinusį per pastarąsias 90 dienų
- Privilegijuotą naudotoją, turintį administratoriaus prieigą prie debesijos, duomenų bazės, produkcinės aplinkos arba IAM
- Išėjusį arba vaidmenį pakeitusį darbuotoją iš pastarųjų 90 dienų
| Pavyzdys | Rinktini įrodymai | Išlaikymo sąlyga | Dažna išvada |
|---|---|---|---|
| Naujas darbuotojas | Personalo pradžios įrašas, prieigos užklausa, patvirtinimas, vaidmens priskyrimas, MFA registracija, pirmasis prisijungimas | Prieiga suteikta tik po patvirtinimo ir suderinta su vaidmeniu | Prieiga suteikta prieš patvirtinimą arba vaidmuo per platus |
| Privilegijuotas naudotojas | Verslo pagrindimas, atskira administratoriaus paskyra, MFA įrodymas, PAM patvirtinimas, sesijos žurnalas, ketvirtinė peržiūra | Privilegija yra vardinė, pagrįsta, kai įmanoma terminuota, stebima ir peržiūrima | Bendra administratoriaus paskyra, trūksta MFA, nėra sesijos įrodymų |
| Išeinantis arba perkeliamas darbuotojas | Personalo įvykis, nutraukimo arba vaidmens pakeitimo užklausa, deaktyvavimo žurnalai, VPN pašalinimas, MFA arba API rakto atšaukimas, peržiūros uždarymas | Prieiga panaikinta greitai ir visiškai | SaaS paskyra vis dar aktyvi, API raktas neatšauktas, išlikusi sena narystė grupėje |
Tada kiekvieną pavyzdį susiekite su ISVS įrašais: rizikos scenarijumi, rizikos tvarkymo sprendimu, Taikomumo pareiškimo kontrolės priemonės parinkimu, politikos nuostata, technine konfigūracija, peržiūros įrašu ir korekciniu veiksmu, jei yra spraga.
Tai audito pasirengimą paverčia ne dokumentų rinkimu, o kontrolės priemonių patikrinimu.
Pasirenkite skirtingoms audito perspektyvoms
Skirtinga auditorių patirtis lemia skirtingus klausimus, net kai įrodymai yra tie patys.
| Auditoriaus perspektyva | Pagrindinis dėmesys | Tikėtini įrodymai |
|---|---|---|
| ISO/IEC 27001:2022 auditorius | ISVS procesas, rizikos tvarkymas ir kontrolės priemonių veikimas | Rizikos vertinimas, SoA, patvirtintos politikos, prieigos užklausos, peržiūros įrašai, deaktyvavimo žurnalai |
| ISO/IEC 19011:2018 audito praktika | Imčių atranka, patvirtinimas iš kelių šaltinių ir nuoseklumas | Slaptažodžių nustatymai, užrakinimo slenksčiai, patvirtinimo laiko žymos, įvykdymo įrašai, interviu |
| ISO/IEC 27007:2020 ISVS auditorius | ISVS audito vykdymas ir veiksmingumas | Vaidmenų apibrėžimai, palyginti su faktiniais leidimais, privilegijų patvirtinimo pėdsakai, atšaukimo žurnalai |
| Į NIST orientuotas vertintojas | Techninis įgyvendinimas ir kontrolės priemonių testavimas | AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 ir AU-2 įrodymai iš IAM, PAM ir SIEM priemonių |
| COBIT 2019 arba ISACA auditorius | Valdysena, savininkystė ir įrodymų patikimumas | DSS05.04 ir DSS06.03 procesų įrodymai, rodikliai, išimtys, taisymo veiksmų sekimas |
| DORA peržiūrą atliekantis asmuo | IRT rizika, atsparumas ir kritiškumas | Kritinių sistemų prieigos sąrašai, privilegijuotosios prieigos stebėsena, trečiųjų šalių administratoriaus kontrolės priemonės, atsparumo testavimo sąsajos |
| NIS2 peržiūrą atliekantis asmuo | Vadovybės atskaitomybė ir rizikos priemonės | Valdybos priežiūra, Article 21 prieigos kontrolės priemonės, MFA aprėptis, pasirengimas incidentams |
| GDPR peržiūrą atliekantis asmuo | Asmens duomenų konfidencialumas ir atskaitomybė | Asmens duomenų prieigos ribojimai, Article 25 privatumo pagal numatytuosius nustatymus įrodymai, Article 32 saugumo priemonės |
Įrodymai, tenkinantys visas šias perspektyvas, rodo brandžią atitikties programą ir mažina dubliuojamą darbą.
Dažnos išvados ir prevenciniai veiksmai
Prieigos kontrolės išvados yra nuspėjamos. Prevenciniai veiksmai taip pat.
| Išvada | Kodėl tai svarbu | Prevencija |
|---|---|---|
| Prieigos peržiūros atliekamos, bet privilegijuotosios paskyros neįtraukiamos | Administratoriaus teisės sukuria didžiausio poveikio riziką | Į kiekvieną peržiūrą įtraukite privilegijuotumo žymą, PAM įrašus ir administratorių grupes |
| MFA įjungtas darbuotojams, bet netaikomas paslaugų tarnyboms, rangovams arba debesijos administratoriams | Užpuolikai taikosi į išimtis | Tvarkykite MFA aprėpties ataskaitą ir išimčių registrą su galiojimo pabaigos datomis |
| Priimamų darbuotojų procesas dokumentuotas, bet pareigų keitimai nevaldomi | Po vaidmens pakeitimų kaupiasi perteklinės privilegijos | Inicijuokite prieigos peržiūrą kiekvieno padalinio arba vaidmens pakeitimo metu |
| Bendros administratoriaus paskyros egzistuoja be kompensuojančių kontrolės priemonių | Atskaitomybė silpna | Pakeiskite jas vardinėmis administratoriaus paskyromis arba taikykite saugyklos išdavimo ir sesijų žurnalavimo kontrolę |
| Išeinančių darbuotojų paskyros išjungtos kataloge, bet aktyvios SaaS platformose | Prieiga išlieka už pagrindinio IdP ribų | Tvarkykite taikomųjų programų registrą ir kiekvienos sistemos darbo santykių nutraukimo kontrolinį sąrašą |
| Paslaugų paskyrų slaptažodžiai nežinomi arba niekada nekeičiami | Nežmogiškosios tapatybės tampa paslėptomis galinėmis durimis | Priskirkite savininkus, saugokite paslaptis saugykloje, periodiškai keiskite prisijungimo duomenis ir peržiūrėkite naudojimo žurnalus |
| Politika numato ketvirtinę peržiūrą, bet įrodymai rodo metinę peržiūrą | Politika ir praktika išsiskiria | Koreguokite periodiškumą pagal riziką arba įgyvendinkite dokumentuotą reikalavimą |
| Prieigos patvirtinimai yra el. pašte be saugojimo taisyklės | Audito pėdsakas trapus | Naudokite ITSM darbo eigas ir saugojimą, suderintą su politika |
Įmonių Prieigos kontrolės politika prideda saugojimo reikalavimą, kuris padeda išvengti vieno dažniausių įrodymų trūkumų:
„Patvirtinimo sprendimai turi būti registruojami ir saugomi audito tikslais ne trumpiau kaip 2 metus.“
Iš skyriaus „Valdysenos reikalavimai“, 5.3.2 punktas.
Jei patvirtinimai dingsta po el. pašto išvalymo, kontrolės priemonė galėjo veikti, tačiau auditas negali ja remtis. Saugojimas yra kontrolės priemonės projektavimo dalis.
Vadovybės atskaitomybei reikia prieigos rodiklių
NIS2 Article 20 ir DORA Articles 5 ir 6 prieigos kontrolę paverčia vadovybės klausimu, nes tapatybės kompromitavimas gali virsti veiklos sutrikimu, pranešimu reguliuotojui, duomenų saugumo pažeidimu ir žala klientams. ISO/IEC 27001:2022 5.1–5.3 punktai taip pat reikalauja, kad aukščiausioji vadovybė suderintų ISVS su verslo strategija, suteiktų išteklius, komunikuotų svarbą, priskirtų atsakomybes ir skatintų nuolatinį tobulinimą.
Naudingi prieigos kontrolės rodikliai:
- Kritinių sistemų, padengtų SSO, procentinė dalis
- Privilegijuotųjų paskyrų su MFA procentinė dalis
- Nuolatinių privilegijuotųjų paskyrų skaičius, palyginti su JIT paskyromis
- Prieigos peržiūrų užbaigimo rodiklis
- Atšauktų perteklinių leidimų skaičius
- Išeinančių darbuotojų deaktyvavimo SLA laikymasis
- Neaktyvių paskyrų skaičius
- Paslaugų paskyrų savininkų aprėptis
- PAM sesijų įrašymo aprėptis
- MFA išimčių skaičius ir jų amžius
Šie rodikliai padeda vadovybei patvirtinti rizikos tvarkymą ir įrodyti priežiūrą. Jie taip pat daro auditus patikimesnius, nes organizacija gali parodyti, kad prieigos kontrolė stebima kaip gyva rizika, o ne iš naujo atrandama prieš kiekvieną auditą.
Paverskite išskaidytus įrodymus audito užtikrintumu
Jei ISO/IEC 27001:2022 prieigos kontrolės įrodymai išskaidyti tarp Personalo skyriaus, ITSM, IAM, PAM, debesijos konsolių ir skaičiuoklių, kitas žingsnis nėra dar vienas politikos perrašymas. Kitas žingsnis yra įrodymų architektūra.
Pradėkite šia seka:
- Apibrėžkite taikymo srityje esančias sistemas, tapatybes ir duomenis.
- Susiekite NIS2, DORA, GDPR ir sutartinius reikalavimus su ISVS kontekstu.
- Naudokite ISO/IEC 27005:2022 stiliaus rizikos scenarijus IAM, MFA, PAM ir prieigos peržiūroms prioritetizuoti.
- Atnaujinkite Taikomumo pareiškimą ir rizikos tvarkymo planą.
- Suderinkite politikos nuostatas su faktinėmis IAM ir PAM darbo eigomis.
- Atlikite trijų pavyzdžių įrodymų sprintą.
- Pašalinkite spragas prieš jas randant auditoriui.
- Palaikykite pakartotinai naudojamą įrodymų paketą sertifikavimui, klientų deramam patikrinimui ir reglamentavimo institucijų peržiūroms.
Clarysec gali padėti tai įgyvendinti per Zenith Blueprint: 30 žingsnių auditoriaus veiksmų planą, susieti reikalavimus naudojant Zenith Controls: kelių atitikties sričių vadovą ir operacionalizuoti reikalavimus tinkamu Clarysec politikų rinkiniu, įskaitant Prieigos kontrolės politiką, Naudotojų paskyrų ir privilegijų valdymo politiką ir Įdarbinimo ir darbo santykių nutraukimo politiką.
Pasirengimas prieigos kontrolės auditui nėra įrodymas, kad įsigijote IAM priemonę. Tai įrodymas, kad tapatybės, autentifikavimo, privilegijų ir peržiūros procesai mažina realią verslo riziką ir atitinka jūsų organizacijai svarbius standartus bei reglamentus.
Atsisiųskite Clarysec priemonių rinkinius, atlikite trijų pavyzdžių įrodymų sprintą ir paverskite prieigos kontrolės įrodymus iš išskaidytos netvarkos į aiškų, pakartojamą ir pagrįstą audito portfelį.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
