Microsoft Entra Conditional Access valdysena 2026 m.

Antradienį 09:12 Maria, sparčiai augančios Europos fintech įmonės CISO, atsidaro DORA pasirengimo ataskaitą, kuri turėjo būti įprasta. Jos Microsoft Entra Conditional Access valdymo skydas atrodo stiprus. MFA taikomas administratoriams. Senasis autentifikavimas blokuojamas. Didelės rizikos prisijungimai papildomai tikrinami arba atmetami. Jautrioms finansų taikomosioms programoms reikalaujami reikalavimus atitinkantys įrenginiai. Naršyklės prieiga iš nevaldomų galinių įrenginių ribojama.

Tada ji perskaito auditoriaus išvadą.

„Jūsų Conditional Access taisyklės techniškai pagrįstos, tačiau jos egzistuoja vakuume. Parodykite valdybos patvirtintą politiką, kuri įpareigoja taikyti šiuos nustatymus. Parodykite praėjusį mėnesį pakeistos taisyklės pakeitimo įrašą. Parodykite, kaip didelės rizikos prisijungimo politika veikė įtariamos prisijungimo duomenų užpildymo atakos metu. Parodykite, kaip šie įrodymai pagrindžia ISO 27001, DORA, NIS2 ir GDPR reikalavimus.“

Tapatybių komanda gali eksportuoti konfigūraciją. SOC gali parodyti prisijungimų žurnalus. Atitikties vadovas gali nurodyti politikų aplanką. Tačiau niekas negali pateikti vientisos, valdomos įrodymų istorijos, kuri sujungtų riziką, politiką, patvirtinimą, konfigūraciją, išimtis, stebėseną, reagavimą į incidentus, privatumo įpareigojimus ir vadovybės peržiūrą.

Tai yra Conditional Access valdysenos problema 2026 m.

Microsoft Entra Conditional Access nebėra vien tapatybės nustatymas. Tai valdybos lygmens kontrolės priemonių sistema, kuri nustato, kas gali pasiekti debesijos paslaugas, kokiomis sąlygomis, iš kokių įrenginių, su kokio stiprumo autentifikavimu ir kokiais sesijų apribojimais. Reguliuojamoms organizacijoms šie sprendimai turi būti paaiškinami, pagrindžiami ir susieti su ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ir COBIT 2019 įpareigojimais.

Conditional Access dabar yra audituojama kontrolės priemonių sistema

Conditional Access yra tapatybės, įrenginio saugumo būsenos, taikomosios programos jautrumo, vietos, prisijungimo rizikos, naudotojo rizikos, sesijos elgsenos ir žurnalų tvarkymo sankirtoje. Viena politika gali reikalauti MFA, reikalauti reikalavimus atitinkančio įrenginio, blokuoti prieigą iš rizikingos vietos, riboti atsisiuntimus iš nevaldomų naršyklių arba priverstinai reikalauti pakartotinio autentifikavimo pasikeitus rizikai.

Dėl to tai yra vienas stipriausių nulinio pasitikėjimo modelio taikymo taškų Microsoft debesijos aplinkose. Kartu tai yra itin audituojama sritis.

Pagal ISO/IEC 27001:2022 kontrolės priemonė nėra brandi vien todėl, kad ji egzistuoja portale. Organizacija turi suprasti savo kontekstą, įvertinti informacijos saugumo rizikas, parinkti rizikos tvarkymo priemones, dokumentuoti Taikytinumo pareiškimą, eksploatuoti kontrolės priemones, stebėti veiksmingumą ir laikui bėgant tobulinti. Aktualūs punktai apima 6.1.2 punktą dėl rizikos vertinimo, 6.1.3 punktą dėl rizikos tvarkymo, 7.5 punktą dėl dokumentuotos informacijos, 8.1 punktą dėl operacinio planavimo ir kontrolės, 9.1 punktą dėl stebėsenos ir 9.3 punktą dėl vadovybės peržiūros.

A priedas, suderintas su ISO/IEC 27002:2022, pateikia praktinę kontrolės priemonių kalbą, kurią auditoriai atpažins. Conditional Access paprastai palaiko:

• 5.15 prieigos kontrolė
• 5.16 tapatybės valdymas
• 5.17 autentifikavimo informacija
• 5.18 prieigos teisės
• 8.1 naudotojų galiniai įrenginiai
• 8.2 privilegijuotos prieigos teisės
• 8.3 informacijos prieigos ribojimas
• 8.5 saugus autentifikavimas
• 8.15 žurnalų tvarkymas
• 8.16 stebėsenos veiklos

ES reguliuojamoms organizacijoms valdysenos našta dar aiškesnė. NIS2 20 straipsnis nustato valdymo organų atsakomybę patvirtinti ir prižiūrėti kibernetinio saugumo rizikos valdymo priemones. NIS2 21 straipsnis reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant prieigos kontrolę, turto valdymą, kibernetinę higieną, incidentų valdymą, tiekimo grandinės saugumą, veiksmingumo vertinimą ir, kai tinkama, daugiaveiksnį arba tęstinį autentifikavimą. NIS2 23 straipsnis įveda etapais vykdomą pranešimą apie reikšmingus incidentus, įskaitant ankstyvąjį įspėjimą per 24 valandas, pranešimą apie incidentą per 72 valandas ir galutinę ataskaitą per vieną mėnesį.

DORA finansų subjektams kelia panašius lūkesčius. 5 straipsnis reikalauja vidaus valdysenos ir kontrolės sistemos. 6 straipsnis reikalauja IRT rizikos valdymo sistemos. 9 straipsnis apima apsaugą ir prevenciją, įskaitant prieigos apribojimus ir tapatybės valdymo praktikas. 10, 11, 17, 18 ir 19 straipsniai susieja aptikimą, reagavimą, atkūrimą, IRT incidentų valdymą, klasifikavimą ir pranešimų teikimą. Kadangi DORA taikoma nuo 2025 m. sausio 17 d., finansų subjektai Conditional Access turėtų laikyti operacinio atsparumo įrodymų dalimi, o ne vien tapatybės stiprinimo priemone.

GDPR prideda privatumo perspektyvą. Jei Conditional Access saugo sistemas, kuriose tvarkomi asmens duomenys, ji palaiko 5 straipsnio atskaitomybės principus, 24 straipsnio duomenų valdytojo atsakomybę, 25 straipsnio pritaikytosios duomenų apsaugos reikalavimus ir 32 straipsnio tvarkymo saugumą. Jei įtariama neteisėta prieiga, Conditional Access žurnalai gali tapti pažeidimo vertinimo ir pranešimo įrodymų dalimi.

Klaida yra šiuos dalykus laikyti atskiromis audito užklausomis. Brandus požiūris – vienas Conditional Access valdysenos modelis, kurį galima pateikti pagal konkretų standartą, reguliuotoją, klientą ar valdybos auditoriją.

Konfigūracija nėra valdysena

Dauguma organizacijų gali atsakyti į klausimą „Kas sukonfigūruota?“ Kur kas mažiau organizacijų gali atsakyti į sudėtingesnius klausimus:

• Kodėl ši Conditional Access politika sukonfigūruota būtent taip?
• Kurį rizikos scenarijų ji tvarko?
• Kuri politikos nuostata to reikalauja?
• Kas patvirtino pakeitimą?
• Kurie naudotojai, taikomosios programos ir įrenginiai neįtraukti?
• Kaip tai testuojama?
• Kokie žurnalai įrodo, kad tai veikė?
• Kaip dažnai tai peržiūrima?
• Kas nutinka, kai kontrolės priemonė nesuveikia?

Būtent čia dažniausiai atsiranda audito išvados. Politikos egzistuoja, bet nėra susietos su Microsoft Entra nustatymais. Įrenginių atitiktį valdo IT operacijos, tačiau ji nesiejama su prieigos kontrolės rizika. Prisijungimo rizikos politikos įjungtos be dokumentuotų slenksčių ar eskalavimo taisyklių. Sesijų apribojimai sukonfigūruoti, bet niekada netestuoti iš nevaldomų įrenginių. Žurnalai saugomi, tačiau nepaverčiami audito įrodymais.

Clarysec tai vertina kaip atsekamumo problemą. Kiekvienas Conditional Access sprendimas turi susieti politiką, riziką, kontrolės priemonę, konfigūraciją, įrodymus ir peržiūrą.

MVĮ skirta Debesijos paslaugų naudojimo politika Debesijos paslaugų naudojimo politika-sme – MVĮ nurodo:

Daugiaveiksnis autentifikavimas (MFA) administravimo ir naudotojų paskyroms

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.2.2.

Ši nuostata yra įpareigojimas. Conditional Access taisyklė yra įgyvendinimas. Prisijungimo žurnalas yra įrodymas. Peržiūros įrašas pagrindžia priežiūrą.

MVĮ skirta Tinklo saugumo politika Tinklo saugumo politika-sme – MVĮ papildo įrenginio saugumo būsenos reikalavimą:

Sistemos, kuriose nėra naujausios antivirusinės apsaugos, pataisų arba priimtinos įrenginio saugumo būsenos, turi būti blokuojamos arba karantinuojamos

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.4.3.

Microsoft Entra terminais tai gali tapti „reikalauti reikalavimus atitinkančio įrenginio“, „blokuoti nepalaikomas platformas“, „riboti nevaldomų naršyklių sesijas“ arba „atsisakyti suteikti prieigą prie didelės rizikos taikomųjų programų iš nežinomų įrenginių“. Tačiau kontrolės priemonė nėra užbaigta, kol organizacija negali įrodyti taikymo srities, patvirtinimo, testavimo, išimčių ir stebėsenos.

Prieš taisyklių rinkinį sukurkite valdysenos pagrindą

Stipri Conditional Access programa prasideda už Entra portalo ribų. Ji prasideda nuo ISVS, rizikų registro, Prieigos kontrolės politikos, Debesijos paslaugų naudojimo politikos, SoA ir įrodymų modelio.

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas Zenith Blueprint pateikia praktinę seką. Rizikos valdymo etape, 13 žingsnyje „Rizikos tvarkymo planavimas ir Taikytinumo pareiškimas“, organizacijoms nurodoma susieti kontrolės priemones su rizikomis ir reguliavimo veiksniais:

Kryžmiškai susiekite reglamentus: jei tam tikros kontrolės priemonės įgyvendintos konkrečiai siekiant atitikti GDPR, NIS2 arba DORA, tai galite pažymėti Rizikų registre kaip rizikos poveikio pagrindimo dalį arba SoA pastabose.

Conditional Access atveju tai pakeičia įrodymų istoriją. Užuot sakiusi „Įjungėme MFA“, organizacija gali pasakyti:

• Rizikos scenarijus: kompromituoti naudotojų prisijungimo duomenys leidžia neteisėtai pasiekti klientų duomenis Microsoft 365 ir finansų SaaS.
• Rizikos savininkas: IT saugumo vadovas.
• Tvarkymas: Entra Conditional Access reikalauja stipraus MFA privilegijuotiems vaidmenims, MFA naudotojams, blokuoja prisijungimo riziką, reikalauja reikalavimus atitinkančių įrenginių jautrioms taikomosioms programoms ir taiko sesijų apribojimus nevaldomiems galiniams įrenginiams.
• ISO/IEC 27002:2022 susiejimas: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 ir 8.16.
• Reguliavimo susiejimas: NIS2 20, 21 ir 23 straipsniai, DORA 5, 6, 9, 10, 17 ir 18 straipsniai, GDPR 24, 25, 32 ir 33 straipsniai.
• Įrodymai: politikos patvirtinimas, Conditional Access eksportas, pakeitimo užklausa, testavimo rezultatai, prisijungimų žurnalai, įrenginių atitikties ataskaitos, išimčių registras, SOC užklausos ir vadovybės peržiūros protokolai.

Zenith Blueprint taip pat paaiškina kontrolės priemonių taikymo etapo 19 žingsnyje, kodėl įrenginio saugumo būsena turi būti prieigos sprendimo dalis:

Prieiga prie informacijos per galinius įrenginius turi būti grindžiama kontekstu. Pavyzdžiui, ar įrenginys atitinka minimalius saugumo standartus prieš pasiekdamas įmonės išteklius? Ar neseniai atliktas kenkėjiškos programinės įrangos skenavimas? Ar jungiamasi iš neįprastos vietos ar tinklo? Integruojant nulinio pasitikėjimo modelio principus, galinio įrenginio saugumo būsena gali būti naudojama sąlyginei prieigai, neleidžiant prisijungti, kol įrenginys neįrodo, kad yra saugus.

Tai pagrindinis valdysenos principas. Conditional Access turi būti grindžiama rizika ir kontekstu bei generuoti įrodymus.

Susiekite Conditional Access sprendimus su kontrolės tikslais

Brandžioje programoje apibrėžiami standartiniai prieigos sprendimai, o tada kiekvienas jų susiejamas su valdysenos tikslu ir įrodymais. Tai apsaugo nuo politikų pertekliaus ir palengvina pokalbius audito metu.

Įmonės Debesijos paslaugų naudojimo politika Debesijos paslaugų naudojimo politika palaiko centralizuotą tapatybės integraciją:

Vieningo prisijungimo (SSO) integracija su organizacijos tapatybės teikėju yra privaloma siekiant užtikrinti autentifikavimo nuoseklumą.

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.2.4.

Įmonės Naudotojų paskyrų ir privilegijų valdymo politika Naudotojų paskyrų ir privilegijų valdymo politika stebėseną apibrėžia aiškiai:

Vieningo prisijungimo (SSO) sistemų naudojimas turi būti integruotas su centriniais tapatybės teikėjais (pvz., Active Directory (AD), Azure AD) ir stebimas dėl anomalios prisijungimo veiklos.

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.3.4.

Kartu šios nuostatos reikalauja daugiau nei SSO. Jos reikalauja centrinės tapatybės architektūros, nuoseklaus autentifikavimo, anomalių prisijungimų stebėsenos ir įrodymų, kad prieigos sprendimai yra peržiūrimi.

Įrenginių atitiktis: kontrolės priemonė, kurią auditoriai gali testuoti

Įrenginių atitiktis yra viena sričių, kurias lengviausia pervertinti. Valdymo skydas gali rodyti, kad 92 procentai įrenginių atitinka reikalavimus, tačiau auditorius klaus, ar taisyklė taikoma svarbioms taikomosioms programoms, ar leidžiami asmeniniai įrenginiai, ar blokuojamos nepalaikomos platformos ir ar patvirtintos išimtys.

Įmonės Nuotolinio darbo politika Nuotolinio darbo politika nustato patvirtinimo bazę:

BYOD įrenginiai turi būti aiškiai patvirtinti ir:

Iš skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.2.2.

Šis trumpas sakinys svarbus. BYOD nėra vien techninė būsena. Tai valdysenos sprendimas. Conditional Access kontekste jis turi virsti įrenginio nuosavybės taisyklėmis, minimaliais atitikties baziniais reikalavimais, šifravimo reikalavimais, pataisų ir apsaugos nuo kenkėjiškos programinės įrangos patikromis, mobiliųjų programų apsauga, rangovų valdymu ir išimčių peržiūra.

Clarysec Zenith Controls: daugiaatitikties vadovas Zenith Controls susieja ISO/IEC 27002:2022 kontrolės priemonę 5.15 prieigos kontrolė kaip prevencinę priemonę, saugančią konfidencialumą, vientisumą ir prieinamumą tapatybės ir prieigos valdymo operaciniuose gebėjimuose. Ji taip pat susieja prieigos kontrolę su naudotojų galiniais įrenginiais, nes nevaldomi nešiojamieji kompiuteriai, mobilieji įrenginiai ir staliniai kompiuteriai gali pakenkti centralizuotam prieigos taikymui.

Praktiniame ketvirtiniame Conditional Access įrenginių įrodymų rinkinyje turėtų būti:

• Patvirtintas įrenginių atitikties bazinis reikalavimas.
• Conditional Access politikos, reikalaujančios reikalavimus atitinkančių įrenginių.
• Taikomosios programos, saugomos šiomis politikomis.
• Neįtrauktų naudotojų, grupių, taikomųjų programų ir platformų eksportas.
• Reikalavimų neatitinkančių įrenginių tendencijų ataskaita.
• Reikalavimų neatitinkančių įrenginių užblokuotų prisijungimų žurnalų pavyzdžiai.
• Išimčių registras su savininku, priežastimi, galiojimo pabaigos data ir rizikos priėmimu.
• Vadovybės peržiūros įrašas.

Šis įrodymų rinkinys palaiko ISO/IEC 27001:2022 operacinę kontrolę, NIS2 kibernetinę higieną, DORA apsaugą ir prevenciją bei GDPR atskaitomybę.

Prisijungimo rizika: aptikimas turi tapti sprendimo įrodymu

Rizika grindžiama Conditional Access yra vieta, kur tapatybės aptikimas tampa prieigos valdysena. Microsoft Entra gali vertinti tokius signalus kaip neįprastos prisijungimo ypatybės, anoniminiai IP adresai, neįmanomos kelionės ir nutekėję prisijungimo duomenys. Tačiau auditoriai nepriims atsakymo „rizikos politika įjungta“ kaip galutinio. Jie klaus, kodėl pasirinkti konkretūs slenksčiai, kas peržiūri rizikingus įvykius ir kada didelės rizikos prisijungimas tampa incidentu.

MVĮ skirta Žurnalų tvarkymo ir stebėsenos politika Žurnalų tvarkymo ir stebėsenos politika-sme – MVĮ apibrėžia minimalų žurnalavimo reikalavimą:

Autentifikavimo žurnalai: sėkmingi ir nesėkmingi prisijungimo bandymai, sesijos trukmė, MFA naudojimas

Iš skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.4.2.

Įmonės Žurnalų tvarkymo ir stebėsenos politika Žurnalų tvarkymo ir stebėsenos politika išplečia tikėtinų įvykių rinkinį:

Fiksuotini įvykių tipai (pvz., prisijungimai, prieigos nesėkmės, konfigūracijos pakeitimai, administracinės komandos, kenkėjiškos programinės įrangos aptikimas)

Iš skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.1.1.

Conditional Access atveju naudingi įrodymai turėtų apimti sėkmingus prisijungimus, nesėkmingus prisijungimus, Conditional Access politikos rezultatą, MFA metodą, prisijungimo riziką, naudotojo riziką, įrenginio atitikties būseną, pasiektą taikomąją programą, vietą, kliento programą, sesijos kontrolės rezultatą, politikos pakeitimų istoriją ir administracinius veiksmus.

Zenith Controls susieja ISO/IEC 27002:2022 kontrolės priemonę 8.16 stebėsenos veiklos kaip nustatomąją ir korekcinę, susijusią su aptikimo ir reagavimo sąvokomis. Ji susieja stebėseną su žurnalų tvarkymu, įvykių vertinimu, grėsmių žvalgyba, tiekėjų stebėsena ir incidentų valdymu. Ji taip pat susieja stebėsenos veiklas su GDPR 32 ir 33 straipsniais, NIS2 incidentų stebėsena ir pranešimų teikimu, DORA IRT incidentų sekimu, NIST tęstine stebėsena ir COBIT saugumo stebėsena.

Todėl Conditional Access užblokuotas didelės rizikos prisijungimas nėra vien saugumo laimėjimas. Tai įrodymas, kad prevenciniai, nustatomieji ir reagavimo procesai yra sujungti.

Sesijų kontrolės priemonės: prieigos ir duomenų apsaugos sąsaja

Sprendimų prieš suteikiant prieigą nepakanka. Naudotojui autentifikavusis, sesijų kontrolės priemonės nustato, kiek ekspozicijos išlieka. Tai ypač svarbu nevaldomiems įrenginiams, rangovams, nuotoliniam darbui, bendriems terminalams, rizikingoms vietoms ir taikomosioms programoms, kuriose tvarkomi asmens duomenys.

MVĮ skirta Taikomųjų programų saugumo reikalavimų politika Taikomųjų programų saugumo reikalavimų politika-sme – MVĮ nurodo:

Sesijų valdymas: sesijų duomenys turi nustoti galioti po 15 minučių neveiklumo ir, kai taikoma, turi būti pateikiami įspėjimai apie laiko limitą.

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.1.1.3.

Microsoft Entra valdysenoje tai gali būti siejama su prisijungimo dažniu, nuolatinių naršyklės sesijų apribojimais, Conditional Access App Control, taikomųjų programų taikomais apribojimais, atsisiuntimų blokavimu, pakartotiniu autentifikavimu pasikeitus rizikai ir jautrumu grindžiamais sesijų apribojimais.

Sesijų kontrolės priemonės palaiko ISO/IEC 27002:2022 kontrolės priemonę 8.3 informacijos prieigos ribojimas ir 8.5 saugus autentifikavimas. Jos taip pat palaiko GDPR 32 straipsnį, mažindamos neteisėtą asmens duomenų peržiūrą, atsisiuntimą arba prieigos išlikimą. DORA kontekste sesijų apribojimai padeda riboti ekspoziciją IRT sistemose ir palaiko aptikimą bei reagavimą. NIS2 kontekste tai yra proporcingos prieigos kontrolės ir kibernetinės higienos priemonės.

Įrodymai turi paaiškinti, kodėl sesijos kontrolės priemonė egzistuoja. Pavyzdžiui, „blokuoti atsisiuntimą iš nevaldomų įrenginių HR ir finansų taikomosioms programoms“ turėtų būti susieta su asmens duomenų nutekėjimu, galinio įrenginio kompromitavimu ir konfidencialumo praradimu. Įrodymai turėtų apimti konfigūraciją, taikomųjų programų taikymo sritį, testinius prisijungimus iš valdomų ir nevaldomų įrenginių, apribojimus rodančius žurnalus ir patvirtinimo įrašus.

Sukurkite Conditional Access kontrolės priemonių registrą

Conditional Access kontrolės priemonių registras yra operacinis tiltas tarp rizikų registro, Taikytinumo pareiškimo ir Microsoft Entra konfigūracijos. Jis nepakeičia šių dokumentų. Jis padaro juos praktiškai naudojamus.

Naudokite penkių žingsnių peržiūros ciklą:

1. Patvirtinkite taikymo sritį: nustatykite debesijos taikomąsias programas, kuriose tvarkomi reguliuojami, finansiniai, operaciniai arba asmens duomenys.
2. Susiekite politikas su rizikomis: kiekvieną Conditional Access politiką susiekite bent su vienu rizikos scenarijumi ir vienu rizikos savininku.
3. Patikrinkite išimtis: eksportuokite neįtrauktus naudotojus, vaidmenis, programas, grupes, vietas ir įrenginius. Kiekvienai išimčiai reikia savininko, priežasties, patvirtinimo ir galiojimo pabaigos.
4. Testuokite įgyvendinimą: naudokite testines paskyras MFA, įrenginių atitikčiai, rizikos blokavimui, senojo autentifikavimo blokavimui ir sesijų apribojimams patikrinti.
5. Parenkite įrodymų paketą: saugokite eksportus, ekrano kopijas, žurnalus ir patvirtinimus kartu su metaduomenimis.

MVĮ skirta Audito ir atitikties stebėsenos politika Audito ir atitikties stebėsenos politika-sme – MVĮ yra kritinė įrodymų vientisumui:

Metaduomenys (pvz., kas juos surinko, kada ir iš kurios sistemos) turi būti dokumentuojami.

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos nuostata 6.2.3.

Ekrano kopijos be šaltinio, datos, rinkėjo ir sistemos konteksto yra silpni įrodymai. Conditional Access eksportai, prisijungimų žurnalai ir peržiūrų ataskaitos turi būti tvarkomi kaip kontroliuojami audito įrašai.

Conditional Access įrodymų daugiaatitikties susiejimas

Conditional Access vertė yra ta, kad tinkamai valdant vienas kontrolės priemonių rinkinys gali patenkinti kelias audito perspektyvas.

Zenith Controls taip pat susieja 5.15 prieigos kontrolę su GDPR 32 straipsniu, NIS2 Article 21(2)(i), DORA prieigos valdysenos sąvokomis, NIST SP 800-53 prieigos kontrolės šeimomis ir COBIT 2019 DSS06.04. Ji susieja 8.5 saugų autentifikavimą su GDPR 5, 24, 25 ir 32 straipsniais, NIS2 kibernetinio saugumo rizikos valdymu, DORA IRT rizikos valdymu, NIST identifikavimu ir autentifikavimu bei COBIT tapatybės ir loginės prieigos sritimis.

Pamoka paprasta. Standartai ir reglamentai vartoja skirtingą kalbą, tačiau tikisi to paties patikinimo modelio: tinkami naudotojai, iš priimtinų kontekstų, naudojant stiprų autentifikavimą, per valdomas sesijas, o žurnalai įrodo, kas įvyko.

Kaip auditoriai vertins Conditional Access

ISO/IEC 27001:2022 auditorius pradės nuo ISVS. Jis klaus, ar Conditional Access patenka į taikymo sritį, kokias rizikas ji tvarko, kaip ji nurodyta SoA, kaip patvirtinamos politikos, kaip kontroliuojami pakeitimai ir ar įrodymai pagrindžia veikimo veiksmingumą. Tikėtina privilegijuotų naudotojų, jautrių taikomųjų programų, išimčių ir nesenų politikos pakeitimų atranka.

DORA arba NIS2 auditorius daugiausia dėmesio skirs operaciniam atsparumui, vadovybės atskaitomybei ir rizikai. Jis gali klausti, kaip prieigos kontrolės priemonės saugo kritines arba svarbias funkcijas, kaip valdyba prižiūri tapatybės riziką, kaip atliekamas didelės rizikos prisijungimų triažas ir ar prieigos nesėkmės naudojamos incidentų klasifikavimo ar pranešimų sprendimuose.

Į GDPR orientuotam auditoriui rūpės asmens duomenys. Jis gali klausti, kaip HR, finansų ar klientų duomenys apsaugomi nuo nevaldomų įrenginių, kaip sesijų kontrolės priemonės mažina neteisėtą peržiūrą, kaip prieiga apribojama autorizuotiems naudotojams ir kaip žurnalai palaiko pažeidimo vertinimą.

COBIT 2019 vertintojas ieškos valdysenos praktikų, savininkystės, rodiklių, pakartojamumo, veiklos stebėsenos ir tobulinimo. NIST orientuotas vertintojas tapatybės, autentifikavimo, autorizavimo, stebėsenos ir reagavimo rezultatus lygins su techniniais įrodymais.

Įmonės Prieigos kontrolės politika Prieigos kontrolės politika nustato privilegijuotos prieigos kryptį:

Administratoriaus lygmens prieiga turi būti griežtai kontroliuojama naudojant:

Iš skyriaus „Valdysenos reikalavimai“, politikos nuostata 5.4.1.

Jūsų Microsoft Entra įrodymai turi operaciniu lygmeniu užbaigti šį sakinį. Kurie vaidmenys yra privilegijuoti? Kuriems reikalaujama fišingui atsparaus arba stipraus MFA? Kurie yra tinkami per privilegijuotų tapatybių valdymą? Kurios paskyros yra „break glass“ paskyros? Kurios neįtrauktos į politikas? Kas jas peržiūri? Kur siunčiami įspėjimai?

Valdybos rodikliai Conditional Access valdysenai

Kadangi NIS2 ir DORA pabrėžia vadovybės atskaitomybę, Conditional Access ataskaitos turi būti suprantamos valdybai. Venkite teikti vien politikų pavadinimus. Teikite rizikos laikyseną ir kontrolės veiksmingumą.

Naudingi rodikliai:

• Privilegijuotų paskyrų, apsaugotų stipriu MFA, procentinė dalis.
• Conditional Access išimčių skaičius pagal rizikos lygį.
• Užblokuotų, papildomai patikrintų arba leistų didelės rizikos prisijungimų skaičius.
• Jautrių taikomųjų programų prieigos, kuriai reikalaujami reikalavimus atitinkantys įrenginiai, procentinė dalis.
• Nevaldomų įrenginių sesijų prie reguliuojamų taikomųjų programų skaičius.
• Didelės rizikos prisijungimo įvykių triažo laikas.
• Conditional Access politikos pakeitimų skaičius per ketvirtį.
• Pasibaigusių, pratęstų ir vėluojančių išimčių skaičius.
• Autentifikavimo, sesijų ir politikos pakeitimų žurnalavimo aprėptis.
• Nepavykę ketvirtinės Conditional Access validacijos testavimo atvejai.

Šie rodikliai tapatybės konfigūraciją paverčia priežiūros įrodymais. Jie taip pat padeda valdymo organams pagrįsti patvirtinimą, peržiūrą, išteklių skyrimą ir nuolatinį tobulinimą.

Dažnos išvados, kurias reikia pašalinti prieš auditą

Conditional Access išvados paprastai kyla dėl valdysenos silpnumo, o ne technologijos nesėkmės. Dažniausios problemos:

• „Break-glass“ paskyros neįtrauktos, bet nestebimos.
• Politikos vadinamos nenuosekliai ir neturi savininkų.
• Įrenginių atitikties taisyklės neapima jautrių taikomųjų programų.
• Svečiai naudotojai ir išoriniai bendradarbiai apeina standartines kontrolės priemones.
• Paslaugų paskyros ir darbo krūvių tapatybės nevaldomos atskirai.
• Prisijungimo rizikos aptikimai netriažuojami ir nesusiejami su incidentais.
• Sesijų kontrolės priemonės niekada netestuojamos iš nevaldomų įrenginių.
• Politikos pakeitimai atliekami tiesiogiai produkcinėje aplinkoje be pakeitimų įrašų.
• Išimtys yra nuolatinės, nedokumentuotos arba patvirtintos žodžiu.
• Žurnalai saugomi, bet neperžiūrimi.
• Įrodymams trūksta metaduomenų, šaltinio konteksto arba saugojimo grandinės.

2026 m. pasirengusi tikslinė būsena apima vadovybės patvirtintą prieigos valdyseną, rizika grindžiamą Conditional Access projektavimą, aiškų ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 susiejimą, dokumentuotą NIS2, DORA ir GDPR palaikymą, stiprų MFA pagal vaidmenį ir riziką, įrenginių atitiktį jautriai prieigai, sesijų apribojimus nevaldomiems kontekstams, stebimą autentifikavimą ir politikos pakeitimus, išimčių gyvavimo ciklą, ketvirtinį testavimą ir vadovybės ataskaitų teikimą.

Paverskite Microsoft Entra auditui tinkamais įrodymais

Jūsų Conditional Access politikos jau priima saugumo sprendimus kiekvieną minutę. Klausimas – ar šie sprendimai yra valdomi, grindžiami rizika, stebimi ir susieti su įpareigojimais, kurie svarbūs jūsų auditoriams ir reguliuotojams.

Pradėkite nuo Zenith Blueprint Zenith Blueprint, ypač 13 žingsnio, kad susietumėte Conditional Access politikas su rizikomis, rizikos tvarkymo priemonėmis, Taikytinumo pareiškimu ir reguliavimo pastabomis. Naudokite Zenith Controls Zenith Controls, kad susietumėte prieigos kontrolę, saugų autentifikavimą, galinių įrenginių saugumo būseną, žurnalų tvarkymą ir stebėseną su ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST ir COBIT 2019.

Tada suderinkite savo vidinius reikalavimus su Clarysec politikomis, įskaitant Debesijos paslaugų naudojimo politika-sme, Tinklo saugumo politika-sme, Žurnalų tvarkymo ir stebėsenos politika-sme, Audito ir atitikties stebėsenos politika-sme, Taikomųjų programų saugumo reikalavimų politika-sme, Debesijos paslaugų naudojimo politika, Naudotojų paskyrų ir privilegijų valdymo politika, Nuotolinio darbo politika, Prieigos kontrolės politika ir Žurnalų tvarkymo ir stebėsenos politika.

Clarysec padeda Microsoft Entra Conditional Access paversti iš nustatymų rinkinio į įgyvendinamą, išmatuojamą ir auditui tinkamą kontrolės priemonių sistemą. Atsisiųskite aktualius Clarysec priemonių rinkinius, užsisakykite politikų susiejimo peržiūrą arba rezervuokite vertinimą, kad pamatytumėte, ar jūsų Conditional Access įrodymai atlaikytų ISO 27001, NIS2, DORA ir GDPR patikrą.