Nulinio pasitikėjimo architektūra 2026 m.: auditui parengti įrodymai

Pirmadienio ryto nulinio pasitikėjimo auditas, kurio niekas neplanavo
Pirmadienį 08:12 Europos SaaS finansinių technologijų bendrovės CISO per penkias minutes gauna tris pranešimus.
Pirmasis — iš banko kliento: „Prašome pateikti jūsų nulinio pasitikėjimo architektūros įrodymų paketą mūsų metinei IRT trečiųjų šalių peržiūrai.“
Antrasis — iš teisės skyriaus: „Vienoje valstybėje narėje galime būti priskirti svarbiam subjektui pagal NIS2, o kai kurie klientai klausia, ar DORA reikalavimai mums taikomi kaip IRT paslaugų teikėjui.“
Trečiasis — iš inžinerijos vadovo: „Turime MFA, SSO, EDR, Kubernetes tinklo politikas ir SIEM įspėjimus. Ar tai jau nulinio pasitikėjimo modelis?“
Čia daugelis organizacijų užstringa. Jos turi saugumo priemones, bet neturi nulinio pasitikėjimo atitikties veiklos modelio. Jos gali parodyti MFA ekrano kopijas, tačiau negali paaiškinti, kaip tapatybė, įrenginio saugumo būsena, mažiausios teisės, segmentavimas, stebėsena, pranešimas apie incidentus, privatumo apsaugos priemonės ir priklausomybės nuo tiekėjų dera tarpusavyje. Jos gali parodyti kontrolės priemones, bet ne atsekamumą.
2026 m. NIST SP 800-207 grindžiama nulinio pasitikėjimo architektūra turi reikšti daugiau nei „niekada nepasitikėk, visada tikrink“. CISO, atitikties vadovams, auditoriams ir verslo savininkams praktinis klausimas yra konkretesnis:
Kaip nulinio pasitikėjimo modelį paversti įrodymais, kurie tenkina ISO/IEC 27001:2022, NIS2 kibernetinės higienos lūkesčius, DORA IRT rizikos valdymą, GDPR Article 32 tvarkymo saugumą, klientų deramą patikrinimą ir valdybos priežiūrą?
Atsakymas nėra dar viena priemonė. Tai rizika grindžiamas įrodymų modelis, susiejantis politiką, kontrolės priemones, techninį įgyvendinimą, stebėseną ir vadovybės atskaitomybę.
Nulinio pasitikėjimo modelis 2026 m.: nuo saugumo strategijos iki atitikties įrodymų
NIST SP 800-207 nulinio pasitikėjimo modelį apibrėžia kaip principų rinkinį saugioms sistemoms projektuoti ir eksploatuoti, kai pasitikėjimas niekada nėra numanomas. Prieiga suteikiama pagal tapatybę, kontekstą, politiką, turto saugumo būseną ir nuolatinį vertinimą.
Septyni NIST nulinio pasitikėjimo principai ypač naudingi, nes neapibrėžtą saugumo šūkį paverčia tuo, ką galima susieti, testuoti ir audituoti:
- Visi duomenų šaltiniai ir skaičiavimo paslaugos laikomi ištekliais.
- Visa komunikacija saugoma nepriklausomai nuo tinklo vietos.
- Prieiga prie atskirų įmonės išteklių suteikiama kiekvienos sesijos pagrindu.
- Prieiga prie išteklių nustatoma pagal dinaminę politiką, įskaitant tapatybės, įrenginio, taikomosios programos ir elgsenos atributus.
- Įmonė stebi ir matuoja viso nuosavo ir susijusio turto vientisumą bei saugumo būseną.
- Visų išteklių autentifikavimas ir autorizavimas yra dinamiški ir griežtai taikomi prieš leidžiant prieigą.
- Įmonė renka informaciją apie turtą, infrastruktūrą ir komunikaciją, o tada ją naudoja saugumo būsenai gerinti.
Šiuolaikiniam SaaS teikėjui, skaitmeniniam bankui, valdomų paslaugų teikėjui ar debesijai pritaikytai platformai šie principai virsta praktinėmis kontrolės sritimis:
- Tapatybė tikrinama ir valdoma.
- Įrenginiai vertinami prieš suteikiant prieigą.
- Privilegijuota prieiga minimizuojama ir peržiūrima.
- Tinklo keliai segmentuojami ir kontroliuojami.
- Taikomosios programos, taikomųjų programų sąsajos ir duomenų saugyklos taiko autorizavimą.
- Žurnalai ir telemetrija palaiko nuolatinę stebėseną.
- Incidentai inicijuoja lokalizavimą, pranešimą ir atkūrimą.
- Įrodymai patvirtina, kad kontrolės priemonės veikia, o ne tik yra suprojektuotos.
Būtent paskutiniame punkte prasideda atitiktis.
ISO/IEC 27001:2022 reikalauja, kad organizacijos apibrėžtų kontekstą, suinteresuotąsias šalis, taikomus teisinius ir sutartinius reikalavimus, taikymo sritį, sąsajas ir priklausomybes. Jis taip pat reikalauja rizikos vertinimo, rizikos tvarkymo, Taikomumo pareiškimo, vadovybės atskaitomybės, vidaus audito, vadovybės peržiūros ir nuolatinio tobulinimo.
Nulinio pasitikėjimo modelis natūraliai dera su šia struktūra, kai jis traktuojamas kaip kontrolės sistema. Jis neturi likti už ISVS ribų kaip inžinerinė iniciatyva. Jis turi būti rizikos vertinimo, kontrolės priemonių parinkimo, politikų valdysenos, tiekėjų valdymo, privatumo apsaugos, reagavimo į incidentus ir ataskaitų valdybai dalis.
Reglamentavimo spaudimas, lemiantis nulinio pasitikėjimo įrodymų poreikį
Nulinio pasitikėjimo įrodymų poreikis paprastai kyla ne iš vieno standarto, o iš persidengiančių įpareigojimų.
NIS2 gali būti taikoma viešiesiems arba privatiesiems subjektams I priedo arba II priedo sektoriuose, jei jie atitinka dydžio ir veiklos slenksčius, taip pat tam tikriems mažesniems, bet kritiniams subjektams. I priedas apima debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio pristatymo tinklų teikėjus, patikimumo užtikrinimo paslaugų teikėjus, valdomų paslaugų teikėjus, valdomų saugumo paslaugų teikėjus, bankininkystės ir finansų rinkų infrastruktūros subjektus. II priedas apima skaitmeninių paslaugų teikėjus, pavyzdžiui, internetines prekyvietes, paieškos sistemas ir socialinių tinklų platformas.
NIS2 Article 20 kibernetinį saugumą priskiria valdymo organo atsakomybei. Valdyba turi patvirtinti kibernetinio saugumo rizikos valdymo priemones, prižiūrėti jų įgyvendinimą ir gauti kibernetinio saugumo mokymus. Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, apimančių rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų kūrimą, pažeidžiamumų tvarkymą, veiksmingumo vertinimą, kibernetinę higieną, mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir, kai tinkama, MFA arba tęstinį autentifikavimą. Article 23 nustato etapais vykdomą pranešimą apie reikšmingus incidentus, įskaitant 24 valandų ankstyvąjį perspėjimą, 72 valandų pranešimą ir galutinę ataskaitą.
DORA taikoma nuo 2025 m. sausio 17 d. ir nustato vieningą skaitmeninės operacinės atsparos režimą finansų subjektams. Ji apima IRT rizikos valdymą, pranešimą apie reikšmingus su IRT susijusius incidentus, operacinės atsparos testavimą, keitimąsi informacija apie grėsmes ir IRT trečiųjų šalių riziką. DORA Articles 5 ir 6 reikalauja valdysenos ir dokumentuotos IRT rizikos valdymo sistemos. Article 9 reglamentuoja apsaugą ir prevenciją, įskaitant politikas, procedūras, protokolus ir priemones IRT sistemoms apsaugoti. Article 17 reikalauja su IRT susijusių incidentų valdymo proceso.
GDPR taikomas tvarkymui ES įsteigimo kontekste, taip pat ne ES duomenų valdytojams ar tvarkytojams, siūlantiems prekes ar paslaugas asmenims ES arba stebintiems jų elgesį. GDPR Article 5 reikalauja atskaitomybės. Article 32 reikalauja tinkamų techninių ir organizacinių priemonių, kad būtų užtikrintas riziką atitinkantis saugumo lygis. Article 33 reikalauja apie asmens duomenų saugumo pažeidimą pranešti priežiūros institucijai nepagrįstai nedelsiant ir, kai įmanoma, per 72 valandas nuo sužinojimo apie pažeidimą.
Nulinio pasitikėjimo įrodymų modelis padeda, nes ta pati kontrolės priemonė gali palaikyti kelias sistemas. MFA gali palaikyti ISO/IEC 27001:2022 prieigos kontrolę, NIS2 autentifikavimo priemones, DORA apsaugos reikalavimus ir GDPR tvarkymo saugumą. Tačiau tik tada, kai organizacija gali pagrįsti taikymo sritį, savininkystę, įgyvendinimą, stebėseną ir peržiūrą.
NIST nulinio pasitikėjimo principų susiejimas su ISO/IEC 27001:2022 kontrolės priemonėmis
ISO/IEC 27001:2022 A priedo kontrolės priemonės, papildytos ISO/IEC 27002:2022 įgyvendinimo gairėmis, suteikia audito kalbą, kurios reikia daugumai organizacijų. Toliau pateiktoje lentelėje NIST nulinio pasitikėjimo principai susiejami su ISO kontrolės sritimis, kurias atpažįsta auditoriai.
| NIST SP 800-207 nulinio pasitikėjimo principas | Pagrindinis nulinio pasitikėjimo principas | Susijusios ISO/IEC 27001:2022 A priedo kontrolės priemonės |
|---|---|---|
| Visi duomenų šaltiniai ir skaičiavimo paslaugos yra ištekliai | Turto ir duomenų identifikavimas | A.5.9 Informacijos ir kito susijusio turto inventorius, A.5.10 Priimtinas informacijos ir kito susijusio turto naudojimas, A.5.12 Informacijos klasifikavimas |
| Visa komunikacija saugoma nepriklausomai nuo tinklo vietos | Saugi komunikacija ir šifruoti kanalai | A.8.20 Tinklo saugumas, A.8.22 Tinklų atskyrimas, A.8.24 Kriptografijos naudojimas |
| Prieiga suteikiama kiekvienos sesijos pagrindu | Sesijomis pagrįstas autentifikavimas ir autorizavimas | A.5.17 Autentifikavimo informacija, A.8.5 Saugus autentifikavimas |
| Prieiga nustatoma pagal dinaminę politiką | Kontekstinė ir mažiausių privilegijų principu grindžiama prieiga | A.5.15 Prieigos kontrolė, A.5.18 Prieigos teisės, A.8.3 Informacijos prieigos ribojimas |
| Stebimas turto vientisumas ir saugumo būklė | Galinių įrenginių ir darbo krūvių būsenos patikra | A.8.1 Naudotojų galiniai įrenginiai, A.8.8 Techninių pažeidžiamumų valdymas |
| Autentifikavimas ir autorizavimas yra dinamiški ir griežtai taikomi | Tapatybės gyvavimo ciklas ir privilegijuotos prieigos valdymas | A.5.16 Tapatybės valdymas, A.8.2 Privilegijuotos prieigos teisės, A.8.5 Saugus autentifikavimas |
| Informacija renkama saugumo būklei gerinti | Nuolatinė stebėsena, žurnalavimas ir tobulinimas | A.8.15 Žurnalavimas, A.8.16 Stebėsenos veiklos, A.8.23 Žiniatinklio filtravimas |
Šis susiejimas nėra vien techninio projektavimo pratimas. Jis tampa rizikų registro, Taikomumo pareiškimo, įrodymų paketo ir vadovybės peržiūros darbotvarkės struktūra.
Pavyzdžiui, rizikos scenarijus „kompromituota kūrėjo paskyra pakeičia produkcinį kodą ir pasiekia klientų duomenis“ turėtų būti susietas su tapatybės valdymu, MFA, privilegijuota prieiga, tinklų atskyrimu, žurnalavimu, stebėsena, saugiu kūrimu, pakeitimų valdymu ir reagavimu į incidentus. Tas vienas scenarijus gali palaikyti ISO/IEC 27001:2022, NIS2 Article 21, DORA IRT rizikos valdymą ir GDPR Article 32.
Clarysec nulinio pasitikėjimo kontrolės priemonių rinkinys
Clarysec nulinio pasitikėjimo modelį kuria aplink penkias įrodymų sritis: tapatybę, įrenginį, tinklą, taikomąją programą ir duomenis, o stebėsena ir valdysena taikomos visoms penkioms sritims.
Pagrindas yra prieigos kontrolė ir tapatybės valdymas. Zenith Controls: kelių atitikties sistemų vadove ISO/IEC 27002:2022 kontrolė 5.15, Prieigos kontrolė, klasifikuojama kaip prevencinė kontrolės priemonė, palaikanti konfidencialumą, vientisumą ir prieinamumą, suderinta su Protect kibernetinio saugumo sąvoka ir tapatybės bei prieigos valdymo pajėgumu. Kontrolė 5.16, Tapatybės valdymas, taip pat yra prevencinė ir susieta su tomis pačiomis KVP savybėmis bei IAM pajėgumu. Kontrolė 8.16, Stebėsenos veiklos, klasifikuojama kaip nustatomoji ir korekcinė, palaikanti Detect ir Respond per informacijos saugumo įvykių valdymą.
Šis derinys svarbus. Nulinio pasitikėjimo modelis nėra vien prieigos kontrolė. Tai prieigos kontrolė kartu su tapatybės gyvavimo ciklu, įrenginio saugumo būsena, tinklų atskyrimu, stebėsena ir reagavimu.
Clarysec politikų nuostatos šį modelį paverčia įgyvendinama valdysena.
Iš Įmonės prieigos kontrolės politikos, skyriaus „Tikslai“, 3.4 nuostatos:
Palaikyti nulinio pasitikėjimo principus, pagal numatytuosius nustatymus atmetant prieigą, nebent ji aiškiai patvirtinta ir pagrįsta.
Iš Įmonės naudotojų paskyrų ir privilegijų valdymo politikos, skyriaus „Politikos įgyvendinimo reikalavimai“, 6.2.1 nuostatos:
Visiems naudotojams turi būti priskirtas minimalus prieigos lygis, būtinas jų darbo funkcijoms atlikti.
Iš Įmonės tinklo saugumo politikos, skyriaus „Valdysenos reikalavimai“, 5.2 nuostatos:
Visas srautas tarp zonų turi būti kontroliuojamas ugniasienėmis arba programiškai apibrėžto perimetro sprendimais, taikant aiškias „numatytai draudžiama“ konfigūracijas.
Iš Įmonės žurnalų tvarkymo ir stebėsenos politikos, skyriaus „Tikslai“, 3.4 nuostatos:
Įdiegti centralizuotas žurnalavimo ir perspėjimų sistemas (pvz., SIEM), kad jos beveik realiuoju laiku agreguotų, koreliuotų ir eskaluotų įtartiną veiklą.
Iš Įmonės informacijos saugumo politikos, skyriaus „Politikos įgyvendinimo reikalavimai“, 6.6.1 nuostatos:
Visos įgyvendintos kontrolės priemonės privalo būti audituojamos, pagrįstos dokumentuotomis procedūromis ir saugomais veikimo įrodymais.
MVĮ tą patį valdysenos tikslą galima įgyvendinti lengvesne politikų dokumentacija. Naudotojų paskyrų ir privilegijų valdymo politika - SME, skyriaus „Tikslai“, 3.2 nuostata nurodo:
Taikyti mažiausių privilegijų principą, užtikrinant, kad naudotojams būtų suteiktas tik minimalus prieigos lygis, būtinas jų pareigoms atlikti.
Prieigos kontrolės politika - SME, skyriaus „Valdysenos reikalavimai“, 5.4.3 nuostata papildo:
Privilegijuotos paskyros turi naudoti daugiaveiksnį autentifikavimą (MFA), kai jis palaikomas.
Tinklo saugumo politika - SME, skyriaus „Politikos įgyvendinimo reikalavimai“, 6.2.3 nuostata nurodo:
Srautas tarp segmentų turi būti filtruojamas, o prieiga tarp segmentų turi vadovautis mažiausių privilegijų principu.
Žurnalų tvarkymo ir stebėsenos politika - SME, skyriaus „Tikslas“, 1.3 nuostata paaiškina:
Žurnalavimas ir stebėsena palaiko grėsmių aptikimą, atitiktį reglamentavimo reikalavimams, pranešimą apie incidentus ir jų valdymą bei kriminalistinę analizę.
Privatumu grindžiamam nulinio pasitikėjimo modeliui Duomenų apsaugos ir privatumo politika - SME, skyriaus „Valdysenos reikalavimai“, 5.3.2 nuostata nurodo:
Naudotojų prieiga prie asmens duomenų turi būti apribota vaidmenimis, turinčiais dokumentuotą verslo poreikį.
Šios nuostatos sukuria audito atramas. Auditorius gali patikrinti, ar prieiga pagal numatytuosius nustatymus atmetama, privilegijos minimizuojamos, srautas tarp zonų kontroliuojamas, žurnalai centralizuojami, o įrodymai saugomi.
Kelių sistemų nulinio pasitikėjimo įrodymų žemėlapis
Stiprus nulinio pasitikėjimo įrodymų modelis turi vengti fragmentuotų ekrano kopijų. Įrodymai turi rodyti valdyseną, projektavimą, įgyvendinimą, stebėseną ir peržiūrą.
| Nulinio pasitikėjimo pajėgumas | ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 įrodymai | NIS2 įrodymai | DORA įrodymai | GDPR įrodymai |
|---|---|---|---|---|
| Tapatybės tikrinimas ir gyvavimo ciklas | ISVS taikymo sritis, rizikų registras, SoA įrašai dėl A.5.15 ir A.5.16, priimamų, pareigas keičiančių ir išeinančių darbuotojų įrašai | Article 21 žmogiškųjų išteklių saugumo, prieigos kontrolės ir turto valdymo priemonės | IRT turto ir naudotojų prieigos valdysena IRT rizikos sistemoje | Prieiga apribota autorizuotais vaidmenimis, duomenų valdytojo atskaitomybės įrašai |
| MFA ir tęstinis autentifikavimas | Prieigos kontrolės politika, privilegijuotos prieigos procedūra, MFA taikymo ataskaitos | Article 21 priemonės dėl MFA arba tęstinio autentifikavimo, kai tinkama | Kontrolės priemonės, palaikančios saugią prieigą prie IRT sistemų ir kritinių funkcijų | Article 32 tvarkymo saugumo įrodymai dėl prieigos prie asmens duomenų |
| Įrenginio saugumo būsena ir galinio įrenginio patikimumas | Turto apskaita, galinių įrenginių bazinė konfigūracija, EDR aprėptis, išimčių patvirtinimai | Kibernetinės higienos, pažeidžiamumų tvarkymo ir saugių sistemų politikos | IRT turto apskaita, atsparos testavimas, IRT sistemų stebėsena | Apsauga nuo neteisėto ar neleistino tvarkymo iš kompromituotų galinių įrenginių |
| Tinklo segmentavimas ir mikrosegmentavimas | Tinklo schemos, ugniasienės taisyklės, segmentavimo testavimo rezultatai, pakeitimų įrašai | Priemonės incidento poveikiui užkirsti kelią arba jį sumažinti ir veiklos tęstinumui palaikyti | Pamatinė architektūra, poveikio tolerancija, kritinių sistemų testavimas | Duomenų izoliavimas, pažeidimo apimties minimizavimas |
| Taikomųjų programų ir API mažiausios teisės | RBAC arba ABAC matricos, debesijos IAM politikos, žetonų apimtys, API prieigos peržiūros | Saugus įsigijimas, kūrimas ir priežiūra, pažeidžiamumų tvarkymas | IRT palaikomų funkcijų susiejimas ir priklausomybių dokumentacija | Tikslo apribojimas, prieiga prie asmens duomenų pagal verslo poreikį |
| Nuolatinė stebėsena ir aptikimas | SIEM naudojimo atvejai, įspėjimų pirminis vertinimas, stebėsenos procedūra, incidentų įrašai | Incidentų valdymas ir pasirengimas pranešti apie reikšmingus incidentus | Incidentų klasifikavimas, valdymo eskalavimas ir pranešimų gyvavimo ciklas | Asmens duomenų saugumo pažeidimų aptikimas ir atskaitomybės įrodymai |
| Tiekėjų ir debesijos patikimumas | Tiekėjų susitarimai, debesijos paslaugų nutraukimo planas, tiekėjų stebėsena, bendros atsakomybės susiejimas | Tiekimo grandinės saugumas tiesioginiams tiekėjams ir paslaugų teikėjams | IRT trečiųjų šalių rizikos strategija, IRT sutarčių registras, audito teisės ir pasitraukimo planai | Tvarkytojo deramas patikrinimas, sutartinės apsaugos priemonės ir saugumo kontrolės priemonės |
Ši lentelė yra valdybai tinkamos nulinio pasitikėjimo programos pagrindas. Ji parodo, kaip viena kontrolės aplinka gali palaikyti kelis patikinimo poreikius, nekuriant atskirų įrodymų paketų kiekvienai sistemai.
Zenith Blueprint naudojimas atsekamumui sukurti
Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas sukurtas tam, kad nulinio pasitikėjimo modelis netaptų nedokumentuota inžinerine filosofija. Rizikos valdymo etape, 13 žingsnyje, „Rizikos tvarkymo planavimas ir Taikomumo pareiškimas“, paaiškinama:
SoA iš esmės yra jungiamasis dokumentas: jis susieja jūsų rizikos vertinimą / tvarkymą su
faktinėmis kontrolės priemonėmis, kurias turite. Jį užpildydami taip pat dar kartą patikrinate, ar nepraleidote jokių kontrolės priemonių.
Tas pats žingsnis rekomenduoja susieti kontrolės priemones su rizikomis, į rizikos tvarkymo įrašus įtraukti A priedo kontrolės nuorodas ir pateikti kryžmines nuorodas į tokius reglamentus kaip GDPR, NIS2 arba DORA, kai kontrolės priemonės įgyvendinamos šiems įpareigojimams tenkinti.
Nulinio pasitikėjimo modeliui tai yra trūkstamas tiltas. Jei auditorius klausia, kodėl įdiegėte sąlyginę prieigą, atsakymas neturėtų būti „nes taip sako nulinio pasitikėjimo modelis“. Geresnis atsakymas yra:
- Rizikos scenarijus yra neteisėta prieiga prie klientų duomenų per kompromituotus prisijungimo duomenis.
- Rizikos savininkas yra CTO arba inžinerijos vadovas.
- Tvarkymas apima SSO, MFA, sąlyginę prieigą, galinių įrenginių būsenos patikrinimą, mažiausias teises, segmentavimą ir stebėseną.
- SoA susieja tvarkymą su prieigos kontrole, tapatybės valdymu, žurnalavimu, stebėsena, kriptografija, pažeidžiamumų valdymu ir debesijos paslaugų valdymu.
- Tas pats tvarkymas palaiko NIS2 Article 21, DORA IRT rizikos valdymą ir GDPR Article 32.
- Įrodymai apima politikų nuostatas, prieigos peržiūras, SIEM įspėjimus, EDR būsenos ataskaitas, ugniasienės taisykles, IAM eksportus, incidentų pratybas ir vadovybės peržiūros protokolus.
Taip nulinio pasitikėjimo architektūra tampa tinkama auditui.
Galinių įrenginių patikimumas, API ir tinklų atskyrimas praktikoje
Nulinio pasitikėjimo modelis dažnai žlunga, nes organizacijos sutelkia dėmesį į tapatybę, bet ignoruoja įrenginį, darbo krūvį, duomenis ir tinklo kontekstą.
Zenith Blueprint 19 žingsnis „Technologinės kontrolės priemonės I“ aiškiai paaiškina galinio įrenginio saugumo būsenos reikalavimą:
Prieiga prie informacijos per galinius įrenginius turi būti kontekstinė. Pavyzdžiui, ar įrenginys
atitinka minimalius saugumo standartus prieš pasiekdamas organizacijos išteklius? Ar jis neseniai praėjo
kenkėjiškos programinės įrangos skenavimą? Ar jis jungiasi iš neįprastos vietos arba tinklo? Integruojant su nulinio
pasitikėjimo principais, galinio įrenginio saugumo būsena gali būti naudojama sąlyginei prieigai, neleidžiant prisijungti, kol
įrenginys neįrodo, kad yra saugus.
Tai paverčia įrenginį autorizavimo sprendimo dalimi. Galiojantis slaptažodis iš nevaldomo nešiojamojo kompiuterio neturi būti traktuojamas taip pat kaip galiojantis prisijungimas iš reikalavimus atitinkančio, šifruoto ir stebimo organizacijos galinio įrenginio.
Tas pats žingsnis pabrėžia, kad prieigos apribojimai taikomi taikomosioms programoms, paslaugoms ir API, o ne tik naudotojams:
Prieigos apribojimai taip pat turėtų būti taikomi taikomosioms programoms, paslaugoms ir API, o ne tik žmonėms.
Pavyzdžiui, mikropaslaugai gali reikėti tik skaitymo prieigos prie duomenų bazės lentelės, o ne visų CRUD
teisių. Atsarginių kopijų įrankiui gali reikėti prieigos tik prie konkrečių saugyklos konteinerių, o ne prie visų nuomininko išteklių.
Šios gairės itin svarbios debesijai pritaikytoms aplinkoms. API apimtys, paslaugų paskyros, darbo krūvių tapatybės, Kubernetes vaidmenys ir debesijos IAM politikos turi laikytis mažiausių privilegijų principo. Žmonių prieiga yra tik viena kontrolės paviršiaus dalis.
Zenith Blueprint 20 žingsnyje aptariamas tinklų atskyrimas:
Atskyrimas yra vienas seniausių ir veiksmingiausių kibernetinio saugumo principų: apriboti
plitimą, sumažinti riziką ir lokalizuoti žalą. Kontrolė 8.22 skirta tinklų
atskyrimui — praktikai atskirti sistemas, paslaugas ir naudotojus skirtingose loginėse arba
fizinėse zonose, kad būtų išvengta neteisėtos prieigos ir apribotas šoninis judėjimas
kompromitavimo atveju.
Tai kritiškai svarbu DORA ir NIS2 atsparai. Nulinio pasitikėjimo tinklas turi daryti prielaidą, kad viena paskyra, darbo krūvis arba galinis įrenginys gali būti kompromituotas. Segmentavimas neleidžia vietiniam įvykiui tapti sisteminiu incidentu.
10 dienų nulinio pasitikėjimo įrodymų paketas
Įsivaizduokite SaaS finansinių technologijų bendrovę, teikiančią sukčiavimo analizę bankams. Ji tvarko asmens duomenis, naudoja debesijos infrastruktūrą, remiasi valdomu Kubernetes, integruojasi su klientų API ir naudoja trečiosios šalies tapatybės teikėją. Klientas paprašo nulinio pasitikėjimo įrodymų, o įmonė turi dešimt darbo dienų.
Praktinis Clarysec įrodymų sprintas atrodytų taip.
| Laikotarpis | Veiksmas | Įrodymų rezultatas |
|---|---|---|
| 1–2 dienos | Apibrėžti nulinio pasitikėjimo taikymo sritį produkcinėse debesijos paskyrose, tapatybės teikėjo aplinkoje, CI/CD, administratorių darbo stotyse, klientų API šliuze, duomenų saugykloje, SIEM, EDR ir kritinių tiekėjų srityje | Taikymo srities aprašas, priklausomybių žemėlapis, ribų schema |
| 3 diena | Sukurti rizikos ir kontrolės priemonių atsekamumą naudojant Zenith Blueprint 13 žingsnį | Rizikų registro įrašai, tvarkymo planas, SoA susiejimai |
| 4–5 dienos | Taikyti įmonės arba MVĮ politikų nuostatas ir dokumentuoti išimtis | Patvirtintos politikos, išimčių registras, rizikos priėmimo įrašai |
| 6–7 dienos | Surinkti techninius įrodymus | MFA ataskaitos, sąlyginės prieigos politikos, PAM įrašai, galinių įrenginių valdymo skydai, ugniasienės taisyklės, Kubernetes tinklo politikos, IAM eksportai, SIEM naudojimo atvejai |
| 8 diena | Pridėti privatumo ir duomenų apsaugos įrodymus | Vaidmenų ir duomenų matrica, tvarkymo įrašai, šifravimo įrodymai, saugojimo taisyklės, pažeidimų perdavimo teisiniam vertinimui procedūra |
| 9 diena | Pridėti NIS2 ir DORA sluoksnius | Article 21 susiejimas, pasirengimas pranešti apie incidentus, IRT funkcijų žemėlapis, tiekėjų registras, pasitraukimo plano įrodymai |
| 10 diena | Parengti vadovybei skirtą santrauką | Valdybai tinkamas pasakojimas, likutinės rizikos santrauka, tobulinimo veiksmų planas |
Tikslas nėra apsimesti, kad organizacija per dešimt dienų pasiekė tobulą nulinio pasitikėjimo modelį. Tikslas — sukurti pagrįstą įrodymų grandinę svarbiausioms rizikoms ir įrodyti, kad programa yra valdoma, matuojama ir tobulinama.
Kaip skirtingi auditoriai tikrins nulinio pasitikėjimo modelį
Dažna klaida — parengti vieną techninę istoriją ir manyti, kad kiekvienas auditorius užduos tuos pačius klausimus. Taip nebus.
ISO/IEC 27001:2022 auditorius ieškos valdymo sistemos. Jis klaus, ar nulinio pasitikėjimo rizikos įtrauktos į rizikos vertinimą, ar tvarkymo priemonės patvirtintos, ar SoA yra išsamus, ar politikos yra valdomi dokumentai, ar vykdomos prieigos peržiūros, ar vidaus auditai tikrina kontrolės priemones ir ar vadovybės peržiūrose stebimas veiksmingumas.
DORA vertintojas klaus, ar nulinio pasitikėjimo kontrolės priemonės yra dokumentuotos IRT rizikos valdymo sistemos dalis. Jis tikėsis turto ir priklausomybių apskaitos, kritinių ar svarbių funkcijų susiejimo, incidentų klasifikavimo, valdybos eskalavimo, testavimo, trečiųjų šalių sutarčių reikalavimų, audito teisių, pasitraukimo strategijų ir taisomųjų veiksmų stebėjimo.
NIS2 vertintojas daugiausia dėmesio skirs valdymo organo atskaitomybei, Article 21 kibernetinio saugumo rizikos valdymo priemonėms ir Article 23 pasirengimui pranešti apie incidentus. Jis taip pat tikėsis įrodymų, kad tiekimo grandinės saugumas, veiklos tęstinumas, pažeidžiamumų tvarkymas, prieigos kontrolė ir kibernetinė higiena yra valdomi.
GDPR peržiūros atlikėjas arba privatumo auditorius klaus, ar prieiga prie asmens duomenų yra būtina, dokumentuota, apribota, stebima ir suderinta su tvarkymo tikslais. Jis nagrinės duomenų valdytojo ir tvarkytojo vaidmenis, asmens duomenų saugumo pažeidimų aptikimą, vaidmenimis grindžiamą prieigą, šifravimą, pseudonimizavimą, kai tinkama, saugojimą ir atskaitomybę.
| Auditoriaus perspektyva | Tikėtinas klausimas | Įrodymai, kurie į jį atsako |
|---|---|---|
| ISO/IEC 27001:2022 auditorius | Ar nulinio pasitikėjimo modelis yra grindžiamas rizika, patvirtintas ir atspindėtas SoA? | Rizikų registras, SoA, rizikos tvarkymo planas, politikų patvirtinimai, vadovybės peržiūros protokolai |
| NIST CSF vertintojas | Ar valdysenos, tapatybės, apsaugos, aptikimo, reagavimo ir atkūrimo rezultatai yra integruoti? | CSF profilis, spragų planas, IAM kontrolės priemonės, žurnalavimo naudojimo atvejai, reagavimo planai, atkūrimo testai |
| DORA vertintojas | Ar nulinio pasitikėjimo modelis palaiko IRT rizikos valdymą ir kritinių funkcijų atsparą? | IRT turto apskaita, priklausomybių žemėlapis, testavimo programa, incidentų klasifikavimas, tiekėjų registras |
| GDPR / privatumo auditorius | Ar prieiga prie asmens duomenų apribota ir įrodomai apsaugota? | Vaidmenų ir duomenų matrica, prieigos peržiūros, šifravimo įrodymai, pažeidimų procedūros, tvarkymo įrašai |
| COBIT 2019 / ISACA auditorius | Ar atsakomybės, rodikliai ir kontrolės veiksmingumas yra valdomi? | RACI, KPI, išimčių registras, audito išvados, taisomųjų veiksmų stebėjimo priemonė |
Ta pati kontrolės priemonė gali atsakyti į kelis klausimus, bet tik tada, kai įrodymai yra sutvarkyti.
Tiekėjų, debesijos ir IRT trečiųjų šalių rizika
Nulinio pasitikėjimo modelis nesibaigia ties ugniasiene, o debesijos aplinkose tradicinės ugniasienės ribos gali apskritai nebūti. Tapatybės teikėjai, debesijos platformos, CI/CD priemonės, valdomo aptikimo teikėjai, mokėjimų apdorotojai, API šliuzai ir išorės kūrimo komandos tampa pasitikėjimo audinio dalimi.
NIS2 Article 21 aiškiai apima tiekimo grandinės saugumą tiesioginiams tiekėjams ir paslaugų teikėjams, įskaitant tiekėjų pažeidžiamumus, produktų ir paslaugų atsparumą, tiekėjų kibernetinio saugumo praktikas ir saugaus kūrimo procedūras.
DORA reikalauja, kad IRT trečiųjų šalių rizika būtų valdoma kaip IRT rizikos valdymo sistemos dalis, įskaitant IRT paslaugų sutarčių registrą, ikisutartinį deramą patikrinimą, kritiškumo vertinimą, koncentracijos riziką, sutartinius saugumo reikalavimus, pagalbą incidentų atveju, bendradarbiavimą su institucijomis, audito teises, nutraukimo teises, pasitraukimo strategijas ir perėjimo planus.
Nulinio pasitikėjimo modeliui praktinė taisyklė paprasta: nepasitikėkite tiekėjo jungtimi vien todėl, kad ji numatyta sutartyje. Reikalaukite techninių kontrolės priemonių ir įrodymų.
Kliento API integracija turi turėti apibrėžtos apimties žetonus, užklausų dažnio ribojimą, stebėseną, periodinį keitimą, savininkystę ir atšaukimą. Valdomų paslaugų teikėjas turi naudoti MFA, vardines naudotojų paskyras, mažiausias teises, sesijų žurnalavimą ir terminuotą prieigą. Santykiai su debesijos paslaugų teikėju turi apimti bendros atsakomybės susiejimą, šifravimo konfigūraciją, žurnalų saugojimą, atsarginių kopijų testavimą ir pasitraukimo planavimą.
Todėl tiekėjų ir debesijos įrodymai priklauso nulinio pasitikėjimo modeliui, o ne atskiram pirkimų aplankui.
Rodikliai, įrodantys, kad nulinio pasitikėjimo modelis veikia
Valdyboms ir auditoriams nepakanka vien architektūros schemų. Jiems reikia veikimo įrodymų ir tobulinimo tendencijų.
Naudingi nulinio pasitikėjimo rodikliai apima:
- Privilegijuotų paskyrų, apsaugotų MFA, procentinę dalį.
- Naudotojų, kuriems taikoma sąlyginė prieiga, procentinę dalį.
- Nuolat veikiančių privilegijuotų paskyrų skaičių, palyginti su prieigos reikiamu laiku paskyromis.
- Vėluojančių prieigos peržiūrų skaičių.
- Galinių įrenginių, atitinkančių saugumo būsenos reikalavimus, procentinę dalį.
- EDR aprėptį kritiniame turte.
- Atmestų prieigos bandymų dėl įrenginio ar vietos rizikos skaičių.
- Vidutinį įtartinos privilegijuotos veiklos aptikimo laiką.
- Vidutinį prieigos atšaukimo laiką pasibaigus darbo santykiams.
- Per paskutinį ketvirtį peržiūrėtų ugniasienės taisyklių tarp zonų procentinę dalį.
- Kritinių tiekėjų, turinčių aktualius saugumo įrodymus, skaičių.
- Nulinio pasitikėjimo išimčių, kurių taisomųjų veiksmų terminas pradelstas, skaičių.
- Kritinių taikomųjų programų, siunčiančių žurnalus į SIEM, procentinę dalį.
- Incidentų simuliacijos rezultatus prisijungimo duomenų kompromitavimo atvejui.
Šie rodikliai palaiko ISO/IEC 27001:2022 nuolatinį tobulinimą, NIS2 veiksmingumo vertinimą, DORA testavimo ir taisomųjų veiksmų lūkesčius bei GDPR atskaitomybę.
Dažnos nulinio pasitikėjimo įrodymų nesėkmės
Dažniausios nesėkmės kyla ne dėl priemonių trūkumo. Jas lemia silpnas atsekamumas.
Pirma, organizacijos įdiegia MFA, bet negali įrodyti, kad privilegijuotos paskyros visiškai įtrauktos į aprėptį. Paslaugų paskyros, „break glass“ paskyros ir vietinės administratoriaus paskyros dažnai lieka už kontrolės ribų.
Antra, prieigos peržiūros atliekamos rankiniu būdu, bet nesusiejamos su verslo vaidmenimis, duomenų jautrumu ar rizikos savininkais. Įrodymai rodo, kad kažkas paspaudė „peržiūrėta“, o ne kad nereikalinga prieiga buvo pašalinta.
Trečia, tinklo segmentavimas egzistuoja schemose, bet ne patikrintose taisyklėse. Auditoriai klaus, ar prieiga tarp segmentų pagal numatytuosius nustatymus atmetama ir ar išimtys patvirtintos.
Ketvirta, žurnalai renkami, bet nėra panaudojami veiksmams. SIEM be apibrėžtų naudojimo atvejų, įspėjimų pirminio vertinimo ir reagavimo procedūrų neįrodo nuolatinės stebėsenos.
Penkta, tiekėjų prieiga nevaldoma. Tiekėjai gali naudoti bendras paskyras, nuolatinę VPN prieigą arba plačius debesijos vaidmenis be sesijų stebėsenos.
Šešta, privatumo įrodymai atskiriami nuo saugumo įrodymų. GDPR reikalauja įrodomos asmens duomenų apsaugos, todėl tapatybės ir prieigos kontrolės priemonės turi būti susietos su duomenų kategorijomis ir tvarkymo tikslais.
Galiausiai, išimtys nedokumentuojamos. Nulinio pasitikėjimo modelis gali toleruoti išimtis, jei jos įvertintos pagal riziką, patvirtintos, terminuotos ir stebimos. Jis negali toleruoti nematomų išimčių.
Sukurkite nulinio pasitikėjimo įrodymų paketą su Clarysec
Nulinio pasitikėjimo architektūra 2026 m. nėra šūkis. Tai atitikties veiklos modelis, kuris tapatybę, įrenginius, taikomąsias programas, tinklo segmentavimą, mažiausias teises, nuolatinę stebėseną, tiekėjų kontrolę ir privatumo apsaugos priemones sujungia į vieną audituojamą sistemą.
Jei rengiatės ISO/IEC 27001:2022 sertifikavimui, atsakote į NIS2 klientų paklausimus, derinatės su DORA IRT rizikos valdymu arba įrodinėjate GDPR Article 32 tvarkymo saugumą, pradėkite nuo atsekamumo.
Naudokite Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, kad susietumėte nulinio pasitikėjimo rizikas su savo rizikų registru, tvarkymo planu ir SoA. Naudokite Zenith Controls: kelių atitikties sistemų vadovą, kad suderintumėte prieigos kontrolę, tapatybės valdymą ir stebėseną su kelių sistemų lūkesčiais. Naudokite Clarysec politikų biblioteką, įskaitant Įmonės prieigos kontrolės politiką, Įmonės naudotojų paskyrų ir privilegijų valdymo politiką, Įmonės tinklo saugumo politiką, Įmonės žurnalų tvarkymo ir stebėsenos politiką, Įmonės informacijos saugumo politiką ir Duomenų apsaugos ir privatumo politiką - SME, kad architektūrą paverstumėte įgyvendinama valdysena.
Kitas praktinis žingsnis — pasirinkti vieną didelės rizikos scenarijų, pavyzdžiui, kompromituotą privilegijuotą prieigą prie klientų duomenų, ir aplink jį sukurti visą nulinio pasitikėjimo įrodymų grandinę. Jei galite įrodyti tą scenarijų nuo pradžios iki pabaigos, turite pagrindą mastelio keičiamai, audituojamai ir reglamentavimo institucijų reikalavimams parengtai nulinio pasitikėjimo programai.
Atsisiųskite Clarysec politikų paketus arba suplanuokite strateginį pokalbį ir sužinokite, kaip Zenith Blueprint ir Zenith Controls gali paversti nulinio pasitikėjimo modelį iš audito rizikos atitikties pranašumu.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


