ISO 27001 kriptogrāfiskie izņēmumi: pierādījumu un CER rokasgrāmata

Audita saruna, no kuras Deivids baidījās visvairāk, pienāca trīs nedēļas agrāk, nekā gaidīts. InnovatePay tikko bija iegādājies mazāku uzņēmumu QuickAcquire. Darījums bija stratēģisks ieguvums, taču tehnoloģiju kopumā bija paslēpts mantots datu pārsūtīšanas modulis, kas izmantoja kriptogrāfisko bibliotēku, kura neatbilda InnovatePay apstiprinātajiem standartiem. Tā nomaiņa bija sešu mēnešu projekts. Ārējais auditors ieradīsies jau nākamnedēļ.

Deivida prātā aina bija sāpīgi skaidra. Auditors, mierīgs un metodisks, pamanīs atkāpi un uzdos vienu jautājumu, kas frāzi mēs zinām, ka tas ir riskanti pārvērš par neatbilstību: parādiet pierādījumus par kriptogrāfisko izņēmumu un to, kā jūs nolēmāt, ka tas ir pieņemams.

Tajā brīdī izšķirošs nav nodoms; izšķiroša ir kontrole. Bez dokumentēta izņēmumu procesa, vadības riska pieņemšanas, kompensējošajiem kontroles pasākumiem, atslēgu pārvaldības žurnāliem un laikā ierobežota trūkumu novēršanas plāna auditors, visticamāk, šo jautājumu uzskatīs par kontroles kļūmi vai vāju IDPS pārvaldību. Šī praktiskā rokasgrāmata parāda, kā šo brīdi pārvērst brieduma apliecinājumā, izmantojot Clarysec rīkkopas un politikas, ISO/IEC 27001:2022 kontroles pasākumu A.8.24 “Kriptogrāfijas izmantošana” un savstarpējās atbilstības skatījumu, kas aptver NIS2, DORA, GDPR, NIST un COBIT 2019.

Kāpēc kriptogrāfiskie izņēmumi ir neizbēgami un kā auditori tos izvērtē

Kriptogrāfiskie izņēmumi rodas paredzamu iemeslu dēļ. Clarysec projektos mēs redzam atkārtojamus modeļus:

• Mantoto tehnoloģiju ierobežojumi, piemēram, neatbalstīti algoritmi, šifru komplekti vai atslēgu garumi.
• Piegādātāja piesaiste un sertifikācijas kavējumi, kas neļauj laikus pāriet uz apstiprinātu kriptogrāfiju.
• Darbības realitāte reaģēšanā uz incidentiem vai digitālajā kriminālistikā, kad pierādījumu vākšanai vai pakalpojumu nepārtrauktības uzturēšanai ir nepieciešamas pagaidu atkāpes.
• Migrācijas periodi, kuros pārejas savietojamība uz ierobežotu laiku piespiež izmantot vājākus iestatījumus.
• Partneru vai klientu ierobežojumi, kas liedz izmantot jūsu vēlamās bāzlīnijas prasības.

ISO/IEC 27001:2022 auditori neprasa pilnību — viņi prasa kontroli. Viņi izvērtē, vai šifrēšana ir atbilstoša un konsekventa, vai atslēgu pārvaldība tiek pārvaldīta un žurnalēta un vai jūs aktīvi identificējat un pārvaldāt novecojušus algoritmus savā vidē. Pirmais solis ir saskaņot izņēmumu pārvaldības kārtību ar to, ko auditori sagaida redzēt.

Sasaistiet izņēmumu ar politiku un risku pārvaldību

Nobriedusi IDPS izņēmumus uzskata par riska apstrādes lēmumiem, nevis par tehnisko parādu. Formālais mehānisms ir kriptogrāfiskā izņēmuma pieprasījums (CER), un politikas prasība, kas to nosaka, ir robežšķirtne starp pārvaldītu izņēmumu un audita konstatējumu.

Clarysec uzņēmuma Kriptogrāfisko kontroles pasākumu politika nosaka: Nestandarta kriptogrāfisko algoritmu izmantošanai vai pagaidu atkāpei no apstiprinātām dzīves cikla praksēm nepieciešams dokumentēts kriptogrāfiskā izņēmuma pieprasījums. Politiku kopums ir tieši sasaistīts ar riska apstrādi. Saistītā Risku pārvaldības politika atbalsta kriptogrāfisko kontroles pasākumu risku izvērtēšanu un dokumentē riska apstrādes stratēģiju izņēmumiem, algoritmu novecošanai vai atslēgu kompromitēšanas scenārijiem.

Kad prasība ir noteikta politikā, katram izņēmumam jābūt izsekojamam līdz CER ar vadības riska pieņemšanu, saistītu riska reģistra ierakstu, kompensējošajiem kontroles pasākumiem un iziešanas plānu. Ieviesiet šos artefaktus pirms tos kāds pieprasa: vispirms izvadiet auditoru cauri pārvaldības kārtībai un pēc tam — cauri tehniskajam stāvoklim, izmantojot intervijas un izlases pieeju, kas aprakstīta Zenith Blueprint.

Veidojiet CER kā auditam gatavu kontroles ierakstu

Pieteikuma komentāri nav izņēmuma ieraksti. CER jābūt strukturētam, pārvaldītam ar versiju kontroli un atlasāmam pārbaudei tāpat kā jebkuram citam kontroles pasākumam. Neatkarīgi no tā, vai tas ieviests GRC rīkā vai kontrolētā veidnē, kvalitatīvā CER jāiekļauj:

• Izņēmuma kopsavilkums — kas neatbilst prasībām un kur.
• Piemērošanas joma — datu veidi un tas, vai izņēmums ietekmē datus glabāšanā, datus pārsūtē vai abus.
• Biznesa pamatojums — iemesls, kas saistīts ar pakalpojuma vai organizācijas ierobežojumiem.
• Drošības ietekmes analīze — reālistiski apdraudējumu scenāriji, piemēram, pazemināšanas risks, MITM, vājas jaucējfunkcijas, atslēgu kompromitēšana.
• Kompensējošie kontroles pasākumi — piemēram, segmentēšana, klientu sertifikāti, īss sesijas darbības laiks, WAF noteikumi, papildu autentifikācija, pastiprināta uzraudzība.
• Riska vērtējums pirms un pēc kompensējošajiem kontroles pasākumiem, saskaņots ar jūsu riska matricu.
• Īpašnieks — atbildīgs riska īpašnieks biznesa pusē.
• Apstiprinājumi — drošības funkcija, sistēmas īpašnieks un vadības riska pieņemšana.
• Derīguma termiņš un pārskatīšanas biežums — bez beztermiņa izņēmumiem.
• Iziešanas plāns — ceļkarte, atkarības, atskaites punkti un noteiktie termiņi.
• Norādes uz pierādījumiem — saites uz konfigurācijām, žurnāliem, testēšanas rezultātiem, piegādātāju paziņojumiem un izmaiņu apstiprinājumiem.

Deivida gadījumā QuickAcquire izņēmums no slēptas saistības kļuva par auditējamu lēmumu brīdī, kad viņš ievadsanāksmē pats iesniedza CER, piedāvāja pierādījumu pakotni un aicināja veikt izlases pārbaudi.

Minimālā dzīvotspējīgā pierādījumu pakotne kriptogrāfiskajam izņēmumam

Auditori sagaida vairāk nekā tikai tehnisku momentuzņēmumu. Izņēmumu gadījumā viņiem ir vajadzīgs pārvaldības un darbības kontroles apliecinājums. Praktiska pierādījumu pakotne ietver:

1. Aizpildītu CER ar apstiprinājumiem un derīguma termiņu.
2. Saistīto riska izvērtējumu un riska apstrādes lēmumu.
3. Atslēgu pārvaldības procedūras ietekmētajai sistēmai ar atslēgu ģenerēšanas, izplatīšanas, rotācijas, piekļuves un iznīcināšanas žurnāliem.
4. Izmaiņu ierakstus kriptogrāfijas iestatījumiem un testēšanas pierādījumus, kas apliecina, ka izmaiņas ir validētas vai ierobežojumi pārbaudīti.
5. Uzraudzības un atklāšanas pierādījumus kompensējošajiem kontroles pasākumiem, tostarp SIEM noteikumus un brīdinājumu testus.
6. Komunikācijas ierakstus, kas apliecina, ka ietekmētais personāls ir informēts un apmācīts par atkāpi un uzraudzības prasībām.
7. Laikā ierobežotu iziešanas plānu ar atskaites punktiem, datumiem, budžetu, ja piemērojams, un īpašniekiem.
8. Politikas pārskatīšanas vēsturi, kas apliecina kriptogrāfisko bāzlīnijas prasību uzturēšanu un algoritmu dzīves cikla pārvaldību.

Šie pierādījumu veidi atbilst ISO/IEC 27002:2022 norādījumiem par kriptogrāfiju un izmaiņu kontroli.

Izmantojiet Zenith Blueprint pierādījumu vākšanai un prezentēšanai

Pierādījumu metode Zenith Blueprint ir vienkārša un auditoriem saprotama: intervēt, pārskatīt, novērot un veikt izlasi. Piemērojiet to izņēmumiem:

• Intervējiet sistēmas īpašnieku un drošības vadītāju. Noskaidrojiet, kāpēc izņēmums ir nepieciešams, kas mainījies kopš pēdējās pārskatīšanas un kas nākamais paredzēts iziešanas plānā.
• Pārskatiet CER, riska ierakstu, politikas prasību un piegādātāja vai partnera ierobežojumus. Apstipriniet derīguma termiņu un pārskatīšanas datumus.
• Novērojiet tehnisko stāvokli, proti, precīzu konfigurāciju un vietu, kur izņēmums tiek piemērots, un pārbaudiet, kur tiek izmantoti kompensējošie kontroles pasākumi.
• Atlasiet izlasi no vairākiem izņēmumiem, parasti trīs līdz pieciem, lai pierādītu struktūras, apstiprinājumu, pārskatīšanu, žurnalēšanas un termiņu apstrādes konsekvenci.

Praktisks piemērs: kā mantotu TLS izņēmumu sagatavot auditam

Scenārijs: ieņēmumiem kritiska B2B integrācija prasa vecāku TLS šifru komplektu, jo partnera galapunkts nespēj vienoties par jūsu apstiprinātajiem iestatījumiem. Savienojuma pārtraukšana nav pieņemama.

Padariet to auditējamu četros soļos:

1. Izveidojiet CER un sasaistiet to ar risku. Nosakiet 90 dienu derīguma termiņu ar pārskatīšanu ik pēc 30 dienām, pievienojiet partnera saraksti un sasaistiet ar riska reģistra ierakstu, kura īpašnieks ir biznesa puse.
2. Izvēlieties kompensējošos kontroles pasākumus, kas rada pierādījumus. Ierobežojiet avota IP adreses līdz partnera diapazoniem, izmantojot ugunsmūra izmaiņu ierakstus. Ja iespējams, piemērojiet savstarpēju TLS un saglabājiet sertifikātu izsniegšanas ierakstus. Pastipriniet TLS rokasspiediena anomāliju uzraudzību un saglabājiet SIEM noteikumu definīcijas un brīdinājumu testus.
3. Pierādiet atslēgu pārvaldības disciplīnu. Uzrādiet KMS piekļuves žurnālus, RBAC piešķīrumus, ārkārtas piekļuves ierakstus un periodisku piekļuves tiesību pārskatīšanu protokolus. Mazākām programmām bāzlīnijas prasība ir skaidri noteikta Kriptogrāfisko kontroles pasākumu politikā MVU organizācijām: Visa piekļuve kriptogrāfiskajām atslēgām jāžurnalē un jāsaglabā audita pārskatīšanai, regulāri veicot piekļuves tiesību pārskatīšanu.
4. Noformējiet izņēmuma pakotni. Izveidojiet vienotu pierādījumu mapi vai PDF, kurā ietverts CER, riska ieraksts, vārtejas konfigurācijas momentuzņēmums, ugunsmūra izmaiņu pieteikumi, KMS žurnāli, SIEM noteikumu un notikumu paraugi, testēšanas ieraksti un komunikācija operāciju komandai.

Kriptogrāfiskā elastība: pierādiet, ka izņēmumi pēc būtības ir pagaidu

ISO/IEC 27002:2022 veicina kriptogrāfisko elastību — spēju atjaunināt algoritmus un komplektus, nepārbūvējot visas sistēmas. Auditori meklē elastības pierādījumus, nevis solījumus:

• Politikas pārskatīšanas regularitāti, kas atjaunina pieļaujamos algoritmus un prakses, izmantojot versiju izmaiņu žurnālus.
• Kriptogrāfijas atjauninājumu testēšanas ierakstus, kas apliecina drošus ieviešanas ceļus.
• Komunikāciju, ar kuru personāls tiek informēts par kriptogrāfijas izmaiņām un darbības ietekmi.
• Darbu uzkrājuma elementus ar piegādes progresu, kas sasaistīts ar izņēmumu derīguma termiņiem.

Izņēmumu pārvaldība un digitālā kriminālistika

Izņēmumi var sarežģīt izmeklēšanu, īpaši tad, ja šifrēšana vai neatbalstītas ierīces bloķē pierādījumu vākšanu. Clarysec Digitālo pierādījumu iegūšanas un kriminālistikas politika to risina, iekļaujot skaidrus apsvērumus par pierādījumiem, kas nepieciešami no neatbalstītām vai šifrētām ierīcēm. MVU versija — Digitālo pierādījumu iegūšanas un kriminālistikas politika MVU organizācijām — paredz praktiskus atteices scenārijus, piemēram, ja pierādījumus nevar iegūt atbilstoši politikai sistēmas avārijas vai bojāta datu nesēja dēļ.

Plānojiet to savos CER. Iekļaujiet potenciālo ietekmi uz digitālo kriminālistiku, deponējiet nepieciešamās atslēgas un definējiet ārkārtas piekļuves un žurnalēšanas prasības.

Savstarpējās atbilstības kartēšana: viens izņēmums, vairāki skatījumi

Regulētās vai vairāku ietvaru vidēs viens un tas pats izņēmums tiks vērtēts no dažādiem skatījumiem. Izmantojiet Zenith Controls rokasgrāmatu, lai saglabātu pierādījumu pakotni konsekventu.

Kā dažādi auditori pārbaudīs un kā atbildēt

Pat viena audita ietvaros pieejas var atšķirties. Sagatavojieties katram stilam un vadiet skaidrojumu:

• ISO/IEC 27001:2022 auditors jautās, kur atrodas kriptogrāfijas politika, kur definēts izņēmumu process, cik bieži izņēmumi tiek pārskatīti, un vēlēsies veikt izlasi. Sāciet ar CER un kontrolētu reģistru.
• Uz NIST orientēts auditors meklēs šifru komplektu bāzlīnijas, aizsardzību pret pazemināšanu, atslēgu ģenerēšanas un iznīcināšanas procedūras un žurnālus ar brīdināšanu. Sagatavojiet KMS žurnālus, SIEM noteikumus un validācijas testus.
• COBIT vai ISACA auditors koncentrēsies uz to, kam pieder risks, kurš to pieņēma, kāda ir pārskatīšanas regularitāte un kuri rādītāji parāda izņēmumu samazināšanos. Sagatavojiet vadības komitejas sanāksmju protokolus un izņēmumu novecošanas pārskatus.
• Regulatoriski orientēts pārbaudītājs jautās, kā izņēmums ietekmē kritisko pakalpojumu pieejamību un integritāti un vai ir palielinājies personas datu atklāšanas risks. Piedāvājiet noturības plānošanas artefaktus un stingru trūkumu novēršanas grafiku.

Biežākās kļūdas, kas rada neatbilstības

• Izņēmumi bez derīguma termiņiem, kas tiek interpretēti kā nepārvaldīts risks.
• Nav vadības riska pieņemšanas — inženieris ir apstiprinājis pieteikumu bez atbildīga īpašnieka.
• Kompensējošie kontroles pasākumi ir aprakstīti, bet nav pamatoti ar pierādījumiem, piemēram, uzraudzības apgalvojumi bez SIEM noteikumiem.
• Trūkst atslēgu pārvaldības žurnālu vai tiem nav piekļuves.
• Politika nosaka vienu, bet praksē notiek kas cits, piemēram, CER ir obligāti, bet netiek izmantoti.

Audita dienas kontrolsaraksts kriptogrāfiskajiem izņēmumiem

• Aktuāls reģistrs uzskaita visus kriptogrāfiskos izņēmumus ar CER identifikatoriem, īpašniekiem, apstiprinājumiem, pārskatīšanas datumiem un derīguma termiņiem.
• Katrs izņēmums ir sasaistīts ar riska ierakstu un dokumentētu riska apstrādes lēmumu.
• Katram izņēmumam ir vismaz divi kompensējošie kontroles pasākumi ar konkrētiem pierādījumiem.
• Atslēgu piekļuve tiek žurnalēta, žurnāli tiek saglabāti un tiek veikta piekļuves tiesību pārskatīšana.
• Ir pieejama kriptogrāfijas politikas pārskatīšanas vēsture ar versiju izmaiņām.
• Varat atlasīt trīs vai vairāk izņēmumu izlasi un konsekventi izskaidrot to pārvaldību.
• Ceļkarte parāda izņēmumu samazināšanu laika gaitā.

Piegādātāju un partneru ierobežojumi

Daudzi izņēmumi rodas ārpus jūsu tiešās kontroles. Partneri uzspiež šifru komplektus, piegādātāji kavējas ar ceļkartēm vai iegādātās sistēmas nes līdzi parādu. Ārējos ierobežojumus uzskatiet par daļu no pārvaldības, nevis par attaisnojumiem. Pieprasiet piegādātāju paziņojumus par kriptogrāfijas ceļkartēm, iekļaujiet līguma klauzulas, kas nosaka kriptogrāfijas bāzlīnijas prasības, un ievietojiet ārējās atkarības savā riska reģistrā.

Nākamie soļi: izveidojiet izņēmumu programmu vienā sprintā

1. Inventarizējiet visus kriptogrāfiskos izņēmumus, tostarp slēptos izņēmumus tīkla malas pakalpojumos.
2. Izveidojiet vai pielāgojiet CER katram izņēmumam ar apstiprinājumiem, derīguma termiņu un iziešanas plāniem.
3. Sasaistiet katru CER ar riska reģistra ierakstu, kuram ir atbildīgs īpašnieks.
4. Izveidojiet standarta izņēmuma pierādījumu pakotnes veidni un izmēģiniet audita izlasi.
5. Validējiet gatavību savstarpējai atbilstībai, izmantojot Zenith Controls rokasgrāmatu.

Pārvērtiet satraukumu par kriptogrāfiskajiem izņēmumiem pārliecībā auditā. Rezervējiet darba sesiju ar Clarysec. Viena projekta ietvarā mēs ieviešam CER darbplūsmu, izņēmumu reģistru un auditam gatavas pierādījumu pakotnes struktūru. Rezultāts ir ātrāki auditi, mazāk atkārtotu konstatējumu un kriptogrāfiskie izņēmumi, kas apliecina pārvaldību, nevis improvizāciju.