ISO 27001 piekļuves kontroles audita pierādījumu ceļvedis
Audita dienā ir plkst. 09:10. Marija, strauji augošas finanšu tehnoloģiju un mākoņplatformas informācijas drošības vadītāja, ir atvērusi piekļuves kontroles politiku. IT vadītājs eksportē nosacītās piekļuves iestatījumus no identitātes pakalpojumu sniedzēja. Personāla funkcija meklē darba attiecību izbeigšanas pieteikumu finanšu analītiķim, kurš aizgāja pirms sešām nedēļām. Iekšējais auditors paceļ skatienu un uzdod jautājumu, kuru visi gaidīja:
“Parādiet, kā lietotājam ar priviliģētu piekļuvi personas datiem tiek pieprasīta, apstiprināta, piešķirta, pārskatīta un atsaukta piekļuve.”
Šis viens teikums var atklāt, vai piekļuves kontroles programma ir gatava auditam vai tikai sakārtota politikas līmenī.
Marijas komandai bija nobriedusi informācijas drošības pārvaldības sistēma, ikgadējs ISO/IEC 27001:2022 resertifikācijas cikls, ieviesta daudzfaktoru autentifikācija, lomu balstīta piekļuves kontrole pamatsistēmās un ceturkšņa piekļuves tiesību pārskatīšanas izklājlapas. Taču šis audits bija citāds. Auditora pieprasījumu sarakstā bija iekļauta gatavība jaunām regulatīvajām prasībām. Marijas organizācijai tas nozīmēja NIS2, DORA un GDPR, kas visi tika vērtēti caur vienu operacionālu prizmu: identitāte, piekļuve, autentifikācija, privilēģijas un pierādījumi.
Problēma, ar kuru saskaras daudzi CISO, nav piekļuves kontroles neesamība. Problēma ir tā, ka pierādījumi pastāv fragmentāri. Darba attiecību uzsākšanas apstiprinājumi atrodas Jira vai ServiceNow. MFA iestatījumi atrodas Microsoft Entra ID, Okta vai citā identitātes pakalpojumu sniedzējā. AWS, Azure un Google Cloud piekļuves tiesības atrodas atsevišķās konsolēs. Priviliģētas darbības var būt reģistrētas PAM rīkā vai nebūt reģistrētas vispār. HR statuss atrodas BambooHR, Workday vai izklājlapās. Piekļuves tiesību pārskatīšana var būt apstiprināta e-pastā.
Kad auditors sasaista IAM, MFA, PAM, darba attiecību uzsākšanas, lomas maiņas un izbeigšanas notikumus, personas datus, mākoņvides administrēšanu un regulatīvās prasības, fragmentēti pierādījumi ātri zaudē uzticamību.
ISO/IEC 27001:2022 piekļuves kontroles auditi nav tikai tehniskās konfigurācijas pārbaudes. Tie ir pārvaldības sistēmas testi. Tie vērtē, vai identitātes un piekļuves riski ir izprasti, apstrādāti, ieviesti, uzraudzīti un uzlaboti. Ja piemērojami arī NIS2, DORA un GDPR, tiem pašiem pierādījumiem jāapliecina uz risku balstīta piekļuves pārvaldība, spēcīga autentifikācija, izsekojami apstiprinājumi, savlaicīga atsaukšana, privilēģiju ierobežošana, personas datu aizsardzība un vadības pārskatatbildība.
Praktiskā atbilde nav lielāka mape. Tā ir vienots piekļuves kontroles pierādījumu modelis, kas sākas ar IDPS darbības jomu un risku, turpinās caur politiku un kontroles pasākumu projektējumu, nonāk IAM un PAM rīkos un tiek skaidri kartēts uz ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST un COBIT.
Kāpēc piekļuves kontrole ir regulatīvās atbilstības atslēgpunkts
Piekļuves kontrole ir kļuvusi par valdes līmeņa un regulatoru uzmanības jautājumu, jo identitātes kompromitēšana tagad ir biežs ceļš uz darbības traucējumiem, datu aizsardzības pārkāpumu, krāpšanu un piegādes ķēdes riskiem.
Saskaņā ar NIS2 Article 2 un Article 3, lasot tos kopā ar Annex I un Annex II, daudzas vidēja izmēra un lielākas organizācijas uzskaitītajās nozarēs ietilpst darbības jomā kā būtiskās vai svarīgās vienības. Tas ietver digitālās infrastruktūras un IKT pakalpojumu pārvaldības sniedzējus, piemēram, mākoņpakalpojumu sniedzējus, datu centru pakalpojumu sniedzējus, pārvaldīto pakalpojumu sniedzējus un pārvaldīto drošības pakalpojumu sniedzējus. Dalībvalstīm bija jāpārņem NIS2 līdz 2024. gada oktobrim un jāpiemēro nacionālie pasākumi no 2024. gada oktobra, savukārt vienību saraksti jāiesniedz līdz 2025. gada aprīlim. Article 20 nosaka vadības institūciju atbildību par kiberdrošības risku pārvaldības pasākumu apstiprināšanu un ieviešanas pārraudzību. Article 21 prasa tehniskus, operacionālus un organizatoriskus pasākumus, tostarp piekļuves kontroles politikas, aktīvu pārvaldību, kiberdrošības higiēnu, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību un MFA vai nepārtrauktu autentifikāciju, ja tā ir piemērojama.
DORA finanšu vienībām un attiecīgajiem trešo pušu IKT pakalpojumu sniedzējiem pievieno nozarei specifisku darbības noturības slāni. Articles 1, 2 un 64 nosaka DORA kā vienotu regulējumu, kas piemērojams no 2025. gada 17. janvāra. Articles 5 un 6 prasa pārvaldību un dokumentētu IKT risku pārvaldības ietvaru. Article 9 attiecas uz aizsardzību un prevenciju, tostarp IKT drošības politikām, procedūrām, protokoliem un rīkiem. Articles 24 līdz 30 pievieno digitālās darbības noturības testēšanu un IKT trešo pušu risku pārvaldību. Finanšu vienībām piekļuves kontroles pierādījumi kļūst par noturības pierādījumiem, ne tikai par IT administrēšanas pierādījumiem.
GDPR pievieno personas datu perspektīvu. Articles 2 un 3 nosaka plašu piemērojamību ES apstrādei un ES tirgus sasniedzamībai. Article 5 prasa integritāti, konfidencialitāti un pierādāmu pārskatatbildību. Article 25 prasa datu aizsardzību pēc projektēšanas un pēc noklusējuma. Article 32 prasa atbilstošus tehniskos un organizatoriskos pasākumus. Praksē tas nozīmē kontrolētu piekļuvi, drošu autentifikāciju, žurnālēšanu, pārskatīšanu un savlaicīgu piekļuves noņemšanu sistēmām, kas apstrādā personas datus.
ISO/IEC 27001:2022 nodrošina organizācijām pārvaldības sistēmas mehānismu šo pienākumu apvienošanai. 4.1.–4.3. punkts prasa organizācijai izprast kontekstu, ieinteresētās puses, juridiskās un līgumiskās prasības, saskarnes, atkarības un IDPS darbības jomu. 6.1.1.–6.1.3. punkts prasa informācijas drošības risku izvērtēšanu, apstrādi, Annex A salīdzinājumu, Piemērojamības paziņojumu, apstrādes plānu un atlikušā riska apstiprināšanu. 8.1. punkts prasa darbības kontroles pasākumus, dokumentētu informāciju, kas apliecina, ka procesi noritējuši, kā plānots, izmaiņu kontroli un ārēji nodrošinātu procesu kontroli.
Tāpēc audita jautājums nav “Vai jums ir MFA?” Tas ir “Vai varat pierādīt, ka darbības jomā esošām identitātēm un sistēmām piekļuves risks tiek pārvaldīts, apstrādāts, ieviests, uzraudzīts un uzlabots?”
Izveidojiet pierādījumu mugurkaulu no IDPS darbības jomas līdz IAM pierādījumiem
Clarysec sāk piekļuves kontroles audita sagatavošanu, padarot pierādījumus izsekojamus no biznesa konteksta. ISO/IEC 27001:2022 sagaida, ka IDPS ir integrēta organizācijas procesos un mērogota atbilstoši organizācijas vajadzībām. 30 cilvēku SaaS piegādātājam un starptautiskai bankai nebūs vienādas piekļuves arhitektūras, taču abiem ir vajadzīga konsekventa pierādījumu ķēde.
| Pierādījumu slānis | Ko tas pierāda | Tipiskās avotsistēmas | Vērtība vairāku atbilstības prasību izpildē |
|---|---|---|---|
| IDPS darbības joma un ieinteresēto pušu prasības | Kuras sistēmas, dati, regulējumi un trešo pušu atkarības ietilpst darbības jomā | IDPS darbības joma, atbilstības reģistrs, datu uzskaite, piegādātāju reģistrs | Atbalsta ISO/IEC 27001:2022 4.2. un 4.3. punktu, NIS2 darbības jomas noteikšanu, DORA IKT atkarību kartēšanu, GDPR pārskatatbildību |
| Piekļuves riska izvērtēšana | Kāpēc IAM, MFA, PAM un pārskatīšana ir nepieciešama, pamatojoties uz risku | Risku reģistrs, draudu scenāriji, riska apstrādes plāns | Atbalsta ISO/IEC 27001:2022 6.1. punktu, ISO/IEC 27005:2022, DORA IKT risku ietvaru, NIS2 riska pasākumus |
| Politikas un standarti | Ko organizācija prasa | Piekļuves kontroles politika, privilēģiju politika, darba attiecību uzsākšanas un izbeigšanas politika | Pārvērš regulatīvās prasības piemērojamos iekšējos noteikumos |
| IAM un PAM konfigurācija | Vai kontroles pasākumi ir tehniski ieviesti | IdP, HRIS, ITSM, PAM, mākoņvides IAM, SaaS administratīvās konsoles | Pierāda minimāli nepieciešamās tiesības, MFA, RBAC, apstiprināšanas darbplūsmas un priviliģētu sesiju kontroles pasākumus |
| Pārskatīšanas un uzraudzības ieraksti | Vai piekļuve laika gaitā joprojām ir atbilstoša | Piekļuves tiesību pārskatīšanas kampaņas, SIEM, PAM žurnāli, vadītāju apliecinājumi | Pierāda kontroles pasākumu nepārtrauktu darbību, DORA uzraudzību, NIS2 kiberdrošības higiēnu, GDPR minimizēšanu |
| Darba attiecību izbeigšanas procesa un izņēmumu ieraksti | Vai piekļuve tiek noņemta un izņēmumi tiek kontrolēti | HR darba attiecību izbeigšanas saraksts, deaktivizācijas žurnāli, izņēmumu reģistrs | Pierāda savlaicīgu piekļuves atsaukšanu, atlikušā riska pieņemšanu un pārkāpumu novēršanu |
ISO/IEC 27005:2022 ir noderīgs, jo iesaka juridiskās, regulatīvās, līgumiskās, nozarei specifiskās un iekšējās prasības konsolidēt vienotā riska kontekstā. 6.4. un 6.5. punkts uzsver riska kritērijus, kas ņem vērā organizācijas mērķus, tiesību aktus, piegādātāju attiecības un ierobežojumus. 7.1. un 7.2. punkts pieļauj uz notikumiem balstītus un uz aktīviem balstītus scenārijus. Piekļuves kontrolei tas nozīmē izvērtēt stratēģiskus scenārijus, piemēram, “priviliģēts SaaS administrators eksportē ES klientu datus”, līdztekus aktīvu scenārijiem, piemēram, “bāreņkonta AWS IAM atslēga ir piesaistīta ražošanas glabātuvei”.
Clarysec Zenith Blueprint: Auditora 30 soļu ceļvedī šis pierādījumu mugurkauls tiek veidots posmā “Kontroles pasākumi darbībā”. 19. solis koncentrējas uz tehnoloģiskajiem kontroles pasākumiem galiekārtu un piekļuves pārvaldībai, savukārt 22. solis formalizē organizatorisko piekļuves dzīves ciklu.
Zenith Blueprint nosaka komandām pārbaudīt, ka piekļuves piešķiršana un noņemšana ir strukturēta, pēc iespējas integrēta ar HR, atbalstīta ar piekļuves pieprasījumu darbplūsmām un pārskatīta reizi ceturksnī. Tas arī uzdod organizācijām dokumentēt identitāšu tipus, piemērot kontroles pasākumus individuālām, koplietotām un pakalpojumu identitātēm, piemērot stingras paroļu politikas un MFA, likvidēt neaktīvus kontus un uzturēt drošu pakalpojumu autentifikācijas datu glabāšanu drošā glabātuvē vai dokumentēšanu.
Tieši tā auditori pārbauda piekļuves kontroli: pa vienai identitātei, sistēmai, apstiprinājumam, privilēģijai, pārskatīšanai un atsaukšanai.
Ko vākt auditam gataviem piekļuves kontroles pierādījumiem
Piekļuves kontroles pierādījumu pakotnei jāļauj auditoram izvēlēties jebkuru lietotāju un izsekot dzīves ciklu: pieprasījums, apstiprinājums, piešķīrums, autentifikācija, privilēģiju paaugstināšana, uzraudzība, pārskatīšana un atsaukšana.
Spēcīga pierādījumu pakotne ietver:
- Piekļuves kontroles politiku un lietotāju kontu politiku
- Darba attiecību uzsākšanas, lomas maiņas un izbeigšanas procedūru
- Lomu matricu vai piekļuves kontroles matricu
- Darbības jomā esošo lietojumprogrammu, platformu un datu repozitoriju sarakstu
- Identitātes pakalpojumu sniedzēja MFA konfigurāciju
- Nosacītās piekļuves politikas un izņēmumu sarakstu
- Priviliģēto kontu uzskaiti
- PAM darbplūsmas pierādījumus, tostarp apstiprinājumus un sesiju žurnālus
- Jaunākās piekļuves tiesību pārskatīšanas kampaņas rezultātus
- Vadītāju apliecinājumu un trūkumu novēršanas pasākumu paraugus
- HR darba attiecību izbeigšanas pārskatu, kas saskaņots ar deaktivizācijas žurnāliem
- Pakalpojumu kontu uzskaiti, īpašniekus, rotācijas ierakstus un drošas glabātuves pierādījumus
- Ārkārtas piekļuves konta procedūru un testa žurnālu
- Incidenta vai brīdinājuma pierādījumus par neizdevušiem pieteikšanās mēģinājumiem, privilēģiju paaugstināšanu vai neaktīviem kontiem
- Piemērojamības paziņojuma ierakstus ar piekļuvi saistītiem Annex A kontroles pasākumiem
Clarysec politikas šo prasību padara skaidru. SME Piekļuves kontroles politika-sme prasība ir vienkārša un orientēta uz auditu:
“Par visu piekļuves piešķiršanu, izmaiņām un noņemšanu jāuztur drošs ieraksts.”
No sadaļas “Politikas ieviešanas prasības”, 6.1.1. punkts.
Tā pati SME politika arī tieši sasaista RBAC un MFA ar lomu pienākumiem:
“Ievieš lomu balstītu piekļuves kontroli (RBAC) un piemēro spēcīgu autentifikāciju (piemēram, daudzfaktoru autentifikāciju (MFA)).”
No sadaļas “Lomas un pienākumi”, 4.2.3. punkts.
Lielākām organizācijām uzņēmuma Darba attiecību uzsākšanas un izbeigšanas politika prasa, lai IAM sistēma reģistrētu kontu izveidi, lomu un piekļuves tiesību piešķīrumus un deaktivizācijas notikumus, atbalstītu lomu balstītas piekļuves veidnes un integrētos ar HR sistēmām darba attiecību uzsākšanas, lomas maiņas un izbeigšanas trigeriem. Šis punkts palīdz vienuviet izstāstīt audita stāstu: standartizēta darba attiecību uzsākšana, HR aktivizēts identitātes dzīves cikls un izsekojami IAM notikumi.
Kartējiet IAM, MFA, PAM un pārskatīšanu uz ISO/IEC 27001:2022 kontroles pasākumiem
Clarysec Zenith Controls: Vairāku atbilstības prasību ceļvedis piekļuves kontroli traktē kā saistītu kontroles pasākumu saimi, nevis kā kontrolsaraksta punktu. ISO/IEC 27001:2022 ietvarā būtiskākie kontroles pasākumi ir:
- Kontroles pasākums 5.15, piekļuves kontrole
- Kontroles pasākums 5.16, identitāšu pārvaldība
- Kontroles pasākums 5.17, autentifikācijas informācija
- Kontroles pasākums 5.18, piekļuves tiesības
- Kontroles pasākums 8.2, priviliģētās piekļuves tiesības
- Kontroles pasākums 8.3, informācijas piekļuves ierobežošana
- Kontroles pasākums 8.5, droša autentifikācija
- Kontroles pasākums 8.15, žurnālēšana
- Kontroles pasākums 8.16, uzraudzības darbības
Attiecībā uz autentifikācijas informāciju Zenith Controls kartē kontroles pasākumu 5.17 kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ar identitātes un piekļuves pārvaldības operacionālo spēju. Tas tieši sasaistās ar identitāšu pārvaldību, drošu autentifikāciju, lomām un pienākumiem, pieņemamu lietošanu un atbilstību politikām. Autentifikācijas datu drošība ietver autentifikatora dzīves ciklu, drošu izsniegšanu, glabāšanu, atiestatīšanu, atsaukšanu, MFA autentifikācijas marķierus, privātās atslēgas un pakalpojumu autentifikācijas datus.
Attiecībā uz piekļuves tiesībām Zenith Controls kartē kontroles pasākumu 5.18 uz formālu piešķiršanu, pārskatīšanu, izmaiņām un atsaukšanu. Tas sasaistās ar piekļuves kontroli, identitāšu pārvaldību, pienākumu nodalīšanu, priviliģētās piekļuves tiesībām un atbilstības uzraudzību. Šis ir kontroles pasākums, kas minimāli nepieciešamās tiesības pārvērš pierādījumos.
Attiecībā uz priviliģētās piekļuves tiesībām Zenith Controls kartē kontroles pasākumu 8.2 uz paaugstināto kontu īpašo risku, tostarp domēna administratoriem, root lietotājiem, mākoņtenanta administratoriem, datubāzu superlietotājiem un CI/CD kontrolieriem. Ceļvedis sasaista priviliģētu piekļuvi ar identitāšu pārvaldību, piekļuves tiesībām, informācijas piekļuves ierobežošanu, drošu autentifikāciju, attālinātu darbu, žurnālēšanu un uzraudzību.
| Audita tēma | ISO/IEC 27001:2022 piekļuves pierādījumi | NIS2 kartējums | DORA kartējums | GDPR kartējums |
|---|---|---|---|---|
| IAM dzīves cikls | Darba attiecību uzsākšanas, lomas maiņas un izbeigšanas darbplūsma, piekļuves pieprasījumi, apstiprinājumi, lomu veidnes, deaktivizācijas žurnāli | Article 21 riska pārvaldības pasākumi, piekļuves kontroles politikas un aktīvu pārvaldība | Articles 5, 6 un 9 pārvaldība, IKT risku ietvars, loģiskā drošība un piekļuves kontrole | Articles 5, 25 un 32 pārskatatbildība, minimizēšana un drošība |
| MFA | IdP politika, nosacītās piekļuves ekrānuzņēmumi, MFA reģistrācijas statistika, izņēmumu apstiprinājumi | Article 21(2)(j) MFA vai nepārtraukta autentifikācija, ja piemērojama | Droša piekļuve kritiskām IKT sistēmām un IKT risku kontroles pasākumi | Atbilstoši tehniskie pasākumi pret nesankcionētu piekļuvi |
| PAM | Priviliģēto kontu uzskaite, apstiprinājumi, JIT privilēģiju paaugstināšana, sesiju žurnāli, drošas glabātuves rotācija | Article 21(2)(i) uz risku balstīta piekļuves kontrole un aktīvu pārvaldība | IKT sistēmu aizsardzība, darbības noturība un uzraudzība | Paaugstinātas piekļuves personas datiem ierobežošana un audits |
| Piekļuves tiesību pārskatīšana | Ceturkšņa vai pusgada pārskatīšanas ieraksti, vadītāju apliecinājumi, trūkumu novēršanas pieteikumi | Kiberdrošības higiēna, piekļuves kontroles politikas un aktīvu pārvaldība | Nepārtraukta uzraudzība, lomu balstīta piekļuve un atsaukšana | Datu aizsardzība pēc noklusējuma un pierādāma pārskatatbildība |
| Darba attiecību izbeigšanas process | HR darba attiecību izbeigšanas saraksts, konta bloķēšanas vai dzēšanas pierādījumi, marķieru atsaukšana | Savlaicīga nevajadzīgas piekļuves noņemšana | IKT piekļuves kontrole visā dzīves ciklā | Nesankcionētas piekļuves personas datiem novēršana |
Viens labi izstrādāts piekļuves tiesību pārskatīšanas pārskats var atbalstīt ISO/IEC 27001:2022, NIS2, DORA un GDPR, ja tas ietver darbības jomu, sistēmas īpašnieku, pārskatītāju, kontu sarakstu, lomas pamatojumu, priviliģētās piekļuves pazīmi, lēmumus, noņemšanas, izņēmumus un pabeigšanas datumu.
MFA pierādījumi ir vairāk nekā ekrānuzņēmums
Bieža audita kļūda ir iesniegt ekrānuzņēmumu ar norādi “MFA iespējota”. Auditoriem ar to nepietiek. Viņiem jāzina, kur MFA tiek piemērota, kuri lietotāji ir izslēgti, kā tiek apstiprināti izņēmumi, vai priviliģētie konti ir aptverti un vai tehniskā konfigurācija atbilst politikai.
Saskaņā ar Zenith Blueprint posma “Kontroles pasākumi darbībā” 19. soli auditori jautās, kā tiek piemērotas paroļu un MFA politikas, kuras sistēmas ir aizsargātas, uz kuriem lietotājiem MFA attiecas un vai kritiskās lietojumprogrammas var pārbaudīt ar parauga kontu. Pierādījumi var ietvert IdP konfigurāciju, nosacītās piekļuves politikas, MFA reģistrācijas statistiku un paroļu atiestatīšanas procedūras.
Uzņēmumu vidēm Clarysec Lietotāju kontu un privilēģiju pārvaldības politika nosaka:
“Ja tas ir tehniski iespējams, daudzfaktoru autentifikācija (MFA) ir obligāta: 6.3.2.1 administratīvajiem un root līmeņa kontiem 6.3.2.2 attālinātai piekļuvei (VPN, mākoņplatformas) 6.3.2.3 piekļuvei sensitīviem vai reglamentētiem datiem”
No sadaļas “Politikas ieviešanas prasības”, 6.3.2. punkts.
Tas rada tiešu audita sasaisti. Ja MFA ir obligāta administratora kontiem, attālinātai piekļuvei un reglamentētiem datiem, pierādījumu pakotnē jāiekļauj administratīvo un root līmeņa kontu saraksti, attālās piekļuves konfigurācija, mākoņplatformu nosacītās piekļuves politikas, sensitīvu datu lietojumprogrammu saraksti, MFA reģistrācijas pārskati, izņēmumu apstiprinājumi, kompensējošie kontroles pasākumi un jaunākie brīdinājumu pārskatīšanas pierādījumi par neizdevušiem pieteikšanās mēģinājumiem vai MFA apiešanas mēģinājumiem.
NIST SP 800-53 Rev. 5 kontekstā tas atbilst IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access un AU-2 Event Logging. COBIT 2019 kontekstā tas atbalsta DSS05.04 Manage user identity and logical access un saistītās drošības uzraudzības prakses.
Atbalstošie ISO standarti paplašina skatījumu. ISO/IEC 27018:2020 paplašina autentifikācijas prasības publiskajam mākonim, kas apstrādā personas datus. ISO/IEC 24760-1:2019 atbalsta autentifikatora piesaisti un dzīves cikla pārvaldību. ISO/IEC 29115:2013 ievieš autentifikācijas apliecinājuma līmeņus, kas ir noderīgi, lemjot, kur nepieciešami aparatūras marķieri vai pret pikšķerēšanu noturīga MFA. ISO/IEC 27033-1:2015 atbalsta spēcīgu tīkla autentifikāciju attālinātai vai starptīklu piekļuvei.
PAM pierādījumi ir ātrākais ceļš uz būtisku konstatējumu vai tīru auditu
Priviliģēta piekļuve ir joma, kurā auditori kļūst īpaši skeptiski, jo priviliģēti konti var apiet kontroles pasākumus, izgūt datus, izveidot noturības mehānismus un mainīt žurnālus. Zenith Blueprint 19. solī norādīts:
“Jebkurā informācijas sistēmā priviliģēta piekļuve ir vara, un līdz ar šo varu rodas risks.”
Norādījumi koncentrējas uz to, kam ir priviliģēta piekļuve, ko tā atļauj, kā tā tiek pārvaldīta un kā tā laika gaitā tiek uzraudzīta. Tie iesaka uzturēt aktuālu uzskaiti, piemērot minimāli nepieciešamās tiesības, RBAC, laikā ierobežotu vai just-in-time privilēģiju paaugstināšanu, apstiprināšanas darbplūsmas, unikālus personificētus kontus, izvairīties no koplietotiem kontiem, veidot ārkārtas piekļuves žurnālus, izmantot PAM sistēmas, veikt autentifikācijas datu rotāciju, glabāšanu drošā glabātuvē, sesiju ierakstīšanu, pagaidu privilēģiju paaugstināšanu, uzraudzību un regulāru pārskatīšanu.
Clarysec uzņēmuma Piekļuves kontroles politika to pārvērš kontroles prasībā:
“Administratīvā piekļuve ir stingri jākontrolē, izmantojot: 5.4.1.1 atsevišķus priviliģētos kontus 5.4.1.2 sesiju uzraudzību un ierakstīšanu 5.4.1.3 daudzfaktoru autentifikāciju 5.4.1.4 laikā ierobežotu vai darbplūsmas aktivizētu privilēģiju paaugstināšanu”
No sadaļas “Pārvaldības prasības”, 5.4.1. punkts.
Šis citāts gandrīz ir audita pārbaudes scenārijs. Ja politika nosaka atsevišķus administratora kontus, parādiet priviliģēto kontu sarakstu un pierādiet, ka katrs konts ir piesaistīts konkrētai personai. Ja tā nosaka sesiju uzraudzību, parādiet ierakstītās sesijas vai PAM žurnālus. Ja tā nosaka MFA, parādiet tās piemērošanu katram priviliģētās piekļuves ceļam. Ja tā nosaka laikā ierobežotu privilēģiju paaugstināšanu, parādiet derīguma beigu laikspiedolus un apstiprināšanas pieteikumus.
SME versija ir tikpat tieša. Lietotāju kontu un privilēģiju pārvaldības politika-sme nosaka:
“Paaugstinātām vai administratīvām privilēģijām nepieciešams papildu apstiprinājums no ģenerāldirektora vai IT vadītāja, un tās jādokumentē, jāierobežo laikā un jāpakļauj periodiskai pārskatīšanai.”
No sadaļas “Politikas ieviešanas prasības”, 6.2.2. punkts.
Mazākām organizācijām tas bieži ir atšķirība starp “mēs uzticamies savam administratoram” un “mēs kontrolējam priviliģētās piekļuves risku”. Auditors neprasa uzņēmuma līmeņa rīkus katrā SME, taču prasa pierādījumus, kas ir samērīgi ar risku. Pieteikums, apstiprinājums, pagaidu grupas piešķīrums, MFA piemērošana un pārskatīšanas ieraksts var būt pietiekami, ja darbības joma ir ierobežota un risks ir zemāks.
Piekļuves tiesību pārskatīšana pierāda, ka minimālo privilēģiju princips darbojas
Piekļuves tiesību pārskatīšana parāda, vai piekļuves tiesības klusi uzkrājas. Tā arī parāda, vai vadītāji saprot, kāda piekļuve faktiski ir viņu komandām.
Uzņēmuma Lietotāju kontu un privilēģiju pārvaldības politika prasa:
“IT drošībai sadarbībā ar struktūrvienību vadītājiem reizi ceturksnī jāveic visu lietotāju kontu un saistīto privilēģiju pārskatīšana.”
No sadaļas “Politikas ieviešanas prasības”, 6.5.1. punkts.
SME gadījumā Lietotāju kontu un privilēģiju pārvaldības politika-sme nosaka samērīgu periodiskumu:
“Visu lietotāju kontu un privilēģiju pārskatīšana jāveic reizi sešos mēnešos.”
No sadaļas “Politikas ieviešanas prasības”, 6.4.1. punkts.
Uzticama piekļuves tiesību pārskatīšana ietver sistēmas nosaukumu, darbības jomu, pārskatītāja vārdu, eksporta datumu, pārskatīšanas datumu, identitātes īpašnieku, struktūrvienību, vadītāju, nodarbinātības statusu, lomu vai tiesību piešķīrumu, priviliģētās piekļuves pazīmi, datu sensitivitātes pazīmi, lēmumu, trūkumu novēršanas pieteikumu, slēgšanas datumu, izņēmuma īpašnieku un izņēmuma derīguma termiņu.
Zenith Controls kontekstā piekļuves tiesības 5.18 ir vieta, kur tas kļūst par vairāku atbilstības prasību pierādījumu. Ceļvedis kartē piekļuves tiesības uz GDPR Article 25, jo piekļuvei jābūt ierobežotai pēc projektēšanas un pēc noklusējuma. Tas kartējas uz NIS2 Article 21(2)(i), jo piekļuves kontroles politikām un aktīvu pārvaldībai nepieciešama uz risku balstīta piešķiršana, savlaicīga nevajadzīgas piekļuves noņemšana un formāla atsaukšana. Tas kartējas uz DORA, jo finanšu IKT sistēmām nepieciešama lomu balstīta piekļuve, uzraudzība un atsaukšanas procesi.
Uz NIST orientēti auditori to bieži pārbauda caur AC-2 Account Management, AC-5 Separation of Duties un AC-6 Least Privilege. COBIT 2019 auditori skatās uz DSS05.04 Manage user identity and logical access un DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. ISACA ITAF auditori koncentrējas uz to, vai pierādījumi ir pietiekami, uzticami un pilnīgi.
Darba attiecību izbeigšanas procesu un marķieru atsaukšanu ir viegli atlasīt pārbaudei
Darba attiecību izbeigšana ir viena no vienkāršākajām vietām, kur pierādīt, vai dzīves cikls darbojas. Auditori bieži izvēlas nesen atbrīvotu darbinieku un pieprasa HR darba attiecību izbeigšanas ierakstu, pieteikumu, konta atspējošanas žurnālu, SaaS deaktivizācijas pierādījumu, VPN noņemšanu, MFA atsaukšanu, API marķiera noņemšanu un aktīvu atdošanu.
Clarysec Darba attiecību uzsākšanas un izbeigšanas politika-sme nosaka:
“Izbeigtie konti ir jābloķē vai jādzēš, un saistītie piekļuves marķieri ir jāatsauc, tostarp attālinātā piekļuve (VPN), MFA lietotņu piesaistes un API marķieri.”
No sadaļas “Politikas ieviešanas prasības”, 6.3.3. punkts.
Tas ir svarīgi, jo mūsdienu piekļuve nav tikai lietotājvārds un parole. Piekļuve var saglabāties caur atjaunošanas marķieriem, API atslēgām, SSH atslēgām, OAuth piešķīrumiem, pakalpojumu kontiem, lokālām administratora tiesībām, mobilajām sesijām un trešo pušu portāliem. Deaktivizēts HR ieraksts bez marķieru atsaukšanas ir nepilnīgs pierādījums.
Zenith Blueprint posma “Kontroles pasākumi darbībā” 16. solis norāda organizācijām būt gatavām ar dokumentētu darba attiecību izbeigšanas kontrolsarakstu, pierādījumiem no nesena aizgājuša darbinieka, lietotāja konta atspējošanas žurnālu no AD vai MDM, parakstītu aktīvu atdošanas veidlapu un darba attiecību izbeigšanas dokumentāciju, kas ietver konfidencialitātes pienākumus.
Marijas auditors pieprasīja pierādījumus par aizgājušu vecāko izstrādātāju, kuram bija priviliģēta piekļuve ražošanas datubāzēm. Viņas komanda uzrādīja Darba attiecību uzsākšanas un izbeigšanas politiku-sme, izbeigšanas kontrolsarakstu, kas izveidots pēc Zenith Blueprint 16. soļa, HR aktivizēto ITSM pieteikumu, direktorija atspējošanas žurnālu, VPN sertifikāta atsaukšanu, noņemšanu no GitHub organizācijas, AWS IAM atslēgas dzēšanu un slēgto verifikācijas pieteikumu, ko parakstījis IT vadītājs. Pierādījumi bija pilnīgi, savlaicīgi un tieši sasaistīti ar politiku.
Veiciet trīs paraugu pierādījumu sprintu, pirms to izdara auditors
Praktisks gatavības vingrinājums ir pirms audita izvēlēties trīs paraugus:
- Jaunu darbinieku, kas pieņemts pēdējo 90 dienu laikā
- Priviliģētu lietotāju ar administratora piekļuvi mākoņvidei, datubāzei, ražošanas videi vai IAM
- Aizgājušu vai lomu mainījušu darbinieku no pēdējām 90 dienām
| Paraugs | Vācamie pierādījumi | Sekmīgas pārbaudes nosacījums | Biežs konstatējums |
|---|---|---|---|
| Jauns darbinieks | HR darba sākšanas ieraksts, piekļuves pieprasījums, apstiprinājums, lomas piešķīrums, MFA reģistrācija, pirmā pieteikšanās | Piekļuve piešķirta tikai pēc apstiprinājuma un atbilst lomai | Piekļuve piešķirta pirms apstiprinājuma vai loma ir pārāk plaša |
| Priviliģēts lietotājs | Biznesa pamatojums, atsevišķs administratora konts, MFA pierādījums, PAM apstiprinājums, sesijas žurnāls, ceturkšņa pārskatīšana | Privilēģija ir piesaistīta konkrētam lietotājam, pamatota, pēc iespējas laikā ierobežota, uzraudzīta un pārskatīta | Koplietots administratora konts, trūkst MFA, nav sesijas pierādījumu |
| Aizgājušais vai pārceltais darbinieks | HR notikums, izbeigšanas vai lomas maiņas pieteikums, deaktivizācijas žurnāli, VPN noņemšana, MFA vai API marķiera atsaukšana, pārskatīšanas slēgšana | Piekļuve noņemta nekavējoties un pilnībā | SaaS konts joprojām aktīvs, API marķieris nav atsaukts, saglabātas vecas grupu dalības |
Pēc tam sasaistiet katru paraugu ar IDPS ierakstiem: riska scenāriju, apstrādes lēmumu, Piemērojamības paziņojuma kontroles pasākumu atlasi, politikas punktu, tehnisko konfigurāciju, pārskatīšanas ierakstu un korektīvo darbību, ja pastāv kāda nepilnība.
Tas pārvērš audita sagatavošanu no dokumentu vākšanas par kontroles pasākumu verifikāciju.
Sagatavojieties dažādiem audita skatījumiem
Atšķirīga auditoru pieredze rada atšķirīgus jautājumus, pat ja pierādījumi ir vieni un tie paši.
| Auditora skatījums | Galvenais fokuss | Sagaidāmie pierādījumi |
|---|---|---|
| ISO/IEC 27001:2022 auditors | IDPS process, riska apstrāde un kontroles pasākumu darbība | Risku izvērtēšana, SoA, apstiprinātas politikas, piekļuves pieprasījumi, pārskatīšanas ieraksti, deaktivizācijas žurnāli |
| ISO/IEC 19011:2018 audita prakse | Izlase, apstiprināšana ar citiem pierādījumiem un konsekvence | Paroļu iestatījumi, bloķēšanas sliekšņi, apstiprinājumu laikspiedoli, izpildes ieraksti, intervijas |
| ISO/IEC 27007:2020 IDPS auditors | IDPS audita veikšana un efektivitāte | Lomu definīcijas salīdzinājumā ar faktiskajām piekļuves tiesībām, priviliģētu apstiprinājumu audita pēdas, atsaukšanas žurnāli |
| Uz NIST orientēts izvērtētājs | Tehniskā ieviešana un kontroles pasākumu testēšana | AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 un AU-2 pierādījumi no IAM, PAM un SIEM rīkiem |
| COBIT 2019 vai ISACA auditors | Pārvaldība, īpašumtiesības un pierādījumu uzticamība | DSS05.04 un DSS06.03 procesa pierādījumi, metrika, izņēmumi, trūkumu novēršanas izsekošana |
| DORA pārskatītājs | IKT risks, noturība un kritiskums | Kritisko sistēmu piekļuves saraksti, priviliģētās piekļuves uzraudzība, trešo pušu administratoru kontroles pasākumi, saites uz noturības testēšanu |
| NIS2 pārskatītājs | Vadības pārskatatbildība un riska pasākumi | Valdes pārraudzība, Article 21 piekļuves kontroles pasākumi, MFA pārklājums, gatavība incidentiem |
| GDPR pārskatītājs | Personas datu konfidencialitāte un pārskatatbildība | Personas datu piekļuves ierobežojumi, Article 25 datu aizsardzības pēc noklusējuma pierādījumi, Article 32 drošības pasākumi |
Pierādījumu sagatavošana, kas apmierina visus šos skatījumus, demonstrē nobriedušu atbilstības programmu un samazina dubultu darbu.
Biežākie konstatējumi un preventīvās darbības
Piekļuves kontroles konstatējumi ir prognozējami. Preventīvās darbības arī.
| Konstatējums | Kāpēc tas ir svarīgi | Prevencija |
|---|---|---|
| Piekļuves tiesību pārskatīšana pastāv, bet priviliģētie konti ir izslēgti | Administratora tiesības rada visaugstākās ietekmes risku | Katrā pārskatīšanā iekļaut priviliģētās piekļuves pazīmi, PAM ierakstus un administratoru grupas |
| MFA ir iespējota darbiniekiem, bet ne pakalpojumu kontiem, līgumslēdzējiem vai mākoņvides administratoriem | Uzbrucēji mērķē uz izņēmumiem | Uzturēt MFA pārklājuma pārskatu un izņēmumu reģistru ar derīguma termiņiem |
| Darba attiecību uzsākšanas process ir dokumentēts, bet lomas maiņa netiek pārvaldīta | Pēc lomu maiņām uzkrājas pārmērīgas piekļuves tiesības | Aktivizēt piekļuves tiesību pārskatīšanu pie katras struktūrvienības vai lomas maiņas |
| Koplietoti administratora konti pastāv bez kompensējošiem kontroles pasākumiem | Pārskatatbildība ir vāja | Aizstāt ar personificētiem administratora kontiem vai piemērot drošas glabātuves izsniegšanu un sesiju žurnālēšanu |
| Aizgājušie darbinieki direktorijā ir atspējoti, bet SaaS platformās joprojām aktīvi | Piekļuve saglabājas ārpus pamata IdP | Uzturēt lietojumprogrammu uzskaiti un darba attiecību izbeigšanas procesa kontrolsarakstu katrai sistēmai |
| Pakalpojumu kontu paroles nav zināmas vai nekad netiek rotētas | Ne-cilvēku identitātes kļūst par slēptām aizmugures durvīm | Piešķirt īpašniekus, glabāt noslēpumus drošā glabātuvē, rotēt autentifikācijas datus un pārskatīt lietošanas žurnālus |
| Politika nosaka ceturkšņa pārskatīšanu, bet pierādījumi rāda ikgadēju pārskatīšanu | Politika un prakse atšķiras | Pielāgot periodiskumu atbilstoši riskam vai piemērot dokumentēto prasību |
| Piekļuves apstiprinājumi ir e-pastā bez glabāšanas noteikuma | Audita pēda ir trausla | Izmantot ITSM darbplūsmas un glabāšanu, kas saskaņota ar politiku |
Uzņēmuma Piekļuves kontroles politika pievieno glabāšanas prasību, kas novērš vienu no biežākajām pierādījumu kļūmēm:
“Apstiprināšanas lēmumi ir jāreģistrē žurnālā un jāglabā audita vajadzībām vismaz 2 gadus.”
No sadaļas “Pārvaldības prasības”, 5.3.2. punkts.
Ja apstiprinājumi pazūd pēc e-pasta tīrīšanas, kontroles pasākums, iespējams, darbojās, taču audits uz to nevar paļauties. Glabāšana ir kontroles pasākuma projektējuma daļa.
Vadības pārskatatbildībai nepieciešama piekļuves metrika
NIS2 Article 20 un DORA Articles 5 un 6 padara piekļuves kontroli par vadības jautājumu, jo identitātes kompromitēšana var pārtapt darbības traucējumos, regulatīvā ziņošanā, datu aizsardzības pārkāpumā un kaitējumā klientiem. ISO/IEC 27001:2022 5.1.–5.3. punkts arī prasa augstākajai vadībai saskaņot IDPS ar biznesa stratēģiju, nodrošināt resursus, komunicēt nozīmīgumu, piešķirt pienākumus un veicināt nepārtrauktu uzlabošanu.
Noderīga piekļuves kontroles metrika ietver:
- Kritisko sistēmu īpatsvaru, kas aptvertas ar SSO
- Priviliģēto kontu īpatsvaru ar MFA
- Pastāvīgo priviliģēto kontu skaitu salīdzinājumā ar JIT kontiem
- Piekļuves tiesību pārskatīšanas pabeigšanas rādītāju
- Atsaukto pārmērīgo piekļuves tiesību skaitu
- Aizgājušo darbinieku deaktivizācijas SLA atbilstību
- Neaktīvo kontu skaitu
- Pakalpojumu kontu īpašnieku pārklājumu
- PAM sesiju ierakstīšanas pārklājumu
- MFA izņēmumu skaitu un vecumu
Šī metrika palīdz vadībai apstiprināt riska apstrādi un demonstrēt pārraudzību. Tā arī padara auditus uzticamākus, jo organizācija var parādīt, ka piekļuves kontrole tiek uzraudzīta kā dzīvs risks, nevis atklāta no jauna pirms katra audita.
Pārvērtiet izkliedētus pierādījumus audita pārliecībā
Ja ISO/IEC 27001:2022 piekļuves kontroles pierādījumi ir izkaisīti pa HR, ITSM, IAM, PAM, mākoņvides konsolēm un izklājlapām, nākamais solis nav vēl viena politikas pārrakstīšana. Nākamais solis ir pierādījumu arhitektūra.
Sāciet ar šo secību:
- Definējiet darbības jomā esošās sistēmas, identitātes un datus.
- Kartējiet NIS2, DORA, GDPR un līgumiskās prasības IDPS kontekstā.
- Izmantojiet ISO/IEC 27005:2022 stila riska scenārijus, lai prioritizētu IAM, MFA, PAM un piekļuves tiesību pārskatīšanu.
- Atjauniniet Piemērojamības paziņojumu un risku apstrādes plānu.
- Saskaņojiet politikas punktus ar faktiskajām IAM un PAM darbplūsmām.
- Veiciet trīs paraugu pierādījumu sprintu.
- Novērsiet nepilnības, pirms tās atrod auditors.
- Uzturiet atkārtoti izmantojamu pierādījumu pakotni sertifikācijai, klientu pienācīgai pārbaudei un regulatīvajām pārskatīšanām.
Clarysec var palīdzēt to ieviest, izmantojot Zenith Blueprint: Auditora 30 soļu ceļvedi, savstarpēji kartēt prasības ar Zenith Controls: Vairāku atbilstības prasību ceļvedi un ieviest prasības operacionālajā darbībā ar atbilstošu Clarysec politiku kopumu, tostarp Piekļuves kontroles politiku, Lietotāju kontu un privilēģiju pārvaldības politiku un Darba attiecību uzsākšanas un izbeigšanas politiku.
Piekļuves kontroles gatavība auditam nav stāsts par to, kā pierādīt, ka esat iegādājies IAM rīku. Tā ir spēja pierādīt, ka identitātes, autentifikācijas, privilēģiju un pārskatīšanas procesi samazina reālu organizācijas risku un izpilda tos standartus un regulējumus, kas jūsu organizācijai ir būtiski.
Lejupielādējiet Clarysec rīkkopas, veiciet trīs paraugu pierādījumu sprintu un pārvērtiet piekļuves kontroles pierādījumus no izkaisīta jucekļa par skaidru, atkārtojamu un aizstāvamu audita portfeli.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
