Drošas attālinātās piekļuves un VPN pārvaldība NIS2 un DORA prasību izpildei
Pirmdienas rītā plkst. 07.42 Maria, strauji augoša FinTech SaaS pakalpojumu sniedzēja informācijas drošības vadītāja, saņem trīs ziņas vēl pirms pirmās kafijas.
Pirmā ir no SOC: VPN konts, kas pieder atbalsta inženierim, ir autentificējies no valsts, kurā uzņēmumam nav darbinieku. Otrā ir no pārdošanas komandas: finanšu pakalpojumu klients pieprasa pierādījumus, ka visa priviliģētā attālinātā piekļuve ir aizsargāta ar MFA, tiek žurnālfiksēta, segmentēta un pārskatīta saskaņā ar DORA pielīdzinātiem IKT risku kontroles pasākumiem. Trešā ir no Juridiskā dienesta: tas pats notikums var būt saistīts ar piekļuvi personas datiem, tāpēc DPO vēlas saprast, vai GDPR Article 32 pierādījumi ir pietiekami pilnīgi, lai pierādītu atbilstošus tehniskos un organizatoriskos pasākumus.
Pagaidām nekas nav eksplodējis. Nav izspiedējprogrammatūras paziņojuma. Nav apstiprinātas datu neatļautas izneses. Nav klienta pakalpojuma nepieejamības.
Taču Maria zina neērto patiesību. Ja attālinātās piekļuves pārvaldība ir vāja, katra atbilstības saruna kļūst aizsardzības pozīcijā. VPN pieteikšanās kļūst par NIS2 kiberdrošības higiēnas jautājumu. Līgumslēdzēja konts kļūst par DORA IKT trešo pušu risku jautājumu. Attālinātās darbvirsmas sesija klienta vidē kļūst par GDPR apstrādes drošības jautājumu. Trūkstošs žurnāls kļūst par audita konstatējumu.
Situāciju pasliktina ārējā audita ziņojums, kas jau atrodas uz viņas galda. Auditori neatklāja sarežģītu nulltās dienas uzbrukumu. Viņi konstatēja koplietotus līgumslēdzēju kontus, nekonsekventu daudzfaktoru autentifikāciju, mantotas VPN grupas, nepārvaldītus izņēmumus un gigabaitiem žurnālu, kas bija pārāk trokšņaini, lai atbalstītu izmeklēšanu. Tas bija tehniskais parāds, kas pārvērties regulatīvā ietekmē.
- gadā droša attālinātā piekļuve un VPN pārvaldība nav šaurs tīkla drošības jautājums. Tā ir valdes līmeņa kontroles sistēma, kas savieno identitāti, galiekārtu drošību, piegādātāju piekļuvi, ievainojamību pārvaldību, žurnālfiksēšanu, reaģēšanu uz incidentiem, privātuma pārskatatbildību un darbības noturību.
Attālinātās piekļuves problēma ir mainījusies
Pirms dažiem gadiem attālinātās piekļuves pārvaldība bieži nozīmēja vienu vienkāršu atbildi: “mums ir VPN”. Šī atbilde vairs neiztur nopietnu pārbaudi.
Mūsdienīga attālinātās piekļuves vide var ietvert uzņēmuma VPN koncentratorus, Zero Trust Network Access vārtejas, Privileģētās piekļuves pārvaldības starpserverus, bastionu serverus mākoņvides administrēšanai, attālinātās darbvirsmas infrastruktūru, piegādātāju apkopes tuneļus, pārvaldīto pakalpojumu sniedzēju piekļuvi, ārkārtas break-glass kontus, SaaS administratīvos portālus, izstrādātāju piekļuvi produkcijas videi, mobilās ierīces, mājas tīklus, publisko Wi‑Fi un BYOD izņēmumus.
Katrs ceļš var kļūt par regulatīvu pierādījumu punktu.
NIS2 Article 21 paredz atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus. Tie ietver riska analīzi un informācijas sistēmu drošības politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, ievainojamību apstrādi, politikas kiberdrošības efektivitātes izvērtēšanai, kiberdrošības higiēnu, kiberdrošības apmācību, kriptogrāfiju un šifrēšanu, ja piemērojams, personāla drošību, piekļuves kontroles politikas, aktīvu pārvaldību, daudzfaktoru vai nepārtrauktu autentifikāciju, ja piemērojams, drošu saziņu un drošu ārkārtas saziņu.
DORA prasa finanšu vienībām uzturēt dokumentētus IKT risku pārvaldības ietvarus, IKT incidentu procesus, digitālās darbības noturības testēšanu un IKT trešo pušu risku pārvaldību. DORA Article 5 nosaka vadības struktūras atbildību definēt, apstiprināt, pārraudzīt un saglabāt pārskatatbildību par IKT risku pārvaldību. Article 28 prasa IKT trešo pušu risku pārvaldīt kā neatņemamu šā ietvara daļu.
GDPR Article 32 prasa atbilstošus tehniskos un organizatoriskos pasākumus apstrādes drošībai, tostarp konfidencialitāti, integritāti, pieejamību, noturību, atjaunošanas spēju, testēšanu un spēju pierādīt, ka personas dati ir aizsargāti pret nesankcionētu piekļuvi, nozaudēšanu, izmainīšanu vai izpaušanu.
CISO problēma nav jautājums, vai VPN darbojas. Patiesais jautājums ir, vai organizācija var pierādīt, ka attālinātā piekļuve tiek pārvaldīta, risku ziņā izvērtēta, apstiprināta, droši konfigurēta, uzraudzīta, pārskatīta, testēta un integrēta reaģēšanā uz incidentiem.
Tieši šeit ISO/IEC 27001:2022 kļūst noderīgs. Tas neuztver VPN kā atsevišķu iekārtu. Tas ievieto attālināto piekļuvi ISMS: darbības jomā, ieinteresētajās pusēs, risku izvērtēšanā, kontroles pasākumu atlasē, darbības plānošanā, piegādātāju pārvaldībā, iekšējā auditā, vadības pārskatīšanā un nepārtrauktā uzlabošanā.
Sāciet ar ISMS darbības jomu, nevis ugunsmūra noteikumu
Kad Clarysec pārskata attālinātās piekļuves pārvaldību, mēs nesākam ar VPN konfigurācijas ekrānuzņēmuma pieprasīšanu. Mēs sākam ar ISMS robežām.
ISO/IEC 27001:2022 prasa organizācijai definēt tās kontekstu, ieinteresētās puses, prasības un ISMS darbības jomu, tostarp saskarnes un atkarības ar citām organizācijām. Attālinātās piekļuves gadījumā darbības jomā skaidri jāiekļauj cilvēki, sistēmas, piegādātāji un tīkla pakalpojumi, kas nodrošina attālinātu darbu.
SaaS vai finanšu tehnoloģiju organizācijai jāidentificē:
- Darbinieki, kuri attālināti piekļūst produkcijas sistēmām
- Līgumslēdzēji un izstrādātāji ar attālinātas administrēšanas tiesībām
- MSP, MSSP un citi piegādātāji ar operacionālo piekļuvi
- Klientu atbalsta personāls, kas piekļūst nomnieku datiem
- Finanšu, personāla un juridiskie lietotāji, kas attālināti piekļūst personas datiem
- Mākoņvides konsoles un attālinātās pārvaldības API
- VPN, ZTNA, identitātes nodrošinātājs un galiekārtu pārvaldības platformas
- Žurnāli, SIEM integrācijas un glabāšanas vietas
- Attālinātās piekļuves izņēmumi un ārkārtas piekļuves procedūras
- Piegādātāja pārvaldītas tīkla perimetra ierīces un attālinātā atbalsta rīki
Tas ir vairāk nekā dokumentācijas higiēna. NIS2 darbības joma var ietvert mākoņpakalpojumu sniedzējus, datu centrus, MSP, MSSP, elektronisko sakaru pakalpojumu sniedzējus, digitālās infrastruktūras nodrošinātājus un IKT pakalpojumu pārvaldības sniedzējus atkarībā no lieluma, nozares un statusa. DORA attiecas uz finanšu vienībām un šīm vienībām darbojas kā nozares specifiskais IKT risku režīms. GDPR var attiekties uz ES un ārpus ES esošām organizācijām, ja apstrāde skar ES fiziskas personas, ES uzņēmējdarbības vietas, Savienībā fiziskām personām piedāvātus pakalpojumus vai uzvedības uzraudzību.
Ja jūsu ISMS darbības joma ignorē trešo pušu attālināto piekļuvi, attālināto administrēšanu, VPN infrastruktūru vai piegādātāja pārvaldītu savienojamību, kontroles pasākumu kopums var būt nepilnīgs vēl pirms auditors sāk izlases pārbaudi.
Izveidojiet attālinātās piekļuves kontroles pasākumu kopu
Spēcīga attālinātās piekļuves programma jāveido kā kontroles pasākumu kopa, nevis viena politika. Clarysec ieviešanas darbā galvenie ISO/IEC 27002:2022 kontroles pasākumi parasti ietver:
- 6.7 Attālinātais darbs
- 5.15 Piekļuves kontrole
- 5.16 Identitātes pārvaldība
- 5.17 Autentifikācijas informācija
- 5.18 Piekļuves tiesības
- 8.5 Droša autentifikācija
- 8.1 Lietotāju galiekārtas
- 8.8 Tehnisko ievainojamību pārvaldība
- 8.9 Konfigurāciju pārvaldība
- 8.15 Žurnālfiksēšana
- 8.16 Uzraudzības darbības
- 8.20 Tīkla drošība
- 8.22 Tīklu nodalīšana
- 5.19 Informācijas drošība piegādātāju attiecībās
- 5.20 Informācijas drošības prasību iekļaušana piegādātāju līgumos
- 5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē
- 5.22 Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība
- 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā
- 5.24 Informācijas drošības incidentu pārvaldības plānošana un sagatavošanās
- 5.26 Reaģēšana uz informācijas drošības incidentiem
- 5.28 Pierādījumu vākšana
- 5.30 IKT gatavība darbības nepārtrauktībai
Zenith Controls: The Cross-Compliance Guide kartē Attālināto darbu 6.7 kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ar operacionālām saitēm uz aktīvu pārvaldību, informācijas aizsardzību, fizisko drošību un sistēmu un tīkla drošību. Tas sasaista Attālināto darbu arī ar Ārpus telpām esošo aktīvu drošību 7.9, Lietotāju galiekārtām 8.1, Informācijas drošības apzināšanos, izglītību un apmācību 6.3, Informācijas pārsūtīšanu 5.14, Tīkla drošību 8.20, Tīklu nodalīšanu 8.22, Tīrā galda un tīrā ekrāna principu 7.7 un IKT gatavību darbības nepārtrauktībai 5.30.
Šī saistība ir būtiska. VPN prasība bez galiekārtu pārvaldības neaizsargā pret nozagtu klēpjdatoru. MFA bez žurnālfiksēšanas neatbalsta izmeklēšanu. Piegādātāju piekļuve bez segmentēšanas palielina ietekmes zonu. Attālinātais darbs bez incidentu ziņošanas aizkavē ierobežošanu.
| Attālinātās piekļuves risks | ISO/IEC 27002:2022 kontroles pasākuma fokuss | Pierādījumi, ko sagaida auditori |
|---|---|---|
| Nozagti autentifikācijas dati izmantoti caur VPN | 8.5 Droša autentifikācija, 5.15 Piekļuves kontrole, 5.17 Autentifikācijas informācija | MFA konfigurācija, nosacītās piekļuves noteikumi, neveiksmīgas pieteikšanās brīdinājumi, autentifikācijas žurnāli |
| Bijušais līgumslēdzējs saglabā piekļuvi | 5.18 Piekļuves tiesības, 5.16 Identitātes pārvaldība, 5.19 līdz 5.23 piegādātāju kontroles pasākumi | Darbinieku pieņemšanas, pārcelšanas un atbrīvošanas ieraksti, piegādātāja darba attiecību izbeigšanas pieprasījumi, piekļuves tiesību pārskatīšanas pierādījumi |
| Kompromitēts klēpjdators pieslēdzas attālināti | 8.1 Lietotāju galiekārtas, 6.7 Attālinātais darbs, 8.8 Tehnisko ievainojamību pārvaldība | MDM atbilstība, EDR statuss, šifrēšanas pierādījumi, ielāpu pārskati |
| VPN perimetra ierīce nav ielāpota | 8.8 Tehnisko ievainojamību pārvaldība, 8.9 Konfigurāciju pārvaldība, 8.20 Tīkla drošība | Aktīva ieraksts, skenēšanas rezultāti, ielāpu SLA, izņēmuma apstiprinājums |
| Piegādātājs izmanto koplietotu attālināto kontu | 5.15 Piekļuves kontrole, 5.16 Identitātes pārvaldība, 8.5 Droša autentifikācija | Unikālas lietotāju identifikācijas, vārdā piesaistīti piegādātāju konti, MFA žurnāli, līguma prasības |
| Aizdomīgu attālināto sesiju nevar rekonstruēt | 8.15 Žurnālfiksēšana, 8.16 Uzraudzības darbības, 5.24 Informācijas drošības incidentu pārvaldības plānošana un sagatavošanās | VPN žurnāli, avota IP adreses, sesijas ilgums, SIEM brīdinājumi, incidenta laika skala |
Kontroles pasākumu kopa maina sarunu. Tā vietā, lai diskutētu, vai “VPN ir atbilstošs”, organizācija izveido izsekojamu modeli: attālinātās piekļuves risks, ISO kontroles pasākums, politikas prasība, tehniskā ieviešana, pierādījumu īpašnieks un pārskatīšanas biežums.
Pārvērtiet politikas nodomu audita pierādījumos
Auditori reti pieņem “mēs parasti izmantojam MFA” kā pierādījumu. Viņi meklē formāli apstiprinātas prasības, ieviestus kontroles pasākumus un ierakstus, kas apliecina darbību.
Clarysec politiku rīkkopa sniedz komandām precīzu formulējumu, ko tās var pārņemt un pielāgot. Tīkla drošības politika — MVU 5.5.1. punktā nosaka:
“VPN piekļuvei jāpieprasa daudzfaktoru autentifikācija (MFA), un tai jābūt ierobežotai līdz norīkotam personālam”
Tā pati MVU politika 6.3.3. punktā pārvērš žurnālfiksēšanu par glabāšanas prasību:
“Piekļuve caur VPN ir jāžurnālfiksē, un sesiju ilgums un avota IP adreses jāglabā vismaz 6 mēnešus”
Attālinātā darba uzvedībai Attālinātā darba politika — MVU 5.2.3. punktā nosaka:
“Publisko Wi‑Fi drīkst izmantot tikai tad, ja ir aktīvs drošs tunelis (VPN).”
Uzņēmuma vidēm Attālinātā darba politika ir vēl tiešāka. 5.2.1.1. punkts prasa personālam:
“Izmantot uzņēmuma apstiprinātu VPN vai attālinātās darbvirsmas infrastruktūru”
5.2.1.2. punkts prasa organizācijām:
“Pieprasīt daudzfaktoru autentifikāciju (MFA) visiem pieteikšanās mēģinājumiem”
Tīkla drošības politika saskaņo tehnisko pamatlīmeni ar 6.3.1. punktu:
“Visai attālinātajai piekļuvei jābūt šifrētai, piemēram, izmantojot IPsec vai SSL VPN, un tai jāpieprasa daudzfaktoru autentifikācija (MFA).”
Piekļuves kontroles politika 5.6.1. punktā nosaka:
“Piekļuves notikumi jāžurnālfiksē un jāglabā saskaņā ar Žurnālfiksēšanas un uzraudzības politiku.”
Piegādātājiem Trešo pušu un piegādātāju drošības politika 6.3.2. punktā prasa:
“Visa trešo pušu piekļuve jāžurnālfiksē un jāuzrauga, un, ja iespējams, jāsegmentē, izmantojot bastionu serverus, VPN vai nulles uzticēšanās vārtejas.”
Ievainojamību un ielāpu pārvaldības politika — MVU 6.5.1. punktā nosaka:
“Sistēmām, kas apstrādā personas datus, nodrošina attālinātu piekļuvi vai ir ārēji pieejamas, jāpiešķir prioritāte skenēšanā un atjaunināšanā”
Šie punkti kļūst spēcīgi, kad tie tiek sasaistīti ar darbības pierādījumiem. Politika nosaka, ka MFA ir obligāta. Identitātes nodrošinātājs pierāda piemērošanu. VPN žurnāls pierāda izmantošanu. SIEM brīdinājums pierāda uzraudzību. Piekļuves tiesību pārskatīšana pierāda nepārtrauktu biznesa vajadzību. Ievainojamību pārskats pierāda, ka attālinātās piekļuves pakalpojumam ir noteikta prioritāte. Incidentu rokasgrāmata pierāda gatavību reaģēšanai.
Tā ir atšķirība starp politikas esamību un kontroles pasākuma darbību.
Pieci jautājumi, uz kuriem jāatbild katram CISO
Clarysec attālinātās piekļuves pārvaldības modelis ir balstīts uz pieciem jautājumiem, kas darbojas ISO 27001 auditos, NIS2 gatavībā, DORA IKT risku pārbaudēs un GDPR Article 32 pierādījumu paketēs.
1. Kam ir atļauts pieslēgties attālināti?
Attālinātā piekļuve jāierobežo līdz autorizētiem lietotājiem, lomām un piegādātājiem. ISO/IEC 27002:2022 Piekļuves kontrole 5.15, Identitātes pārvaldība 5.16 un Piekļuves tiesības 5.18 nosaka pārvaldības pamatu.
Zenith Controls kartē Piekļuves kontroli 5.15 kā preventīvu kontroles pasākumu, kas vērsts uz identitātes un piekļuves pārvaldību. Tas sasaista kontroles pasākumu ar Identitātes pārvaldību, Piekļuves tiesībām, Autentifikācijas informāciju, Lietotāju galiekārtām, Drošu autentifikāciju un atbilstību politikām. Praksē piekļuves politika ir ticama tikai tad, ja identitātes ir unikālas, pārvaldītas visā dzīves ciklā, autentificētas un pārskatītas.
Kvalitatīvam attālinātās piekļuves ierakstam jāatbild uz šādiem jautājumiem:
- Kurai personai vai piegādātājam ir piekļuve?
- Kurām sistēmām šī persona vai piegādātājs var piekļūt?
- Kāda loma vai līgums pamato piekļuvi?
- Kas to apstiprināja?
- Vai MFA tiek piemērota?
- Kad piekļuve pēdējo reizi tika pārskatīta?
- Kad pagaidu piekļuve beidzas?
- Kurš žurnālu avots pierāda izmantošanu?
Tas atbalsta arī NIST Cybersecurity Framework 2.0 PR.AA rezultātus identitāšu pārvaldībai, autentifikācijai, autorizācijai, minimāli nepieciešamajām tiesībām un pienākumu nošķiršanai.
2. Kāds ierīces un tīkla drošības stāvoklis ir nepieciešams?
Attālinātajai piekļuvei jābūt atkarīgai no ierīces uzticamības, nevis tikai no lietotāja autentifikācijas datiem. Derīga parole un MFA apstiprinājums no nepārvaldītas, inficētas vai neielāpētas ierīces joprojām ir augsts risks.
Zenith Blueprint: An Auditor’s 30-Step Roadmap to skaidro posmā Controls in Action, Step 16, People Controls II:
“Attālinātā darba veicējiem jāpieprasa izmantot tikai uzņēmuma apstiprinātas ierīces, kuras IT ir konfigurējis ar pilna diska šifrēšanu, aktīvu galiekārtu aizsardzību, automātisku ielāpu uzstādīšanu un piemērotiem ekrāna bloķēšanas noildzes iestatījumiem.”
Tas pats solis uzsver, ka attālinātajai piekļuvei jānotiek caur uzņēmuma VPN, ideālā gadījumā aizsargātu ar MFA, un ka BYOD jāaizliedz vai jāatļauj tikai ar stingriem nosacījumiem, piemēram, MDM reģistrāciju, konteinerizāciju un attālinātu dzēšanu.
Šeit saplūst Lietotāju galiekārtas 8.1, Attālinātais darbs 6.7, Tehnisko ievainojamību pārvaldība 8.8, Konfigurāciju pārvaldība 8.9 un Tīkla drošība 8.20.
GDPR Article 32 kontekstā ierīces drošības stāvoklis ir būtisks, jo attālinātās galiekārtas ir daļa no tehniskajiem un organizatoriskajiem pasākumiem, kas aizsargā personas datus. DORA gadījumā galiekārtu drošības stāvoklis atbalsta IKT risku pārvaldību un darbības noturību. NIS2 gadījumā tas atbalsta kiberdrošības higiēnu, piekļuves kontroli, aktīvu pārvaldību un ievainojamību apstrādi.
3. Kā tiek aizsargāta sesija?
Drošai attālinātās piekļuves sesijai jāizmanto šifrēta pārvade, spēcīga autentifikācija, segmentēšana un kontrolēti administratīvie ceļi.
Zenith Blueprint, Risk Management fāzē, Step 14, Risk Treatment Policies and Regulatory Cross-References, nosaka attālinātās piekļuves prasību:
“Visai attālinātajai piekļuvei iekšējām sistēmām jāizmanto drošs VPN vai līdzvērtīgs šifrēts savienojums. Attālinātai pieteikšanās uzņēmuma tīklos nepieciešama daudzfaktoru autentifikācija (MFA).”
Step 20, Controls 8.18 to 8.26, organizācijām uzdod validēt tīkla pakalpojumu drošību, uzskaitot visus iekšējos un ārējos tīkla pakalpojumus, piemēram, DNS, VPN, SMTP, DHCP un API vārtejas, apstiprinot drošus protokolus, pārskatot piekļuves kontroles pasākumus un pārbaudot trešo pušu drošības klauzulas, ja pakalpojumus pārvalda ārēji.
VPN nav tikai ierīce. Tas ir tīkla pakalpojums ar protokolu izvēli, piekļuves ierobežojumiem, sertifikātiem, ugunsmūra ceļiem, trešo pušu atkarībām, ielāpu prasībām un žurnāliem.
4. Kā piekļuve tiek uzraudzīta un izmeklēta?
Attālinātās piekļuves pārvaldībai jāietver žurnālfiksēšana un uzraudzība. NIS2 Article 23 nosaka pakāpeniskas ziņošanas prasības nozīmīgiem incidentiem, tostarp agrīnu brīdinājumu 24 stundu laikā, incidenta paziņošanu 72 stundu laikā un galīgo ziņojumu viena mēneša laikā. DORA prasa finanšu vienībām atklāt, pārvaldīt, klasificēt, eskalēt un ziņot par būtiskiem ar IKT saistītiem incidentiem, tostarp veikt pamatcēloņa analīzi un komunikāciju gadījumos, kad skartas klientu finanšu intereses. GDPR pārkāpuma analīze ir atkarīga no izpratnes, vai personas datiem tika piekļūts, tie tika mainīti, izpausti, zaudēti vai citādi kompromitēti.
Bez attālinātās piekļuves žurnāliem organizācija nevar pārliecinoši atbildēt uz regulatora pirmo jautājumu: kas notika?
Spēcīgai žurnālfiksēšanai jāfiksē lietotāja identitāte, autentifikācijas rezultāts, avota IP adrese, ģeolokācija, ja piemērojams, ierīces identitāte, mērķa pakalpojums, priviliģēta darbība, sesijas ilgums, neveiksmīgi mēģinājumi, administratīvās izmaiņas un korelācija ar galiekārtu un identitātes notikumiem.
5. Kā tiek pārvaldīti izņēmumi un ievainojamības?
Attālinātās piekļuves infrastruktūra ir augstas vērtības aktīvs. VPN vārtejas, ZTNA iekārtas, identitātes nodrošinātāji, bastionu serveri un attālinātās darbvirsmas pakalpojumi jāiekļauj visintensīvāk pārvaldāmo aktīvu vidū ievainojamību programmā.
Nobriedušam izņēmumu procesam jāietver aktīva īpašnieks, skartais attālinātās piekļuves pakalpojums, ievainojamības smaguma pakāpe, izmantojamība, datu ekspozīcija, pagaidu kompensējošie kontroles pasākumi, riska īpašnieka apstiprinājums, derīguma termiņš, atkārtotas testēšanas pierādījumi un saite uz risku reģistru un riska apstrādes plānu.
ISO/IEC 27001:2022 vajadzībām tas atbalsta riska apstrādi, darbības kontroles pasākumus un nepārtrauktu uzlabošanu. DORA vajadzībām tas atbalsta IKT risku pārvaldību, testēšanu un trūkumu novēršanu. NIS2 vajadzībām tas atbalsta ievainojamību apstrādi un korektīvas darbības bez nepamatotas kavēšanās. GDPR vajadzībām tas palīdz pierādīt, ka apstrādes drošība bija balstīta uz risku, nevis ad hoc.
Piegādātāju attālinātā piekļuve ir slēptais audita slazds
Daudzas attālinātās piekļuves kļūmes nav darbinieku kļūmes. Tās ir piegādātāju pārvaldības kļūmes.
MSP ir vecs VPN konts. Programmatūras piegādātājs izmanto koplietojamus akreditācijas datus. Atbalsta partneris pieslēdzas caur attālināto darbvirsmu, lai novērstu problēmu, kas ietekmē klientu. Mākoņpakalpojumu sniedzējs pārvalda attālinātās piekļuves vārteju. Līgumslēdzējs saglabā piekļuvi pēc projekta noslēguma.
DORA šajā jomā ir īpaši stingra. Article 28 prasa finanšu vienībām pārvaldīt IKT trešo pušu risku kā daļu no IKT risku pārvaldības ietvara un saglabāt pilnu atbildību arī tad, ja IKT pakalpojumi tiek nodoti ārpakalpojumā. Tā paredz IKT līgumisko vienošanos reģistrus, sākotnējo izpēti, informācijas drošības standartus, audita un pārbaudes tiesības, izbeigšanas tiesības, koncentrācijas riska analīzi un izstāšanās stratēģijas kritiskām vai svarīgām funkcijām. Article 30 nosaka līgumiskos noteikumus, piemēram, datu aizsardzību, pakalpojumu līmeņus, apstrādes vietas, piekļuvi datiem un datu atgūšanu, palīdzību incidentu laikā, sadarbību ar iestādēm, drošības pasākumus, audita tiesības un izstāšanās atbalstu.
NIS2 Article 21 ietver arī piegādes ķēdes drošību un piegādātāju un pakalpojumu sniedzēju attiecības, pievēršot uzmanību piegādātājam specifiskām ievainojamībām un piegādātāju kiberdrošības praksēm.
NIST CSF 2.0 GV.SC nodrošina praktisku darbības modeli: piegādes ķēdes riska stratēģija, lomas, piegādātāja kritiskums, līgumiskās prasības, sākotnējā izpēte, uzraudzība, dalība incidentos un darbības pēc attiecību beigām.
Clarysec klientiem praktiskais noteikums ir vienkāršs: trešo pušu attālinātā piekļuve jāuzskata par priviliģētu piekļuvi, ja vien nav pierādīts pretējais. Tai jābūt vārdā piesaistītai, apstiprinātai, laikā ierobežotai, aizsargātai ar MFA, žurnālfiksētai, uzraudzītai un segmentētai.
Starpatbilstības kartēšana: viena kontroles sistēma, daudzi pienākumi
Attālinātās piekļuves pārvaldība ir viens no spēcīgākajiem starpatbilstības piemēriem. Tie paši pierādījumi var izpildīt vairākus pienākumus, ja tie ir pareizi izstrādāti.
| Atbilstības virzītājs | Attālinātās piekļuves prasība | Uzturamie pierādījumi |
|---|---|---|
| ISO/IEC 27001:2022 | Uz risku balstīta kontroles pasākumu atlase, piekļuves pārvaldība, piegādātāju kontrole, darbības pierādījumi un nepārtraukta uzlabošana | Risku izvērtējums, Piemērojamības paziņojums, politikas, piekļuves tiesību pārskatīšana, žurnāli, iekšējā audita konstatējumi |
| NIS2 | Kiberdrošības higiēna, piekļuves kontrole, aktīvu pārvaldība, MFA, ja piemērojams, incidentu apstrāde, darbības nepārtrauktība un piegādes ķēdes drošība | MFA ieraksti, kiberdrošības higiēnas apmācība, piegādātāju piekļuves kontroles pasākumi, incidentu ziņojumi, korektīvās darbības |
| DORA | IKT risku pārvaldība, spēcīga autentifikācija, incidentu dzīves cikls, noturības testēšana, IKT trešo pušu risks un vadības struktūras pārskatatbildība | IKT risku reģistrs, attālinātās piekļuves testēšana, incidentu klasifikācijas, piegādātāju reģistri, izstāšanās plāni, audita tiesības |
| GDPR Article 32 | Atbilstoša apstrādes drošība, konfidencialitāte, integritāte, pieejamība, noturība, testēšana un pārskatatbildība | Piekļuves žurnāli, šifrēšanas pierādījumi, MFA piemērošana, pārkāpuma izvērtēšanas ieraksti, testēšanas rezultāti |
| NIST CSF 2.0 | Pārvaldīšanas, identificēšanas, aizsardzības, atklāšanas, reaģēšanas un atjaunošanas rezultāti | Pašreizējie un mērķa profili, aktīvu uzskaite, PR.AA identitātes kontroles pasākumi, DE.CM uzraudzība, RS.AN analīze |
| COBIT 2019 un ISACA apliecinājums | Pārvaldības mērķi, pārvaldības prakses, kontroles pasākumu dizains un darbības efektivitāte | RACI, procesa īpašumtiesības, kontroles veiktspējas rādītāji, audita pēda, trūkumu novēršanas izsekošana |
Detalizētāka ISO kontroles pasākumu sasaiste parāda, kāpēc attālinātās piekļuves pārvaldībai ir tik augsta atbilstības vērtība.
| ISO/IEC 27002:2022 kontroles pasākums | Saskaņojums ar NIS2 | Saskaņojums ar DORA | GDPR Article 32 pierādījumi |
|---|---|---|---|
| 6.7 Attālinātais darbs | Atbalsta Article 21 kiberdrošības higiēnu, piekļuves kontroli un drošas darba prakses | Atbalsta IKT politikas un procedūras attālinātam darbam un darbības noturībai | Pierāda organizatoriskus pasākumus personālam, kas apstrādā personas datus ārpus biroja |
| 8.5 Droša autentifikācija | Atbalsta Article 21(2)(j) par daudzfaktoru vai nepārtrauktu autentifikāciju, ja piemērojams | Atbalsta spēcīgas autentifikācijas prasības IKT aizsardzības un novēršanas pasākumos | Pierāda tehnisku pasākumu nesankcionētas piekļuves personas datiem samazināšanai |
| 8.20 Tīkla drošība | Atbalsta drošu saziņu, šifrēšanu un tīkla pakalpojumu aizsardzību | Atbalsta aizsardzību pret ielaušanos, nepareizu lietošanu un nesankcionētu IKT piekļuvi | Parāda datu aizsardzību pārsūtē un kontrolētus tīkla ceļus |
| 8.22 Tīklu nodalīšana | Atbalsta ietekmes ierobežošanu un piekļuves kontroles robežu piemērošanu | Atbalsta noturību un ierobežošanu kritiskām vai svarīgām funkcijām | Samazina personas datu ekspozīciju, ierobežojot sasniedzamās sistēmas |
| 5.19 līdz 5.23 piegādātāju kontroles pasākumi | Atbalsta Article 21(2)(d) piegādes ķēdes drošību | Atbalsta Articles 28 un 30 IKT trešo pušu risku un līgumisko pārvaldību | Atbalsta apstrādātāja un piegādātāja pārskatatbildību par drošu piekļuvi |
| 8.15 Žurnālfiksēšana un 8.16 Uzraudzības darbības | Atbalsta incidentu apstrādi un efektivitātes izvērtēšanu | Atbalsta IKT incidentu atklāšanu, klasificēšanu, eskalāciju un ziņošanu | Atbalsta pārkāpuma izvērtēšanu un digitālās kriminālistikas pierādījumus |
| 8.8 Tehnisko ievainojamību pārvaldība | Atbalsta drošu uzturēšanu un ievainojamību apstrādi | Atbalsta IKT riska samazināšanu, testēšanu un trūkumu novēršanu | Parāda uz risku balstītu sistēmu aizsardzību, kas apstrādā personas datus |
NIS2 ievieš arī skaidru vadības pārskatatbildību. Article 20 prasa būtisko un svarīgo vienību vadības struktūrām apstiprināt kiberdrošības risku pārvaldības pasākumus, pārraudzīt ieviešanu un piedalīties apmācībā. DORA Article 5 līdzīgi prasa finanšu vienību vadības struktūrai definēt, apstiprināt, pārraudzīt un saglabāt atbildību par IKT risku pārvaldības kārtību.
Valdei nav jāapstiprina katrs ugunsmūra noteikums. Taču tai jāapstiprina attālinātās piekļuves riska stāvoklis: MFA obligāta, piegādātāju piekļuve žurnālfiksēta, priviliģētā piekļuve segmentēta, attālinātās piekļuves infrastruktūra ielāpota noteiktos termiņos, izņēmumi laikā ierobežoti un kiberincidenti eskalēti pa saskaņotiem kanāliem.
90 minūšu attālinātās piekļuves pierādījumu sprints
Praktisks veids, kā atklāt trūkumus, ir izveidot mini pierādījumu paketi vienam piekļuves ceļam. Izvēlieties vienu piemēru, piemēram, “VPN piekļuve produkcijas vides atbalsta inženieriem”, un pēc tam veiciet šādu sprintu.
| Minūte | Darbība | Rezultāts |
|---|---|---|
| 0 līdz 10 | Definēt piekļuves ceļu | Viens teikums, kas apraksta, kurš pieslēdzas, no kurienes, kam un kāpēc |
| 10 līdz 25 | Kartēt piemērojamās politikas | Punkti no Attālinātā darba politikas, Tīkla drošības politikas, Piekļuves kontroles politikas un Piegādātāju drošības politikas, ja piemērojams |
| 25 līdz 40 | Fiksēt tehnisko piemērošanu | Ekrānuzņēmumi vai eksporti, kas pierāda MFA, šifrēšanu, dalību grupā un nosacīto piekļuvi |
| 40 līdz 55 | Fiksēt žurnālus | Nesen veiksmīga pieteikšanās, neveiksmīga pieteikšanās, avota IP adrese, sesijas ilgums un SIEM brīdinājuma piemērs |
| 55 līdz 70 | Pārskatīt ievainojamības un ierīces drošības stāvokli | VPN aktīva ielāpu statuss, galiekārtu atbilstības pārskats un atvērtie izņēmumi |
| 70 līdz 80 | Pārbaudīt piekļuves tiesību pārskatīšanas pierādījumus | Pēdējā piekļuves tiesību pārskatīšana, noņemtie lietotāji, apstiprinātie izņēmumi un īpašnieka apstiprinājums |
| 80 līdz 90 | Izveidot audita stāstījumu | Vienas lapas skaidrojums, kas sasaista risku, kontroles pasākumu, politiku, ieviešanu un pierādījumus |
Mērķis nav dokumentu radīšana. Mērķis ir sasaistīt politiku ar pierādījumiem. Ja pierādījumu paketi nevar pabeigt vienam piekļuves ceļam, organizācija ir atklājusi reālu pārvaldības trūkumu pirms auditora vai regulatora.
Šis vingrinājums atbilst arī NIST CSF 2.0 profila metodei: noteikt profila darbības jomu, apkopot politikas un prasības, dokumentēt pašreizējos un mērķa rezultātus, analizēt trūkumus, izveidot prioritizētu rīcības plānu un ieviest uzlabojumus.
Kā auditori testēs attālināto piekļuvi
Attālinātās piekļuves audits var šķist atšķirīgs atkarībā no auditora pieredzes. Zenith Controls palīdz organizācijām sagatavoties, jo kartē ISO/IEC 27002:2022 kontroles pasākumu attiecības starpatbilstības skatījumā, nevis kā vienu kontrolsarakstu.
| Auditora skatījums | Iespējamais jautājums | Spēcīga atbilde |
|---|---|---|
| ISO 27001 | Kāpēc jūs izvēlējāties šos attālinātās piekļuves kontroles pasākumus? | Risku izvērtējums, SoA pamatojums, riska apstrādes plāns un politiku sasaiste |
| NIST CSF 2.0 | Kāds ir jūsu pašreizējais un mērķa stāvoklis? | Profils, trūkumu analīze, prioritizēts rīcības plāns un ieviesti uzlabojumi |
| COBIT 2019 | Kas ir pārskatatbildīgs par attālinātās piekļuves pārvaldību? | RACI, procesa īpašnieks, vadības pārskatīšana un kontroles rādītāji |
| DORA | Kā jūs pārvaldāt IKT trešo pušu attālināto piekļuvi? | Piegādātāju reģistrs, sākotnējā izpēte, līguma klauzulas, audita tiesības un izstāšanās plāns |
| GDPR | Vai varat pierādīt, ka piekļuve personas datiem tika kontrolēta? | MFA, minimāli nepieciešamās tiesības, žurnāli, piekļuves tiesību pārskatīšana un pārkāpuma izvērtēšanas ieraksti |
Auditam gatava organizācija nemeklē ekrānuzņēmumus pēdējā brīdī. Tā uztur dzīvu pierādījumu sistēmu.
Biežākie konstatējumi 2026. gadā
Izvērtējumos Clarysec atkārtoti redz vienas un tās pašas attālinātās piekļuves problēmas:
- MFA ir iespējota darbiniekiem, bet ne piegādātājiem, ārkārtas kontiem vai mantotiem VPN profiliem
- Attālinātās piekļuves žurnāli pastāv, bet netiek glabāti pietiekami ilgi, centralizēti vai sasaistīti ar identitātēm
- Galiekārtu atbilstība tiek pārvaldīta atsevišķi no VPN piekļuves, tāpēc nepārvaldītas ierīces joprojām var pieslēgties
- Piekļuves tiesību pārskatīšana koncentrējas uz biznesa lietojumprogrammām, bet ignorē VPN grupas, bastionu atļaujas un mākoņvides administratora lomas
- Attālinātās piekļuves infrastruktūra nav iekļauta ievainojamību prioritāšu sarakstā
- Piegādātāju piekļuve tiek apstiprināta neformāli un nav atspoguļota līgumos
- Izņēmumiem nav derīguma termiņa, kompensējoša kontroles pasākuma vai riska īpašnieka apstiprinājuma
- Break-glass konti netiek testēti, uzraudzīti vai pārskatīti
- Priviliģētās sesijas nav segmentētas no vispārējās attālinātās piekļuves datplūsmas
- Reaģēšanas uz incidentiem rokasgrāmatas neietver attālinātās piekļuves pierādījumu vākšanu
Šie konstatējumi ir novēršami. Tie parasti rodas sadrumstalotu īpašumtiesību dēļ. Tīkla komandas pārvalda VPN. IAM pārvalda MFA. IT pārvalda ierīces. Iepirkums pārvalda piegādātāju līgumus. Juridiskais dienests pārvalda datu apstrādes noteikumus. SOC pārvalda brīdinājumus. Atbilstības funkcija pārvalda audita pierādījumus.
ISMS ir jāsavieno šīs jomas.
Mērķa darbības modelis drošai attālinātai piekļuvei
Nobriedušam drošas attālinātās piekļuves un VPN pārvaldības modelim jāietver šādas darbības prakses:
- Uzturēt visu attālinātās piekļuves metožu uzskaiti, tostarp VPN, ZTNA, RDP, bastionu serverus, SaaS administratoru portālus un piegādātāju tuneļus
- Pieprasīt MFA visai attālinātajai piekļuvei, tostarp piegādātājiem, administratoriem un ārkārtas kontiem
- Piemērot ierīces atbilstības pārbaudi pirms piekļuves, ja tas ir tehniski iespējams
- Priviliģētai un trešo pušu piekļuvei izmantot segmentēšanu, bastionu serverus vai nulles uzticēšanās vārtejas
- Žurnālfiksēt avota IP adresi, lietotāja identitāti, autentifikācijas rezultātu, mērķa sistēmu un sesijas ilgumu
- Glabāt žurnālus saskaņā ar politiku, regulatīvajām un izmeklēšanas vajadzībām
- Piešķirt prioritāti attālinātās piekļuves sistēmām ievainojamību skenēšanā un ielāpu uzstādīšanā
- Periodiski, kā arī lomas maiņas, darba attiecību izbeigšanas vai piegādātāja līguma izmaiņu gadījumā pārskatīt piekļuves tiesības
- Laikā ierobežot ārkārtas, pagaidu un piegādātāju piekļuvi
- Iekļaut attālināto piekļuvi reaģēšanā uz incidentiem, pārkāpumu izvērtēšanā un krīzes mācībās
- Testēt attālinātās piekļuves noturību un rezerves piekļuves maršrutus, ja tas nepieciešams nepārtrauktībai
- Integrēt piegādātāju attālināto piekļuvi līgumos, sākotnējā izpētē, uzraudzībā un izstāšanās plānošanā
- Ziņot vadībai par attālinātās piekļuves riska rādītājiem
Mariai tas kļūst par praktisku rīcības plānu. Pirmajās divās nedēļās viņa izmanto Zenith Blueprint, lai atjauninātu pārvaldības dokumentus, saskaņotu politikas ar NIS2 un DORA pienākumiem un saņemtu vadības apstiprinājumu. Nākamā mēneša laikā viņas IT un drošības komandas piemēro MFA visiem attālinātās piekļuves profiliem, segmentē līgumslēdzēju piekļuvi, pielāgo žurnālfiksēšanu un nosaka VPN un ZTNA sistēmām prioritāti ievainojamību novēršanā. Pastāvīgi viņa veic ceturkšņa piekļuves tiesību pārskatīšanu, testē incidentu pierādījumu vākšanu un ziņo valdei par riska rādītājiem.
Rezultāts nav tikai sakārtotāka VPN konfigurācija. Tā ir attālinātās piekļuves kontroles sistēma, kas spēj izturēt auditu, atbalstīt reaģēšanu uz incidentiem un samazināt reālu darbības risku.
Izveidojiet attālinātās piekļuves pierādījumu paketi pirms nākamā incidenta
Pirmdienas rīta VPN brīdinājumam nav jākļūst par krīzi. Taču tam jākļūst par pārvaldības testu.
Vai varat identificēt lietotāju? Vai varat pierādīt MFA? Vai varat apstiprināt ierīces drošības stāvokli? Vai varat rekonstruēt sesiju? Vai varat noteikt, vai personas dati bija pieejami? Vai varat parādīt, ka konts tika apstiprināts un pārskatīts? Vai varat pierādīt, ka VPN ierīce bija ielāpota? Vai varat pierādīt, ka piegādātāju piekļuve tiek žurnālfiksēta un segmentēta? Vai vadība redz risku?
Ja atbilde ir “vēl ne”, Clarysec var palīdzēt.
Sāciet ar Zenith Blueprint: An Auditor’s 30-Step Roadmap, lai strukturētu ISO/IEC 27001:2022 ieviešanas ceļkarti, īpaši Step 14 riska apstrādes politikām, Step 16 attālinātā darba kontroles pasākumiem, Step 19 drošai autentifikācijai un Step 20 tīkla pakalpojumu drošībai. Izmantojiet Zenith Controls: The Cross-Compliance Guide, lai kartētu Attālināto darbu, Piekļuves kontroli, Drošu autentifikāciju, piegādātāju kontroles pasākumus, žurnālfiksēšanu un tīkla drošību ar saistītajiem ISO/IEC 27002:2022 kontroles pasākumiem un starpatbilstības pierādījumiem.
Pēc tam ieviesiet prasības darbībā ar Clarysec politikām, piemēram, Attālinātā darba politiku, Tīkla drošības politiku, Piekļuves kontroles politiku, Trešo pušu un piegādātāju drošības politiku un MVU paredzētajiem ekvivalentiem.
Jūsu nākamajam auditam nevajadzētu būt pirmajai reizei, kad tiek apkopoti attālinātās piekļuves pierādījumi. Izveidojiet tos tagad, testējiet tos tagad un padariet drošas attālinātās piekļuves pārvaldību par vienu no spēcīgākajām jūsu atbilstības programmas daļām. Sazinieties ar Clarysec, lai veiktu attālinātās piekļuves pārvaldības izvērtēšanu, lejupielādētu politiku veidnes vai rezervētu demonstrāciju un redzētu, kā jūsu pašreizējie kontroles pasākumi kartējas ar ISO 27001, NIS2, DORA un GDPR Article 32.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
