Odstępstwa kryptograficzne w ISO 27001: dowody audytowe i przewodnik po CER

Rozmowa audytowa, której David obawiał się najbardziej, przyszła trzy tygodnie wcześniej, niż zakładał. InnovatePay właśnie przejęło mniejszą spółkę, QuickAcquire. Transakcja była sukcesem strategicznym, ale w stosie technologicznym znajdował się odziedziczony moduł transferu danych wykorzystujący bibliotekę kryptograficzną, która nie spełniała zatwierdzonych standardów InnovatePay. Jej wymiana była projektem na sześć miesięcy. Audytor zewnętrzny miał pojawić się w kolejnym tygodniu.

W głowie Davida ta scena była boleśnie wyraźna. Audytor, spokojny i metodyczny, trafi na odstępstwo i zada jedno pytanie, które zamienia stwierdzenie wiemy, że to ryzykowne w niezgodność: proszę pokazać dowody dla odstępstwa kryptograficznego oraz sposób, w jaki zdecydowali Państwo, że jest ono akceptowalne.

W takim momencie intencje nie mają znaczenia; znaczenie ma kontrola. Bez udokumentowanego procesu obsługi odstępstw, akceptacji ryzyka przez kierownictwo, środków kompensujących, logów zarządzania kluczami i ograniczonego czasowo planu działań naprawczych audytor prawdopodobnie potraktuje problem jako nieskuteczność zabezpieczenia albo słaby nadzór nad SZBI. Ten przewodnik pokazuje, jak przekształcić taki moment w demonstrację dojrzałości, wykorzystując zestawy narzędzi i polityki Clarysec, zabezpieczenie A.8.24 Stosowanie kryptografii z ISO/IEC 27001:2022 oraz perspektywę zgodności przekrojowej obejmującą NIS2, DORA, GDPR, NIST i COBIT 2019.

Dlaczego odstępstwa kryptograficzne są nieuniknione i jak oceniają je audytorzy

Odstępstwa kryptograficzne pojawiają się z przewidywalnych powodów. W projektach Clarysec widzimy powtarzalne wzorce:

• Ograniczenia technologii odziedziczonych, na przykład niewspierane algorytmy, pakiety szyfrów lub długości kluczy.
• Uzależnienie od dostawcy i opóźnienia certyfikacyjne, które blokują terminowe podniesienie poziomu kryptografii do zatwierdzonego standardu.
• Rzeczywiste potrzeby operacyjne w obszarze reagowania na incydenty lub informatyki śledczej, które wymagają czasowych odstępstw w celu zebrania dowodów albo utrzymania ciągłości świadczenia usługi.
• Okresy migracyjne, w których przejściowa interoperacyjność wymusza słabsze ustawienia przez ograniczony czas.
• Ograniczenia po stronie partnerów lub klientów, które uniemożliwiają zastosowanie preferowanej konfiguracji bazowej.

Audytorzy ISO/IEC 27001:2022 nie oczekują perfekcji; oczekują kontroli. Oceniają, czy szyfrowanie jest odpowiednie i spójne, czy zarządzanie kluczami jest nadzorowane i logowane oraz czy organizacja aktywnie identyfikuje i obsługuje przestarzałe algorytmy w swoim środowisku. Pierwszym krokiem jest dostosowanie sposobu obsługi odstępstw do tego, czego audytorzy oczekują w dowodach.

Osadź odstępstwo w polityce i nadzorze nad ryzykiem

Dojrzały SZBI traktuje odstępstwa jako decyzje dotyczące postępowania z ryzykiem, a nie jako dług techniczny. Formalnym mechanizmem jest wniosek o odstępstwo kryptograficzne (CER), a klauzula polityki, która go wymaga, stanowi punkt rozgraniczający między zarządzanym odstępstwem a ustaleniem audytowym.

Firmowa Polityka zabezpieczeń kryptograficznych Clarysec wymaga: Użycie niestandardowych algorytmów kryptograficznych lub czasowe odstępstwo od zatwierdzonych praktyk cyklu życia wymaga udokumentowanego wniosku o odstępstwo kryptograficzne. Rodzina polityk jest bezpośrednio powiązana z postępowaniem z ryzykiem. Powiązana Polityka zarządzania ryzykiem wspiera ocenę ryzyk związanych z zabezpieczeniami kryptograficznymi oraz dokumentuje strategię postępowania z ryzykiem dla odstępstw, starzenia się algorytmów lub scenariuszy naruszenia bezpieczeństwa kluczy.

Gdy wymaganie istnieje w polityce, każde odstępstwo musi być możliwe do powiązania z CER, akceptacją ryzyka przez kierownictwo, wpisem w rejestrze ryzyk, środkami kompensującymi oraz planem wyjścia. Wprowadź te artefakty, zanim ktokolwiek o nie poprosi: najpierw przeprowadź audytora przez mechanizmy nadzoru, a następnie przez stan techniczny, stosując podejście oparte na wywiadzie i próbkowaniu opisane w Zenith Blueprint.

Zbuduj CER jako zapis kontrolny gotowy do audytu

Komentarze w zgłoszeniu nie są zapisami odstępstw. CER powinien być ustrukturyzowany, objęty kontrolą wersji i podlegać próbkowaniu jak każde inne zabezpieczenie. Niezależnie od tego, czy jest prowadzony w narzędziu GRC, czy w kontrolowanym szablonie, dobry CER obejmuje:

• Podsumowanie odstępstwa: co jest niezgodne i gdzie występuje.
• Zakres: typy danych oraz informację, czy odstępstwo wpływa na dane w spoczynku, dane w tranzycie, czy oba te stany.
• Uzasadnienie biznesowe: powód powiązany z ograniczeniami usługowymi lub biznesowymi.
• Ocenę wpływu na bezpieczeństwo: realistyczne scenariusze zagrożeń, takie jak ryzyko obniżenia poziomu algorytmu, MITM, słabe haszowanie lub naruszenie bezpieczeństwa kluczy.
• Środki kompensujące: na przykład segmentację, certyfikaty klienta, krótki czas życia sesji, reguły WAF, dodatkowe uwierzytelnianie i rozszerzone monitorowanie.
• Ocenę ryzyka przed i po zastosowaniu środków kompensujących, zgodną z macierzą ryzyka.
• Właściciela: rozliczalnego właściciela ryzyka po stronie biznesowej.
• Zatwierdzenia: bezpieczeństwo, właściciel systemu oraz akceptacja ryzyka przez kierownictwo.
• Datę wygaśnięcia i częstotliwość przeglądów: bez odstępstw bezterminowych.
• Plan wyjścia: mapę drogową, zależności, kamienie milowe i terminy realizacji.
• Odnośniki do dowodów: linki do konfiguracji, logów, wyników testów, oświadczeń dostawców i zatwierdzeń zmian.

W przypadku Davida odstępstwo QuickAcquire przestało być ukrytym zobowiązaniem, a stało się decyzją możliwą do prześledzenia audytowo, gdy zgłosił CER podczas spotkania otwierającego, udostępnił pakiet dowodów i zaprosił audytora do próbkowania.

Minimalny pakiet dowodów dla odstępstwa kryptograficznego

Audytorzy oczekują czegoś więcej niż technicznego zrzutu stanu. Przy odstępstwach wymagają dowodów nadzoru oraz dowodów operacyjnych. Praktyczny pakiet dowodów obejmuje:

1. Wypełniony CER z zatwierdzeniami i datą wygaśnięcia.
2. Powiązaną ocenę ryzyka i decyzję dotyczącą postępowania z ryzykiem.
3. Procedury zarządzania kluczami dla systemu objętego odstępstwem, wraz z logami generowania, dystrybucji, rotacji, dostępu i niszczenia kluczy.
4. Zapisy zmian ustawień kryptograficznych oraz dowody testowe potwierdzające, że zmiany zwalidowano lub ograniczenia zweryfikowano.
5. Dowody monitorowania i wykrywania dla środków kompensujących, w tym reguły SIEM i testy alertów.
6. Zapisy komunikacji potwierdzające, że personel objęty wpływem został poinformowany i przeszkolony w zakresie odstępstwa oraz oczekiwań dotyczących monitorowania.
7. Ograniczony czasowo plan wyjścia z kamieniami milowymi, datami, budżetem, gdy ma zastosowanie, oraz właścicielami.
8. Historię przeglądów polityki, która wykazuje utrzymywanie aktualności kryptograficznej konfiguracji bazowej oraz zarządzanie cyklem życia algorytmów.

Te typy dowodów są zgodne z wytycznymi ISO/IEC 27002:2022 dotyczącymi kryptografii i kontroli zmian.

Wykorzystaj Zenith Blueprint do zebrania i przedstawienia dowodów

Metoda dowodowa w Zenith Blueprint jest prosta i przyjazna dla audytora: wywiad, przegląd, obserwacja i próbkowanie. Zastosuj ją do odstępstw:

• Wywiad z właścicielem systemu i kierownikiem ds. bezpieczeństwa. Dlaczego odstępstwo jest konieczne, co zmieniło się od ostatniego przeglądu i jaki jest kolejny krok w planie wyjścia.
• Przegląd CER, zapisu ryzyka, klauzuli polityki oraz ograniczeń po stronie dostawcy lub partnera. Potwierdzenie dat wygaśnięcia i przeglądu.
• Obserwacja stanu technicznego, czyli dokładnej konfiguracji i miejsca egzekwowania odstępstwa, oraz sprawdzenie, gdzie zastosowano środki kompensujące.
• Próbkowanie wielu odstępstw, zwykle od trzech do pięciu, aby wykazać spójność struktury, zatwierdzeń, przeglądów, logowania i obsługi wygaśnięcia.

Praktyczny przykład: jak przygotować odstępstwo TLS dla systemu odziedziczonego do audytu

Scenariusz: Krytyczna dla przychodów integracja B2B wymaga starszego pakietu szyfrów TLS, ponieważ punkt końcowy partnera nie potrafi negocjować zatwierdzonych ustawień. Zerwanie połączenia nie jest dopuszczalne.

Uczyń to możliwym do audytu w czterech krokach:

1. Utwórz CER i powiąż go z ryzykiem. Ustal 90-dniową datę wygaśnięcia z przeglądami co 30 dni, dołącz korespondencję z partnerem i powiąż CER z wpisem w rejestrze ryzyk, którego właścicielem jest biznes.
2. Wybierz środki kompensujące, które generują dowody. Ogranicz źródłowe adresy IP do zakresów partnera, korzystając z zapisów zmian reguł zapory sieciowej. Jeżeli to możliwe, wymuś wzajemne TLS i zachowaj zapisy wydania certyfikatów. Zwiększ monitorowanie anomalii uzgadniania połączenia oraz zachowaj definicje reguł SIEM i testy alertów.
3. Wykaż dyscyplinę zarządzania kluczami. Pokaż logi dostępu do KMS, przypisania RBAC, zapisy kont dostępu awaryjnego oraz protokoły z okresowych przeglądów uprawnień dostępu. W mniejszych programach wymaganie bazowe jest wskazane wprost w Polityce zabezpieczeń kryptograficznych dla MŚP: Każdy dostęp do kluczy kryptograficznych musi być logowany i przechowywany na potrzeby przeglądu audytowego, z regularnymi przeglądami dostępu.
4. Spakuj odstępstwo. Przygotuj jeden folder dowodowy albo plik PDF obejmujący CER, zapis ryzyka, migawkę konfiguracji bramy, zgłoszenia zmian zapory sieciowej, logi KMS, reguły SIEM i próbki zdarzeń, zapisy testów oraz komunikację do zespołów operacyjnych.

Zwinność kryptograficzna: jak wykazać, że odstępstwa są z założenia tymczasowe

ISO/IEC 27002:2022 wspiera zwinność kryptograficzną, czyli zdolność do aktualizacji algorytmów i pakietów bez przebudowy całych systemów. Audytorzy szukają dowodów zwinności, a nie deklaracji:

• Rytm przeglądów polityki, który aktualizuje dopuszczalne algorytmy i praktyki wraz z wersjonowanymi dziennikami zmian.
• Zapisy testów aktualizacji kryptografii, które wykazują bezpieczne ścieżki wdrożenia.
• Komunikaty informujące personel o zmianach kryptograficznych i ich wpływie operacyjnym.
• Pozycje w rejestrze prac z postępem realizacji powiązanym z datami wygaśnięcia odstępstw.

Nadzór nad odstępstwami a informatyka śledcza

Odstępstwa mogą komplikować dochodzenia, zwłaszcza gdy szyfrowanie lub niewspierane urządzenia blokują zabezpieczanie materiału dowodowego. Polityka zabezpieczania materiału dowodowego i informatyki śledczej Clarysec uwzględnia to poprzez wyraźne zasady dotyczące dowodów wymaganych z urządzeń niewspieranych lub szyfrowanych. Wersja dla MŚP, Polityka zabezpieczania materiału dowodowego i informatyki śledczej dla MŚP, przewiduje praktyczne tryby awaryjne, na przykład sytuację, w której materiału dowodowego nie można zebrać zgodnie z polityką z powodu awarii systemu albo uszkodzonego nośnika.

Uwzględnij to w CER. Opisz potencjalny wpływ na informatykę śledczą, zdeponuj wymagane klucze oraz zdefiniuj wymagania dotyczące dostępu awaryjnego i logowania.

Mapowanie zgodności przekrojowej: jedno odstępstwo, wiele perspektyw

W środowiskach regulowanych albo wieloramowych to samo odstępstwo będzie badane z różnych perspektyw. Skorzystaj z przewodnika Zenith Controls, aby utrzymać spójność pakietu dowodów.

Jak będą pytać różni audytorzy i jak odpowiadać

Nawet w jednym audycie style badania mogą się różnić. Przygotuj się na każdy z nich i prowadź narrację:

• Audytor ISO/IEC 27001:2022 zapyta, gdzie znajduje się polityka kryptograficzna, gdzie zdefiniowano proces obsługi odstępstw, jak często odstępstwa są przeglądane, i będzie chciał pobrać próbkę. Zacznij od CER i kontrolowanego rejestru.
• Audytor zorientowany na NIST będzie szukał konfiguracji bazowych pakietów szyfrów, zabezpieczeń przed obniżeniem poziomu algorytmu, procedur generowania i niszczenia kluczy oraz logów z alertowaniem. Przygotuj logi KMS, reguły SIEM i testy walidacyjne.
• Audytor COBIT lub ISACA skoncentruje się na tym, kto jest właścicielem ryzyka, kto je zaakceptował, jaki jest rytm przeglądów i jakie wskaźniki pokazują redukcję zaległych odstępstw. Przygotuj protokoły komitetu sterującego i raporty wieku odstępstw.
• Recenzent z perspektywą regulacyjną zapyta, jak odstępstwo wpływa na dostępność i integralność usług krytycznych oraz czy wzrosło ryzyko ekspozycji danych osobowych. Przedstaw artefakty planowania odporności i jednoznaczny harmonogram działań naprawczych.

Typowe błędy prowadzące do niezgodności

• Odstępstwa bez dat wygaśnięcia, interpretowane jako niezarządzane ryzyko.
• Brak akceptacji ryzyka przez kierownictwo, gdy inżynier zatwierdził problem w zgłoszeniu bez rozliczalnego właścicielstwa.
• Opisane, ale nieudowodnione środki kompensujące, na przykład deklaracje monitorowania bez reguł SIEM.
• Brakujące lub niedostępne logi zarządzania kluczami.
• Polityka mówi jedno, a praktyka pokazuje drugie, na przykład CER są wymagane, ale nieużywane.

Lista kontrolna na dzień audytu dla odstępstw kryptograficznych

• Aktualny rejestr zawiera wszystkie odstępstwa kryptograficzne wraz z identyfikatorami CER, właścicielami, zatwierdzeniami, datami przeglądu i datami wygaśnięcia.
• Każde odstępstwo jest powiązane z zapisem ryzyka i udokumentowaną decyzją dotyczącą postępowania z ryzykiem.
• Dla każdego odstępstwa istnieją co najmniej dwa środki kompensujące wraz z konkretnymi dowodami.
• Dostęp do kluczy jest logowany, logi są przechowywane, a przeglądy dostępu są wykonywane.
• Dostępna jest historia przeglądów polityki kryptograficznej wraz z wersjonowanymi zmianami.
• Możesz pobrać próbkę trzech lub więcej odstępstw i przedstawić spójną historię.
• Mapa drogowa pokazuje ograniczanie liczby odstępstw w czasie.

Ograniczenia dostawców i partnerów

Wiele odstępstw powstaje poza bezpośrednią kontrolą organizacji. Partnerzy narzucają pakiety szyfrów, dostawcy opóźniają realizację map drogowych, a przejęte systemy wnoszą dług techniczny. Traktuj ograniczenia zewnętrzne jako część nadzoru, a nie jako wymówki. Wymagaj od dostawców oświadczeń dotyczących map drogowych kryptografii, włączaj do umów klauzule określające bazowe wymagania kryptograficzne i ujmuj zależności zewnętrzne w rejestrze ryzyk.

Kolejne kroki: zbuduj program obsługi odstępstw w jednym sprincie

1. Zinwentaryzuj wszystkie odstępstwa kryptograficzne, w tym ukryte odstępstwa w usługach brzegowych.
2. Utwórz albo uzupełnij CER dla każdego odstępstwa, wraz z zatwierdzeniami, datą wygaśnięcia i planami wyjścia.
3. Powiąż każdy CER z wpisem w rejestrze ryzyk oraz rozliczalnym właścicielem.
4. Przygotuj standardowy szablon pakietu dowodów dla odstępstwa i przećwicz próbkowanie audytowe.
5. Zweryfikuj gotowość do zgodności przekrojowej z przewodnikiem Zenith Controls.

Zamień niepewność związaną z odstępstwami kryptograficznymi w pewność podczas audytu. Zarezerwuj sesję roboczą z Clarysec. W ramach jednego zaangażowania wdrożymy przepływ pracy CER, rejestr odstępstw oraz strukturę pakietu dowodów gotową dla audytora. Rezultatem są szybsze audyty, mniej powtarzających się ustaleń oraz odstępstwa kryptograficzne, które wykazują nadzór zamiast improwizacji.