⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
RO EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Ghid privind dovezile de audit pentru controlul accesului conform ISO 27001

Igor Petreski
14 min read
#Controlul accesului #Audit #SMSI #MFA #Jurnalizare și monitorizare #Managementul riscurilor #Protecția datelor
Maparea dovezilor de control al accesului ISO 27001 pentru IAM MFA PAM NIS2 DORA GDPR

Este ora 09:10 în ziua auditului. Maria, CISO-ul unei platforme FinTech și cloud cu creștere rapidă, are deschisă politica de control al accesului. Responsabilul IT exportă setările de acces condiționat din furnizorul de identitate. HR caută tichetul de încetare a colaborării pentru un analist financiar care a plecat în urmă cu șase săptămâni. Auditorul intern ridică privirea și pune întrebarea pe care toată lumea o anticipa:

„Arătați-mi cum este solicitat, aprobat, aplicat, revizuit și retras accesul pentru un utilizator cu acces privilegiat la date cu caracter personal.”

Această singură frază poate arăta dacă un program de control al accesului este pregătit pentru audit sau doar pregătit la nivel de politici.

Echipa Mariei avea un Sistem de management al securității informației matur, un ciclu anual de recertificare ISO/IEC 27001:2022, autentificare multifactor implementată, controale de acces bazate pe roluri în sistemele de bază și foi de calcul trimestriale pentru revizuirea drepturilor de acces. Dar acest audit era diferit. Lista de solicitări a auditorului includea pregătirea pentru cerințe de reglementare emergente. Pentru organizația Mariei, aceasta însemna NIS2, DORA și GDPR, toate examinate prin aceeași lentilă operațională: identitate, acces, autentificare, privilegiu și dovezi.

Problema cu care se confruntă mulți CISO nu este lipsa controlului accesului. Problema este că dovezile există fragmentat. Aprobările de înrolare se află în Jira sau ServiceNow. Setările MFA se află în Microsoft Entra ID, Okta sau un alt furnizor de identitate. Permisiunile AWS, Azure și Google Cloud sunt în console separate. Acțiunile privilegiate pot fi jurnalizate într-un instrument PAM sau pot să nu fie jurnalizate deloc. Statutul HR se află în BambooHR, Workday sau în foi de calcul. Revizuirea drepturilor de acces poate fi aprobată prin e-mail.

Când un auditor corelează IAM, MFA, PAM, evenimentele de angajare, transfer și încetare a colaborării, datele cu caracter personal, administrarea cloud și așteptările de reglementare, dovezile fragmentate cedează rapid.

Auditurile de control al accesului conform ISO/IEC 27001:2022 nu sunt doar revizuiri ale configurațiilor tehnice. Sunt teste ale sistemului de management. Ele verifică dacă riscurile privind identitatea și accesul sunt înțelese, tratate, implementate, monitorizate și îmbunătățite. Atunci când NIS2, DORA și GDPR sunt, de asemenea, relevante, aceleași dovezi trebuie să arate guvernanța accesului bazată pe risc, autentificarea puternică, aprobările trasabile, revocarea la timp, restricționarea privilegiilor, protecția datelor cu caracter personal și responsabilitatea conducerii.

Răspunsul practic nu este un dosar mai voluminos. Este un model unic de dovezi pentru controlul accesului, care pornește de la domeniul de aplicare al SMSI și de la risc, trece prin politica și proiectarea controalelor, ajunge în instrumentele IAM și PAM și se mapează clar la ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST și COBIT.

De ce controlul accesului este elementul central al reglementării

Controlul accesului a devenit un subiect la nivelul consiliului de administrație și în relația cu autoritățile de reglementare deoarece compromiterea identității este acum o cale frecventă către perturbări operaționale, încălcări ale securității datelor, fraudă și expunere a lanțului de aprovizionare.

Conform NIS2, Articles 2 și 3, coroborate cu Annex I și Annex II, aduc în domeniul de aplicare multe entități mijlocii și mari din sectoarele enumerate, ca entități esențiale sau importante. Acestea includ furnizori de infrastructură digitală și de management al serviciilor TIC, precum furnizori de servicii de cloud computing, furnizori de servicii pentru centre de date, furnizori de servicii administrate și furnizori de servicii de securitate administrate. Statele membre au avut obligația de a transpune NIS2 până în octombrie 2024 și de a aplica măsurile naționale din octombrie 2024, listele de entități fiind scadente în aprilie 2025. Article 20 face organismele de conducere responsabile pentru aprobarea măsurilor de management al riscurilor de securitate cibernetică și pentru supravegherea implementării. Article 21 impune măsuri tehnice, operaționale și organizaționale, inclusiv politici de control al accesului, managementul activelor, igienă cibernetică, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare și MFA sau autentificare continuă, după caz.

DORA adaugă un nivel sectorial de reziliență operațională pentru entitățile financiare și furnizorii terți relevanți de servicii TIC. Articles 1, 2 și 64 stabilesc DORA ca un cadru uniform aplicabil de la 17 ianuarie 2025. Articles 5 și 6 impun guvernanță și un cadru documentat de management al riscurilor TIC. Article 9 tratează protecția și prevenirea, inclusiv politici, proceduri, protocoale și instrumente de securitate TIC. Articles 24-30 adaugă testarea rezilienței operaționale digitale și managementul riscului asociat terților TIC. Pentru entitățile financiare, dovezile privind controlul accesului devin dovezi de reziliență, nu doar dovezi de administrare IT.

GDPR aduce perspectiva datelor cu caracter personal. Articles 2 și 3 definesc aplicabilitatea extinsă pentru prelucrarea în UE și pentru accesul la piața UE. Article 5 impune integritate, confidențialitate și responsabilitate demonstrabilă. Article 25 impune protecția datelor încă din faza de proiectare și protecția datelor în mod implicit. Article 32 impune măsuri tehnice și organizatorice adecvate. În practică, aceasta înseamnă acces controlat, autentificare securizată, jurnalizare, revizuire și retragere la timp pentru sistemele care prelucrează date cu caracter personal.

ISO/IEC 27001:2022 oferă organizațiilor mecanismul de sistem de management pentru unificarea acestor obligații. Clauzele 4.1-4.3 impun organizației să înțeleagă contextul, părțile interesate, cerințele legale și contractuale, interfețele, dependențele și domeniul de aplicare al SMSI. Clauzele 6.1.1-6.1.3 impun evaluarea riscurilor de securitate a informației, tratamentul riscului, comparația cu Anexa A, o Declarație de aplicabilitate și aprobarea planurilor de tratament și a riscului rezidual. Clauza 8.1 impune control operațional, informații documentate care arată că procesele s-au desfășurat conform planificării, controlul schimbărilor și controlul proceselor furnizate extern.

Întrebarea de audit nu este, așadar, „Aveți MFA?” Este „Puteți demonstra, pentru identitățile și sistemele incluse în domeniul de aplicare, că riscul de acces este guvernat, tratat, implementat, monitorizat și îmbunătățit?”

Construiți coloana vertebrală a dovezilor de la domeniul de aplicare al SMSI la dovada IAM

Clarysec începe pregătirea auditului de control al accesului prin asigurarea trasabilității dovezilor pornind de la contextul organizației. ISO/IEC 27001:2022 se așteaptă ca SMSI să fie integrat în procesele organizaționale și dimensionat conform nevoilor organizației. Un furnizor SaaS cu 30 de persoane și o bancă multinațională nu vor avea aceeași arhitectură de acces, dar ambele au nevoie de un lanț coerent de dovezi.

Strat de doveziCe demonstreazăSisteme sursă tipiceValoare pentru conformitate transversală
Domeniul de aplicare al SMSI și cerințele părților interesateCe sisteme, date, reglementări și dependențe de terți sunt incluse în domeniul de aplicareDomeniul de aplicare al SMSI, registrul de conformitate, inventarul datelor, registrul furnizorilorSusține ISO/IEC 27001:2022 Clauzele 4.2 și 4.3, definirea domeniului NIS2, maparea dependențelor TIC DORA, responsabilitatea demonstrabilă GDPR
Evaluarea riscurilor privind accesulDe ce sunt necesare IAM, MFA, PAM și revizuirile, pe baza risculuiRegistrul de riscuri, scenarii de amenințare, plan de tratamentSusține ISO/IEC 27001:2022 Clauza 6.1, ISO/IEC 27005:2022, cadrul de management al riscurilor TIC DORA, măsurile de risc NIS2
Politici și standardeCe impune organizațiaPolitica de control al accesului, politica privind privilegiile, politica de integrare și încetare a colaborării pentru personalTransformă așteptările de reglementare în reguli interne aplicabile
Configurația IAM și PAMDacă aceste controale sunt implementate tehnicIdP, HRIS, ITSM, PAM, IAM cloud, console de administrare SaaSDemonstrează principiul privilegiului minim, MFA, RBAC, fluxuri de aprobare și controale ale sesiunilor privilegiate
Înregistrări de revizuire și monitorizareDacă accesul rămâne adecvat în timpCampanii de revizuire a accesului, SIEM, jurnale PAM, atestări ale managerilorDemonstrează funcționarea continuă a controalelor, monitorizarea DORA, igiena cibernetică NIS2, minimizarea GDPR
Înregistrări de încetare a colaborării și excepțiiDacă accesul este retras și excepțiile sunt controlateLista de încetări HR, jurnale de dezactivare, registrul de excepțiiDemonstrează revocarea la timp, acceptarea riscului rezidual și prevenirea încălcărilor

ISO/IEC 27005:2022 este util deoarece recomandă consolidarea cerințelor legale, de reglementare, contractuale, sectoriale și interne într-un context comun de risc. Clauzele 6.4 și 6.5 subliniază criteriile de risc care iau în considerare obiectivele organizaționale, legile, relațiile cu furnizorii și constrângerile. Clauzele 7.1 și 7.2 permit scenarii bazate pe evenimente și scenarii bazate pe active. Pentru controlul accesului, aceasta înseamnă evaluarea unor scenarii strategice precum „administrator SaaS privilegiat exportă date ale clienților din UE” alături de scenarii de active precum „cheie AWS IAM orfană atașată stocării de producție”.

În Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului de la Clarysec, această coloană vertebrală a dovezilor este construită în etapa Controls in Action. Pasul 19 se concentrează pe controale tehnice pentru managementul punctelor terminale și al accesului, iar Pasul 22 formalizează ciclul de viață organizațional al accesului.

Zenith Blueprint indică echipelor să verifice că alocarea și retragerea accesului sunt structurate, integrate cu HR acolo unde este posibil, susținute de fluxuri de solicitare a accesului și revizuite trimestrial. De asemenea, instruiește organizațiile să documenteze tipurile de identitate, să aplice controale pentru identități individuale, partajate și de serviciu, să aplice politici puternice privind parolele și MFA, să elimine conturile inactive și să mențină seifuri securizate sau documentație pentru credențialele de serviciu.

Exact așa testează auditorii controlul accesului: câte o identitate, câte un sistem, câte o aprobare, câte un privilegiu, câte o revizuire și câte o revocare.

Ce trebuie colectat pentru dovezi de control al accesului pregătite pentru audit

Pachetul de dovezi privind controlul accesului trebuie să permită auditorului să eșantioneze orice utilizator și să urmărească ciclul de viață: solicitare, aprobare, atribuire, autentificare, elevare privilegiată, monitorizare, revizuire și revocare.

Un pachet solid de dovezi include:

  1. Politica de control al accesului și politica privind conturile de utilizator
  2. Procedura pentru angajări, transferuri și încetări ale colaborării
  3. Matricea rolurilor sau matricea de control al accesului
  4. Lista aplicațiilor, platformelor și depozitelor de date incluse în domeniul de aplicare
  5. Configurația MFA a furnizorului de identitate
  6. Politici de acces condiționat și lista excepțiilor
  7. Inventarul conturilor privilegiate
  8. Dovezi ale fluxurilor PAM, inclusiv aprobări și jurnale de sesiune
  9. Rezultate recente ale campaniei de revizuire a accesului
  10. Exemple de atestări ale managerilor și acțiuni de remediere
  11. Raport de încetare HR corelat cu jurnalele de dezactivare
  12. Inventarul conturilor de serviciu, proprietari, înregistrări de rotire și dovezi din seif
  13. Procedura pentru conturi break-glass și jurnalul de testare
  14. Dovezi de incident sau alertă privind autentificări eșuate, escaladarea privilegiilor sau conturi inactive
  15. Intrări în Declarația de aplicabilitate pentru controalele din Anexa A aferente accesului

Politicile Clarysec fac această așteptare explicită. În politica pentru IMM Access Control Policy-sme, cerința este simplă și orientată către audit:

„Trebuie menținută o înregistrare securizată pentru toate alocările, modificările și retragerile accesului.”

Din secțiunea „Cerințe de implementare a politicii”, clauza 6.1.1.

Aceeași politică pentru IMM leagă RBAC și MFA direct de responsabilitățile rolurilor:

„Implementează controale de acces bazate pe roluri (RBAC) și impune autentificare puternică (de exemplu, autentificare multifactor (MFA)).”

Din secțiunea „Roluri și responsabilități”, clauza 4.2.3.

Pentru organizațiile mai mari, politica Onboarding and Termination Policy impune ca sistemul IAM să jurnalizeze crearea conturilor, atribuirea rolurilor și permisiunilor și evenimentele de dezactivare, să susțină șabloane de acces bazate pe roluri și să se integreze cu sistemele HR pentru declanșatoare privind angajările, transferurile și încetările colaborării. Această clauză ajută la prezentarea poveștii de audit într-un singur loc: integrare standardizată, ciclul de viață al identității declanșat de HR și evenimente IAM trasabile.

Mapați IAM, MFA, PAM și revizuirile la controalele ISO/IEC 27001:2022

Zenith Controls: ghidul de conformitate transversală de la Clarysec tratează controlul accesului ca o familie conectată de controale, nu ca un element de listă de verificare. Pentru ISO/IEC 27001:2022, cele mai relevante controale includ:

  • Controlul 5.15, Controlul accesului
  • Controlul 5.16, Managementul identității
  • Controlul 5.17, Informații de autentificare
  • Controlul 5.18, Drepturi de acces
  • Controlul 8.2, Drepturi de acces privilegiat
  • Controlul 8.3, Restricționarea accesului la informații
  • Controlul 8.5, Autentificare securizată
  • Controlul 8.15, Jurnalizare
  • Controlul 8.16, Activități de monitorizare

Pentru informațiile de autentificare, Zenith Controls mapează controlul 5.17 ca un control preventiv care susține confidențialitatea, integritatea și disponibilitatea, cu capabilitatea operațională de management al identității și al accesului. Acesta se leagă direct de managementul identității, autentificarea securizată, roluri și responsabilități, utilizarea acceptabilă și conformitatea cu politicile. Securitatea credențialelor include ciclul de viață al autentificatorilor, emiterea securizată, stocarea, resetarea, revocarea, token-urile MFA, cheile private și credențialele de serviciu.

Pentru drepturile de acces, Zenith Controls mapează controlul 5.18 la acordarea, revizuirea, modificarea și revocarea formală. Acesta se leagă de controlul accesului, managementul identității, separarea atribuțiilor, drepturile de acces privilegiat și monitorizarea conformității. Acesta este controlul care transformă principiul privilegiului minim în dovezi.

Pentru drepturile de acces privilegiat, Zenith Controls mapează controlul 8.2 la riscul special al conturilor cu privilegii ridicate, inclusiv administratori de domeniu, utilizatori root, administratori de tenant cloud, superutilizatori de baze de date și controlere CI/CD. Ghidul conectează accesul privilegiat la managementul identității, drepturile de acces, restricționarea accesului la informații, autentificarea securizată, lucrul la distanță, jurnalizare și monitorizare.

Temă de auditDovezi de acces ISO/IEC 27001:2022Mapare NIS2Mapare DORAMapare GDPR
Ciclul de viață IAMFlux pentru angajări, transferuri și încetări ale colaborării, solicitări de acces, aprobări, șabloane de roluri, jurnale de dezactivareArticle 21 măsuri de management al riscurilor, politici de control al accesului și managementul activelorArticles 5, 6 și 9 guvernanță, cadru de management al riscurilor TIC, securitate logică și controlul accesuluiArticles 5, 25 și 32 responsabilitate demonstrabilă, minimizare și securitate
MFAPolitică IdP, capturi de ecran privind accesul condiționat, statistici de înrolare MFA, aprobări ale excepțiilorArticle 21(2)(j) MFA sau autentificare continuă, după cazAcces securizat la sisteme TIC critice și controale ale riscurilor TICMăsuri tehnice adecvate împotriva accesului neautorizat
PAMInventarul conturilor privilegiate, aprobări, elevare JIT, jurnale de sesiune, rotire în seifArticle 21(2)(i) control al accesului bazat pe risc și managementul activelorProtecția sistemelor TIC, reziliență operațională și monitorizareRestricționarea și auditarea accesului cu privilegii ridicate la date cu caracter personal
Revizuirea drepturilor de accesÎnregistrări trimestriale sau semestriale de revizuire, atestări ale managerilor, tichete de remediereIgienă cibernetică, politici de control al accesului și managementul activelorMonitorizare continuă, acces bazat pe roluri și revocareProtecția datelor în mod implicit și responsabilitate demonstrabilă
Încetarea colaborăriiLista de încetări HR, dovezi privind blocarea sau ștergerea contului, revocarea token-urilorRetragerea la timp a accesului nenecesarControl asupra accesului TIC pe întreg ciclul de viațăPrevenirea accesului neautorizat la date cu caracter personal

Un singur raport de revizuire a drepturilor de acces bine proiectat poate susține ISO/IEC 27001:2022, NIS2, DORA și GDPR dacă include domeniul de aplicare, proprietarul sistemului, revizorul, lista de conturi, justificarea rolului, marcajul de privilegiu, deciziile, retragerile, excepțiile și data finalizării.

Dovezile MFA înseamnă mai mult decât o captură de ecran

O greșeală frecventă în audit este prezentarea unei capturi de ecran care spune „MFA activat”. Auditorii au nevoie de mai mult. Ei trebuie să știe unde se aplică MFA, cine este exceptat, cum sunt aprobate excepțiile, dacă sunt acoperite conturile privilegiate și dacă configurația tehnică corespunde politicii.

Din Zenith Blueprint, etapa Controls in Action, Pasul 19, auditorii vor întreba cum sunt aplicate politicile privind parolele și MFA, ce sisteme sunt protejate, cui i se aplică MFA și dacă aplicațiile critice pot fi testate cu un cont de probă. Dovezile pot include configurația IdP, politici de acces condiționat, statistici de înrolare MFA și proceduri de resetare a parolelor.

Pentru mediile organizațiilor mari, User Account and Privilege Management Policy de la Clarysec prevede:

„Acolo unde este fezabil tehnic, autentificarea multifactor (MFA) este obligatorie pentru: 6.3.2.1 Conturi administrative și de nivel root 6.3.2.2 Acces la distanță (VPN, platforme cloud) 6.3.2.3 Acces la date sensibile sau reglementate”

Din secțiunea „Cerințe de implementare a politicii”, clauza 6.3.2.

Aceasta creează o punte directă pentru audit. Dacă MFA este obligatorie pentru conturile de administrator, acces la distanță și date reglementate, pachetul de dovezi trebuie să includă liste cu conturi administrative și de nivel root, configurația accesului la distanță, politici de acces condiționat pentru platformele cloud, liste de aplicații cu date sensibile, rapoarte de înrolare MFA, aprobări ale excepțiilor, controale compensatorii și dovezi recente privind revizuirea alertelor pentru autentificări eșuate sau tentative de ocolire MFA.

Pentru NIST SP 800-53 Rev. 5, acest lucru se aliniază cu IA-2 Identificare și autentificare, IA-5 Managementul autentificatorilor, AC-17 Acces la distanță și AU-2 Jurnalizarea evenimentelor. Pentru COBIT 2019, susține DSS05.04 Gestionarea identității utilizatorilor și a accesului logic și practicile aferente de monitorizare a securității.

Standardele ISO de suport extind imaginea. ISO/IEC 27018:2020 extinde așteptările privind autentificarea pentru cloud public care gestionează date cu caracter personal. ISO/IEC 24760-1:2019 susține asocierea autentificatorului și gestionarea ciclului de viață. ISO/IEC 29115:2013 introduce niveluri de asigurare a autentificării, utile atunci când se decide unde sunt necesare token-uri hardware sau MFA rezistentă la phishing. ISO/IEC 27033-1:2015 susține autentificarea puternică în rețea pentru acces la distanță sau acces între rețele.

Dovezile PAM sunt cea mai rapidă cale către o constatare majoră sau către un audit fără probleme

Accesul privilegiat este zona în care auditorii devin sceptici, deoarece conturile privilegiate pot ocoli controale, extrage date, crea persistență și modifica jurnale. În Zenith Blueprint, Pasul 19 prevede:

„În orice sistem informatic, accesul privilegiat înseamnă putere, iar odată cu această putere apare riscul.”

Îndrumarea se concentrează pe cine are acces privilegiat, ce permite acesta, cum este gestionat și cum este monitorizat în timp. Recomandă un inventar actualizat, principiul privilegiului minim, RBAC, elevare limitată în timp sau just-in-time, fluxuri de aprobare, conturi nominale unice, evitarea conturilor partajate, jurnalizare break-glass, sisteme PAM, rotirea credențialelor, păstrarea în seif, înregistrarea sesiunilor, elevare temporară, monitorizare și revizuire periodică.

Access Control Policy pentru organizații mari de la Clarysec transformă acest lucru într-o cerință de control:

„Accesul administrativ trebuie controlat strict prin: 5.4.1.1 Conturi privilegiate separate 5.4.1.2 Monitorizarea și înregistrarea sesiunilor 5.4.1.3 Autentificare multifactor 5.4.1.4 Elevare limitată în timp sau declanșată de fluxul de lucru”

Din secțiunea „Cerințe de guvernanță”, clauza 5.4.1.

Acest citat este aproape un scenariu de testare pentru audit. Dacă politica prevede conturi de administrator separate, arătați lista conturilor privilegiate și demonstrați că fiecare este asociat unei persoane nominale. Dacă prevede monitorizarea sesiunilor, arătați sesiuni înregistrate sau jurnale PAM. Dacă prevede MFA, arătați aplicarea pentru fiecare cale de acces privilegiat. Dacă prevede elevare limitată în timp, arătați marcajele temporale de expirare și tichetele de aprobare.

Versiunea pentru IMM este la fel de directă. User Account and Privilege Management Policy-sme prevede:

„Privilegiile ridicate sau administrative necesită aprobare suplimentară din partea directorului general sau a responsabilului IT și trebuie documentate, limitate în timp și supuse unei revizuiri periodice.”

Din secțiunea „Cerințe de implementare a politicii”, clauza 6.2.2.

Pentru organizațiile mai mici, aceasta este adesea diferența dintre „avem încredere în administratorul nostru” și „controlăm riscul privilegiat”. Auditorul nu solicită instrumente pentru organizații mari în fiecare IMM, dar solicită dovezi proporționale cu riscul. Un tichet, o aprobare, o atribuire temporară într-un grup, aplicarea MFA și o înregistrare de revizuire pot fi suficiente atunci când domeniul de aplicare este limitat și riscul este mai redus.

Revizuirea drepturilor de acces demonstrează că principiul privilegiului minim funcționează

Revizuirea drepturilor de acces arată dacă permisiunile se acumulează tacit. Ea arată și dacă managerii înțeleg accesul pe care echipele lor îl dețin efectiv.

Politica User Account and Privilege Management Policy pentru organizații mari impune:

„Revizuirile trimestriale ale tuturor conturilor de utilizator și privilegiilor asociate trebuie efectuate de IT Security în colaborare cu managerii de departament.”

Din secțiunea „Cerințe de implementare a politicii”, clauza 6.5.1.

Pentru IMM-uri, User Account and Privilege Management Policy-sme stabilește o cadență proporțională:

„O revizuire a tuturor conturilor de utilizator și privilegiilor trebuie efectuată la fiecare șase luni.”

Din secțiunea „Cerințe de implementare a politicii”, clauza 6.4.1.

O revizuire credibilă a drepturilor de acces include numele sistemului, domeniul de aplicare, numele revizorului, data exportului, data revizuirii, proprietarul identității, departamentul, managerul, statutul de angajare, rolul sau dreptul alocat, marcajul de privilegiu, marcajul de sensibilitate a datelor, decizia, tichetul de remediere, data închiderii, proprietarul excepției și data expirării excepției.

Pentru Zenith Controls, drepturile de acces 5.18 sunt locul în care acest lucru devine dovadă de conformitate transversală. Ghidul mapează drepturile de acces la GDPR Article 25 deoarece accesul trebuie limitat prin proiectare și în mod implicit. Le mapează la NIS2 Article 21(2)(i) deoarece politicile de control al accesului și managementul activelor impun atribuire bazată pe risc, retragerea la timp a accesului nenecesar și revocare formală. Le mapează la DORA deoarece sistemele TIC financiare au nevoie de acces bazat pe roluri, monitorizare și procese de revocare.

Auditorii orientați către NIST testează adesea acest lucru prin AC-2 Managementul conturilor, AC-5 Separarea atribuțiilor și AC-6 Principiul privilegiului minim. Auditorii COBIT 2019 se raportează la DSS05.04 Gestionarea identității utilizatorilor și a accesului logic și DSS06.03 Gestionarea rolurilor, responsabilităților, privilegiilor de acces și nivelurilor de autoritate. Auditorii ISACA ITAF se concentrează pe faptul că dovezile sunt suficiente, fiabile și complete.

Încetarea colaborării și revocarea token-urilor sunt ușor de eșantionat

Persoanele care pleacă sunt unul dintre cele mai simple locuri în care se poate demonstra dacă ciclul de viață funcționează. Auditorii selectează adesea un angajat a cărui colaborare a încetat recent și solicită înregistrarea de încetare HR, tichetul, jurnalul de dezactivare a contului, dovada dezactivării SaaS, eliminarea VPN, revocarea MFA, eliminarea token-urilor API și returnarea activelor.

În Onboarding and Termination Policy-sme, Clarysec prevede:

„Conturile încetate trebuie blocate sau șterse, iar token-urile de acces asociate trebuie revocate, inclusiv accesul la distanță (VPN), asocierile cu aplicații de autentificare multifactor și token-urile API.”

Din secțiunea „Cerințe de implementare a politicii”, clauza 6.3.3.

Acest aspect contează deoarece accesul modern nu înseamnă doar nume de utilizator și parolă. Accesul poate persista prin token-uri de reîmprospătare, chei API, chei SSH, granturi OAuth, conturi de serviciu, drepturi de administrator local, sesiuni mobile și portaluri ale terților. O înregistrare HR dezactivată fără revocarea token-urilor reprezintă o dovadă incompletă.

Zenith Blueprint, etapa Controls in Action, Pasul 16, indică organizațiilor să fie pregătite cu o listă de verificare documentată pentru încetarea colaborării, dovezi privind o plecare recentă, un jurnal de dezactivare a contului de utilizator din AD sau MDM, un formular de returnare a activelor semnat și documentație de încetare a colaborării care include obligații de confidențialitate.

Auditorul Mariei a solicitat cazul unui dezvoltator senior plecat, care avusese acces privilegiat la baze de date de producție. Echipa ei a prezentat Onboarding and Termination Policy-sme, lista de verificare la încetarea colaborării construită pe baza Zenith Blueprint Pasul 16, tichetul ITSM declanșat de HR, jurnalul de dezactivare din director, revocarea certificatului VPN, eliminarea din organizația GitHub, ștergerea cheii AWS IAM și tichetul de verificare închis, semnat de managerul IT. Dovezile au fost complete, furnizate la timp și legate direct de politică.

Rulați un sprint de dovezi pe trei eșantioane înaintea auditorului

Un exercițiu practic de pregătire este selectarea a trei eșantioane înainte de audit:

  1. Un angajat nou, intrat în organizație în ultimele 90 de zile
  2. Un utilizator privilegiat cu acces de administrator la cloud, bază de date, producție sau IAM
  3. Un angajat plecat sau cu rol schimbat în ultimele 90 de zile
EșantionDovezi de colectatCondiție de acceptareConstatare frecventă
Angajat nouÎnregistrare HR de începere, solicitare de acces, aprobare, atribuire de rol, înrolare MFA, prima autentificareAcces acordat numai după aprobare și aliniat roluluiAcces acordat înainte de aprobare sau rol prea larg
Utilizator privilegiatJustificare de business, cont de administrator separat, dovadă MFA, aprobare PAM, jurnal de sesiune, revizuire trimestrialăPrivilegiul este nominal, justificat, limitat în timp acolo unde este posibil, monitorizat și revizuitCont de administrator partajat, MFA lipsă, lipsa dovezilor de sesiune
Persoană plecată sau transferatăEveniment HR, tichet de încetare a colaborării sau de schimbare de rol, jurnale de dezactivare, eliminare VPN, revocare MFA sau token API, închidere revizuireAcces retras prompt și completCont SaaS încă activ, token API nerevocat, apartenență veche la grup păstrată

Apoi conectați fiecare eșantion la înregistrările SMSI: scenariu de risc, decizie de tratament, selecția controalelor în Declarația de aplicabilitate, clauza de politică, configurația tehnică, înregistrarea revizuirii și acțiunea corectivă, dacă există vreo lacună.

Aceasta transformă pregătirea auditului din colectare de documente în verificarea controalelor.

Pregătiți-vă pentru perspective diferite de audit

Experiențele diferite ale auditorilor duc la întrebări diferite, chiar și atunci când dovezile sunt aceleași.

Perspectiva auditoruluiAccent principalDovezi așteptate
Auditor ISO/IEC 27001:2022Proces SMSI, tratamentul riscului și funcționarea controalelorEvaluarea riscurilor, Declarația de aplicabilitate, politici aprobate, solicitări de acces, înregistrări de revizuire, jurnale de dezactivare
Practică de audit ISO/IEC 19011:2018Eșantionare, coroborare și consecvențăSetări de parolă, praguri de blocare, marcaje temporale de aprobare, înregistrări de îndeplinire, interviuri
Auditor SMSI ISO/IEC 27007:2020Desfășurarea și eficacitatea auditului SMSIDefiniții de rol comparate cu permisiunile efective, piste de aprobare privilegiată, jurnale de revocare
Evaluator orientat către NISTImplementare tehnică și testarea controalelorDovezi AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 și AU-2 din instrumente IAM, PAM și SIEM
Auditor COBIT 2019 sau ISACAGuvernanță, asumarea responsabilității și fiabilitatea dovezilorDovezi de proces DSS05.04 și DSS06.03, metrici, excepții, urmărirea remedierii
Revizor DORARisc TIC, reziliență și criticitateListe de acces la sisteme critice, monitorizare privilegiată, controale pentru administratori terți, legături cu testarea rezilienței
Revizor NIS2Responsabilitatea conducerii și măsuri de riscSupraveghere la nivel de consiliu de administrație, măsuri de control al accesului conform Article 21, acoperire MFA, pregătirea pentru incidente
Revizor GDPRConfidențialitatea și responsabilitatea demonstrabilă privind datele cu caracter personalRestricții de acces la date cu caracter personal, dovezi de protecție a datelor în mod implicit conform Article 25, măsuri de securitate conform Article 32

Pregătirea unor dovezi care satisfac toate aceste perspective demonstrează un program matur de conformitate și reduce activitățile duplicate.

Constatări frecvente și acțiuni preventive

Constatările privind controlul accesului sunt previzibile. Acțiunile preventive sunt la fel.

ConstatareDe ce conteazăPrevenire
Revizuirea drepturilor de acces există, dar conturile privilegiate sunt excluseDrepturile de administrator creează riscul cu cel mai mare impactIncludeți marcajul de privilegiu, înregistrările PAM și grupurile de administratori în fiecare revizuire
MFA este activată pentru angajați, dar nu pentru service desk, contractori sau administratori cloudAtacatorii vizează excepțiileMențineți raportul de acoperire MFA și registrul de excepții cu date de expirare
Procesul pentru angajări este documentat, dar transferurile nu sunt gestionateAcumularea de privilegii crește după schimbările de rolDeclanșați revizuirea drepturilor de acces la fiecare schimbare de departament sau rol
Există conturi de administrator partajate fără controale compensatoriiResponsabilitatea demonstrabilă este slabăÎnlocuiți-le cu conturi nominale de administrator sau impuneți extragerea din seif și jurnalizarea sesiunilor
Persoanele plecate sunt dezactivate în director, dar rămân active în platforme SaaSAccesul persistă în afara IdP de bazăMențineți inventarul aplicațiilor și lista de verificare pentru încetarea colaborării pentru fiecare sistem
Parolele conturilor de serviciu sunt necunoscute sau nu sunt rotite niciodatăIdentitățile non-umane devin backdoor-uri ascunseAlocați proprietari, păstrați secretele în seif, rotiți credențialele și revizuiți jurnalele de utilizare
Politica prevede revizuire trimestrială, dar dovezile arată revizuire anualăPolitica și practica divergAjustați cadența pe baza riscului sau aplicați cerința documentată
Aprobările accesului sunt în e-mail fără regulă de retențiePista de audit este fragilăUtilizați fluxuri ITSM și retenție aliniată politicii

Politica Access Control Policy pentru organizații mari adaugă o cerință de retenție care previne una dintre cele mai frecvente deficiențe de dovezi:

„Deciziile de aprobare trebuie jurnalizate și păstrate în scopuri de audit pentru o perioadă minimă de 2 ani.”

Din secțiunea „Cerințe de guvernanță”, clauza 5.3.2.

Dacă aprobările dispar după curățarea e-mailurilor, controlul poate să fi funcționat, dar auditul nu se poate baza pe acesta. Retenția face parte din proiectarea controlului.

Responsabilitatea conducerii are nevoie de metrici de acces

NIS2 Article 20 și DORA Articles 5 și 6 fac din controlul accesului o preocupare a conducerii, deoarece compromiterea identității poate deveni perturbare operațională, raportare de reglementare, încălcare a securității datelor și prejudiciu pentru clienți. ISO/IEC 27001:2022 Clauzele 5.1-5.3 impun, de asemenea, conducerii de vârf să alinieze SMSI la strategia organizației, să asigure resurse, să comunice importanța, să atribuie responsabilități și să promoveze îmbunătățirea continuă.

Metrici utile pentru controlul accesului includ:

  • Procentul sistemelor critice acoperite de SSO
  • Procentul conturilor privilegiate cu MFA
  • Numărul conturilor privilegiate permanente comparativ cu conturile JIT
  • Rata de finalizare a revizuirii drepturilor de acces
  • Numărul permisiunilor excesive revocate
  • Respectarea SLA de dezactivare pentru persoane plecate
  • Numărul conturilor inactive
  • Acoperirea proprietarilor de conturi de serviciu
  • Acoperirea înregistrării sesiunilor PAM
  • Numărul și vechimea excepțiilor MFA

Aceste metrici ajută conducerea să aprobe tratamentul riscului și să demonstreze supravegherea. De asemenea, fac auditurile mai credibile, deoarece organizația poate arăta că controlul accesului este monitorizat ca un risc activ, nu redescoperit înainte de fiecare audit.

Transformați dovezile dispersate în încredere la audit

Dacă dovezile de control al accesului ISO/IEC 27001:2022 sunt dispersate în HR, ITSM, IAM, PAM, console cloud și foi de calcul, pasul următor nu este o nouă rescriere de politică. Pasul următor este arhitectura dovezilor.

Începeți cu această secvență:

  1. Definiți sistemele, identitățile și datele incluse în domeniul de aplicare.
  2. Mapați cerințele NIS2, DORA, GDPR și contractuale în contextul SMSI.
  3. Utilizați scenarii de risc în stil ISO/IEC 27005:2022 pentru a prioritiza IAM, MFA, PAM și revizuirea drepturilor de acces.
  4. Actualizați Declarația de aplicabilitate și planul de tratament al riscurilor.
  5. Aliniați clauzele de politică la fluxurile IAM și PAM efective.
  6. Rulați sprintul de dovezi pe trei eșantioane.
  7. Remediați lacunele înainte ca auditorul să le identifice.
  8. Mențineți un pachet de dovezi reutilizabil pentru certificare, verificarea prealabilă a clienților și revizuiri de reglementare.

Clarysec vă poate ajuta să implementați acest lucru prin Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului, să mapați transversal cerințele utilizând Zenith Controls: ghidul de conformitate transversală și să operaționalizați cerințele cu setul potrivit de politici Clarysec, inclusiv Access Control Policy, User Account and Privilege Management Policy și Onboarding and Termination Policy.

Pregătirea pentru audit a controlului accesului nu înseamnă să demonstrați că ați cumpărat un instrument IAM. Înseamnă să demonstrați că procesele de identitate, autentificare, privilegii și revizuire reduc riscul real pentru organizație și satisfac standardele și reglementările relevante pentru organizația dumneavoastră.

Descărcați toolkit-urile Clarysec, rulați sprintul de dovezi pe trei eșantioane și transformați dovezile privind controlul accesului dintr-un ansamblu dispersat într-un portofoliu de audit clar, repetabil și robust.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Dovezi de audit cloud pentru ISO 27001, NIS2 și DORA

Dovezi de audit cloud pentru ISO 27001, NIS2 și DORA

Dovezile de audit cloud eșuează atunci când organizațiile nu pot demonstra responsabilitatea partajată, configurația SaaS, controalele IaaS, supravegherea furnizorilor, jurnalizarea, reziliența și pregătirea pentru incidente. Acest ghid arată cum structurează Clarysec dovezi pregătite pentru autoritățile de reglementare în ISO 27001:2022, NIS2, DORA și GDPR.