⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
RO EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT SK SL SV
NIS2 DORA GDPR NIST

NIST SP 800-63-4: dovezi pentru parole, MFA și chei de acces

Igor Petreski
14 min read
#Controlul accesului #Audit #SMSI #MFA #Jurnalizare și monitorizare #Protecția datelor
Diagramă de mapare a dovezilor NIST SP 800-63-4 pentru parole, MFA și chei de acces

La 08:10, într-o zi de luni, CISO-ul unei companii fintech primește mesajul de care se teme orice lider de securitate: „Avem autentificări suspecte în portalul de administrare financiară. MFA a fost aprobată, dar utilizatorul spune că nu a fost el.”

Până la 08:25, SOC observă tiparul. Atacatorul nu a spart criptarea, nu a exploatat o vulnerabilitate zero-day și nu a ocolit un firewall. A obținut o parolă prin phishing, a declanșat o solicitare push și a așteptat oboseala utilizatorului. O singură aprobare a fost suficientă. Contul avea privilegii ridicate pentru exporturi de facturare ale clienților, jurnale de audit și un tablou de bord terț pentru decontări.

Până la 09:00, echipa juridică întreabă dacă este vorba despre o încălcare a securității datelor cu caracter personal în sensul GDPR. Echipa de risc întreabă dacă evenimentul declanșează raportarea DORA. Consiliul de administrație vrea să știe dacă afirmația companiei „MFA peste tot” a fost, de fapt, adevărată. Auditorul ISO 27001, deja programat pentru luna următoare, solicită acum dovezi privind autentificarea securizată, controlul accesului, jurnalizarea și acțiunea corectivă.

De aceea NIST SP 800-63-4 contează în 2026.

Pentru CISO, responsabili de conformitate și responsabili de business, NIST SP 800-63-4 nu este doar un alt document despre identitate. Devine referința practică pentru politica modernă privind parolele, MFA rezistentă la phishing, cheile de acces, autentificarea fără parolă și guvernanța ciclului de viață al autentificatorilor. Provocarea reală nu este citirea ghidului. Provocarea este demonstrarea implementării în raport cu ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 și așteptările auditului intern.

Poziția Clarysec este simplă: controalele de identitate eșuează atunci când sunt tratate ca setări, nu ca guvernanță. Parolele, MFA, cheile de acces, fluxurile de recuperare, token-urile de sesiune, accesul privilegiat, conturile de serviciu și jurnalele de autentificare trebuie proiectate ca un singur sistem de control care produce dovezi.

Aceasta este perspectiva utilizată în Zenith Blueprint: foaia de parcurs în 30 de pași pentru auditori, în biblioteca de politici Clarysec și în Zenith Controls: ghidul de conformitate transversală. Zenith Controls nu creează controale noi. Ghidul mapează așteptările privind controalele din ISO/IEC 27001:2022 și ISO/IEC 27002:2022 la alte standarde, reglementări și perspective de audit, astfel încât organizațiile să evite dovezile fragmentate și efortul de conformitate duplicat.

„MFA activată” nu este un răspuns de audit

Multe organizații au intrat în ultimii ani crezând că implementarea MFA închide discuția privind riscul de identitate. În 2026, această presupunere nu mai este sigură.

Auditorii și autoritățile de reglementare pun acum întrebări mai precise:

  • Este MFA aplicată pentru întregul acces privilegiat, la distanță și cu risc ridicat?
  • Este autentificarea rezistentă la phishing acolo unde riscul o impune?
  • Cheile de acces sau autentificatorii FIDO2 sunt guvernați prin înrolare, recuperare, revocare și ciclul de viață al dispozitivului?
  • Sunt parolele verificate față de liste de credențiale compromise și frecvent utilizate?
  • Schimbările de parolă sunt declanșate de compromitere, nu de rotații calendaristice arbitrare?
  • Utilizatorii pot lipi parole din manageri de parole?
  • Evenimentele autentificatorilor sunt jurnalizate și revizuite?
  • Fluxurile de recuperare a conturilor sunt la fel de robuste ca fluxurile de autentificare?
  • Secretele API, token-urile OAuth, cheile SSH și credențialele conturilor de serviciu sunt controlate cu aceeași disciplină?

NIST SP 800-63-4 orientează organizațiile către asigurarea identității digitale bazată pe risc, robustețea autentificatorilor și dovezi privind ciclul de viață. Pentru modernizarea parolelor, aceasta înseamnă renunțarea la practici învechite, cum ar fi schimbările periodice forțate ale parolelor atunci când nu există niciun indiciu de compromitere, concomitent cu consolidarea lungimii parolei, verificarea parolelor compromise, limitarea ratei solicitărilor, stocarea securizată și controalele de recuperare. Pentru MFA și cheile de acces, aceasta înseamnă concentrarea pe asigurarea autentificatorilor, rezistența la phishing, înrolarea securizată, asocierea cu contul, revocarea și auditabilitatea.

Zenith Blueprint surprinde această schimbare în Controale în acțiune, Pasul 19, Controale tehnice I, atunci când discută autentificarea securizată:

Autentificarea este prima și cea mai critică linie de apărare între un actor de amenințare și sistemele, datele și serviciile dumneavoastră. Dacă autentificarea este slabă, orice altceva, criptarea, monitorizarea, segmentarea, poate fi ocolit. Controlul 8.5 asigură faptul că mecanismele de autentificare sunt proiectate securizat, aplicate consecvent și rezistente la metodele de atac cunoscute.

Această frază este esența auditului de identitate din 2026. Întrebarea nu mai este „Aveți parole și MFA?” Întrebarea este „Puteți demonstra că arhitectura de autentificare este bazată pe risc, rezistentă la metodele de atac cunoscute, aplicată consecvent și monitorizată?”

Construiți sistemul de control în jurul identității, informațiilor de autentificare și autentificării securizate

Cea mai utilă modalitate de a transforma NIST SP 800-63-4 în dovezi ISO/IEC 27001:2022 este tratarea identității ca sistem de control interconectat.

Prin Zenith Controls, Clarysec identifică trei zone centrale de control ISO/IEC 27002:2022 pentru alinierea la NIST SP 800-63-4: 5.16 Managementul identității, 5.17 Informații de autentificare și 8.5 Autentificare securizată. În Anexa A ISO/IEC 27001:2022, acestea sunt A.5.16, A.5.17 și A.8.5.

Zonă de controlCe guverneazăTema dovezilor NIST SP 800-63-4Dovezi tipice de audit
ISO/IEC 27002:2022 5.16 Managementul identitățiiCiclul de viață al identității, unicitatea, procesele de intrare, transfer și plecare, deținerea conturilorDovada că identitățile sunt unice, verificate, alocate, revizuite și eliminateExporturi IdP, tichete HR pentru intrări, transferuri și plecări, revizuirea drepturilor de acces, flux de verificare a identității
ISO/IEC 27002:2022 5.17 Informații de autentificareParole, PIN-uri, chei, certificate, token-uri, secrete API, coduri de recuperareCiclul de viață al autentificatorilor, stocare, transmitere, rotație, revocare și recuperarePolitica privind parolele, înregistrări din seifuri pentru secrete, jurnale de revocare a token-urilor, jurnale de înrolare a cheilor de acces, proceduri de resetare
ISO/IEC 27002:2022 8.5 Autentificare securizatăProiectarea autentificării, MFA, managementul sesiunilor, cerințe specifice sistemelorMFA bazată pe risc, chei de acces, rezistență la phishing, aplicarea autentificării fără parolă, protecția sesiunilorPolitici de acces condițional, rapoarte de acoperire MFA, setări WebAuthn și FIDO2, configurație de expirare a sesiunii

Distincția contează. A.5.16 întreabă: „Cine are o identitate?” A.5.17 întreabă: „Cum este protejată dovada acelei identități?” A.8.5 întreabă: „Cum se realizează autentificarea în mod securizat în sisteme?”

Atunci când organizațiile nu trec auditurile, acest lucru se întâmplă adesea deoarece implementează un singur strat fără celelalte. Implementează chei de acces, dar nu pot prezenta dovezi de revocare. Aplică MFA, dar nu pentru o consolă administrativă moștenită. Stabilesc reguli de parolă, dar nu verifică parolele compromise. Dezactivează un cont de utilizator, dar uită sesiunile active sau token-urile de recuperare.

În Zenith Blueprint, Controale în acțiune, Pasul 22, controale organizaționale, Clarysec explică A.5.17 ca problemă de ciclu de viață:

Dacă identitatea este întrebarea „Cine ești?”, atunci autentificarea este dovada. Controlul 5.17 este locul în care teoria întâlnește încrederea. Acesta impune ca informațiile de autentificare să fie gestionate securizat pe întregul lor ciclu de viață, asigurând că metodele și credențialele utilizate pentru verificarea identității nu devin ele însele cea mai slabă verigă.

O cheie de acces nu este conformă doar pentru că există. Ea devine defensabilă atunci când puteți arăta cum este înrolată, asociată, protejată, recuperată, revocată, jurnalizată și revizuită.

Modernizați parolele fără a pierde trasabilitatea pentru audit

Multe companii au încă politici privind parolele redactate pentru un alt model de amenințare. „Douăsprezece caractere, simboluri, schimbare la fiecare 90 de zile” este familiar, dar familiaritatea nu este același lucru cu reziliența.

NIST SP 800-63-4 consolidează o abordare mai modernă: parole și fraze-parolă mai lungi, verificare față de parole compromise sau utilizate frecvent, limitarea ratei solicitărilor, resetare securizată, fără schimbări periodice arbitrare cu excepția cazului în care se suspectează compromiterea și controale prietenoase pentru utilizatori care susțin managerii de parole. Aceasta nu înseamnă că fiecare organizație trebuie să rescrie fiecare politică peste noapte. Înseamnă că cerințele privind parolele trebuie să fie bazate pe risc, aplicate tehnic și reconciliate cu dovezile ISO 27001.

Biblioteca de politici Clarysec pentru IMM-uri oferă organizațiilor mai mici o bază practică ce poate fi îmbunătățită pe măsură ce se maturizează. Politica privind gestionarea conturilor de utilizator și a privilegiilor - IMM prevede:

Parolele trebuie să îndeplinească cerințe de complexitate (de exemplu, cel puțin 12 caractere, alfanumerice cu simboluri) și să fie schimbate cel puțin la fiecare 90 de zile.

Acesta este un punct de plecare util și aplicabil pentru IMM-uri. Totuși, un proiect de modernizare NIST SP 800-63-4 în 2026 trebuie să revizuiască dacă expirarea fixă la 90 de zile rămâne adecvată pentru fiecare sistem, mai ales atunci când sunt implementate MFA, verificarea parolelor compromise, lungimea puternică a parolei și fluxuri de resetare declanșate de compromitere. În practică, multe organizații păstrează baza în perioada de tranziție, apoi adaugă un addendum de modernizare a parolelor aprobat prin tratarea riscului și Declarația de aplicabilitate.

Pentru medii de întreprindere, Politica privind gestionarea conturilor de utilizator și a privilegiilor de la Clarysec oferă un mecanism de guvernanță în loc să codifice rigid fiecare regulă de parolă:

Toate conturile de utilizator trebuie să aplice complexitatea și expirarea parolelor în conformitate cu politica organizației privind parolele.

Această formulare îi permite CISO-ului să actualizeze Politica privind parolele pentru alinierea la NIST SP 800-63-4 fără a rescrie întregul cadru de management al accesului.

Un pachet practic de dovezi pentru modernizarea parolelor trebuie să includă:

  • Politica actuală privind parolele și addendumul de modernizare aprobat.
  • Configurația IdP care arată lungimea minimă, lungimea maximă și caracterele permise.
  • Dovezi că managerii de parole sunt permiși, inclusiv funcționalitatea de lipire acolo unde este relevant.
  • Configurația de verificare a parolelor compromise, slabe și comune.
  • Politica de limitare a ratei solicitărilor sau de blocare pentru atacuri de ghicire online.
  • Fluxul de resetare a parolei care impune verificarea adecvată a identității.
  • Arhitectura de stocare a hash-urilor parolelor pentru aplicațiile care stochează credențiale.
  • Registrul de excepții pentru sisteme moștenite care nu pot suporta setări moderne.
  • Procedura de resetare declanșată de compromitere, cu legătură la răspunsul la incidente.
  • Dovezi privind comunicarea și instruirea utilizatorilor.

Scopul nu este câștigarea unei dezbateri despre o anumită lungime a parolei. Scopul este demonstrarea faptului că autentificarea prin parolă este controlată, măsurabilă și integrată în SMSI.

Mutați MFA și cheile de acces de la „al doilea factor” la asigurare

Incidentul de luni dimineață a început cu oboseala MFA. De aceea auditorii întreabă din ce în ce mai des dacă MFA este rezistentă la phishing, nu doar dacă este prezentă.

Metodele MFA tradiționale, precum SMS, OTP prin e-mail, aplicațiile TOTP și notificările push, pot reduce riscul, dar nu sunt echivalente. Cheile de acces și autentificatorii FIDO2/WebAuthn oferă o rezistență mai puternică la phishing, deoarece autentificarea este asociată cu originea legitimă și utilizează criptografie cu cheie publică. Pentru utilizatori cu risc ridicat, administratori privilegiați, aprobatori financiari, dezvoltatori cu acces la mediul de producție și căi de acces la distanță, MFA rezistentă la phishing trebuie tratată ca stare-țintă, cu excepția cazului în care există o excepție documentată și aprobată.

Politica privind comunicațiile securizate și autentificarea multifactor (MFA) pentru organizații mari de la Clarysec stabilește baza:

Autentificare multifactor (MFA): tot accesul la rețeaua și sistemele informatice ale organizației, în special accesul privilegiat sau accesul la distanță, trebuie să impună autentificare multifactor (MFA) (de exemplu, parolă plus token OTP sau factor biometric). Soluțiile de autentificare multifactor (MFA) trebuie să fie aliniate la cele mai bune practici din industrie (de exemplu, coduri unice bazate pe timp sau chei hardware) și configurate pentru protecție împotriva accesului neautorizat.

Pentru IMM-uri, Politica de control al accesului - IMM prevede:

Conturile privilegiate trebuie să utilizeze autentificare multifactor (MFA) acolo unde este suportată.

Sintagma „acolo unde este suportată” oferă IMM-urilor o cale realistă de implementare, dar creează și o obligație de audit. Dacă un sistem privilegiat nu suportă MFA, organizația trebuie să documenteze controale compensatorii precum restricții de rețea, Gestionarea accesului privilegiat (PAM), sisteme de tip jump, sesiuni mai scurte, monitorizare, păstrarea credențialelor în seif și un plan de migrare.

Zenith Blueprint, Controale în acțiune, Pasul 19, este direct în privința direcției de urmat:

Acolo unde este posibil, autentificarea doar cu parolă trebuie evitată, în special pentru conturile administrative, consolele cloud, instrumentele de acces la distanță și orice sistem expus la internet. MFA, utilizând un al doilea factor, precum o cheie hardware, o aplicație mobilă sau elemente biometrice, este acum o cerință de bază, nu un lux.

Cheile de acces se încadrează natural în această abordare. O implementare a cheilor de acces nu trebuie prezentată doar ca o actualizare tehnologică. Trebuie documentată ca tratare a riscului pentru phishing, credential stuffing, oboseală MFA, reutilizarea parolelor și compromitere de cont.

Modelul de dovezi privind cheile de acces de care au nevoie auditorii

Cheile de acces pot fi sincronizabile, asociate dispozitivului, susținute hardware, bazate pe platformă sau roaming, în funcție de autentificator și ecosistem. Asigurarea depinde de înrolare, încrederea în dispozitiv, recuperare, asocierea cu contul și revocare. Un proiect de chei de acces lipsit de dovezi poate crea ambiguitate în audit, chiar și atunci când tehnologia este robustă.

Utilizați acest model pentru a pregăti o implementare a cheilor de acces pregătită pentru audit.

Întrebare privind dovezileCe trebuie demonstratArtefact
Cine poate înrola chei de acces?Înrolarea este limitată la utilizatori verificați și contexte aprobatePolitica de înrolare, reguli IdP, eligibilitatea grupurilor de utilizatori
Ce tip de cheie de acces este permis?Tipul de autentificator corespunde nivelului de riscStandard de asigurare a autentificatorilor, AAGUID permis sau politică de dispozitiv acolo unde este suportat
Cum este protejată înrolarea?Atacatorii nu își pot adăuga propriul autentificator după furtul unei paroleMFA suplimentară, verificare prin serviciul de suport, alerte de înrolare
Cum este gestionată recuperarea?Recuperarea nu este mai slabă decât autentificareaProcedură de recuperare, scripturi de suport, jurnale de verificare a identității
Cum sunt gestionate dispozitivele pierdute?Autentificatorii pierduți sunt revocați rapidTichete de revocare, inventarul dispozitivelor, jurnale de evenimente IdP
Cum este tratat accesul privilegiat?Administratorii utilizează metode rezistente la phishing acolo unde este necesarPolitici de acces condițional, atribuiri de roluri privilegiate
Cum este jurnalizată activitatea utilizatorului?Evenimentele de autentificare sunt păstrate și revizuiteJurnale de autentificare, interogări SIEM, reguli de alertare
Cum sunt guvernate excepțiile?Sistemele moștenite și utilizatorii excluși au tratare a riscului aprobatăRegistrul de excepții, date de expirare, controale compensatorii

Aceasta se aliniază direct cu ISO/IEC 27001:2022. Clauzele 4.1 până la 4.4 impun organizațiilor să înțeleagă contextul, părțile interesate, domeniul de aplicare al SMSI și procesele operaționale. Clauzele 5.1 până la 5.3 impun leadership, politică, roluri organizaționale și responsabilitate. Clauzele 6.1.2 și 6.1.3 impun un proces repetabil de evaluare a riscurilor de securitate a informației și tratarea riscului, inclusiv selectarea controalelor, compararea cu Anexa A, o Declarație de aplicabilitate și aprobarea riscului rezidual de către proprietarul riscului. Clauza 6.2 impune obiective măsurabile de securitate a informației.

Aceasta înseamnă că o implementare a cheilor de acces trebuie să apară în SMSI ca:

  • O tratare a riscului pentru furtul de credențiale și phishing.
  • Un obiectiv, cum ar fi „90 la sută din accesul privilegiat migrat la MFA rezistentă la phishing până în Q3.”
  • O justificare în Declarația de aplicabilitate, legată de A.5.16, A.5.17 și A.8.5.
  • O actualizare a politicii de control al accesului.
  • Un caz de utilizare pentru jurnalizare și monitorizare.
  • Un pachet de dovezi de audit.

În Zenith Blueprint, faza Managementul riscurilor, Pasul 13, Planificarea tratării riscurilor și Declarația de aplicabilitate, Clarysec descrie SoA ca punte:

SoA este, în practică, un document-punte: conectează evaluarea/tratamentul riscului cu controalele efective pe care le aveți. Prin completarea acestuia, verificați suplimentar dacă ați omis vreun control.

Pentru NIST SP 800-63-4, acea punte este locul în care deciziile privind parolele, MFA și cheile de acces devin verificabile în audit.

Mapare transversală a conformității pentru ISO 27001, NIS2, DORA, GDPR, NIST CSF și COBIT

Dovezile de identitate devin puternice atunci când un singur set de controale satisface mai multe obligații.

NIS2 Articolul 21 impune entităților esențiale și importante să implementeze măsuri tehnice, operaționale și organizaționale adecvate și proporționale, care reflectă riscul, stadiul tehnicii, costul implementării, dimensiunea și impactul incidentului. Articolul 21(2) include analiza riscului, politici, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, dezvoltarea securizată, evaluarea eficacității controalelor, igiena cibernetică și instruirea, criptografia, securitatea HR, controlul accesului, managementul activelor și, după caz, autentificarea multifactor sau autentificarea continuă. Articolul 20 transformă aprobarea managementului, supravegherea și instruirea în securitate cibernetică într-o obligație de guvernanță.

DORA aduce aceeași temă a identității în zona rezilienței operaționale financiare. Entitățile financiare acoperite trebuie să mențină un cadru documentat de management al riscurilor TIC, cu responsabilitatea organului de conducere, controale de protecție și prevenire, controlul accesului, autentificare, monitorizare, detectarea anomaliilor, continuitate, răspuns, recuperare și instruire. Articolele 8 până la 10 sunt deosebit de relevante pentru identificarea activelor și dependențelor TIC, protejarea sistemelor TIC, controlul accesului, autentificarea puternică, monitorizarea și detectarea. Articolele 17 până la 19 conectează aceleași dovezi la gestionarea și raportarea incidentelor legate de TIC.

GDPR se aplică oriunde sunt prelucrate date cu caracter personal în domeniul său teritorial și material. Articolul 5(1)(f) impune ca datele cu caracter personal să fie prelucrate cu securitate adecvată. Articolul 5(2) impune responsabilitate. Articolul 32 impune măsuri tehnice și organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător riscului. O parolă furată sau un autentificator compromis poate deveni o încălcare a securității datelor cu caracter personal dacă determină acces neautorizat la date cu caracter personal.

NIST CSF 2.0 adaugă un strat util de management. Funcția GOVERN impune ca cerințele de securitate cibernetică legale, de reglementare și contractuale, inclusiv obligațiile de confidențialitate, să fie înțelese și gestionate. Profilurile CSF ajută organizațiile să compare starea curentă și starea-țintă și să creeze planuri de acțiune prioritizate.

COBIT 2019 și abordările de audit ISACA întreabă dacă controalele de identitate și acces susțin obiectivele de guvernanță, dacă practicile de management sunt definite, dacă robustețea autentificării corespunde riscului și dacă operarea controlului este dovedită.

Tema cerințeiISO/IEC 27001:2022 și ISO/IEC 27002:2022NIS2DORAGDPRNIST CSF 2.0
Responsabilitate de guvernanțăClauzele 5.1 până la 5.3, 6.1.3, controalele de acces și monitorizare din Anexa AArticolul 20 aprobarea și supravegherea de către managementArticolele 5 și 6 responsabilitatea organului de conducere și cadrul de risc TICArticolul 5(2) responsabilitateGV.OC, GV.RM, GV.RR, GV.PO, GV.OV
Autentificare puternicăA.5.16, A.5.17, A.8.5Articolul 21 controlul accesului și MFA acolo unde este adecvatArticolul 9 protecție, prevenire și autentificare puternicăArticolul 32 securitatea prelucrăriiPR.AA managementul identității, autentificare și controlul accesului
Ciclul de viață al autentificatorilorA.5.17 informații de autentificareArticolul 21 măsuri bazate pe riscArticolul 9 controlul accesului și măsuri de protecție pentru autentificareArticolele 5 și 32 protecție împotriva accesului neautorizatGV.RM, PR.AA
Jurnalizare și detectareA.8.15 Jurnalizare, A.8.16 Activități de monitorizareArticolul 21 gestionarea incidentelor și eficacitatea controalelorArticolele 10, 17 și 18 detectare și clasificarea incidentelorDetectarea încălcărilor susține deciziile aferente Articolelor 33 și 34DE.CM, RS.MA
Raportarea incidentelorA.5.24 până la A.5.28 managementul incidentelor de securitate a informațieiArticolul 23 avertizare timpurie, notificarea incidentului și calendarul raportului finalArticolele 17 până la 19 procesul și rapoartele privind incidentele legate de TICArticolele 33 și 34 notificarea încălcării securității datelor cu caracter personalRS.CO, RC.RP
Dependențe de identitate ale terțilorA.5.19 până la A.5.23 relații cu furnizorii și servicii cloudArticolul 21 securitatea lanțului de aprovizionareArticolele 28 până la 30 riscul asociat terților TICResponsabilitatea operatorului și a persoanei împuternicite de operatorGV.SC

Același raport IdP privind accesul condițional poate susține controlul accesului ISO 27001, MFA NIS2, autentificarea DORA, responsabilitatea privind securitatea în GDPR și progresul față de profilul-țintă NIST CSF.

Construiți un pachet de dovezi privind autentificatorii într-o singură după-amiază

Un CISO, responsabil de conformitate sau responsabil IT poate crea rapid un pachet de dovezi cu valoare ridicată concentrându-se pe un singur sistem cu risc ridicat, cum ar fi o consolă cloud, o platformă financiară, un portal administrativ pentru clienți sau un mediu de implementare în producție.

Mai întâi, definiți domeniul de aplicare. Identificați responsabilul de business, clasificarea datelor, grupurile de utilizatori, rolurile privilegiate, căile de acces la distanță, autentificatorii actuali, datele cu caracter personal implicate și dependențele de terți. Aceasta susține Clauzele 4.1 până la 4.4 din ISO/IEC 27001:2022, deoarece domeniul de aplicare, cerințele părților interesate și dependențele trebuie înțelese.

În al doilea rând, capturați setările curente de autentificare. Exportați sau faceți capturi de ecran pentru politica privind parolele, aplicarea MFA, configurația cheilor de acces sau FIDO2, regulile de acces condițional, expirarea sesiunii, metodele de recuperare, conturile de urgență (break-glass) și starea autentificării moștenite. Dacă sistemul utilizează autentificare locală, documentați motivul și definiți o cale de migrare.

În al treilea rând, comparați cu o stare-țintă clară:

  • Parole verificate față de credențiale slabe, comune și compromise.
  • Fără acces doar cu parolă pentru sisteme privilegiate, la distanță sau expuse la internet.
  • MFA rezistentă la phishing pentru administratori și utilizatori cu risc ridicat.
  • Înrolare și recuperare securizate.
  • Revocarea autentificatorilor în timpul încetării colaborării sau la pierderea dispozitivului.
  • Jurnalizarea autentificărilor reușite și eșuate, a utilizării MFA și a modificărilor autentificatorilor.
  • Alerte pentru deplasare imposibilă, eșecuri repetate, înrolarea unui autentificator nou și autentificări riscante.

În al patrulea rând, atașați dovezile din politici. Politica Controlul accesului - IMM impune:

Sunt necesare nume de utilizator unice; conturile partajate sunt interzise.

Pentru dovezi privind ciclul de viață al conturilor, politica Gestionarea conturilor de utilizator și a privilegiilor - IMM prevede:

Jurnalele privind crearea conturilor, dezactivarea accesului și modificările de privilegii trebuie păstrate securizat timp de cel puțin 12 luni.

Pentru jurnalizarea autentificării, Politica de jurnalizare și monitorizare - IMM de la Clarysec specifică:

Jurnale de autentificare: tentative de autentificare reușite și eșuate, durata sesiunii, utilizarea MFA

Pentru implementări în medii de întreprindere, Politica de jurnalizare și monitorizare impune jurnalizarea:

Tentativelor de autentificare și acces ale utilizatorilor

În al cincilea rând, actualizați Declarația de aplicabilitate. Marcați A.5.16, A.5.17 și A.8.5 ca aplicabile și adăugați note precum:

  • Susține așteptările NIST SP 800-63-4 privind ciclul de viață al autentificatorilor.
  • Susține așteptările NIS2 Articolul 21 privind controlul accesului și MFA.
  • Susține cerințele DORA de management al riscurilor TIC privind autentificarea și monitorizarea.
  • Susține GDPR Articolul 32 privind securitatea și responsabilitatea pentru accesul la date cu caracter personal.
  • Excepție: portalul moștenit de decontare nu suportă FIDO2. Controalele compensatorii includ restricție VPN, monitorizarea sesiunilor privilegiate, plan de remediere cu furnizorul și revizuirea lunară a accesului.

În final, pregătiți un folder denumit „Pachet de dovezi privind autentificarea - Q2 2026” cu extrase din politici, evaluarea riscurilor, înregistrarea tratării riscului, extrasul SoA, configurația IdP, raportul de acoperire MFA și chei de acces, lista de utilizatori privilegiați, registrul de excepții, jurnalele de înrolare și revocare, eșantionul de testare a încetării colaborării, interogările SIEM, capturile de ecran ale alertelor, extrasul din procedura de răspuns la incidente și comunicarea de conștientizare pentru utilizatori.

Aceasta este diferența dintre „folosim MFA” și „putem demonstra guvernanța autentificării securizate”.

Cum vor testa auditori diferiți aceleași controale de identitate

Un program matur de identitate anticipează perspective de audit diferite.

Auditorul ISO 27001 va începe cu sistemul de management. Va întreba cum au fost evaluate riscurile de identitate, de ce au fost selectate controalele, cum apar acestea în SoA, dacă politicile sunt aprobate, dacă responsabilitățile sunt atribuite și dacă dovezile demonstrează operarea în timp. Va testa consecvența dintre Registrul de riscuri, politica de control al accesului, setările IdP și jurnale.

Zenith Blueprint, faza Controale în acțiune, Pasul 19, Lista de verificare pentru audit pentru controalele 8.1 până la 8.5, descrie cerința practică de audit:

Auditorii vor întreba despre setările de complexitate a parolelor și despre modul în care acestea sunt aplicate (GPO-uri Active Directory, politici IdP etc.). Prezentați documentația privind implementarea MFA, cui i se aplică, unde este aplicată și ce sisteme sunt protejate.

Un auditor DORA sau NIS2 se va concentra pe guvernanță, reziliență și risc sistemic. Poate solicita dovezi privind supravegherea de către consiliu sau organul de conducere, acoperirea sistemelor critice, obligațiile terților privind autentificarea, testele de continuitate și dovezi că procedurile de recuperare pot fi inițiate doar de personal autentificat.

Un evaluator GDPR se va concentra pe datele cu caracter personal. Va întreba dacă autentificarea protejează datele cu caracter personal împotriva accesului neautorizat, dacă accesul este limitat la ceea ce este necesar, dacă jurnalele susțin evaluarea încălcării și dacă organizația poate demonstra responsabilitatea.

Un evaluator orientat NIST poate utiliza profilurile NIST CSF 2.0 pentru a compara stările curente și țintă. Va dori un plan de acțiune prioritizat care acoperă guvernanța, politica, controlul accesului, detectarea și rezultatele răspunsului.

Un auditor COBIT 2019 sau ISACA va evalua dacă practicile de identitate și autentificare susțin obiectivele de guvernanță, proiectarea controalelor, operarea controalelor, separarea atribuțiilor, accesul privilegiat și monitorizarea. Poate că nu îl interesează ce marcă de cheie de acces utilizați. Îl va interesa dacă respectivul control este guvernat, măsurat, deținut și îmbunătățit.

Nu uitați încetarea colaborării, recuperarea și identitatea non-umană

Multe programe de autentificare arată solid la autentificare și slab peste tot în rest.

Încetarea colaborării este un punct frecvent de eșec. Politica de integrare și încetare a personalului de la Clarysec include în mod specific:

revocarea token-urilor MFA/SSO, a smartcardurilor sau a certificatelor

Această clauză trebuie testată. Selectați trei utilizatori a căror colaborare a încetat și demonstrați că au fost revocate la timp conturile, sesiunile, dispozitivele MFA, cheile de acces, certificatele și metodele de recuperare. Dacă nu puteți demonstra revocarea token-urilor, controlul de încetare a colaborării este incomplet.

Recuperarea este un alt punct slab. Dacă un serviciu de suport poate reseta MFA după două întrebări ușoare, atacatorul va viza recuperarea prin serviciul de suport în locul autentificării. Procedurile de recuperare trebuie să impună verificare puternică, jurnalizarea tichetelor, aprobare pentru utilizatori privilegiați, notificarea utilizatorului și monitorizarea activității post-recuperare.

Identitatea non-umană este al treilea unghi mort. Zenith Blueprint Pasul 22 clarifică faptul că informațiile de autentificare includ „parole, PIN-uri, chei criptografice, șabloane biometrice, smartcarduri, token-uri, certificate, token-uri OAuth, chei SSH, secrete API.” Atacatorii folosesc frecvent token-uri API, chei ale conturilor de serviciu și granturi OAuth pentru persistență. Tratați aceste credențiale în cadrul A.5.17, cu păstrare în seif, deținere, rotație, revocare și jurnalizare.

Cum arată o practică bună în 2026

Un mediu matur de controale de identitate în 2026 are următoarele caracteristici:

  • Consiliul de administrație sau organul de conducere înțelege riscul de identitate și aprobă direcția.
  • Politica privind parolele este modernizată, prietenoasă pentru utilizatori și aplicată tehnic.
  • Accesul doar cu parolă este eliminat pentru sistemele privilegiate, la distanță și expuse la internet.
  • Cheile de acces sau autentificatorii FIDO2 sunt prioritizați pentru accesul cu risc ridicat.
  • Excepțiile MFA sunt documentate, aprobate, limitate în timp și compensate.
  • Înrolarea, recuperarea și revocarea autentificatorilor sunt controlate.
  • Încetarea colaborării include revocarea conturilor, token-urilor, certificatelor, sesiunilor și cheilor de acces.
  • Jurnalele de autentificare includ succese, eșecuri, utilizarea MFA, durata sesiunii și modificările autentificatorilor.
  • Cazurile de utilizare SIEM detectează credential stuffing, deplasare imposibilă, înrolare suspectă și oboseală MFA.
  • SoA explică de ce se aplică A.5.16, A.5.17 și A.8.5.
  • Mapările NIS2, DORA, GDPR și NIST CSF sunt înregistrate o singură dată și reutilizate.
  • Dovezile sunt colectate continuu, nu asamblate în panică înainte de audit.

Astfel NIST SP 800-63-4 devine mai mult decât un document de referință. Devine un sistem viu de control care susține securitatea, confidențialitatea, reziliența și pregătirea pentru audit.

Transformați controalele de identitate în dovezi pregătite pentru audit

Dacă organizația dumneavoastră actualizează regulile privind parolele, implementează MFA rezistentă la phishing, introduce chei de acces sau se pregătește pentru întrebări de audit ISO 27001, NIS2, DORA sau GDPR, nu începeți doar cu configurarea instrumentelor.

Începeți cu modelul de dovezi.

Clarysec vă poate ajuta să:

  • Mapați așteptările NIST SP 800-63-4 privind parolele, MFA și cheile de acces la ISO/IEC 27001:2022.
  • Construiți o politică privind ciclul de viață al autentificatorilor și un pachet de dovezi.
  • Actualizați politicile de control al accesului, MFA, jurnalizare, integrare și încetare.
  • Pregătiți o Declarație de aplicabilitate care leagă riscul de identitate de controale.
  • Utilizați Zenith Blueprint pentru a structura pașii de implementare și pregătirea pentru audit.
  • Utilizați Zenith Controls pentru a mapa transversal controalele de identitate în NIS2, DORA, GDPR, NIST CSF 2.0 și COBIT 2019.

Cel mai bun moment pentru a descoperi o recuperare slabă, lipsa revocării cheilor de acces sau aplicarea incompletă a MFA este înainte de incident, înaintea autorității de reglementare și înainte ca auditorul să întrebe.

Transformați următoarea revizuire a controlului accesului într-o revizuire a dovezilor NIST SP 800-63-4. Descărcați politicile Clarysec relevante, explorați Zenith Blueprint și utilizați Zenith Controls pentru a transforma implementarea parolelor, MFA și a cheilor de acces într-o abordare de conformitate practică, proporțională și pregătită pentru audit.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Dovezi privind igiena cibernetică NIS2 mapate la ISO 27001

Dovezi privind igiena cibernetică NIS2 mapate la ISO 27001

Un ghid practic pentru CISO privind transformarea igienei cibernetice și a instruirii în securitate cibernetică prevăzute de NIS2 Article 21 în dovezi ISO/IEC 27001:2022 pregătite pentru audit, cu clauze de politici, maparea controalelor, aliniere cu DORA și GDPR și un sprint de remediere de 10 zile.