Sprievodca auditnými dôkazmi pre riadenie prístupu podľa ISO 27001

Je 09:10 v deň auditu. Maria, CISO rýchlo rastúcej fintechovej a cloudovej platformy, má otvorenú politiku riadenia prístupu. Vedúci IT exportuje nastavenia podmieneného prístupu z poskytovateľa identít. HR hľadá ticket k ukončeniu pracovného pomeru finančného analytika, ktorý odišiel pred šiestimi týždňami. Interný audítor zdvihne zrak a položí otázku, o ktorej všetci vedeli, že príde:

„Ukážte mi, ako sa prístup žiada, schvaľuje, prideľuje, preskúmava a odoberá používateľovi s privilegovaným prístupom k osobným údajom.“

Táto jediná veta vie odhaliť, či je program riadenia prístupu pripravený na audit, alebo je iba formálne pokrytý politikou.

Mariin tím mal zrelý systém manažérstva informačnej bezpečnosti, ročný cyklus recertifikácie podľa ISO/IEC 27001:2022, zavedenú viacfaktorovú autentifikáciu, riadenie prístupu na základe rolí v kľúčových systémoch a štvrťročné tabuľky revízií prístupových práv. Tento audit bol však iný. Zoznam požiadaviek audítora obsahoval aj pripravenosť na vznikajúce regulačné požiadavky. Pre Mariinu organizáciu to znamenalo NIS2, DORA a GDPR, všetko posudzované cez rovnakú prevádzkovú optiku: identita, prístup, autentifikácia, oprávnenie a dôkazy.

Problém, ktorému čelí mnoho CISO, nie je v tom, že riadenie prístupu neexistuje. Problém je v tom, že dôkazy existujú po častiach. Schválenia onboardingu sú v Jira alebo ServiceNow. Nastavenia MFA sú v Microsoft Entra ID, Okta alebo u iného poskytovateľa identít. Oprávnenia v AWS, Azure a Google Cloud sú v samostatných konzolách. Privilegované činnosti môžu byť logované v nástroji PAM, alebo vôbec. Stav zamestnanca je v BambooHR, Workday alebo v tabuľkách. Revízie prístupových práv môžu byť schválené e-mailom.

Keď audítor prepojí IAM, MFA, PAM, procesy nástupu, zmeny roly a odchodu, osobné údaje, správu cloudového prostredia a regulačné očakávania, fragmentované dôkazy sa rýchlo rozpadnú.

Audity riadenia prístupu podľa ISO/IEC 27001:2022 nie sú len technickými kontrolami konfigurácie. Sú testom systému manažérstva. Skúmajú, či sú riziká identity a prístupu pochopené, ošetrené, implementované, monitorované a zlepšované. Ak sú relevantné aj NIS2, DORA a GDPR, tie isté dôkazy musia preukázať správu a riadenie prístupov založené na riziku, silnú autentifikáciu, sledovateľné schvaľovania, včasné zrušenie prístupových oprávnení, obmedzenie oprávnení, ochranu osobných údajov a zodpovednosť manažmentu.

Praktickou odpoveďou nie je väčší šanón. Je ňou jednotný model dôkazov pre riadenie prístupu, ktorý začína rozsahom ISMS a rizikom, prechádza cez politiku a návrh kontrolných opatrení, premieta sa do nástrojov IAM a PAM a jasne sa mapuje na ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST a COBIT.

Prečo je riadenie prístupu regulačným kľúčovým bodom

Riadenie prístupu sa stalo témou na úrovni predstavenstva a regulátorov, pretože kompromitácia identity je dnes bežnou cestou k narušeniu prevádzky, porušeniu ochrany údajov, podvodom a expozícii dodávateľského reťazca.

Podľa NIS2 Article 2 a Article 3, vykladaných spolu s prílohou I a prílohou II, sa do rozsahu pôsobnosti ako základné alebo dôležité subjekty dostávajú mnohé stredne veľké a väčšie subjekty v uvedených odvetviach. Patria sem digitálna infraštruktúra a poskytovatelia správy služieb IKT, napríklad poskytovatelia cloudových výpočtových služieb, poskytovatelia služieb dátových centier, poskytovatelia riadených služieb a poskytovatelia riadených bezpečnostných služieb. Členské štáty mali povinnosť transponovať NIS2 do októbra 2024 a uplatňovať vnútroštátne opatrenia od októbra 2024, pričom zoznamy subjektov mali byť pripravené v apríli 2025. Article 20 ukladá riadiacim orgánom zodpovednosť za schvaľovanie opatrení riadenia kybernetických rizík a dohľad nad ich implementáciou. Article 21 vyžaduje technické, prevádzkové a organizačné opatrenia vrátane politík riadenia prístupu, správy aktív, kybernetickej hygieny, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca a MFA alebo priebežnej autentifikácie tam, kde je to primerané.

DORA pridáva odvetvovo špecifickú vrstvu prevádzkovej odolnosti pre finančné subjekty a relevantných externých poskytovateľov IKT služieb. Article 1, Article 2 a Article 64 ustanovujú DORA ako jednotný rámec uplatňovaný od 17. januára 2025. Article 5 a Article 6 vyžadujú správu a riadenie a zdokumentovaný rámec riadenia rizík IKT. Article 9 sa zaoberá ochranou a prevenciou vrátane politík, postupov, protokolov a nástrojov bezpečnosti IKT. Article 24 až Article 30 dopĺňajú testovanie digitálnej prevádzkovej odolnosti a riadenie rizík tretích strán v oblasti IKT. Pre finančné subjekty sa dôkazy o riadení prístupu stávajú dôkazmi odolnosti, nielen dôkazmi správy IT.

GDPR prináša pohľad osobných údajov. Article 2 a Article 3 definujú širokú uplatniteľnosť na spracúvanie v EÚ a dosah na trh EÚ. Article 5 vyžaduje integritu, dôvernosť a preukázateľnú zodpovednosť. Article 25 vyžaduje ochranu údajov už od návrhu a štandardne. Article 32 vyžaduje primerané technické a organizačné opatrenia. V praxi to znamená riadený prístup, bezpečnú autentifikáciu, logovanie, preskúmanie a včasné odstránenie prístupu k systémom spracúvajúcim osobné údaje.

ISO/IEC 27001:2022 poskytuje organizáciám mechanizmus systému manažérstva na zjednotenie týchto povinností. Kapitoly 4.1 až 4.3 vyžadujú, aby organizácia pochopila kontext, zainteresované strany, právne a zmluvné požiadavky, rozhrania, závislosti a rozsah ISMS. Kapitoly 6.1.1 až 6.1.3 vyžadujú posúdenie rizík informačnej bezpečnosti, ošetrenie rizík, porovnanie s prílohou A, vyhlásenie o aplikovateľnosti a schválenie plánov ošetrenia rizík a zostatkového rizika. Kapitola 8.1 vyžaduje prevádzkové riadenie, zdokumentované informácie preukazujúce, že procesy prebehli podľa plánu, riadenie zmien a kontrolu externe poskytovaných procesov.

Auditná otázka preto neznie: „Máte MFA?“ Znie: „Viete pre identity a systémy v rozsahu preukázať, že riziko prístupu je riadené, ošetrené, implementované, monitorované a zlepšované?“

Vybudujte chrbticu dôkazov od rozsahu ISMS po dôkaz v IAM

Clarysec začína prípravu auditu riadenia prístupu tým, že zabezpečí sledovateľnosť dôkazov od kontextu organizácie. ISO/IEC 27001:2022 očakáva, že ISMS bude integrovaný do procesov organizácie a primeraný jej potrebám. Dodávateľ SaaS s 30 zamestnancami a nadnárodná banka nebudú mať rovnakú architektúru prístupov, ale obe potrebujú konzistentný reťazec dôkazov.

ISO/IEC 27005:2022 je užitočná, pretože odporúča zlúčiť právne, regulačné, zmluvné, odvetvovo špecifické a interné požiadavky do spoločného rizikového kontextu. Kapitoly 6.4 a 6.5 zdôrazňujú kritériá rizika, ktoré zohľadňujú ciele organizácie, právne predpisy, dodávateľské vzťahy a obmedzenia. Kapitoly 7.1 a 7.2 umožňujú scenáre založené na udalostiach aj na aktívach. Pri riadení prístupu to znamená posudzovať strategické scenáre, napríklad „privilegovaný administrátor SaaS exportuje údaje zákazníkov z EÚ“, popri scenároch aktív, napríklad „osirelý AWS IAM kľúč pripojený k produkčnému úložisku“.

V Clarysec Zenith Blueprint: 30-kroková cestovná mapa audítora sa táto chrbtica dôkazov buduje počas fázy Controls in Action. Krok 19 sa zameriava na technologické kontrolné opatrenia pre správu koncových bodov a prístupov, zatiaľ čo krok 22 formalizuje organizačný životný cyklus prístupu.

Zenith Blueprint odporúča tímom overiť, že zriaďovanie a rušenie prístupov je štruktúrované, podľa možnosti integrované s HR, podporené pracovnými tokmi žiadostí o prístup a štvrťročne preskúmavané. Organizáciám tiež ukladá zdokumentovať typy identít, uplatňovať kontrolné opatrenia pre individuálne, zdieľané a servisné identity, používať silné politiky hesiel a MFA, odstraňovať neaktívne účty a udržiavať bezpečné trezory alebo dokumentáciu k servisným povereniam.

Presne takto audítori testujú riadenie prístupu: po jednej identite, jednom systéme, jednom schválení, jednom oprávnení, jednom preskúmaní a jednom zrušení prístupových oprávnení.

Čo zhromaždiť ako auditovateľné dôkazy riadenia prístupu

Balík dôkazov k riadeniu prístupu má audítorovi umožniť vybrať ľubovoľného používateľa a sledovať životný cyklus: žiadosť, schválenie, priradenie, autentifikáciu, zvýšenie oprávnení, monitorovanie, preskúmanie a zrušenie prístupových oprávnení.

Silný balík dôkazov obsahuje:

1. Politiku riadenia prístupu a politiku používateľských účtov
2. Postup nástupu, zmeny roly a odchodu
3. Maticu rolí alebo maticu riadenia prístupu
4. Zoznam aplikácií, platforiem a úložísk údajov v rozsahu
5. Konfiguráciu MFA u poskytovateľa identít
6. Politiky podmieneného prístupu a zoznam výnimiek
7. Inventár privilegovaných účtov
8. Dôkazy pracovného toku PAM vrátane schválení a logov relácií
9. Výstup z nedávnej kampane revízie prístupov
10. Vzorky vyhlásení manažérov a nápravné opatrenia
11. HR report ukončení spárovaný s logmi deaktivácie
12. Inventár servisných účtov, vlastníkov, záznamy rotácie a dôkazy z trezora
13. Postup pre účty typu break-glass a testovací log
14. Dôkazy o incidente alebo upozornení týkajúce sa neúspešných prihlásení, eskalácie oprávnení alebo neaktívnych účtov
15. Položky vyhlásenia o aplikovateľnosti pre kontrolné opatrenia prílohy A súvisiace s prístupom

Politiky Clarysec robia toto očakávanie explicitným. V MSP Politika riadenia prístupu pre MSP je požiadavka jednoduchá a zameraná na audit:

„Pre všetky zriadenia prístupu, zmeny a odstránenia prístupu sa musí viesť bezpečný záznam.“

Zo sekcie „Požiadavky na implementáciu politiky“, bod 6.1.1.

Tá istá politika pre MSP tiež priamo prepája RBAC a MFA so zodpovednosťami rolí:

„Implementuje riadenie prístupu na základe rolí (RBAC) a vynucuje silnú autentifikáciu, napríklad viacfaktorovú autentifikáciu (MFA).“

Zo sekcie „Roly a zodpovednosti“, bod 4.2.3.

Pre väčšie organizácie podniková Politika nástupu a ukončenia vyžaduje, aby systém IAM logoval vytvorenie účtu, priradenie rolí a oprávnení a udalosti deaktivácie, podporoval šablóny prístupu na základe rolí a integroval sa so systémami HR pre spúšťače nástupu, zmeny roly a odchodu. Tento bod pomáha odprezentovať auditný príbeh na jednom mieste: štandardizovaný onboarding, životný cyklus identít spúšťaný HR a sledovateľné udalosti IAM.

Mapujte IAM, MFA, PAM a preskúmania na kontrolné opatrenia ISO/IEC 27001:2022

Clarysec Zenith Controls: Sprievodca súladom naprieč rámcami chápe riadenie prístupu ako prepojenú rodinu kontrolných opatrení, nie ako položku kontrolného zoznamu. Pre ISO/IEC 27001:2022 sú najrelevantnejšie tieto kontrolné opatrenia:

• kontrolné opatrenie 5.15, riadenie prístupu
• kontrolné opatrenie 5.16, správa identít
• kontrolné opatrenie 5.17, autentifikačné informácie
• kontrolné opatrenie 5.18, prístupové práva
• kontrolné opatrenie 8.2, privilegované prístupové práva
• kontrolné opatrenie 8.3, obmedzenie prístupu k informáciám
• kontrolné opatrenie 8.5, bezpečná autentifikácia
• kontrolné opatrenie 8.15, logovanie
• kontrolné opatrenie 8.16, monitorovanie činností

Pri autentifikačných informáciách Zenith Controls mapuje kontrolné opatrenie 5.17 ako preventívne opatrenie podporujúce dôvernosť, integritu a dostupnosť, s prevádzkovou schopnosťou správy identít a prístupov. Priamo ho viaže na správu identít, bezpečnú autentifikáciu, roly a zodpovednosti, prijateľné používanie a dodržiavanie politík. Bezpečnosť poverení zahŕňa životný cyklus autentifikátora, bezpečné vydávanie, uloženie, resetovanie, zrušenie, tokeny MFA, súkromné kľúče a servisné poverenia.

Pri prístupových právach Zenith Controls mapuje kontrolné opatrenie 5.18 na formálne prideľovanie, preskúmanie, úpravu a zrušenie prístupových oprávnení. Viaže ho na riadenie prístupu, správu identít, oddelenie povinností, privilegované prístupové práva a monitorovanie súladu. Toto je kontrolné opatrenie, ktoré premieňa zásadu minimálnych oprávnení na dôkazy.

Pri privilegovaných prístupových právach Zenith Controls mapuje kontrolné opatrenie 8.2 na osobitné riziko zvýšených účtov vrátane doménových administrátorov, používateľov root, administrátorov cloudových tenantov, databázových superuserov a riadiacich účtov CI/CD. Sprievodca prepája privilegovaný prístup so správou identít, prístupovými právami, obmedzením prístupu k informáciám, bezpečnou autentifikáciou, prácou na diaľku, logovaním a monitorovaním.

Jeden dobre navrhnutý report revízie prístupových práv môže podporiť ISO/IEC 27001:2022, NIS2, DORA a GDPR, ak obsahuje rozsah, vlastníka systému, preskúmavateľa, zoznam účtov, odôvodnenie roly, príznak privilegovaného prístupu, rozhodnutia, odstránenia, výnimky a dátum dokončenia.

Dôkazy MFA sú viac než snímka obrazovky

Častou auditnou chybou je predložiť snímku obrazovky s textom „MFA enabled“. Audítori potrebujú viac. Potrebujú vedieť, kde sa MFA uplatňuje, kto je vylúčený, ako sa výnimky schvaľujú, či sú pokryté privilegované účty a či technická konfigurácia zodpovedá politike.

Podľa Zenith Blueprint, fáza Controls in Action, krok 19, sa audítori budú pýtať, ako sa vynucujú politiky hesiel a MFA, ktoré systémy sú chránené, na koho sa MFA vzťahuje a či možno kritické aplikácie otestovať so vzorovým účtom. Dôkazy môžu zahŕňať konfiguráciu IdP, politiky podmieneného prístupu, štatistiky registrácie MFA a postupy resetovania hesiel.

Pre podnikové prostredia Clarysec Politika správy používateľských účtov a oprávnení uvádza:

„Ak je to technicky možné, viacfaktorová autentifikácia (MFA) je povinná pre: 6.3.2.1 Administrátorské účty a účty na úrovni root 6.3.2.2 Vzdialený prístup (VPN, cloudové platformy) 6.3.2.3 Prístup k citlivým alebo regulovaným údajom“

Zo sekcie „Požiadavky na implementáciu politiky“, bod 6.3.2.

Tým vzniká priame auditné prepojenie. Ak je MFA povinná pre administrátorské účty, vzdialený prístup a regulované údaje, balík dôkazov má obsahovať zoznamy administrátorských účtov a účtov na úrovni root, konfiguráciu vzdialeného prístupu, politiky podmieneného prístupu cloudovej platformy, zoznamy aplikácií s citlivými údajmi, reporty registrácie MFA, schválenia výnimiek, kompenzačné kontrolné opatrenia a aktuálne dôkazy o preskúmaní upozornení na neúspešné prihlásenia alebo pokusy o obídenie MFA.

Pre NIST SP 800-53 Rev. 5 je to v súlade s IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access a AU-2 Event Logging. Pre COBIT 2019 to podporuje DSS05.04 Manage user identity and logical access a súvisiace postupy bezpečnostného monitorovania.

Podporné normy ISO rozširujú celkový obraz. ISO/IEC 27018:2020 rozširuje autentifikačné očakávania pre verejný cloud spracúvajúci osobné údaje. ISO/IEC 24760-1:2019 podporuje väzbu autentifikátorov a riadenie životného cyklu. ISO/IEC 29115:2013 zavádza úrovne dôveryhodnosti autentifikácie, užitočné pri rozhodovaní, kde sú potrebné hardvérové tokeny alebo MFA odolná voči phishingu. ISO/IEC 27033-1:2015 podporuje silnú sieťovú autentifikáciu pre vzdialený prístup alebo prístup medzi sieťami.

Dôkazy PAM sú najrýchlejšou cestou k závažnému zisteniu alebo čistému auditu

Privilegovaný prístup je oblasť, v ktorej audítori prirodzene zvyšujú skepticizmus, pretože privilegované účty môžu obísť kontrolné opatrenia, extrahovať údaje, vytvoriť mechanizmy perzistencie a meniť logy. V Zenith Blueprint, krok 19, sa uvádza:

„V každom informačnom systéme je privilegovaný prístup moc a s touto mocou prichádza riziko.“

Usmernenie sa zameriava na to, kto má privilegovaný prístup, čo mu umožňuje, ako sa spravuje a ako sa v čase monitoruje. Odporúča aktuálny inventár, zásadu minimálnych oprávnení, RBAC, časovo obmedzené alebo just-in-time zvýšenie oprávnení, schvaľovacie pracovné toky, jednoznačne pomenované účty, vyhýbanie sa zdieľaným účtom, logovanie účtov typu break-glass, systémy PAM, rotáciu poverení, ukladanie do trezora, zaznamenávanie relácií, dočasné zvýšenie oprávnení, monitorovanie a pravidelné preskúmanie.

Podniková Politika riadenia prístupu Clarysec premieňa tieto požiadavky na kontrolné opatrenie:

„Administrátorský prístup musí byť prísne riadený prostredníctvom: 5.4.1.1 Oddelených privilegovaných účtov 5.4.1.2 Monitorovania a zaznamenávania relácií 5.4.1.3 Viacfaktorovej autentifikácie 5.4.1.4 Časovo obmedzeného alebo pracovným tokom spúšťaného zvýšenia oprávnení“

Zo sekcie „Požiadavky na správu a riadenie“, bod 5.4.1.

Táto citácia je takmer auditným testovacím scenárom. Ak politika hovorí o oddelených administrátorských účtoch, ukážte zoznam privilegovaných účtov a preukážte, že každý je priradený ku konkrétnej pomenovanej osobe. Ak hovorí o monitorovaní relácií, ukážte zaznamenané relácie alebo logy PAM. Ak hovorí o MFA, ukážte uplatnenie pre každú cestu privilegovaného prístupu. Ak hovorí o časovo obmedzenom zvýšení oprávnení, ukážte časové pečiatky expirácie a schvaľovacie tickety.

Verzia pre MSP je rovnako priama. Politika správy používateľských účtov a oprávnení pre MSP uvádza:

„Zvýšené alebo administrátorské oprávnenia vyžadujú dodatočné schválenie generálnym manažérom alebo vedúcim IT a musia byť zdokumentované, časovo obmedzené a pravidelne preskúmavané.“

Zo sekcie „Požiadavky na implementáciu politiky“, bod 6.2.2.

Pre menšie organizácie je to často rozdiel medzi „dôverujeme nášmu administrátorovi“ a „riadime riziko privilegovaného prístupu“. Audítor nevyžaduje podnikové nástroje v každom MSP, ale vyžaduje dôkazy primerané riziku. Ticket, schválenie, dočasné priradenie do skupiny, vynucovanie MFA a záznam o preskúmaní môžu postačovať, ak je rozsah obmedzený a riziko nižšie.

Revízie prístupových práv preukazujú fungovanie zásady minimálnych oprávnení

Revízie prístupových práv ukazujú, či sa oprávnenia potichu nehromadia. Zároveň ukazujú, či manažéri rozumejú prístupom, ktoré ich tímy skutočne majú.

Podniková Politika správy používateľských účtov a oprávnení vyžaduje:

„IT bezpečnosť musí v spolupráci s vedúcimi oddelení vykonávať štvrťročné preskúmania všetkých používateľských účtov a súvisiacich oprávnení.“

Zo sekcie „Požiadavky na implementáciu politiky“, bod 6.5.1.

Pre MSP stanovuje Politika správy používateľských účtov a oprávnení pre MSP primeraný interval:

„Preskúmanie všetkých používateľských účtov a oprávnení sa musí vykonávať každých šesť mesiacov.“

Zo sekcie „Požiadavky na implementáciu politiky“, bod 6.4.1.

Dôveryhodná revízia prístupových práv obsahuje názov systému, rozsah, meno preskúmavateľa, dátum exportu, dátum preskúmania, vlastníka identity, oddelenie, manažéra, pracovný stav, rolu alebo oprávnenie, príznak privilegovaného prístupu, príznak citlivosti údajov, rozhodnutie, ticket nápravy, dátum uzavretia, vlastníka výnimky a dátum skončenia platnosti výnimky.

V Zenith Controls je kontrolné opatrenie prístupových práv 5.18 miestom, kde sa z toho stávajú dôkazy súladu naprieč rámcami. Sprievodca mapuje prístupové práva na GDPR Article 25, pretože prístup má byť obmedzený už od návrhu a štandardne. Mapuje ich na NIS2 Article 21(2)(i), pretože politiky riadenia prístupu a správa aktív vyžadujú prideľovanie založené na riziku, včasné odstránenie nepotrebného prístupu a formálne zrušenie prístupových oprávnení. Mapuje ich na DORA, pretože finančné systémy IKT potrebujú prístup na základe rolí, monitorovanie a procesy zrušenia prístupových oprávnení.

Audítori orientovaní na NIST to často testujú cez AC-2 Account Management, AC-5 Separation of Duties a AC-6 Least Privilege. Audítori COBIT 2019 sa pozerajú na DSS05.04 Manage user identity and logical access a DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. Audítori ISACA ITAF sa zameriavajú na to, či sú dôkazy dostatočné, spoľahlivé a úplné.

Ukončenie prístupov a zrušenie tokenov sa ľahko vzorkujú

Odchádzajúci pracovníci patria medzi najjednoduchšie miesta na preukázanie toho, či životný cyklus funguje. Audítori si často vyberú nedávno ukončeného zamestnanca a vyžiadajú si HR záznam o ukončení, ticket, log deaktivácie účtu, dôkaz deaktivácie v SaaS, odstránenie VPN, zrušenie MFA, odstránenie API tokenu a vrátenie aktív.

V Politika nástupu a ukončenia pre MSP Clarysec uvádza:

„Ukončené účty musia byť uzamknuté alebo vymazané a súvisiace prístupové tokeny musia byť zrušené vrátane vzdialeného prístupu (VPN), väzieb aplikácií MFA a API tokenov.“

Zo sekcie „Požiadavky na implementáciu politiky“, bod 6.3.3.

Je to dôležité, pretože moderný prístup nie je iba používateľské meno a heslo. Prístup môže pretrvávať cez refresh tokeny, API kľúče, SSH kľúče, OAuth granty, servisné účty, lokálne administrátorské práva, mobilné relácie a portály tretích strán. Deaktivovaný HR záznam bez zrušenia tokenov je neúplný dôkaz.

Zenith Blueprint, fáza Controls in Action, krok 16, odporúča organizáciám pripraviť zdokumentovaný kontrolný zoznam ukončenia, dôkazy od nedávneho odchádzajúceho pracovníka, log deaktivácie používateľského účtu z AD alebo MDM, podpísaný formulár o vrátení aktív a dokumentáciu ukončenia prístupov, ktorá zahŕňa povinnosti zachovávať dôvernosť.

Mariin audítor požiadal o odchádzajúceho senior vývojára, ktorý mal privilegovaný prístup k produkčným databázam. Jej tím predložil Politiku nástupu a ukončenia pre MSP, kontrolný zoznam ukončenia zostavený podľa Zenith Blueprint kroku 16, ITSM ticket spustený HR, log deaktivácie v adresári, zneplatnenie VPN certifikátu, odstránenie z organizácie GitHub, výmaz kľúča AWS IAM a uzavretý overovací ticket podpísaný IT manažérom. Dôkazy boli úplné, včasné a priamo previazané s politikou.

Spustite trojvzorkový dôkazový sprint skôr než audítor

Praktickým cvičením pripravenosti je vybrať pred auditom tri vzorky:

1. Nového zamestnanca, ktorý nastúpil za posledných 90 dní
2. Privilegovaného používateľa s administrátorským prístupom ku cloudu, databáze, produkcii alebo IAM
3. Odchádzajúceho alebo presunutého zamestnanca za posledných 90 dní

Potom prepojte každú vzorku so záznamami ISMS: rizikový scenár, rozhodnutie o ošetrení rizika, výber kontrolného opatrenia vo vyhlásení o aplikovateľnosti, ustanovenie politiky, technická konfigurácia, záznam preskúmania a nápravné opatrenie, ak existuje medzera.

Tým sa príprava na audit mení zo zberu dokumentov na overovanie kontrolných opatrení.

Pripravte sa na rôzne auditné optiky

Rôzne auditné zázemie vedie k rôznym otázkam, aj keď sú dôkazy rovnaké.

Príprava dôkazov, ktoré uspokoja všetky tieto pohľady, preukazuje zrelý program súladu a znižuje duplicitnú prácu.

Bežné zistenia a preventívne opatrenia

Zistenia v oblasti riadenia prístupu sú predvídateľné. Rovnako aj preventívne opatrenia.

Podniková Politika riadenia prístupu pridáva požiadavku na uchovávanie, ktorá predchádza jednému z najčastejších zlyhaní dôkazov:

„Rozhodnutia o schválení musia byť logované a uchovávané na účely auditu minimálne 2 roky.“

Zo sekcie „Požiadavky na správu a riadenie“, bod 5.3.2.

Ak schválenia zmiznú po vyčistení e-mailov, kontrolné opatrenie mohlo fungovať, ale audit sa naň nemôže spoľahnúť. Uchovávanie je súčasťou návrhu kontrolného opatrenia.

Zodpovednosť manažmentu potrebuje metriky prístupov

NIS2 Article 20 a DORA Article 5 a Article 6 robia z riadenia prístupu manažérsku tému, pretože kompromitácia identity sa môže zmeniť na narušenie prevádzky, regulačné oznámenie, porušenie ochrany údajov a ujmu zákazníkom. ISO/IEC 27001:2022 kapitoly 5.1 až 5.3 tiež vyžadujú, aby vrcholový manažment zosúladil ISMS so stratégiou organizácie, poskytol zdroje, komunikoval význam, pridelil zodpovednosti a podporoval neustále zlepšovanie.

Užitočné metriky riadenia prístupu zahŕňajú:

• Percento kritických systémov pokrytých SSO
• Percento privilegovaných účtov s MFA
• Počet trvalých privilegovaných účtov oproti JIT účtom
• Mieru dokončenia revízií prístupových práv
• Počet zrušených nadmerných oprávnení
• Súlad so SLA deaktivácie odchádzajúcich pracovníkov
• Počet neaktívnych účtov
• Pokrytie vlastníkov servisných účtov
• Pokrytie zaznamenávania relácií PAM
• Počet a vek výnimiek MFA

Tieto metriky pomáhajú manažmentu schvaľovať ošetrenie rizík a preukazovať dohľad. Zároveň zvyšujú dôveryhodnosť auditov, pretože organizácia vie ukázať, že riadenie prístupu sa monitoruje ako živé riziko a neobjavuje sa nanovo pred každým auditom.

Premeňte roztrúsené dôkazy na auditnú istotu

Ak sú dôkazy riadenia prístupu podľa ISO/IEC 27001:2022 roztrúsené medzi HR, ITSM, IAM, PAM, cloudovými konzolami a tabuľkami, ďalším krokom nie je ďalšie prepisovanie politiky. Ďalším krokom je architektúra dôkazov.

Začnite touto postupnosťou:

1. Definujte systémy, identity a údaje v rozsahu.
2. Namapujte NIS2, DORA, GDPR a zmluvné požiadavky do kontextu ISMS.
3. Použite rizikové scenáre v štýle ISO/IEC 27005:2022 na prioritizáciu IAM, MFA, PAM a revízií prístupových práv.
4. Aktualizujte vyhlásenie o aplikovateľnosti a plán ošetrenia rizík.
5. Zosúlaďte ustanovenia politiky so skutočnými pracovnými tokmi IAM a PAM.
6. Spustite trojvzorkový dôkazový sprint.
7. Odstráňte medzery skôr, ako ich nájde audítor.
8. Udržiavajte opakovane použiteľný balík dôkazov pre certifikáciu, due diligence zákazníkov a regulačné preskúmania.

Clarysec vám môže pomôcť implementovať tento prístup prostredníctvom Zenith Blueprint: 30-kroková cestovná mapa audítora, mapovať požiadavky naprieč rámcami pomocou Zenith Controls: Sprievodca súladom naprieč rámcami a prevádzkovo zaviesť požiadavky so správnou sadou politík Clarysec vrátane Politika riadenia prístupu, Politika správy používateľských účtov a oprávnení a Politika nástupu a ukončenia.

Pripravenosť riadenia prístupu na audit nespočíva v tom, že preukážete nákup nástroja IAM. Spočíva v preukázaní, že procesy identity, autentifikácie, oprávnení a preskúmania znižujú skutočné riziko organizácie a spĺňajú normy a predpisy relevantné pre vašu organizáciu.

Stiahnite si toolkity Clarysec, spustite trojvzorkový dôkazový sprint a premeňte svoje dôkazy riadenia prístupu z roztrúseného chaosu na jasné, opakovateľné a obhájiteľné auditné portfólio.