Kriptografske izjeme v ISO 27001: vodnik po dokazilih in CER

Pogovor pri presoji, ki se ga je David najbolj bal, je prišel tri tedne prej od pričakovanega. InnovatePay je pravkar prevzel manjše podjetje QuickAcquire. Posel je bil strateška zmaga, vendar se je globoko v tehnološkem skladu skrival zastarel modul za prenos podatkov, ki je uporabljal kriptografsko knjižnico, neskladno z odobrenimi standardi InnovatePay. Zamenjava bi trajala šest mesecev. Zunanji presojevalec naj bi prišel že naslednji teden.

Davidu je bil prizor boleče jasen. Presojevalec, miren in metodičen, bi naletel na odstopanje in postavil vprašanje, ki stavek vemo, da je tvegano spremeni v neskladnost: pokažite mi dokazila za kriptografsko izjemo in kako ste odločili, da je sprejemljiva.

V takem trenutku namen ni odločilen; odločilen je nadzor. Brez dokumentiranega postopka za izjeme, sprejetja tveganja s strani vodstva, nadomestnih kontrol, dnevnikov upravljanja ključev in časovno omejenega načrta odprave pomanjkljivosti bo presojevalec zadevo verjetno obravnaval kot neučinkovitost kontrole ali šibko upravljanje ISMS. Ta osrednji vodnik prikazuje, kako tak trenutek spremeniti v dokazilo zrelosti, z uporabo orodij in politik Clarysec, kontrole ISO/IEC 27001:2022 A.8.24 Use of cryptography ter pogleda navzkrižne skladnosti, ki zajema NIS2, DORA, GDPR, NIST in COBIT 2019.

Zakaj so kriptografske izjeme neizogibne in kako jih presojevalci ocenjujejo

Kriptografske izjeme nastajajo iz predvidljivih razlogov. Pri sodelovanjih Clarysec opažamo ponavljajoče se vzorce:

• Omejitve zastarele tehnologije, na primer nepodprti algoritmi, šifrirni nabori ali dolžine ključev.
• Odvisnost od dobavitelja in zamude pri certificiranju, ki preprečujejo pravočasne nadgradnje na odobreno kriptografijo.
• Operativne okoliščine pri odzivu na incidente ali forenzični preiskavi, ki zahtevajo začasna odstopanja za zbiranje dokazov ali ohranitev neprekinjenega izvajanja storitev.
• Migracijska obdobja, ko prehodna interoperabilnost za omejen čas zahteva šibkejše nastavitve.
• Omejitve partnerjev ali strank, ki preprečujejo uporabo vašega želenega izhodišča.

Presojevalci za ISO/IEC 27001:2022 ne zahtevajo popolnosti, temveč nadzor. Ocenjujejo, ali je šifriranje ustrezno in dosledno, ali je upravljanje ključev urejeno in beleženo ter ali v svojem okolju aktivno prepoznavate in upravljate zastarele algoritme. Prvi korak je uskladitev izvajanja izjem s tem, kar presojevalci pričakujejo kot dokazila.

Izjemo zasidrajte v politiki in upravljanju tveganj

Zrel ISMS izjeme obravnava kot odločitve o obravnavi tveganj, ne kot tehnični dolg. Formalni mehanizem je zahteva za kriptografsko izjemo (CER), klavzula politike, ki jo zahteva, pa je ločnica med obvladovano izjemo in ugotovitvijo.

Podjetniška Politika kriptografskih kontrol družbe Clarysec zahteva: Uporaba nestandardnih kriptografskih algoritmov ali začasno odstopanje od odobrenih praks življenjskega cikla zahteva dokumentirano zahtevo za kriptografsko izjemo. Družina politik se neposredno povezuje z obravnavo tveganj. Spremljevalna Politika upravljanja tveganj podpira oceno tveganj kriptografskih kontrol in dokumentira strategijo obravnave tveganj za izjeme, zastaranje algoritmov ali scenarije kompromitacije ključev.

Ko je zahteva vključena v politiko, mora biti vsaka izjema sledljiva do CER s sprejetjem tveganja s strani vodstva, povezanim vnosom v register tveganj, nadomestnimi kontrolami in izstopnim načrtom. Te artefakte predstavite, še preden jih kdo zahteva: presojevalca najprej vodite skozi upravljanje, nato v tehnično stanje, z uporabo pristopa intervjujev in vzorčenja, določenega v Zenith Blueprint.

CER oblikujte kot kontrolni zapis, pripravljen za presojo

Komentarji v zahtevkih niso zapisi o izjemah. CER mora biti strukturiran, upravljan z različicami in primeren za vzorčenje kot katera koli druga kontrola. Ne glede na to, ali je izveden v orodju GRC ali v nadzorovani predlogi, močan CER vključuje:

• Povzetek izjeme, kaj ni skladno in kje.
• Obseg, vrste podatkov in ali izjema vpliva na podatke v mirovanju, podatke med prenosom ali oboje.
• Poslovno utemeljitev, razlog, povezan z omejitvami storitve ali poslovanja.
• Oceno varnostnega vpliva, realistične scenarije groženj, kot so tveganje znižanja ravni algoritma, napadi človek v sredini, šibko zgoščevanje in kompromitacija ključev.
• Nadomestne kontrole, na primer segmentacija, odjemalska potrdila, kratka življenjska doba seje, pravila WAF, dodatna avtentikacija in okrepljeno spremljanje.
• Oceno tveganja pred nadomestnimi kontrolami in po njih, usklajeno z matriko tveganj.
• Lastnika, odgovornega lastnika tveganja v poslovnem delu.
• Odobritve, varnost, lastnik sistema in sprejetje tveganja s strani vodstva.
• Datum izteka in pogostost pregledov, brez odprtega trajanja.
• Izstopni načrt, časovni načrt, odvisnosti, mejnike in roke zapadlosti.
• Kazalce na dokazila, povezave do konfiguracij, dnevnikov, rezultatov testiranja, izjav dobaviteljev in odobritev sprememb.

V Davidovem primeru se je izjema QuickAcquire iz skrite obveznosti spremenila v preverljivo odločitev, ko je CER izpostavil na uvodnem sestanku, ponudil paket dokazil in povabil k vzorčenju.

Minimalni izvedljivi paket dokazil za kriptografsko izjemo

Presojevalci pričakujejo več kot tehnični posnetek stanja. Pri izjemah zahtevajo dokaz upravljanja in operativnega izvajanja. Praktičen paket dokazil vključuje:

1. Izpolnjen CER z odobritvami in datumom izteka.
2. Povezano oceno tveganja in odločitev o obravnavi tveganja.
3. Postopke upravljanja ključev za prizadeti sistem, z dnevniki generiranja ključev, distribucije, rotacije, dostopa in uničenja.
4. Zapise o spremembah kriptografskih nastavitev in dokazila o testiranju, ki kažejo, da so bile spremembe preverjene ali omejitve potrjene.
5. Dokazila o spremljanju in zaznavanju za nadomestne kontrole, vključno s pravili SIEM in testi opozoril.
6. Komunikacijske zapise, ki kažejo, da je bilo prizadeto osebje obveščeno in usposobljeno glede odstopanja in pričakovanj spremljanja.
7. Časovno omejen izstopni načrt z mejniki, datumi, proračunom, kjer je primerno, in lastniki.
8. Zgodovino pregledov politike, ki dokazuje vzdrževanje kriptografskega izhodišča in upravljanje življenjskega cikla algoritmov.

Te vrste dokazil so usklajene s smernicami ISO/IEC 27002:2022 o kriptografiji in upravljanju sprememb.

Uporabite Zenith Blueprint za zbiranje in predstavitev dokazil

Metoda dokazovanja v Zenith Blueprint je enostavna in primerna za presojo: intervju, pregled, opazovanje in vzorčenje. Uporabite jo za izjeme:

• Intervju z lastnikom sistema in vodjo varnosti. Zakaj je izjema potrebna, kaj se je spremenilo od zadnjega pregleda in kaj je naslednji korak v izstopnem načrtu.
• Pregled CER, zapisa o tveganju, klavzule politike ter omejitev dobavitelja ali partnerja. Potrdite datume izteka in pregledov.
• Opazovanje tehničnega stanja, torej natančne konfiguracije in mesta, kjer se izjema uveljavlja, ter preverjanje, kje se uporabljajo nadomestne kontrole.
• Vzorčenje več izjem, običajno treh do petih, za dokaz doslednosti strukture, odobritev, pregledov, beleženja in obravnave izteka.

Praktičen primer: kako zastarelo izjemo TLS pripraviti za presojo

Scenarij: Za prihodkovno kritično integracijo B2B je potreben starejši šifrirni nabor TLS, ker partnerska končna točka ne more izpogajati vaših odobrenih nastavitev. Prekinitev povezave ni izvedljiva.

Izjemo naredite preverljivo v štirih korakih:

1. Ustvarite CER in ga povežite s tveganjem. Določite 90-dnevni iztek s 30-dnevnimi pregledi, priložite korespondenco s partnerjem in ga povežite z vnosom v register tveganj, katerega lastnik je poslovni del.
2. Izberite nadomestne kontrole, ki ustvarjajo dokazila. Izvorne naslove IP omejite na partnerske obsege z zapisi o spremembah požarnega zidu. Če je mogoče, uveljavite vzajemni TLS in hranite evidence izdaje digitalnih potrdil. Okrepite spremljanje anomalij pri rokovanju in hranite definicije pravil SIEM ter teste opozoril.
3. Dokažite disciplino upravljanja ključev. Prikažite dnevnike dostopa KMS, dodelitve RBAC, zapise nujnega dostopa in zapisnike periodičnih pregledov pravic dostopa. Za manjše programe je osnovna zahteva izrecno navedena v Politiki kriptografskih kontrol za MSP: Vsak dostop do kriptografskih ključev mora biti zabeležen in hranjen za presojni pregled, z rednimi pregledi pravic dostopa.
4. Zapakirajte izjemo. Pripravite enotno mapo dokazil ali PDF, ki vključuje CER, zapis o tveganju, posnetek konfiguracije prehoda, zahtevke za spremembe požarnega zidu, dnevnike KMS, pravilo SIEM in vzorce dogodkov, zapise o testiranju ter komunikacijo operativnim ekipam.

Kriptografska agilnost: dokazovanje, da so izjeme začasne po zasnovi

ISO/IEC 27002:2022 spodbuja kriptografsko agilnost, to je zmožnost posodabljanja algoritmov in naborov brez ponovne izgradnje celotnih sistemov. Presojevalci iščejo dokazila o agilnosti, ne obljub:

• Pogostost pregledov politike, s katero se posodabljajo sprejemljivi algoritmi in prakse ter vodijo evidence različic sprememb.
• Zapisi o testiranju kriptografskih posodobitev, ki dokazujejo varne poti uvedbe.
• Komunikacija, s katero se osebje obvešča o kriptografskih spremembah in operativnih vplivih.
• Postavke v zaostanku nalog z napredkom izvedbe, vezanim na datume izteka izjem.

Upravljanje izjem se sreča s forenzično preiskavo

Izjeme lahko zapletejo preiskave, zlasti kadar šifriranje ali nepodprte naprave blokirajo zbiranje dokazov. Clarysecova Politika zbiranja dokazov in forenzike to obravnava z izrecnimi premisleki glede dokazov, zahtevanih iz nepodprtih ali šifriranih naprav. Različica za MSP, Politika zbiranja dokazov in forenzike za MSP, predvideva praktične načine odpovedi, na primer kadar dokazov ni mogoče zbrati v skladu s politiko zaradi sesutja sistema ali poškodovanega medija.

To načrtujte v svojih CER. Vključite možen forenzični vpliv, deponirajte potrebne ključe ter opredelite zahteve za nujni dostop in beleženje.

Preslikava navzkrižne skladnosti: ena izjema, več pogledov

V reguliranih okoljih ali okoljih z več okviri bo ista izjema obravnavana skozi različne poglede. Uporabite vodnik Zenith Controls, da paket dokazil ostane skladen.

Kako bodo različni presojevalci preverjali in kako odgovoriti

Tudi v eni sami presoji se slogi razlikujejo. Pripravite se na vsak slog in usmerjajte zgodbo:

• Presojevalec ISO/IEC 27001:2022 bo vprašal, kje je politika kriptografije, kje je opredeljen postopek izjem, kako pogosto se izjeme pregledujejo, in bo želel vzorčiti. Začnite s CER in nadzorovanim registrom.
• Presojevalec, usmerjen v NIST, bo iskal izhodišča šifrirnih naborov, zaščite pred znižanjem ravni algoritma, postopke generiranja in uničenja ključev ter dnevnike z opozarjanjem. Prinesite dnevnike KMS, pravila SIEM in preveritvene teste.
• Presojevalec COBIT ali ISACA se bo osredotočil na to, kdo je lastnik tveganja, kdo ga je sprejel, kakšna je pogostost pregledov in kateri kazalniki kažejo zmanjševanje izjem. Prinesite zapisnike usmerjevalnega odbora in poročila o staranju izjem.
• Pregledovalec z regulativnim pogledom bo vprašal, kako izjema vpliva na razpoložljivost in celovitost kritičnih storitev ter ali se je povečalo tveganje izpostavitve osebnih podatkov. Predložite artefakte načrtovanja odpornosti in trden časovni načrt odprave.

Pogoste pasti, ki povzročajo neskladnosti

• Izjeme brez datumov izteka, ki se razumejo kot neupravljano tveganje.
• Brez sprejetja tveganja s strani vodstva, kadar je inženir zadevo odobril v zahtevku brez odgovornega lastništva.
• Nadomestne kontrole so opisane, vendar niso podprte z dokazili, na primer trditve o spremljanju brez pravil SIEM.
• Manjkajoči ali nedostopni dnevniki upravljanja ključev.
• Politika določa eno, praksa pa drugo, na primer CER so obvezni, vendar se ne uporabljajo.

Kontrolni seznam za dan presoje kriptografskih izjem

• Ažuren register navaja vse kriptografske izjeme z identifikatorji CER, lastniki, odobritvami, datumi pregledov in izteki.
• Vsaka izjema je povezana z zapisom o tveganju in dokumentirano odločitvijo o obravnavi.
• Vsaj dve nadomestni kontroli na izjemo, podprti s konkretnimi dokazili.
• Dostop do ključev se beleži, dnevniki se hranijo in pregledi pravic dostopa se izvajajo.
• Zgodovina pregledov kriptografske politike je na voljo, z upravljanimi različicami sprememb.
• Lahko vzorčite tri ali več izjem in predstavite dosledno zgodbo.
• Časovni načrt prikazuje zmanjševanje izjem skozi čas.

Omejitve dobaviteljev in partnerjev

Veliko izjem izvira zunaj vašega neposrednega nadzora. Partnerji vsilijo šifrirne nabore, dobavitelji zaostajajo pri časovnih načrtih ali prevzeti sistemi prinesejo dolg. Zunanje omejitve obravnavajte kot del upravljanja, ne kot izgovore. Zahtevajte izjave dobaviteljev o kriptografskih časovnih načrtih, vključite pogodbene klavzule, ki določajo kriptografska izhodišča, in zunanje odvisnosti vnesite v register tveganj.

Naslednji koraki: vzpostavite program izjem v enem sprintu

1. Popišite vse kriptografske izjeme, vključno s skritimi izjemami v robnih storitvah.
2. Ustvarite ali dopolnite CER za vsako izjemo z odobritvami, iztekom in izstopnimi načrti.
3. Vsak CER povežite z vnosom v register tveganj z odgovornim lastnikom.
4. Pripravite standardno predlogo paketa dokazil za izjeme in vadite vzorčenje pri presoji.
5. Preverite pripravljenost na navzkrižno skladnost z vodnikom Zenith Controls.

Tesnobo zaradi kriptografskih izjem spremenite v zaupanje pri presoji. Rezervirajte delovno srečanje s Clarysec. V enem sodelovanju uvedemo delovni tok CER, register izjem in strukturo paketa dokazil, pripravljeno za presojevalca. Rezultat so hitrejše presoje, manj ponavljajočih se ugotovitev in kriptografske izjeme, ki dokazujejo upravljanje namesto improvizacije.