Vodnik za revizijska dokazila o nadzoru dostopa po ISO 27001
Na dan presoje je ura 09:10. Maria, vodja informacijske varnosti hitro rastočega fintech podjetja in oblačne platforme, ima odprto politiko nadzora dostopa. Vodja IT iz ponudnika identitetnih storitev izvaža nastavitve pogojnega dostopa. Kadrovska služba išče zahtevek za ukinitev dostopa finančnemu analitiku, ki je odšel pred šestimi tedni. Notranji presojevalec dvigne pogled in zastavi vprašanje, za katero so vsi vedeli, da prihaja:
»Pokažite mi, kako se dostop zahteva, odobri, uveljavi, pregleda in odvzame za uporabnika s privilegiranim dostopom do osebnih podatkov.«
Ta en stavek lahko razkrije, ali je program nadzora dostopa pripravljen na presojo ali pa je pripravljen zgolj na ravni politike.
Mariina ekipa je imela zrel sistem upravljanja informacijske varnosti, letni cikel ponovne certifikacije po ISO/IEC 27001:2022, uvedeno večfaktorsko avtentikacijo, nadzor dostopa na podlagi vlog v ključnih sistemih in četrtletne preglednice za preglede pravic dostopa. Toda ta presoja je bila drugačna. Seznam zahtev presojevalca je vključeval pripravljenost na nastajajoče regulativne zahteve. Za Mariino organizacijo je to pomenilo NIS2, DORA in GDPR, vse obravnavane skozi isti operativni pogled: identiteta, dostop, avtentikacija, privilegiji in dokazila.
Težava številnih CISO ni v tem, da nadzor dostopa ne obstaja. Težava je v tem, da dokazila obstajajo po delih. Odobritve ob uvajanju uporabnikov so v Jira ali ServiceNow. Nastavitve MFA so v Microsoft Entra ID, Okta ali pri drugem ponudniku identitetnih storitev. Dovoljenja AWS, Azure in Google Cloud so v ločenih konzolah. Privilegirana dejanja so morda zabeležena v orodju PAM ali pa sploh ne. Kadrovski status je v BambooHR, Workday ali preglednicah. Pregledi pravic dostopa so lahko potrjeni po e-pošti.
Ko presojevalec poveže IAM, MFA, PAM, dogodke novozaposlenih, premeščenih in odhajajočih zaposlenih, osebne podatke, upravljanje oblaka in regulativna pričakovanja, se razdrobljena dokazila hitro razpadejo.
Presoje nadzora dostopa po ISO/IEC 27001:2022 niso samo tehnični pregledi konfiguracije. So preizkusi sistema upravljanja. Preverjajo, ali so tveganja identitet in dostopa razumljena, obravnavana, uvedena, spremljana in izboljševana. Kadar so pomembni tudi NIS2, DORA in GDPR, morajo ista dokazila pokazati upravljanje pravic dostopa na podlagi tveganj, močno avtentikacijo, sledljive odobritve, pravočasen preklic, omejevanje privilegijev, varstvo osebnih podatkov in odgovornost vodstva.
Praktični odgovor ni večji fascikel. Odgovor je enoten model dokazil za nadzor dostopa, ki se začne pri obsegu ISMS in tveganju, teče skozi politiko in zasnovo kontrol, se izvaja v orodjih IAM in PAM ter se jasno preslika na ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST in COBIT.
Zakaj je nadzor dostopa osrednja regulativna kontrola
Nadzor dostopa je postal tema za upravni odbor in regulatorje, ker je kompromitacija identitete danes pogosta pot do operativnih motenj, kršitev varnosti osebnih podatkov, goljufij in izpostavljenosti dobavne verige.
V okviru NIS2 Articles 2 in 3 skupaj z Annex I in Annex II vključujejo številne srednje velike in večje subjekte v navedenih sektorjih v področje uporabe kot bistvene ali pomembne subjekte. To vključuje digitalno infrastrukturo in ponudnike upravljanja storitev IKT, kot so ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki upravljanih storitev in ponudniki upravljanih varnostnih storitev. Države članice so morale NIS2 prenesti v nacionalno pravo do oktobra 2024 in nacionalne ukrepe uporabljati od oktobra 2024, seznami subjektov pa zapadejo aprila 2025. Article 20 določa odgovornost organov upravljanja za odobritev ukrepov za obvladovanje kibernetskih tveganj in nadzor nad izvajanjem. Article 21 zahteva tehnične, operativne in organizacijske ukrepe, vključno s politikami nadzora dostopa, upravljanjem sredstev, kibernetsko higieno, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige ter MFA ali neprekinjeno avtentikacijo, kadar je to ustrezno.
DORA dodaja sektorsko specifično plast operativne odpornosti za finančne subjekte in ustrezne zunanje ponudnike storitev IKT. Articles 1, 2 in 64 določajo DORA kot enoten okvir, ki se uporablja od 17. januarja 2025. Articles 5 in 6 zahtevata upravljanje in dokumentiran okvir upravljanja tveganj IKT. Article 9 obravnava zaščito in preprečevanje, vključno z varnostnimi politikami, postopki, protokoli in orodji IKT. Articles 24 do 30 dodajajo testiranje digitalne operativne odpornosti in upravljanje tveganj tretjih oseb na področju IKT. Za finančne subjekte dokazila za nadzor dostopa postanejo dokazila odpornosti, ne le dokazila administracije IT.
GDPR prinaša pogled osebnih podatkov. Articles 2 in 3 opredeljujeta široko uporabo za obdelavo v EU in doseg trga EU. Article 5 zahteva celovitost, zaupnost in dokazljivo odgovornost. Article 25 zahteva vgrajeno in privzeto varstvo podatkov. Article 32 zahteva ustrezne tehnične in organizacijske ukrepe. V praksi to pomeni nadzorovan dostop, varno avtentikacijo, beleženje, pregledovanje in pravočasno odstranitev dostopa za sisteme, ki obdelujejo osebne podatke.
ISO/IEC 27001:2022 organizacijam zagotavlja mehanizem sistema upravljanja za poenotenje teh obveznosti. Klavzule 4.1 do 4.3 zahtevajo, da organizacija razume kontekst, zainteresirane strani, zakonske in pogodbene zahteve, vmesnike, odvisnosti in obseg ISMS. Klavzule 6.1.1 do 6.1.3 zahtevajo oceno tveganja informacijske varnosti, obravnavo tveganja, primerjavo s Prilogo A, izjavo o uporabnosti ter odobritev načrtov obravnave tveganj in preostalega tveganja. Klavzula 8.1 zahteva operativno obvladovanje, dokumentirane informacije, ki dokazujejo, da so bili procesi izvedeni, kot je bilo načrtovano, obvladovanje sprememb in nadzor nad zunanje zagotovljenimi procesi.
Vprašanje pri presoji zato ni »Ali imate MFA?« Vprašanje je: »Ali lahko za identitete in sisteme v obsegu dokažete, da se tveganje dostopa upravlja, obravnava, uvaja, spremlja in izboljšuje?«
Zgradite hrbtenico dokazil od obsega ISMS do dokazil IAM
Clarysec pripravo dokazil za presojo nadzora dostopa začne z zagotavljanjem sledljivosti dokazil od poslovnega konteksta naprej. ISO/IEC 27001:2022 pričakuje, da je ISMS vključen v organizacijske procese in prilagojen potrebam organizacije. Ponudnik SaaS s 30 zaposlenimi in multinacionalna banka ne bosta imela enake arhitekture dostopa, oba pa potrebujeta skladno verigo dokazil.
| Plast dokazil | Kaj dokazuje | Tipični izvorni sistemi | Vrednost za navzkrižno skladnost |
|---|---|---|---|
| Obseg ISMS in zahteve zainteresiranih strani | Kateri sistemi, podatki, predpisi in odvisnosti od tretjih oseb so v obsegu | obseg ISMS, evidenca skladnosti, popis podatkov, evidenca dobaviteljev | Podpira ISO/IEC 27001:2022 klavzuli 4.2 in 4.3, določanje obsega NIS2, mapiranje odvisnosti IKT po DORA, odgovornost po GDPR |
| Ocena tveganja dostopa | Zakaj so IAM, MFA, PAM in pregledi potrebni glede na tveganje | register tveganj, scenariji groženj, načrt obravnave tveganja | Podpira ISO/IEC 27001:2022 klavzulo 6.1, ISO/IEC 27005:2022, okvir tveganj IKT po DORA, ukrepe za obvladovanje tveganj po NIS2 |
| Politika in standardi | Kaj organizacija zahteva | politika nadzora dostopa, politika privilegijev, politika uvajanja in prenehanja | Pretvarja regulativna pričakovanja v izvršljiva notranja pravila |
| Konfiguracija IAM in PAM | Ali so kontrole tehnično uvedene | IdP, HRIS, ITSM, PAM, IAM v oblaku, administratorske konzole SaaS | Dokazuje načelo najmanjših privilegijev, MFA, RBAC, odobritvene delovne tokove in kontrole privilegiranih sej |
| Zapisi pregledov in spremljanja | Ali dostop skozi čas ostaja ustrezen | kampanje pregleda dostopov, SIEM, dnevniki PAM, potrditve vodij | Dokazuje neprekinjeno delovanje kontrol, spremljanje po DORA, kibernetsko higieno NIS2, minimizacijo po GDPR |
| Evidence postopka prenehanja dostopa in izjem | Ali je dostop odstranjen in ali so izjeme nadzorovane | seznam prenehanj iz kadrovske službe, dnevniki deaktivacije, register izjem | Dokazuje pravočasen preklic, sprejem preostalega tveganja in preprečevanje kršitev |
ISO/IEC 27005:2022 je koristen, ker priporoča združevanje zakonskih, regulativnih, pogodbenih, sektorskih in notranjih zahtev v skupen kontekst tveganj. Klavzuli 6.4 in 6.5 poudarjata merila tveganj, ki upoštevajo cilje organizacije, zakone, odnose z dobavitelji in omejitve. Klavzuli 7.1 in 7.2 omogočata scenarije na podlagi dogodkov in sredstev. Pri nadzoru dostopa to pomeni presojo strateških scenarijev, kot je »privilegirani administrator SaaS izvozi podatke strank iz EU«, skupaj s scenariji sredstev, kot je »osiroteli ključ AWS IAM je povezan s produkcijsko hrambo«.
V Clarysecovem Zenith Blueprint: revizorjev 30-koračni časovni načrt se ta hrbtenica dokazil zgradi v fazi Controls in Action. Korak 19 se osredotoča na tehnološke kontrole za zaščito končnih točk in upravljanje dostopa, korak 22 pa formalizira organizacijski življenjski cikel dostopa.
Zenith Blueprint ekipam nalaga, naj preverijo, da sta dodeljevanje in odvzem dostopa strukturirana, kjer je mogoče integrirana s kadrovsko službo, podprta z delovnimi tokovi zahtev za dostop in četrtletno pregledovana. Organizacijam tudi nalaga, naj dokumentirajo vrste identitet, uveljavijo kontrole za individualne, skupne in storitvene identitete, uporabljajo stroge politike gesel in MFA, odstranijo mirujoče račune ter vzdržujejo varno hrambo v trezorju ali dokumentacijo za storitvene poverilnice.
Prav tako presojevalci testirajo nadzor dostopa: po ena identiteta, en sistem, ena odobritev, en privilegij, en pregled in en preklic naenkrat.
Kaj zbrati za revizijsko pripravljena dokazila o nadzoru dostopa
Paket dokazil za nadzor dostopa mora presojevalcu omogočiti vzorčenje kateregakoli uporabnika in sledenje življenjskemu ciklu: zahteva, odobritev, dodelitev, avtentikacija, povišanje privilegijev, spremljanje, pregled in preklic.
Močan paket dokazil vključuje:
- Politiko nadzora dostopa in politiko uporabniških računov
- Postopek za novozaposlene, premeščene in odhajajoče zaposlene
- Matrico vlog ali matrico nadzora dostopa
- Seznam aplikacij, platform in repozitorijev podatkov v obsegu
- Konfiguracijo MFA pri ponudniku identitetnih storitev
- Politike pogojnega dostopa in seznam izjem
- Popis privilegiranih računov
- Dokazila delovnega toka PAM, vključno z odobritvami in dnevniki sej
- Izpis nedavne kampanje pregleda dostopov
- Vzorčne potrditve vodij in sanacijske ukrepe
- Poročilo kadrovske službe o prenehanjih, usklajeno z dnevniki deaktivacije
- Popis storitvenih računov, lastnike, zapise o menjavi poverilnic in dokazila iz trezorja
- Postopek za račune za nujni dostop (break-glass) in dnevnik testiranja
- Dokazila o incidentih ali opozorilih glede neuspešnih prijav, povišanja privilegijev ali mirujočih računov
- Vnose v izjavi o uporabnosti za kontrole iz Priloge A, povezane z dostopom
Politike Clarysec to pričakovanje izrecno določajo. V politiki za MSP Politika nadzora dostopa-sme je zahteva preprosta in osredotočena na presojo:
»Za vse dodelitve, spremembe in odstranitve dostopa je treba vzdrževati varno evidenco.«
Iz razdelka »Zahteve za izvajanje politike«, klavzula 6.1.1.
Ista politika za MSP tudi neposredno povezuje RBAC in MFA z odgovornostmi vlog:
»Izvaja nadzor dostopa na podlagi vlog (RBAC) in uveljavlja močno avtentikacijo (npr. večfaktorsko avtentikacijo (MFA)).«
Iz razdelka »Vloge in odgovornosti«, klavzula 4.2.3.
Za večje organizacije podjetniška Politika uvajanja in prenehanja zahteva, da sistem IAM beleži ustvarjanje računov, dodelitve vlog in dovoljenj ter dogodke deaktivacije, podpira predloge dostopa na podlagi vlog in se integrira s kadrovskimi sistemi za sprožilce novozaposlenih, premeščenih in odhajajočih zaposlenih. Ta klavzula pomaga revizijsko zgodbo povedati na enem mestu: standardizirano uvajanje, življenjski cikel identitet, sprožen s kadrovsko službo, in sledljivi dogodki IAM.
Preslikajte IAM, MFA, PAM in preglede na kontrole ISO/IEC 27001:2022
Clarysecov Zenith Controls: vodnik za navzkrižno skladnost obravnava nadzor dostopa kot povezano družino kontrol, ne kot postavko na kontrolnem seznamu. Za ISO/IEC 27001:2022 so najpomembnejše kontrole:
- Kontrola 5.15, nadzor dostopa
- Kontrola 5.16, upravljanje identitet
- Kontrola 5.17, avtentikacijske informacije
- Kontrola 5.18, pravice dostopa
- Kontrola 8.2, pravice privilegiranega dostopa
- Kontrola 8.3, omejevanje dostopa do informacij
- Kontrola 8.5, varna avtentikacija
- Kontrola 8.15, beleženje
- Kontrola 8.16, dejavnosti spremljanja
Za avtentikacijske informacije Zenith Controls preslika kontrolo 5.17 kot preventivno kontrolo, ki podpira zaupnost, celovitost in razpoložljivost, z operativno zmogljivostjo upravljanja identitet in dostopa. Neposredno jo povezuje z upravljanjem identitet, varno avtentikacijo, vlogami in odgovornostmi, sprejemljivo uporabo ter skladnostjo s politikami. Varnost poverilnic vključuje življenjski cikel avtentikatorjev, varno izdajo, hrambo, ponastavitev, preklic, avtentikacijske žetone MFA, zasebne ključe in storitvene poverilnice.
Za pravice dostopa Zenith Controls preslika kontrolo 5.18 na formalno dodelitev, pregled, spremembo in preklic. Povezuje jo z nadzorom dostopa, upravljanjem identitet, ločevanjem dolžnosti, pravicami privilegiranega dostopa in spremljanjem skladnosti. To je kontrola, ki načelo najmanjših privilegijev pretvori v dokazila.
Za pravice privilegiranega dostopa Zenith Controls preslika kontrolo 8.2 na posebno tveganje povišanih računov, vključno z domenskimi administratorji, uporabniki root, administratorji najemnikov v oblaku, superuporabniki podatkovnih baz in krmilniki CI/CD. Vodnik povezuje privilegirani dostop z upravljanjem identitet, pravicami dostopa, omejevanjem dostopa do informacij, varno avtentikacijo, delom na daljavo, beleženjem in spremljanjem.
| Tema presoje | Dokazila dostopa po ISO/IEC 27001:2022 | Preslikava na NIS2 | Preslikava na DORA | Preslikava na GDPR |
|---|---|---|---|---|
| Življenjski cikel IAM | Delovni tok za novozaposlene, premeščene in odhajajoče zaposlene, zahteve za dostop, odobritve, predloge vlog, dnevniki deaktivacije | Article 21 ukrepi obvladovanja tveganj, politike nadzora dostopa in upravljanje sredstev | Articles 5, 6 in 9 upravljanje, okvir tveganj IKT, logična varnost in nadzor dostopa | Articles 5, 25 in 32 odgovornost, minimizacija in varnost |
| MFA | Politika IdP, posnetki zaslona pogojnega dostopa, statistika vključitve v MFA, odobritve izjem | Article 21(2)(j) MFA ali neprekinjena avtentikacija, kadar je ustrezno | Varen dostop do kritičnih sistemov IKT in kontrole tveganj IKT | Ustrezni tehnični ukrepi proti nepooblaščenemu dostopu |
| PAM | Popis privilegiranih računov, odobritve, povišanje JIT, dnevniki sej, menjava poverilnic v trezorju | Article 21(2)(i) nadzor dostopa na podlagi tveganj in upravljanje sredstev | Zaščita sistemov IKT, operativna odpornost in spremljanje | Omejevanje in revizija povišanega dostopa do osebnih podatkov |
| Pregledi pravic dostopa | Četrtletne ali polletne evidence pregledov, potrditve vodij, sanacijski zahtevki | Kibernetska higiena, politike nadzora dostopa in upravljanje sredstev | Stalno spremljanje, dostop na podlagi vlog in preklic | Privzeto varstvo podatkov in dokazljiva odgovornost |
| Postopek prenehanja dostopa | Seznam prenehanj iz kadrovske službe, dokazila o zaklepu ali brisanju računa, preklic žetonov | Pravočasna odstranitev nepotrebnega dostopa | Nadzor nad dostopom IKT skozi celoten življenjski cikel | Preprečevanje nepooblaščenega dostopa do osebnih podatkov |
Eno dobro zasnovano poročilo o pregledu pravic dostopa lahko podpira ISO/IEC 27001:2022, NIS2, DORA in GDPR, če vključuje obseg, lastnika sistema, pregledovalca, seznam računov, utemeljitev vloge, oznako privilegiranega dostopa, odločitve, odstranitve, izjeme in datum zaključka.
Dokazila MFA so več kot posnetek zaslona
Pogosta napaka pri presoji je predložitev posnetka zaslona z navedbo »MFA omogočen«. Presojevalci potrebujejo več kot to. Vedeti morajo, kje se MFA uporablja, kdo je izvzet, kako so izjeme odobrene, ali so privilegirani računi zajeti in ali se tehnična konfiguracija ujema s politiko.
Iz Zenith Blueprint, faza Controls in Action, korak 19, bodo presojevalci vprašali, kako se uveljavljajo politike gesel in MFA, kateri sistemi so zaščiteni, za koga velja MFA in ali je kritične aplikacije mogoče preizkusiti z vzorčnim računom. Dokazila lahko vključujejo konfiguracijo IdP, politike pogojnega dostopa, statistiko vključitve v MFA in postopke ponastavitve gesel.
Za podjetniška okolja Clarysecova Politika upravljanja uporabniških računov in privilegijev določa:
»Kjer je tehnično izvedljivo, je večfaktorska avtentikacija (MFA) obvezna za: 6.3.2.1 Administrativne račune in račune na ravni root 6.3.2.2 Oddaljeni dostop (VPN, oblačne platforme) 6.3.2.3 Dostop do občutljivih ali reguliranih podatkov«
Iz razdelka »Zahteve za izvajanje politike«, klavzula 6.3.2.
To ustvari neposreden most za presojo. Če je MFA obvezen za administratorske račune, oddaljeni dostop in regulirane podatke, mora paket dokazil vključevati sezname administrativnih računov in računov na ravni root, konfiguracijo oddaljenega dostopa, politike pogojnega dostopa za oblačne platforme, sezname aplikacij z občutljivimi podatki, poročila o vključitvi v MFA, odobritve izjem, kompenzacijske kontrole in nedavna dokazila o pregledu opozoril za neuspešne prijave ali poskuse obhoda MFA.
Za NIST SP 800-53 Rev. 5 je to skladno z IA-2 Identification and Authentication, IA-5 Authenticator Management, AC-17 Remote Access in AU-2 Event Logging. Za COBIT 2019 podpira DSS05.04 Manage user identity and logical access ter povezane prakse spremljanja varnosti.
Podporni standardi ISO razširjajo sliko. ISO/IEC 27018:2020 razširja pričakovanja glede avtentikacije za javni oblak, ki obdeluje osebne podatke. ISO/IEC 24760-1:2019 podpira vezavo avtentikatorjev in upravljanje življenjskega cikla. ISO/IEC 29115:2013 uvaja ravni zagotovila avtentikacije, kar je uporabno pri odločanju, kje so potrebni strojni žetoni ali MFA, odporen proti lažnemu predstavljanju. ISO/IEC 27033-1:2015 podpira močno omrežno avtentikacijo za oddaljeni dostop ali dostop med omrežji.
Dokazila PAM so najhitrejša pot do pomembne ugotovitve ali čiste presoje
Pri privilegiranem dostopu presojevalci postanejo skeptični, ker lahko privilegirani računi obidejo kontrole, izvlečejo podatke, ustvarijo vztrajnost in spreminjajo dnevnike. V Zenith Blueprint, korak 19, je navedeno:
»V vsakem informacijskem sistemu je privilegirani dostop moč, z močjo pa pride tveganje.«
Smernice se osredotočajo na to, kdo ima privilegirani dostop, kaj mu ta omogoča, kako se upravlja in kako se spremlja skozi čas. Priporočajo ažuren popis, načelo najmanjših privilegijev, RBAC, časovno omejeno oziroma just-in-time povišanje pravic, odobritvene delovne tokove, enolične imenovane račune, izogibanje skupnim računom, beleženje uporabe računov za nujni dostop (break-glass), sisteme PAM, periodično menjavo poverilnic, hrambo v trezorju, snemanje sej, začasno povišanje pravic, spremljanje in redni pregled.
Clarysecova podjetniška Politika nadzora dostopa to pretvori v zahtevo kontrole:
»Administrativni dostop mora biti strogo nadzorovan z: 5.4.1.1 ločenimi privilegiranimi računi 5.4.1.2 spremljanjem in snemanjem sej 5.4.1.3 večfaktorsko avtentikacijo 5.4.1.4 časovno omejenim povišanjem pravic ali povišanjem na podlagi delovnega toka«
Iz razdelka »Zahteve upravljanja«, klavzula 5.4.1.
Ta navedek je skoraj skripta za revizijski preizkus. Če politika določa ločene administratorske račune, pokažite seznam privilegiranih računov in dokažite, da se vsak preslika na imenovano osebo. Če določa spremljanje sej, pokažite posnete seje ali dnevnike PAM. Če določa MFA, pokažite uveljavljanje za vsako pot privilegiranega dostopa. Če določa časovno omejeno povišanje pravic, pokažite časovne žige poteka in odobritvene zahtevke.
Različica za MSP je enako neposredna. Politika upravljanja uporabniških računov in privilegijev-sme določa:
»Povišani ali administrativni privilegiji zahtevajo dodatno odobritev generalnega direktorja ali vodje IT ter morajo biti dokumentirani, časovno omejeni in predmet periodičnega pregleda.«
Iz razdelka »Zahteve za izvajanje politike«, klavzula 6.2.2.
Za manjše organizacije je to pogosto razlika med »zaupamo svojemu administratorju« in »nadzorujemo privilegirano tveganje«. Presojevalec ne zahteva podjetniških orodij v vsakem MSP, zahteva pa dokazila, sorazmerna tveganju. Zahtevek, odobritev, začasna dodelitev skupine, uveljavljanje MFA in zapis pregleda lahko zadostujejo, kadar je obseg omejen in je tveganje nižje.
Pregledi pravic dostopa dokazujejo delovanje načela najmanjših privilegijev
Pregledi pravic dostopa pokažejo, ali se dovoljenja tiho kopičijo. Pokažejo tudi, ali vodje razumejo, kakšen dostop njihove ekipe dejansko imajo.
Podjetniška Politika upravljanja uporabniških računov in privilegijev zahteva:
»IT Security mora v sodelovanju z vodji oddelkov izvesti četrtletne preglede vseh uporabniških računov in povezanih privilegijev.«
Iz razdelka »Zahteve za izvajanje politike«, klavzula 6.5.1.
Za MSP Politika upravljanja uporabniških računov in privilegijev-sme določa sorazmeren cikel:
»Pregled vseh uporabniških računov in privilegijev je treba izvesti vsakih šest mesecev.«
Iz razdelka »Zahteve za izvajanje politike«, klavzula 6.4.1.
Verodostojen pregled pravic dostopa vključuje ime sistema, obseg, ime pregledovalca, datum izvoza, datum pregleda, lastnika identitete, oddelek, vodjo, zaposlitveni status, vlogo ali upravičenje, oznako privilegiranega dostopa, oznako občutljivosti podatkov, odločitev, sanacijski zahtevek, datum zaprtja, lastnika izjeme in datum poteka izjeme.
V Zenith Controls so pravice dostopa 5.18 točka, kjer to postane dokazilo za navzkrižno skladnost. Vodnik preslika pravice dostopa na GDPR Article 25, ker mora biti dostop omejen že pri načrtovanju in privzeto. Preslika jih na NIS2 Article 21(2)(i), ker politike nadzora dostopa in upravljanje sredstev zahtevajo dodeljevanje na podlagi tveganj, pravočasno odstranitev nepotrebnega dostopa in formalni preklic. Preslika jih na DORA, ker finančni sistemi IKT potrebujejo dostop na podlagi vlog, spremljanje in procese preklica.
Presojevalci, usmerjeni v NIST, to pogosto testirajo prek AC-2 Account Management, AC-5 Separation of Duties in AC-6 Least Privilege. Presojevalci COBIT 2019 gledajo na DSS05.04 Manage user identity and logical access ter DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. Presojevalci ISACA ITAF se osredotočajo na to, ali so dokazila zadostna, zanesljiva in popolna.
Postopek prenehanja dostopa in preklic žetonov sta enostavna za vzorčenje
Odhajajoči zaposleni so eno najlažjih mest za dokazovanje, ali življenjski cikel deluje. Presojevalci pogosto izberejo nedavno odpuščenega ali odhajajočega zaposlenega in zahtevajo kadrovski zapis o prenehanju, zahtevek, dnevnik onemogočitve računa, dokazilo o deaktivaciji SaaS, odstranitev VPN, preklic MFA, odstranitev žetonov API in vračilo sredstev.
V Politika uvajanja in prenehanja-sme Clarysec določa:
»Računi uporabnikov, pri katerih je sodelovanje prenehalo, morajo biti zaklenjeni ali izbrisani, povezani dostopni žetoni pa preklicani, vključno z oddaljenim dostopom (VPN), vezavami aplikacij MFA in žetoni API.«
Iz razdelka »Zahteve za izvajanje politike«, klavzula 6.3.3.
To je pomembno, ker sodoben dostop ni le uporabniško ime in geslo. Dostop lahko ostane prek osvežitvenih žetonov, ključev API, ključev SSH, odobritev OAuth, storitvenih računov, lokalnih administratorskih pravic, mobilnih sej in portalov tretjih oseb. Deaktiviran kadrovski zapis brez preklica žetonov je nepopolno dokazilo.
Zenith Blueprint, faza Controls in Action, korak 16, organizacijam nalaga, naj bodo pripravljene z dokumentiranim kontrolnim seznamom ob prenehanju, dokazili nedavnega odhajajočega uporabnika, dnevnikom onemogočitve uporabniškega računa iz AD ali MDM, podpisanim obrazcem za vračilo sredstev in dokumentacijo postopka prenehanja dostopa, ki vključuje obveznosti glede zaupnosti.
Mariin presojevalec je zahteval odhajajočega višjega razvijalca, ki je imel privilegirani dostop do produkcijskih podatkovnih baz. Njena ekipa je predložila Politika uvajanja in prenehanja-sme, kontrolni seznam ob prenehanju, pripravljen na podlagi koraka 16 iz Zenith Blueprint, zahtevek ITSM, sprožen s strani kadrovske službe, dnevnik onemogočitve v imeniku, preklic certifikata VPN, odstranitev iz organizacije GitHub, izbris ključa AWS IAM in zaprt preveritveni zahtevek, ki ga je podpisal vodja IT. Dokazila so bila popolna, pravočasna in neposredno povezana s politiko.
Izvedite sprint dokazil s tremi vzorci, preden to stori presojevalec
Praktična vaja pripravljenosti je izbrati tri vzorce pred presojo:
- Novega zaposlenega, ki se je pridružil v zadnjih 90 dneh
- Privilegiranega uporabnika z administratorskim dostopom do oblaka, podatkovne baze, produkcije ali IAM
- Odhajajočega zaposlenega ali zaposlenega s spremenjeno vlogo iz zadnjih 90 dni
| Vzorec | Dokazila za zbiranje | Pogoj uspešnosti | Pogosta ugotovitev |
|---|---|---|---|
| Novi zaposleni | Kadrovski zapis o začetku, zahteva za dostop, odobritev, dodelitev vloge, vključitev v MFA, prva prijava | Dostop je dodeljen šele po odobritvi in je usklajen z vlogo | Dostop je dodeljen pred odobritvijo ali je vloga preširoka |
| Privilegirani uporabnik | Poslovna utemeljitev, ločen administratorski račun, dokazilo MFA, odobritev PAM, dnevnik sej, četrtletni pregled | Privilegij je vezan na imenovanega uporabnika, utemeljen, časovno omejen, kjer je mogoče, spremljan in pregledovan | Skupni administratorski račun, manjkajoč MFA, brez dokazil o seji |
| Odhajajoči ali premeščeni zaposleni | Kadrovski dogodek, zahtevek za prenehanje ali spremembo vloge, dnevniki deaktivacije, odstranitev VPN, preklic MFA ali žetonov API, zaključek pregleda | Dostop je odstranjen pravočasno in v celoti | Račun SaaS je še vedno aktiven, žeton API ni preklican, staro članstvo v skupini je ohranjeno |
Nato vsak vzorec povežite z zapisi ISMS: scenarij tveganja, odločitev o obravnavi, izbor kontrole v izjavi o uporabnosti, klavzula politike, tehnična konfiguracija, zapis pregleda in korektivni ukrep, če obstaja vrzel.
To pripravo na presojo spremeni iz zbiranja dokumentov v preverjanje kontrol.
Pripravite se na različne presojevalske poglede
Različna presojevalska ozadja vodijo do različnih vprašanj, tudi kadar so dokazila enaka.
| Pogled presojevalca | Glavni poudarek | Pričakovana dokazila |
|---|---|---|
| Presojevalec ISO/IEC 27001:2022 | Proces ISMS, obravnava tveganja in delovanje kontrol | Ocena tveganja, SoA, odobrene politike, zahteve za dostop, zapisi pregledov, dnevniki deaktivacije |
| Presojevalska praksa ISO/IEC 19011:2018 | Vzorčenje, potrjevanje iz več virov in doslednost | Nastavitve gesel, pragovi zaklepa, časovni žigi odobritev, zapisi izvedbe, intervjuji |
| Presojevalec ISMS po ISO/IEC 27007:2020 | Izvajanje presoje ISMS in učinkovitost | Opredelitve vlog v primerjavi z dejanskimi dovoljenji, sledi odobritev privilegijev, dnevniki preklicev |
| Ocenjevalec, osredotočen na NIST | Tehnična uvedba in testiranje kontrol | Dokazila AC-2, AC-5, AC-6, AC-17, IA-2, IA-5 in AU-2 iz orodij IAM, PAM in SIEM |
| Presojevalec COBIT 2019 ali ISACA | Upravljanje, lastništvo in zanesljivost dokazil | Procesna dokazila DSS05.04 in DSS06.03, metrike, izjeme, sledenje sanaciji |
| Pregledovalec DORA | Tveganje IKT, odpornost in kritičnost | Seznami dostopa do kritičnih sistemov, spremljanje privilegiranih dostopov, kontrole administratorjev tretjih oseb, povezave s testiranjem odpornosti |
| Pregledovalec NIS2 | Odgovornost vodstva in ukrepi na podlagi tveganj | Nadzor upravnega odbora, ukrepi nadzora dostopa iz Article 21, pokritost MFA, pripravljenost na incidente |
| Pregledovalec GDPR | Zaupnost osebnih podatkov in odgovornost | Omejitve dostopa do osebnih podatkov, dokazila o privzetem varstvu zasebnosti iz Article 25, varnostni ukrepi iz Article 32 |
Priprava dokazil, ki zadovoljijo vse te poglede, dokazuje zrel program skladnosti in zmanjšuje podvojeno delo.
Pogoste ugotovitve in preventivni ukrepi
Ugotovitve pri nadzoru dostopa so predvidljive. Tudi preventivni ukrepi so.
| Ugotovitev | Zakaj je pomembna | Preprečevanje |
|---|---|---|
| Pregledi pravic dostopa obstajajo, vendar so privilegirani računi izključeni | Administratorske pravice ustvarjajo tveganje z največjim vplivom | V vsak pregled vključite oznako privilegiranega dostopa, zapise PAM in administratorske skupine |
| MFA je omogočen za zaposlene, ne pa za službe za pomoč uporabnikom, pogodbene izvajalce ali administratorje oblaka | Napadalci ciljajo izjeme | Vzdržujte poročilo o pokritosti MFA in register izjem z datumi poteka |
| Postopek za novozaposlene je dokumentiran, premestitve pa niso upravljane | Širjenje privilegijev se kopiči po spremembah vlog | Ob vsaki spremembi oddelka ali vloge sprožite pregled pravic dostopa |
| Skupni administratorski računi obstajajo brez kompenzacijskih kontrol | Odgovornost za dejanja je šibka | Nadomestite jih z imenovanimi administratorskimi računi ali uveljavite prevzem poverilnic iz trezorja in beleženje sej |
| Odhajajoči zaposleni so onemogočeni v imeniku, vendar ostajajo aktivni v platformah SaaS | Dostop vztraja zunaj osrednjega IdP | Vzdržujte evidenco aplikacij in kontrolni seznam postopka prenehanja dostopa za vsak sistem |
| Gesla storitvenih računov niso znana ali se nikoli ne menjujejo | Nečloveške identitete postanejo skrita stranska vrata | Določite lastnike, hranite skrivnosti v trezorju, periodično menjajte poverilnice in pregledujte dnevnike uporabe |
| Politika določa četrtletni pregled, dokazila pa kažejo letni pregled | Politika in praksa se razhajata | Prilagodite cikel glede na tveganje ali uveljavite dokumentirano zahtevo |
| Odobritve dostopa so v e-pošti brez pravila hrambe | Revizijska sled je krhka | Uporabite delovne tokove ITSM in hrambo, usklajeno s politiko |
Podjetniška Politika nadzora dostopa dodaja zahtevo glede hrambe, ki preprečuje eno najpogostejših pomanjkljivosti dokazil:
»Odločitve o odobritvi morajo biti zabeležene in hranjene za revizijske namene najmanj 2 leti.«
Iz razdelka »Zahteve upravljanja«, klavzula 5.3.2.
Če odobritve izginejo po čiščenju e-pošte, je kontrola morda delovala, vendar se presoja nanjo ne more zanesti. Hramba je del zasnove kontrole.
Odgovornost vodstva potrebuje metrike dostopa
NIS2 Article 20 in DORA Articles 5 in 6 iz nadzora dostopa delajo vprašanje vodstva, ker lahko kompromitacija identitete povzroči operativne motnje, regulativno poročanje, kršitev varnosti osebnih podatkov in škodo za stranke. Klavzule ISO/IEC 27001:2022 5.1 do 5.3 od najvišjega vodstva zahtevajo tudi, da ISMS uskladi s poslovno strategijo, zagotovi vire, komunicira pomembnost, dodeli odgovornosti in spodbuja nenehno izboljševanje.
Koristne metrike nadzora dostopa vključujejo:
- Delež kritičnih sistemov, zajetih s SSO
- Delež privilegiranih računov z MFA
- Število stalnih privilegiranih računov v primerjavi z računi JIT
- Stopnjo dokončanja pregledov pravic dostopa
- Število preklicanih prekomernih dovoljenj
- Skladnost s SLA za deaktivacijo odhajajočih zaposlenih
- Število mirujočih računov
- Pokritost lastnikov storitvenih računov
- Pokritost snemanja sej PAM
- Število in starost izjem MFA
Te metrike vodstvu pomagajo odobriti obravnavo tveganj in dokazati nadzor. Presoje naredijo tudi verodostojnejše, ker lahko organizacija pokaže, da se nadzor dostopa spremlja kot živo tveganje in ne odkriva znova pred vsako presojo.
Razpršena dokazila pretvorite v zaupanje pri presoji
Če so dokazila za nadzor dostopa po ISO/IEC 27001:2022 razpršena po HR, ITSM, IAM, PAM, oblačnih konzolah in preglednicah, naslednji korak ni še eno prepisovanje politike. Naslednji korak je arhitektura dokazil.
Začnite s tem zaporedjem:
- Opredelite sisteme, identitete in podatke v obsegu.
- Preslikajte NIS2, DORA, GDPR in pogodbene zahteve v kontekst ISMS.
- Uporabite scenarije tveganj v slogu ISO/IEC 27005:2022 za določanje prioritet IAM, MFA, PAM in pregledov pravic dostopa.
- Posodobite izjavo o uporabnosti in načrt obravnave tveganja.
- Uskladite klavzule politike z dejanskimi delovnimi tokovi IAM in PAM.
- Izvedite sprint dokazil s tremi vzorci.
- Odpravite vrzeli, preden jih najde presojevalec.
- Vzdržujte ponovno uporaben paket dokazil za certifikacijo, skrbni pregled strank in regulativne preglede.
Clarysec vam lahko pri tem pomaga z uvedbo prek Zenith Blueprint: revizorjev 30-koračni časovni načrt, navzkrižnim preslikavanjem zahtev z Zenith Controls: vodnik za navzkrižno skladnost in operacionalizacijo zahtev z ustreznim naborom politik Clarysec, vključno s Politika nadzora dostopa, Politika upravljanja uporabniških računov in privilegijev ter Politika uvajanja in prenehanja.
Pripravljenost nadzora dostopa na presojo ni dokazovanje, da ste kupili orodje IAM. Gre za dokazovanje, da procesi identitete, avtentikacije, privilegijev in pregledov zmanjšujejo dejansko poslovno tveganje ter izpolnjujejo standarde in predpise, ki so pomembni za vašo organizacijo.
Prenesite orodja Clarysec, izvedite sprint dokazil s tremi vzorci in svoja dokazila za nadzor dostopa iz razpršene zmede pretvorite v jasen, ponovljiv in zagovorljiv portfelj dokazil za presojo.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
