Kryptografiska undantag i ISO 27001: guide till revisionsunderlag och CER

Revisionssamtalet som David fruktade mest kom tre veckor tidigare än väntat. InnovatePay hade precis förvärvat ett mindre bolag, QuickAcquire. Affären var en strategisk framgång, men djupt i den tekniska miljön fanns en äldre modul för dataöverföring som använde ett kryptografiskt bibliotek som inte uppfyllde InnovatePays godkända standarder. Att ersätta den var ett sexmånadersprojekt. Den externa revisorn skulle komma nästa vecka.

I Davids huvud var scenen smärtsamt tydlig. Revisorn, lugn och metodisk, skulle hitta avvikelsen och ställa den enda fråga som gör vi vet att det är riskabelt till en avvikelse: visa mig underlaget för det kryptografiska undantaget och hur ni beslutade att det var acceptabelt.

I det läget spelar avsikten ingen roll; kontrollen gör det. Utan en dokumenterad undantagsprocess, ledningens riskacceptans, kompenserande kontroller, loggar för nyckelhantering och en tidsbegränsad åtgärdsplan kommer en revisor sannolikt att behandla frågan som ett kontrollmisslyckande eller svag ISMS-styrning. Denna huvudguide visar hur situationen kan omvandlas till en demonstration av mognad, med hjälp av Clarysecs verktygspaket och policyer, ISO/IEC 27001:2022 kontroll A.8.24 Användning av kryptografi och ett tvärgående efterlevnadsperspektiv som omfattar NIS2, DORA, GDPR, NIST och COBIT 2019.

Varför kryptografiska undantag är oundvikliga och hur revisorer bedömer dem

Kryptografiska undantag uppstår av förutsägbara skäl. I Clarysecs uppdrag ser vi återkommande mönster:

• Begränsningar i äldre teknik, till exempel algoritmer, chiffersviter eller nyckellängder som inte stöds.
• Leverantörsinlåsning och certifieringsfördröjningar som hindrar snabba uppgraderingar till godkänd kryptografi.
• Operativa realiteter inom incidenthantering eller forensik som kräver tillfälliga avvikelser för att samla in bevismaterial eller upprätthålla tjänstekontinuitet.
• Migreringsperioder, där övergångsvis interoperabilitet kräver svagare inställningar under en begränsad tid.
• Begränsningar hos partner eller kunder som hindrar organisationens föredragna baslinje.

Revisorer för ISO/IEC 27001:2022 kräver inte perfektion; de kräver kontroll. De bedömer om kryptering är lämplig och konsekvent, om nyckelhantering är styrd och loggad samt om organisationen aktivt identifierar och hanterar föråldrade algoritmer i sin IT-miljö. Första steget är att anpassa hanteringen av undantag till det som revisorer förväntar sig att se.

Förankra undantaget i policy och riskstyrning

Ett moget ledningssystem för informationssäkerhet behandlar undantag som riskbehandlingsbeslut, inte som teknisk skuld. Den formella mekanismen är en begäran om kryptografiskt undantag (CER), och den policyklausul som kräver den är bryggan mellan ett hanterat undantag och en revisionsiakttagelse.

Clarysecs Policy för kryptografiska kontroller kräver: Användning av icke-standardiserade kryptografiska algoritmer eller tillfällig avvikelse från godkända livscykelrutiner kräver en dokumenterad begäran om kryptografiskt undantag. Policyfamiljen är direkt kopplad till riskbehandling. Den tillhörande Riskhanteringspolicy stödjer bedömning av risker kopplade till kryptografiska kontroller och dokumenterar riskbehandlingsstrategin för undantag, algoritmföråldring eller scenarier där nycklar komprometteras.

När kravet finns i policyn ska varje undantag kunna spåras till en CER med ledningens riskacceptans, en kopplad post i riskregistret, kompenserande kontroller och en avvecklingsplan. Presentera dessa artefakter innan någon frågar genom att vägleda revisorn genom styrningen och därefter in i det tekniska läget, enligt den intervju- och stickprovsmetod som anges i Zenith Blueprint.

Bygg CER som en revisionsklar kontrollpost

Kommentarer i ärenden är inte undantagsposter. En CER ska vara strukturerad, versionshanterad och kunna ingå i stickprov som vilken annan kontroll som helst. Oavsett om den implementeras i ett GRC-verktyg eller i en styrd mall bör en stark CER innehålla:

• Sammanfattning av undantaget, vad som inte uppfyller kraven och var.
• Omfattning, datatyper och om undantaget påverkar data i vila, data under överföring eller båda.
• Verksamhetsmässig motivering, varför undantaget behövs och hur det kopplas till tjänste- eller verksamhetsbegränsningar.
• Bedömning av säkerhetspåverkan, realistiska hotscenarier som nedgraderingsrisk, MITM, svag hashning och kompromettering av nycklar.
• Kompenserande kontroller, till exempel segmentering, klientcertifikat, kort sessionslivslängd, WAF-regler, extra autentisering och förstärkt övervakning.
• Riskklassning före och efter kompenserande kontroller, i linje med organisationens riskmatris.
• Ägare, en ansvarig riskägare i verksamheten.
• Godkännanden, informationssäkerhet, systemägare och ledningens riskacceptans.
• Utgångsdatum och granskningsfrekvens, inte öppet slut.
• Avvecklingsplan, färdplan, beroenden, milstolpar och förfallodatum.
• Hänvisningar till underlag, länkar till konfigurationer, loggar, testresultat, leverantörsuttalanden och ändringsgodkännanden.

I Davids fall gick QuickAcquire-undantaget från dold belastning till ett granskningsbart beslut när han tog upp CER:en i öppningsmötet, erbjöd underlagspaketet och bjöd in till stickprov.

Minsta användbara underlagspaket för ett kryptografiskt undantag

Revisorer förväntar sig mer än en teknisk ögonblicksbild. För undantag vill de se styrning och operativa bevis. Ett praktiskt underlagspaket innehåller:

1. Ifylld CER med godkännanden och utgångsdatum.
2. Kopplad riskbedömning och riskbehandlingsbeslut.
3. Rutiner för nyckelhantering för det berörda systemet, med loggar över nyckelgenerering, distribution, rotation, åtkomst och destruktion.
4. Ändringsposter för kryptografiska inställningar samt testunderlag som visar att ändringar validerades eller att begränsningar verifierades.
5. Underlag för övervakning och detektering av kompenserande kontroller, inklusive SIEM-regler och larmtester.
6. Kommunikationsposter som visar att berörd personal informerades och utbildades om avvikelsen och förväntningarna på övervakning.
7. En tidsbegränsad avvecklingsplan med milstolpar, datum, budget där det är tillämpligt och ägare.
8. Historik över policygranskning som visar att den kryptografiska baslinjen hålls aktuell och att algoritmernas livscykel hanteras.

Dessa typer av underlag ligger i linje med vägledningen i ISO/IEC 27002:2022 om kryptografi och ändringsstyrning.

Använd Zenith Blueprint för att samla in och presentera underlag

Bevismetoden i Zenith Blueprint är rak och revisionsvänlig: intervjua, granska, observera och ta stickprov. Tillämpa den på undantag:

• Intervjua systemägaren och säkerhetsansvarig. Varför är undantaget nödvändigt, vad har förändrats sedan senaste granskningen och vad är nästa steg i avvecklingsplanen?
• Granska CER, riskpost, policyklausul och begränsningar från leverantör eller partner. Bekräfta utgångsdatum och granskningsdatum.
• Observera det tekniska läget, det vill säga exakt konfiguration och var undantaget tillämpas, och se var kompenserande kontroller används.
• Ta stickprov på flera undantag, normalt tre till fem, för att visa konsekvent struktur, godkännanden, granskningar, loggning och hantering av utgångsdatum.

Praktiskt exempel: göra ett äldre TLS-undantag revisionssäkert

Scenario: En intäktskritisk B2B-integration kräver en äldre TLS-chiffersvit eftersom partnerns slutpunkt inte kan förhandla organisationens godkända inställningar. Att bryta anslutningen är inte genomförbart.

Gör undantaget granskningsbart i fyra steg:

1. Skapa CER och koppla den till risk. Sätt ett utgångsdatum om 90 dagar med granskning var 30:e dag, bifoga korrespondens med partnern och länka till en post i riskregistret som ägs av verksamheten.
2. Välj kompenserande kontroller som genererar underlag. Begränsa käll-IP till partnerns adressintervall med ändringsposter för brandvägg. Kräv ömsesidig TLS om möjligt och bevara poster om certifikatutfärdande. Öka övervakningen av avvikelser i TLS-handskakningen och bevara definitioner av SIEM-regler och larmtester.
3. Visa disciplin i nyckelhanteringen. Visa KMS-åtkomstloggar, RBAC-tilldelningar, break-glass-poster och protokoll från periodiska behörighetsgranskningar. För mindre program är baslinjekravet uttryckligt i Policy för kryptografiska kontroller – SME-versionen: All åtkomst till kryptografiska nycklar ska loggas och bevaras för granskning vid revision, med återkommande åtkomstgranskning.
4. Paketera undantaget. Sammanställ en enda underlagsmapp eller PDF som omfattar CER, riskpost, konfigurationssnapshot från gateway, brandväggsändringsärenden, KMS-loggar, SIEM-regel och händelseurval, testposter samt kommunikation till drift.

Kryptografisk agilitet: visa att undantag är tillfälliga genom design

ISO/IEC 27002:2022 uppmuntrar kryptografisk agilitet, det vill säga förmågan att uppdatera algoritmer och sviter utan att bygga om hela system. Revisorer söker underlag för agilitet, inte löften:

• Frekvens för policygranskning som uppdaterar godtagbara algoritmer och rutiner med versionshanterade ändringsloggar.
• Testposter för kryptografiska uppdateringar som visar säkra utrullningsvägar.
• Kommunikation som underrättar personal om kryptografiska ändringar och operativ påverkan.
• Backloggposter med leveransförlopp kopplat till undantagens utgångsdatum.

Undantagsstyrning möter forensik

Undantag kan komplicera utredningar, särskilt när kryptering eller enheter som inte stöds hindrar bevisinsamling. Clarysecs Policy för bevisinsamling och forensik hanterar detta med uttryckliga överväganden för bevismaterial som krävs från enheter som inte stöds eller som är krypterade. SME-versionen, Policy för bevisinsamling och forensik – SME-versionen, förutser praktiska felmoder, till exempel när bevismaterial inte kan samlas in enligt policyn på grund av systemkrasch eller skadade medier.

Planera för detta i organisationens CER. Inkludera potentiell forensisk påverkan, lägg nödvändiga nycklar i escrow och definiera krav på nödåtkomst och loggning.

Tvärgående efterlevnadsmappning: ett undantag, flera perspektiv

I reglerade miljöer eller miljöer med flera ramverk kommer samma undantag att granskas ur olika perspektiv. Använd guiden Zenith Controls för att hålla underlagspaketet sammanhängande.

Hur olika revisorer kommer att granska och hur du svarar

Även inom en och samma revision varierar arbetssätten. Förbered er för varje stil och styr berättelsen:

• ISO/IEC 27001:2022-revisorn kommer att fråga var kryptografipolicyn finns, var undantagsprocessen definieras, hur ofta undantag granskas och kommer att vilja ta stickprov. Börja med organisationens CER och ett styrt register.
• Den NIST-orienterade revisorn kommer att leta efter baslinjer för chiffersviter, skydd mot nedgradering, rutiner för nyckelgenerering och destruktion samt loggar med larmning. Ta fram KMS-loggar, SIEM-regler och valideringstester.
• COBIT- eller ISACA-revisorn kommer att fokusera på vem som äger risken, vem som accepterade den, vilken granskningsfrekvens som gäller och vilka mätetal som visar minskning av undantag. Ta fram protokoll från styrgrupp och rapporter över undantagens ålder.
• Den tillsynsorienterade granskaren kommer att fråga hur undantaget påverkar tillgänglighet och riktighet för kritiska tjänster, och om risken för exponering av personuppgifter har ökat. Visa resiliensplaneringsartefakter och en fast tidplan för åtgärdande.

Vanliga fallgropar som skapar avvikelser

• Undantag utan utgångsdatum, vilket tolkas som ohanterad risk.
• Ingen riskacceptans från ledningen, där en tekniker har godkänt i ett ärende utan ansvarigt ägarskap.
• Kompenserande kontroller beskrivs men styrks inte med underlag, till exempel påståenden om övervakning utan SIEM-regler.
• Saknade eller otillgängliga loggar för nyckelhantering.
• Policyn säger en sak och praktiken en annan, till exempel att CER krävs men inte används.

Revisionsdagens checklista för kryptografiska undantag

• Ett aktuellt register listar alla kryptografiska undantag med CER-ID, ägare, godkännanden, granskningsdatum och utgångsdatum.
• Varje undantag länkar till en riskpost och ett dokumenterat riskbehandlingsbeslut.
• Minst två kompenserande kontroller per undantag, med tydligt underlag.
• Nyckelåtkomst loggas, loggar bevaras och åtkomstgranskning genomförs.
• Historik över granskning av kryptografipolicyn finns tillgänglig, med versionshanterade ändringar.
• Organisationen kan ta stickprov på tre eller fler undantag och ge en konsekvent beskrivning.
• En färdplan visar minskning av undantag över tid.

Begränsningar hos leverantörer och partner

Många undantag uppstår utanför organisationens direkta kontroll. Partner kräver chiffersviter, leverantörer släpar efter i sina färdplaner eller förvärvade system bär med sig skuld. Behandla externa begränsningar som en del av styrningen, inte som ursäkter. Kräv leverantörsuttalanden om kryptografiska färdplaner, inkludera avtalsklausuler som fastställer kryptografiska baslinjer och för in externa beroenden i organisationens riskregister.

Nästa steg: bygg undantagsprogrammet i en sprint

1. Inventera alla kryptografiska undantag, inklusive dolda undantag i edge-tjänster.
2. Skapa eller komplettera CER för varje undantag med godkännanden, utgångsdatum och avvecklingsplaner.
3. Koppla varje CER till en riskregisterpost med en ansvarig ägare.
4. Sammanställ en standardmall för underlagspaket för undantag och öva revisionsstickprov.
5. Validera beredskap för tvärgående efterlevnad med guiden Zenith Controls.

Gör oro för kryptografiska undantag till trygghet inför revision. Boka en arbetssession med Clarysec. I ett enda uppdrag implementerar vi ett CER-arbetsflöde, ett undantagsregister och en revisionsklar struktur för underlagspaket. Resultatet är snabbare revisioner, färre återkommande iakttagelser och kryptografiska undantag som visar styrning i stället för improvisation.