ISO27001監査では、ユーザーはパスワードを明らかにする必要がありますか?
私の会社のシステム管理者がISO監査のためにパスワードを要求しており、VPのIT運用サポートがISMS(ISO27001)には必須であると言っています。
これが本当かどうか誰かが確認できますか?
これは真実ではありません。sysadminが必要に応じてパスワードを変更できるはずであるという事実に加えて、システム管理者が主張する制御に違反している可能性があります。強制すること。
パスワードに関連する制御が確実に行われるようにすることが彼らの仕事ですが、パスワードを秘密にしておくのはユーザーの責任です。
共有管理者パスワードは、システム管理者が一元的に管理する必要があります。
絶対にありません!
ISO 27001には、パスワードの管理管理が必要であり、パスワードポリシーが必要です。社内の誰かがこれをすべてのパスワードを平文で検査して、パスワードポリシーを満たしていることを確認する必要があると解釈しています。
しかし、これはこの監査を行うひどい方法です。テクノロジーは、ユーザーがパスワードを作成したときに、それを手作業で検査するのではなく、パスワードを作成するときにパスワードポリシーに準拠するように強制するために配置する必要があります。
彼らがを見てパスワードを監査したい場合、さまざまな一連の失敗があります...
ISO27001がパスワードについて言うこと
( https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according-to-iso-27001/ )から要約がありますユーザーパスワードについて:
ユーザーの責任(サブセクションA.9.3)
これは非常に短いサブセクション(1つのコントロールのみ)であり、ユーザーが認証情報を秘密に保つ方法(パスワードの保護など)を定義する必要があります。これは通常、次のようなルールを定義する利用規定のような文書を通じて行われます。パスワードを書き留めない、誰にも開示しない、異なるシステムで同じパスワードを使用しない、など。
基本的に、ユーザーが自分のパスワードを明らかにした場合、会社は監査に失敗します。
パスワードの重要性
パスワードは、昔の署名よりも重要です。昔は署名が偽造されていたかもしれませんが、今日ではパスワードが見えないからです(少なくとも理論上は)。
パスワードはユーザーIDを認証します。ユーザーIDは、会社の領域内で特定の制限された権限を与えます。会計管理には職務の分離が必要です。たとえば、注文書を承認するユーザーは商品の受け取りを承認できません。商品の受け取りを承認するユーザーは、ベンダーの請求書を承認できません。
犯罪者(またはISO27001監査人またはIT担当者)が3つのパスワードすべてにアクセスできる場合、偽のベンダーアカウントを設定し、偽の注文書を設定し、偽の商品受領書を設定し、偽のベンダーアカウントに資金を支払うことができます。
これはISMSに反対です。私はISO27001監査認証を取得しており、間違いなくありません。パスワードには2つのグループがあります。
- 個人的:彼らの懸念はなし
- エンタープライズ:ISMSは管理者にパスワードポリシーの実装を強制し、ポリシーに合わせてパスワードを変更するように強制し、監査人はポリシーとその実装/強制方法を確認する必要があります
これは、「パスワードを誰とも共有しない」ポリシーの監査かもしれませんが、パスワードを渡す理由はneverです。パスワードポリシーが適用されていることを確認するには、ポリシーのルール内で新しいパスワードを強制するだけです。
いくつかの用途のServerFaultでこの質問を見つけることができます: https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the -information-he-wants?s = 1 | 2.32
これが「必要」なものである場合は、すべてのパスワードを選択したものにリセットし、その情報を監査人に渡すことをお勧めする他のコメントにも同意します(現実の世界では、監査人へのパスワード)。
ウィキペディアをチェックすると( https://en.wikipedia.org/wiki/ISO/IEC_27001:2005 )、パスワード管理に関するセクションが表示されます。
パスワード管理は、組織のパスワードルールの割り当て、規制、変更を扱います
「パスワード」ではなく「ルール」に重点を置くべきだと思います。
物議を醸す回答時間...
- 27001回の監査を受けた回数:3回、自分自身をカウントし続けることはないと思います。
- 27001(またはその点では9000)が、パスワードストレージのセキュリティを(個人レベルおよび組織レベルで)印象づけ、確認する必要があった回数:カウントするには多すぎます。
- 27001または9000が私に誰かにパスワードを直接提供するように要求した回数:0。
- 27001または9000で、他の人がアクセスできる場所にパスワードを保存する必要があった回数:数十回。
重要なこと...私たちの監査では、他の人が合法的に持つべきパスワードを文書化する必要があります。特定の高セキュリティシステムに誰がログインできるかを文書化する必要があります。また、提供する方法も必要です。人々へのパスワード。重要な点は、直接または平文でそうする必要がないことです。
保管時の暗号化、転送中の暗号化、監査ログアクセス、および制限付きアクセスを実施する内部パスワード管理システムがあるとします...これは、27001で許容されるパスワード処理方法です。 27001監査では、誰かとパスワードを共有する必要があると言われています。
それで、あなたが共有すべきパスワードのようなものですか?できるだけ少ない。
- それはあなたを誰かに個人的に識別しますか?あなたは間違いなくそれを共有すべきではありません、誰もそれにログインすべきではありません。
- システムに複数回ログインできますか?それらを作り、それらを共有しないでください。
- 誰かが別のユーザーとしてシステムにログインしてパスワードをリセットできますか?おそらくそれを共有してはならず、おそらく個別のログインを使用しているはずです。
- 複数のアカウントを作成できないか、作成できますが、重要な要件を共有できませんか?わかりました。これらのパスワードを保存しますが、実際にはそのログインシステムを使用するべきではありません。
基本的に、適切なポリシーでは、従業員がバスに当たった場合にその従業員だけがロックアウトされるように、十分なパスワードの保存を義務付けています。したがって、監査では、企業のサーバーのルートパスワードがフェールセーフポリシーとしてどこかに保存されていることを確認するように誰かに依頼できます。個人のADまたはヘルプデスクの資格情報を保存するように依頼することはできません。
要するに、パスワードは、その人がそのアカウントにもログインする正当な必要性があり、そのパスワードを提供することを要求しない方法でそのニーズを満たすことができない場合にのみ、誰かと共有されるべきです。両方の点が満たされない場合は、会社のセキュリティ委員会にコンプライアンスの問題を提起してください。
うまくいけば、それは主題のもう少し現実的で非バイナリのビューを提供します。 isパスワードを提供する理由があります。知っておくことが重要ですwhyリクエストに対して「はい」または「いいえ」と言う前に、パスワードを提供する必要があると誰かが考えています。
公正を期すために、私の仕事には、企業リソースのプライマリ管理者パスワードを時々処理および設定することが含まれます。 27001によって監査されるほとんどの人は、その職責を持ちません。
もちろん、そうではありません。他の回答が指摘したように。あなたの最初の努力は依頼者の心を変えることに入るべきです。
あなたが努力しているにもかかわらず、どういうわけかパスワードを提供することを余儀なくされている場合-その要求を書面で入手してください。
次に、書面で、封印された封筒でこの情報を要求者に提供し、その瞬間から、管理者の要求でパスワードが公開されたばかりのこのアカウントを介して実行されたアクションに対して責任を負わないことを書面で返信できます。 。
自分が知っている唯一のパスワードでアクセスされるアカウントを担当していることを、過去に(直接的または間接的に)受け入れている可能性があります。また、おそらくこのアカウントを共有しないことを受け入れているでしょう。