it-swarm.com.de

Erfordert ein ISO27001-Audit, dass Benutzer ihre Passwörter offenlegen?

Der Systemadministrator meines Unternehmens fragt nach unseren Passwörtern für ein ISO-Audit und mein VP IT Operations Support sagt, dass dies für ISMS (ISO27001) obligatorisch ist.

Kann jemand bestätigen, ob dies wahr ist?

123
v_sukt

Dies ist nicht wahr. Abgesehen von der Tatsache, dass ein Systemadministrator in der Lage sein sollte, Ihr Passwort bei Bedarf zu ändern, verstößt dies wahrscheinlich gegen die von ihm behaupteten Kontrollen durchsetzen.

Es ist ihre Aufgabe, sicherzustellen, dass die Passwörter kontrolliert werden. Es liegt jedoch in der Verantwortung des Benutzers, seine Passwörter vertraulich zu behandeln.

Alle freigegebenen Administratorkennwörter sollten zentral von Ihrem Systemadministrator verwaltet werden.

Ein Beispiel für eine kompatible Kennwortrichtlinie

68
TheJulyPlot

Absolut nicht!

ISO 27001 erfordert die Verwaltung von Kennwörtern und Kennwortrichtlinien. Jemand in Ihrem Unternehmen interpretiert dies so, dass alle Kennwörter im Klartext überprüft werden müssen, um sicherzustellen, dass sie den Kennwortrichtlinien entsprechen.

Dies ist jedoch ein schrecklicher Weg, um dieses Audit durchzuführen. Es sollte eine Technologie vorhanden sein, die die Benutzer dazu zwingt, sich bei der Erstellung von Kennwörtern an die Kennwortrichtlinien zu halten, und diese nach ihrer Erstellung nicht von Hand überprüft.

Es gibt eine Vielzahl von Fehlern, wenn Kennwörter überprüft werden sollen, indem auf sie geschaut wird ...

175
schroeder

Was ISO27001 über Passwörter sagt

Von ( https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according-to-iso-27001/ ) gibt es eine Zusammenfassung über Benutzerkennwörter:

Benutzerverantwortung (Unterabschnitt A.9.3)

Dies ist ein sehr kurzer Unterabschnitt (mit nur einem Steuerelement), in dem Sie definieren müssen, wie die Benutzer ihre Authentifizierungsinformationen geheim halten (z. B. ihre Kennwörter schützen). Dies erfolgt normalerweise über ein Dokument wie die Richtlinie zur akzeptablen Verwendung, in der Regeln wie diese definiert sind: Schreiben Sie die Kennwörter nicht auf, geben Sie sie nicht an Dritte weiter, verwenden Sie nicht dasselbe Kennwort in verschiedenen Systemen usw.

Wenn ein Benutzer sein Passwort preisgibt, besteht das Unternehmen die Prüfung im Wesentlichen nicht.

Bedeutung von Passwörtern

Ihr Passwort ist wichtiger als Ihre Unterschrift früher. Denn früher konnte Ihre Unterschrift gefälscht werden, heute ist Ihr Passwort jedoch unsichtbar (zumindest theoretisch).

Ihr Passwort authentifiziert Ihre Benutzer-ID. Ihre Benutzer-ID gibt Ihnen bestimmte, aber eingeschränkte Befugnisse in Bereichen Ihres Unternehmens. Buchhaltungskontrollen erfordern eine Aufgabentrennung. Beispielsweise kann ein Benutzer, der Bestellungen genehmigt, den Wareneingang nicht genehmigen. Ein Benutzer, der den Wareneingang genehmigt, kann Lieferantenrechnungen nicht genehmigen.

Wenn ein Krimineller (oder ein ISO27001-Prüfer oder eine IT-Person) Zugriff auf alle drei Passwörter hatte, konnte er ein gefälschtes Lieferantenkonto einrichten, eine gefälschte Bestellung einrichten, einen gefälschten Wareneingang einrichten und Geld auf das gefälschte Lieferantenkonto einzahlen.

44

Dies ist gegen ISMS. Ich bin ISO27001 Audit zertifiziert und es ist definitiv nicht da. Sie haben zwei Gruppen von Passwörtern:

  1. Persönlich: keine ihrer Bedenken
  2. Unternehmen: ISMS zwingt Administratoren, Kennwortrichtlinien zu implementieren, zwingt Sie, Ihr Kennwort zu ändern, um ihre Richtlinien zu erfüllen, UND der Prüfer muss die Richtlinie überprüfen und überprüfen, wie sie implementiert/erzwungen wird
17
Iraj Hedayati

Dies könnte die Prüfung der Richtlinie "Teilen Sie Ihr Passwort niemandem mit" sein, aber es gibt nie jemals einen Grund, Ihr Passwort zu verteilen. Um sicherzustellen, dass die Kennwortrichtlinie durchgesetzt wird, werden möglicherweise nur neue Kennwörter innerhalb der Richtlinienregeln erzwungen.

13
SchreiberLex

Diese Frage kann auf ServerFault von Nutzen sein: https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the -information-er-will? s = 1 | 2.32

Ich würde anderen Kommentaren hier zustimmen, die darauf hindeuten, dass es besser ist, wenn sie dies "verlangen", alle Passwörter auf etwas zurückzusetzen, das sie ausgewählt haben, und diese Informationen an ihren Prüfer weiterzuleiten (in der realen Welt sollten sie diese nicht weitergeben Passwörter an den Prüfer).

Wenn ich Wikipedia überprüfe ( https://en.wikipedia.org/wiki/ISO/IEC_27001:2005 ), sehe ich einen Abschnitt zur Passwortverwaltung, der mit den Worten beginnt:

Die Passwortverwaltung befasst sich mit der Zuweisung, Regulierung und Änderung von Passwortregeln der Organisation

Ich vermute, der Schwerpunkt sollte auf "Regeln" liegen, nicht auf "Passwörtern".

8

Umstrittene Antwortzeit ...

  • Häufigkeit, mit der ich 27001 auditiert wurde: 3 Ich glaube, ich zähle mich nicht wirklich selbst.
  • Bei 27001 (oder 9000) muss die Sicherheit der Kennwortspeicherung (auf persönlicher und institutioneller Ebene) beeindruckt und überprüft werden: zu viele, um sie zu zählen.
  • 27001 oder 9000 hat mich aufgefordert, jemandem direkt ein Passwort zu geben: 0.
  • 27001 oder 9000 hat mich aufgefordert, ein Passwort an einem Ort zu speichern, an dem andere Personen darauf zugreifen können: Dutzende Male.

Das Wichtigste ... Unsere Prüfung erfordert, dass wir Passwörter dokumentieren, die andere Personen rechtmäßig haben sollten, dass wir dokumentieren müssen, wer sich bei bestimmten Hochsicherheitssystemen anmelden kann, und dass wir eine Möglichkeit haben müssen, diese bereitzustellen Passwörter für Personen. Das entscheidende Detail ist, dass wir dies nicht direkt oder klar tun müssen.

Angenommen, Sie haben ein internes Kennwortverwaltungssystem, das im Ruhezustand verschlüsselt, während der Übertragung verschlüsselt, den Zugriff auf Überwachungsprotokolle überwacht und den eingeschränkten Zugriff erzwingt. Dies ist eine akzeptable 27001-Methode für die Kennwortbehandlung. Das 27001-Audit besagt, dass Sie ein Passwort mit jemandem teilen müssen.

Also, welche Art von Passwörtern sollten Sie teilen? So wenig wie möglich.

  • Identifiziert es Sie persönlich gegenüber jemandem? Sie sollten es definitiv nicht teilen, niemand sollte sich anmelden.
  • Können Sie sich mehrfach am System anmelden? Mach sie und teile sie nicht.
  • Kann sich ein älterer Benutzer als anderer Benutzer beim System anmelden und das Kennwort zurücksetzen? Sie sollten es wahrscheinlich nicht teilen, und Sie sollten wahrscheinlich sowieso einzelne Anmeldungen verwenden.
  • Sie können nicht mehrere Konten erstellen oder sie erstellen, aber sie können keine wichtigen Anforderungen gemeinsam nutzen? Ok, gut, speichern Sie diese Passwörter, aber Sie sollten dieses Anmeldesystem wirklich nicht verwenden.

Grundsätzlich schreiben gute Richtlinien gerade genug Kennwortspeicherung vor, sodass die einzige Person, die von irgendetwas ausgeschlossen ist, wenn ein Mitarbeiter von einem Bus angefahren wird, dieser Mitarbeiter ist. Das Audit kann also jemanden bitten, sicherzustellen, dass die Root-Passwörter für die Unternehmensserver als ausfallsichere Richtlinie irgendwo gespeichert sind. Sie können nicht aufgefordert werden, Ihre persönlichen AD- oder Helpdesk-Anmeldeinformationen zu speichern.

Kurz gesagt, Passwörter sollten nur dann an jemanden weitergegeben werden, wenn es gerechtfertigt ist, dass sich diese Person auch bei diesem Konto anmeldet, und wenn dies nicht über eine Methode erfüllt werden kann, bei der Sie dieses Passwort nicht angeben müssen. Wenn beide Punkte nicht erfüllt sind, wenden Sie sich an das Sicherheitskomitee des Unternehmens.

Hoffentlich bietet dies eine etwas realistischere und nicht binärere Sicht auf das Thema. Es gibt ist einen Grund, Passwörter anzugeben, es ist ziemlich wichtig zu wissen warum jemand meint, Sie sollten sie angeben, bevor Sie Ja oder Nein zu der Anfrage sagen.

Um fair zu sein, besteht meine Aufgabe darin, gelegentlich primäre Administratorkennwörter für Unternehmensressourcen zu verwalten und/oder festzulegen. Die meisten von 27001 geprüften Personen haben diese berufliche Verantwortung nicht.

3
Kaithar

Natürlich nicht, wie andere Antworten betonten. Ihre ersten Bemühungen sollten darin bestehen, die Meinung des Antragstellers zu ändern.

Wenn Sie trotz Ihrer Bemühungen gezwungen sind, Ihr Passwort anzugeben, erhalten Sie diese Anfrage schriftlich.

Sie können dann auch schriftlich antworten, dass Sie dem Anforderer diese Informationen in einem versiegelten Umschlag zur Verfügung stellen und dass Sie von diesem Moment an nicht mehr für Aktionen verantwortlich sind, die über dieses Konto ausgeführt werden, dessen Passwort erst auf Anfrage des Managements öffentlich bekannt wurde .

Es ist wahrscheinlich, dass Sie in der Vergangenheit (direkt oder indirekt) akzeptiert haben, dass Sie für das Konto verantwortlich sind, auf das über ein Passwort zugegriffen wird, das Sie als einziger kennen. Sie haben wahrscheinlich auch akzeptiert, dass Sie dieses Konto nicht teilen würden.

2
WoJ