Роль управління привілейованим доступом (PAM) у відповідності вимогам стандартів безпеки (Compliance)

Кібербезпека є однією з головних складових стратегії розвитку компанії. Як наслідок, впроваджується все більше нормативних актів і законів, але дотримання цих суворих правил може бути проблемою для організацій. Компаніям потрібен спосіб відповідати вимогам, не перериваючи операцій і не впливаючи на повсякденні завдання.

Керування привілейованим доступом (PAM) спрощує відповідність вимогам стандартів безпеки

Рішення керування привілейованим доступом (Privileged Access Management - PAM) надають інструменти, необхідні для моніторингу та звітування про стан безпеки в організаціях. Найнадійніші системи PAM можна використовувати для виконання кількох нормативних вимог, не порушуючи щоденну діяльність користувачів і адміністраторів.

Рішення PAM дозволяє заощаджувати час і гроші, спрощуючи аудит і дотримання вимог щодо конфіденційності та безпеки, передбачених різними законами, постановами та стандартами, такими як GDPR, ISO 27001, PCI DSS, HIPAA, SOX, FIPS, NIST. 

PAM зазвичай включає три основні компоненти:

Менеджер доступу: Менеджер доступу допомагає групам безпеки керувати всім доступом користувачів (внутрішнім, віддаленим, контрактним тощо) через єдиний портал. Незмінні журнали аудиту гарантують, що все відстежується та контролюється під час інтеграції з вашими існуючими рішеннями для бездоганної безпеки.

Менеджер сеансів: Менеджер сеансів відстежує та записує всі дії користувачів у реальному часі, щоб запобігти, виявити та припинити будь-які підозрілі дії. Адміністратори мають повний контроль над точними системами або даними, до яких може отримати доступ особа, і автоматично отримують сповіщення, якщо щось піде не так. Цей компонент також допомагає командам безпеки, створюючи відеозаписи всіх сеансів, які можна шукати за допомогою технології оптичного розпізнавання символів, що значно прискорює розслідування порушень.

Менеджер паролів: Менеджер паролів захищає всі паролі в зашифрованому сховищі та запобігає будь-якому прямому доступу до кореневих паролів. Автоматизована регулярна зміна паролів підвищує безпеку та звільняє від такої рутинної роботи технічних спеціалістів. Це допомагає адміністраторам застосовувати сувору політику паролів для подальшого захисту організацій.

Як PAM може допомогти у відповідності нормативним вимогам?

Управління привілейованим доступом (PAM) визначає суть захисту привілейованих облікових записів в організаціях з різних галузей та регіонів. Програмне забезпечення PAM може оптимізувати процес, автоматично перевіряючи привілейовані особи, обмежуючи доступ до конфіденційної інформації та обмежуючи здатність зловмисників переміщатися у вашому ІТ-середовищі.

Ефективне керування привілеями допомагає пройти перевірку відповідності та зменшити кібер ризик.

Окремі компоненти PAM надають різні переваги ІТ-інфраструктурі компанії та допомагають адміністраторам полегшити роботу. Хоча нормативні вимоги вимагають багато параметрів, PAM допомагає виконати їх за замовчуванням. Основними серед них є:

1. PAM надає всі необхідні відомості (за допомогою функції запису сеансу) для завершення будь-якого розслідування порушення
2. PAM допомагає централізовано контролювати всі адміністративні завдання
3. PAM допомагає у всебічному аудиті організацій, щоб легко відповідати вимогам
4. Розгортання рішення PAM запобігає будь-якому несанкціонованому доступу організацій до привілейованих облікових записів (з детальним контролем доступу)
5. Рішення PAM ідентифікує привілейованих користувачів перед входом в облікові записи, що опосередковано допомагає виявляти підозрілих користувачів
6. PAM навіть допомагає адміністраторам виявляти будь-які підозрілі дії в ІТ-середовищі за допомогою моніторингу в реальному часі через інформаційну панель адміністратора
7. PAM оптимізує загальну безпеку та посилює захист даних

Як згадувалося, PAM може допомогти організаціям відповідати численним стандартам безпеки. Наприклад, PAM можна впровадити як прямо, так і опосередковано для підтримки зусиль щодо відповідності GDPR та ISO/IEC 27001:2013:

• Посилення доступу до критичних даних

• Надання адміністраторам повної видимості дій користувачів

• Допомога у визначенні та застосуванні ретельної політики безпеки

• Запис і реєстрація всіх дій внутрішніх і зовнішніх сторін

• Дозволяє адміністраторам визначати спеціальні правила доступу для кожного користувача

• Інтеграція з більшою екосистемою кібербезпеки для надійної безпеки

• Створення точної інформації про сеанси привілейованого облікового запису

Загальний регламент захисту даних Європейського Союзу (GDPR)

Відповідність GDPR ЄС вимагається від будь-якої компанії, яка має справу з особистою інформацією будь-якого громадянина Європейського Союзу, що дозволяє ідентифікувати особу. Сертифікація GDPR присвячена роботі з персональними даними, а доступ до сенситивної персональної інформації можна вважати привілейованим. Аудитори особливо зацікавлені в захисті облікових даних привілейованого облікового запису, оскільки вони сприяють найбільшій кількості порушень безпеки ідентифікаційної інформації. У компанії чи уряді можуть існувати сотні чи тисячі таких привілейованих облікових записів, і аудитори хочуть, щоб ці паролі регулярно змінювалися та посилювалися, щоб вони були довшими та складнішими.

Насправді, PAM вважається одним з ключових елементів для відповідності вимогам GDPR, і допомагає з пунктами:

Захист даних за проектом і за замовчуванням

Випадкове або незаконне знищення, втрата, зміна або доступ до персональних даних

Повідомлення контролюючого органу про порушення персональних даних

Оцінка впливу на захист даних

Право на компенсацію та відповідальність

Більша частина вимог відповідності GDPR спирається на логування доступу до персональних даних для можливості розслідування.

До відповідальності за недотримання вимог можуть бути притягнуті як компанії з території Європейського Союзу, так і компанії, які зареєстровані поза межами ЄС. Якщо Ви обробляєте персональні дані резидентів ЄС, то ваша компанія має дотримуватися вимог GDPR і безпечна обробка та захист персональних даних повинні стати невід’ємною частиною та принципом діяльності вашої компанії.

ISO 27001

В одному з найвідоміших стандартів ISO 27001 темі ПАМу присвячений пункт A 9.2.3: Management of privileged access rights: The allocation and use of privileged access rights should be restricted and controlled (Керування правами привілейованого доступу: видача та використання прав привілейованого доступу має бути обмеженим та контрольованим). При поглибленні в гайд по імплементації можемо побачити вимоги більш детально: Привілейовані облікові записи та користувачі, яким потрібен до них доступ повинні бути ідентифіковані, дозволи повинні видаватись за потреби або за умови, необхідність авторизації перед отриманням привілейованого доступу, необхідність визначеного терміну дії для паролів від привілейованих акаунтів. Також згадується видалення користувачів з груп локальних та доменних адміністраторів, з формулюванням "Звична активність не може виконуватись з привілейованого ID"

Також ПАМ допомагає з пунктом A.9.4.4: Використання привілейованих службових програм і неявно згадується в інших частинах стандарту:

Привілейовані права доступу, пов’язані з кожною системою чи процесом, напр. операційна система, система керування базами даних і кожна програма, а також користувачі, яким вони повинні бути призначені, повинні бути ідентифіковані.

Привілейовані права доступу повинні надаватися користувачам на основі потреби у використанні та на основі подій за подіями відповідно до політики контролю доступу, тобто на основі мінімальних вимог до їхніх функціональних ролей.

Слід підтримувати процес авторизації та запис усіх наданих привілеїв. Привілейовані права доступу не повинні надаватися до завершення процесу авторизації.

Необхідно визначити вимоги щодо закінчення терміну дії привілейованих прав доступу.

Привілейовані права доступу мають бути призначені ідентифікатору користувача, відмінному від тих, які використовуються для звичайної комерційної діяльності. Звичайна бізнес-діяльність не повинна здійснюватися з привілейованих ідентифікаторів.

Компетенції користувачів із привілейованими правами доступу слід регулярно переглядати, щоб перевірити, чи відповідають вони своїм обов’язкам.

Необхідно встановити та підтримувати спеціальні процедури, щоб уникнути несанкціонованого використання загальних ідентифікаторів користувачів адміністрування відповідно до можливостей конфігурації системи.

Для загальних адміністративних ідентифікаторів користувачів слід підтримувати конфіденційність секретної інформації автентифікації під час спільного використання (наприклад, змінювати паролі часто та якнайшвидше, коли привілейований користувач залишає або змінює роботу, повідомляючи їх між привілейованими користувачами за допомогою відповідних механізмів).

Payment Card Industry Data Security Standard (PCI DSS)

Ще одним відомим стандартом є PCI DSS, з яким також може допомогти рішення PAM. Вимога 2 забороняє використання дефолтних паролей, Вимога 7 визначає необхідність контролю доступу до персональної інформації володаря картки, Вимога 8 потребує ідентифікацію та автентифікацію для доступу до критичних систем. Остання також вимагає можливість зворотного пошуку, хто саме отримав доступ до даних. І 10 вимога становить, що весь доступ до мережевих ресурсів та інформацію про картки має бути записаний.

Регулятивні органи надзвичайно суворі щодо норм і політики. Тому вони очікують, що кожна глобальна організація дотримуватиметься цих правил. ESKA є досвідченою командою екпертів, яка візьме на себе всю роботу з підбору та впровадження рішення PAM та підготовки до проходження аудиту безпеки та отримання сертифікацій. Наша компанія працює тільки з топовими вендорами рішень, і ми підберемо для вашої компанії саме те рішення PAM, яке відповідає вашим запитам та вимогам.

Ви вже зрозуміли, що Ваша компанія підпадає під GDPR чи ISO 27001 або PCI DSS? Не знаєте з чого почати, щоб відповідати стандартам безпеки? Заповнюйте форму на сайті або пишіть нам на email: office@eska.global - довірте репутацію та кібербезпеку своєї компанії професіоналам.

Також, залиште запит на відеозапис Вебінару: PAM (Privileged Access Management) як складова кібербезпеки компанії, щоб більше дізнатись про рішення Управління привілейованим доступом та його роль у відповідності стандартам безпеки.