L'amministratore di sistema della mia azienda richiede le nostre password per un controllo ISO e il mio supporto per le operazioni IT VP afferma che è obbligatorio per ISMS (ISO27001).
Qualcuno può confermare se è vero?
Questo non è vero. Oltre al fatto che un amministratore di sistema dovrebbe essere in grado di cambiare la password quando necessario, è probabilmente in violazione degli stessi controlli che affermano di imporre.
Il loro compito è garantire che i controlli siano implementati intorno alle password, ma è responsabilità degli utenti mantenere le loro password riservate.
Qualsiasi password di amministrazione condivisa deve essere gestita centralmente dal tuo amministratore di sistema.
Assolutamente no!
ISO 27001 richiede gestione delle password e richiede l'utilizzo di criteri password. Qualcuno nella tua azienda sta interpretando questo come necessità di ispezionare tutte le password in chiaro per assicurarsi che soddisfino la politica della password.
Ma questo è un modo terribile di fare questo audit. La tecnologia dovrebbe essere in atto per costringere le persone a rispettare le politiche sulle password quando eseguono le password, non per ispezionarle a mano una volta create.
Esiste una vasta serie di errori se vogliono controllare le password cercando a loro ...
Da ( link ) c'è un sommario sulle password degli utenti:
Responsabilità dell'utente (sottosezione A.9.3)
This is a very short subsection (with one control only) that requires you to define how the users will keep their authentication information secret (e.g., protect their passwords). This is usually done through some document like the Acceptable Use Policy, which defines rules like these: do not write the passwords down, do not disclose them to anyone, do not use the same password in different systems, etc.
In sostanza, se un utente rivela la sua password, la società fallisce l'audit.
La tua password è più importante della tua firma usata ai vecchi tempi. Perché nei vecchi tempi la tua firma poteva essere falsificata ma ora i giorni la tua password è invisibile (almeno in teoria).
La tua password autentica il tuo ID utente. Il tuo ID utente ti dà determinati ma limitati poteri all'interno delle aree della tua azienda. I controlli contabili richiedono la separazione delle funzioni. Ad esempio, un utente che approva gli ordini di acquisto non può approvare la ricezione della merce. Un utente che approva la ricezione di merci non può approvare fatture fornitore.
Se un criminale (o un revisore ISO27001 o un responsabile IT) ha accesso a tutte e tre le password, può configurare un falso account venditore, impostare un falso ordine di acquisto, configurare falsi scontrini di merci e pagare fondi al falso account venditore. p>
Questo è contro ISMS. Sono certificato ISO27001 e sicuramente non è presente. Hai due gruppi di password:
Questa potrebbe essere la verifica della parola chiave "non condividere la tua password con nessuno", ma c'è sempre mai un motivo per distribuire la tua password. Per garantire che la politica delle password sia applicata, potrebbero forzare le nuove password all'interno delle regole della politica.
Potresti trovare questa domanda su ServerFault di qualche utilità: link
Sarei d'accordo con altri commenti che suggeriscono che se questo è ciò che "richiedono", è meglio che ripristinino tutte le password in qualcosa che hanno scelto, e passino tali informazioni al loro auditor (nel mondo reale, dovrebbero non dare alcuna password per l'auditor).
Controllando Wikipedia ( link ), posso vedere una sezione sulla gestione delle password, che inizia dicendo :
The password management deals with allocation, regulation and change of password rules of the organization
Sospetto che l'enfasi dovrebbe essere su "regole", non su "password".
Tempo di risposta controverso ...
La cosa importante ... Il nostro auditing ci richiede di documentare le password che altre persone dovrebbero legittimamente avere, ci richiede di documentare chi dovrebbe essere in grado di accedere a certi sistemi di alta sicurezza, e ci richiede di avere un modo di fornire password alle persone. Il dettaglio chiave è che non ci richiede di farlo direttamente o in chiaro.
Supponiamo che tu abbia un sistema interno di gestione delle password che cripta a riposo, crittografa in transito, accesso ai registri di controllo e imponga un accesso limitato ... questo è un metodo accettabile per la gestione delle password 27001. La verifica 27001 dice che è necessario condividere una password con qualcuno, la verifica.
Quindi, una specie di password che dovresti condividere? Il meno possibile.
Fondamentalmente, le buone politiche impongono un numero sufficiente di spazio per la memorizzazione delle password in modo tale che l'unica persona esclusa qualsiasi cosa, se un dipendente viene investito da un autobus, è quel dipendente. Quindi, l'audit può chiedere a qualcuno di assicurarsi che le password di root per i server dell'azienda siano memorizzate da qualche parte come una policy sicura ... non può chiederti di memorizzare le tue credenziali personali di AD o helpdesk.
In breve, le password dovrebbero essere condivise con qualcuno solo se è necessario che la persona abbia accesso anche a quell'account e se tale necessità non può essere soddisfatta tramite un metodo che non richiede di fornire detto parola d'ordine. Se entrambi i punti non sono soddisfatti, sollevare un problema di conformità con il comitato di sicurezza della società.
Speriamo che fornisca una visione un po 'più realistica e non binaria del soggetto. Lì è un motivo per fornire le password, è piuttosto importante sapere perché qualcuno pensa che dovresti fornirle prima di dire si o no alla richiesta.
Per essere onesti, il mio lavoro comporta la gestione e / o l'impostazione occasionale delle password degli amministratori primari per le risorse aziendali. La maggior parte delle persone controllate da 27001 non ha quella responsabilità di lavoro.
Ovviamente non lo è, come hanno sottolineato altre risposte. I tuoi primi sforzi dovrebbero andare a cambiare la mente del richiedente.
Se lo sei, nonostante i tuoi sforzi, in qualche modo obbligato a fornire la tua password - ricevi questa richiesta per iscritto.
Puoi quindi rispondere, anche per iscritto, che fornirai al richiedente queste informazioni in una busta sigillata e che da quel momento in poi non sei responsabile per le azioni eseguite tramite questo account, la cui password è appena diventata di dominio pubblico presso richiesta di gestione.
È probabile che tu abbia in passato accettato (direttamente o indirettamente) di essere responsabile dell'account, a cui si accede tramite una password che sei l'unica a sapere. Probabilmente hai anche accettato di non condividere questo account.
Possono e devono creare un programma in cui inserisci la tua password corrente e controlla se soddisfa i requisiti ISO. Il programma potrebbe anche controllare il database per verificare se la password è davvero tua.
Qualsiasi altra cosa è follia e rende effettivamente la tua password priva di valore se accessibile da troppe persone, anche se gli amministratori possono probabilmente accedere ai tuoi account in un modo o nell'altro. Chissà per cosa usi la tua password.
Tutti i software del sistema operativo al giorno d'oggi include metodi per applicare regole più rigorose per le password, incluse quelle utilizzate per la sicurezza del governo. Ispezionare le password stesse è anatema per una buona sicurezza.
Leggi altre domande sui tag passwords password-management iso27001