Регулаторните органи непрекъснато следват технологичния напредък и новите предизвикателства, които той носи, което води до чести актуализации на изискванията за съответствие. През изминалата 2024 г. влязоха в сила няколко ключови регулаторни промени и законодателни актове, сред които се открояват:
- Законодателен акт за изкуствения интелект (AI) на ЕС: Този закон въвежда класификация, базирана на риска за ИИ системи. Актът очертава строги изисквания за високорискови ИИ системи, като извършване на оценка на съответствието, внедряване на системи за управление на качеството и забрана за използването им в специфични области.
- Директива МИС 2 (NIS2 Directive): Директивата МИС 2 (NIS 2) въвежда по-строги изисквания относно управлението на риска, мрежовата сигурност и докладването на инциденти. Тя отразява ангажимента на ЕС да поддържа висок стандарт за киберсигурност в държавите членки, като гарантира, че както публичните, така и частните организации са подготвени да се справят с все по-сложните киберзаплахи на днешния ден. Един от ключовите фокуси на МИС 2 (NIS 2) е изискването организациите да идентифицират нивото на риска, пред който са изправени. Организациите, попадащи в обхвата на МИС 2, са задължени да предприемат мерки за минимизиране на киберрисковете, включително:
- Управление на инциденти;
- Сигурност на веригата за доставки;
- Подобрена мрежова сигурност;
- Контрол на достъпа и криптиране.
- Закон за кибер устойчивост (Cyber Resilience Act – CRA): има за цел да защити потребителите и организациите при закупуването на софтуерни и хардуерни продукти с цифров компонент. Актът налага задължения на производителите за отстраняване на уязвимости и предоставяне на актуализации на сигурността, като повишава прозрачността за потребителите.
- Закон за цифрова оперативна устойчивост (DORA): DORA въвежда универсална рамка с конкретни технически стандарти за смекчаване на риска, която цели да осигури цялостно управление на риска от информационни и комуникационни технологии (ИКТ) и да подобри устойчивостта на финансовия сектор срещу кибер инциденти.
- PCI DSS (Payment Card Industry Data Security Standard) v4.0: PCI DSS е международен стандарт за сигурност, който се фокусира върху защитата на данните при провеждане на плащания с дебитни и кредитни карти. PCI DSS v4.0 осигурява по-голяма гъвкавост при изпълнението на изискванията, и се фокусира върху целта и резултатите. Усъвършенстваните контроли за сигурност включват криптиране на чувствителни данни, сигурни методи за удостоверяване и редовно сканиране на уязвимостите.
- NIST Cybersecurity Framework v2.0 – Разширява обхвата на рамката за киберсигурност NIST, като се включват съображения за рисковете по веригата за доставки, облачните изчисления и нарастващото разпространение на IoT устройствата. NIST 2 набляга на практиките за управление на риска и предоставя подобрени насоки за измерване и мониторинг на ефективността на киберсигурността. Въпреки, че NIST не е регулаторно изискване, стандартите определени от NIST, са включени в актове като Федералния закон за управление на сигурността на информацията (FISMA), HIPAA (здравеопазване) и GLBA (финанси).
Тези регулаторни промени подчертават необходимостта организациите непрекъснато да адаптират стратегиите си за съответствие, за да са в крак с развиващия се регулаторен пейзаж.
Как да отговорим на регулаторните изисквания, чрез решение за управление на идентичността?
Поддържането на регулаторно съответствие поставя значителна тежест върху организациите. Идентичностите са в центъра на съответствието, тъй като регулират достъпа до защитени системи и ограничават привилегиите за намаляване на рисковете, като същевременно осигуряват ясни одитни пътеки. Поради тази причина системите за управление на идентичността и достъпа (IAM) и техните производни – управление на привилегирования достъп (PAM), управление и администриране на идентичността (IGA), и управление на идентичността и достъпа на клиентите (CIAM) – играят основна роля при осигуряването на съответствие.
Системите за управление на идентичността и достъпа (IAM) са от ключово значение за прилагането на много от основните принципи за сигурност, които все повече се подчертават в регулациите и най-добрите практики:
- Най-малко привилегии: IAM системите налагат използването на детайлни разрешения, чрез RBAC и ABAC. По този начин се гарантира, че потребителите имат достъп само до ресурси, необходими за техните роли и съответно се минимизира риска от неоторизиран достъп и вътрешни атаки.
- Удостоверяване по „Zero Trust“ модел: Довереният партньор за удостоверяване е крайъгълен камък за Zero Trust сигурността, тъй като помага на организациите да внедрят трайни процеси за управление на идентичността. Той също така позволява по-строг контрол на достъпа, чрез многофакторно удостоверяване (MFA) и налага последователна и непрекъсната проверка на всички потребители и устройства. IAM системите осигуряват видимост на всички идентичности в организацията.
- Отчетност и одит: IAM помага за генерирането на подробни одитни пътеки, които регистрират потребителската активност, заявките за достъп и промените в разрешенията. Тези инструменти са от решаващо значение за доказване на съответствие, разследване на инциденти със сигурността и поддържане на точен запис на действията в системата.
Предимствата на IAM при осигуряването на съответствие
ПРЕДОТВРАТЯВАНЕ НА НЕОТОРИЗИРАН ДОСТЪП
- Многофакторното удостоверяване (MFA) е абсолютен минимум за осигуряването на сигурен достъп в организациите. MFA повишава сигурността, чрез изискване на множество фактори за удостоверяване, което значително затруднява нападателите при опита им да компрометират акаунти.
- Удостоверяването базирано на риска (RBA), добавя още един интелигентен слой защита към контрола на достъпа. RBA анализира фактори като местоположение на потребителя, устройство и поведение, за да оцени рисковете, свързани с опитите за влизане. При висок риск, като например влизане от необичайно място, извън работно време или от непознато устройство, RBA може да изиска допълнителни фактори за удостоверяване, като еднократна парола или биометрична проверка.
- В допълнение към MFA и RBA, организациите могат да прилагат усъвършенствани методи за удостоверяване (Advanced Authentication), като например удостоверяване без парола (Passwordless Authentication), чрез използването на биометрични данни (biometrics) или ключове за сигурност (security keys), непрекъснато удостоверяване (continuous authentication) и “just-in-time” удостоверяване.
ОГРАНИЧАВАНЕ НА РАЗРЕШЕНИЯТА
- Контролът на достъпа базиран на роли (RBAC), дава възможност на организациите да опростят управлението на потребителите, като задават разрешения на роли, а не на отделни лица. Ролите могат да се създават спрямо текущите изисквания за съответствие. RBAC позволява коригиране на разрешенията за всяка роля, при настъпила промяна в регулациите.
- Контролът на достъпа базиран на политики (ABAC), дава възможност на организациите да ограничат достъпа на служителите само до данните, които са им необходими за изпълнение на работните им задължения.
- Решенията за управление на привилегирован достъп (PAM) се фокусират върху защитата и управлението на привилегировани акаунти. Привилегированите акаунти са активи с висока степен на достъп до критични системи и данни, и могат да доведат до най-големите нарушения на изискванията за съответствие и сериозни глоби.
УПРАВЛЕНИЕ И АДМИНИСТРИРАНЕ НА ИДЕНТИЧНОСТТА (IGA)
- Създаването на роли и идентичности подлежи на промени, включително промени в потребителите, приложенията и правилата за съответствие. Системите за управление и администриране на идентичността (IGA) автоматизират процеса на редовен преглед и валидиране на правата за достъп на потребителите, като гарантират, че разрешенията са подходящи и приведени в съответствие с ролите, отговорностите и регулаторната среда.
- Внедряването на IGA също така оптимизира целия жизнен цикъл на идентичностите, от добавянето на нови потребители до прекратяването на работа на напускащите служители. Това гарантира, че правата за достъп се предоставят и отнемат своевременно и в съответствие с изискванията, като се намалява рискът от изолирани акаунти и неоторизиран достъп.
УПРАВЛЕНИЕТО НА РИСКА ОТ ТРЕТИ СТРАНИ И IAM
- Системите за управление на идентичности и достъп (IAM) могат да се разгледат като основен инструмент при осигуряване на сигурен достъп на трети страни. Например, управлението на идентичността, под формата на “федерация”, дава възможност на организациите да разширят своите IAM системи до външните потребители като предоставят сигурен и безпроблемен достъп за партньори и доставчици.
- Удостоверяването тип “Just-in-time" предоставя временен и ограничен достъп на трети страни въз основа на техните специфични нужди, минимизирайки риска от неоторизиран достъп.
- Инструментите на IAM предоставят възможност за непрекъснат мониторинг, като проследяват достъпа и дейността на трети страни и позволяват на организациите да идентифицират и смекчават потенциалните рискове проактивно.
