Assolutamente no!

ISO 27001 richiede la gestione delle password e richiede la presenza di criteri per le password. Qualcuno nella tua azienda lo interpreta come la necessità di ispezionare tutte le password in chiaro per assicurarsi che soddisfino la politica sulle password.

Ma questo è un modo terribile per eseguire questa verifica. La tecnologia dovrebbe essere in atto per costringere le persone a rispettare le politiche sulle password quando creano le password, non per ispezionarle a mano una volta che sono state create.

Esiste un'ampia serie di errori se vogliono controllare le password guardandole ...

Questo non è vero. Oltre al fatto che un amministratore di sistema dovrebbe essere in grado di cambiare la tua password quando necessario, probabilmente viola gli stessi controlli che affermano di applicare.

È loro compito garantire che i controlli siano in atto sulle password, ma è responsabilità degli utenti mantenerle riservate.

Tutte le password di amministratore condivise devono essere gestite centralmente dal tuo amministratore di sistema.

Un esempio di una policy sulle password conforme

Cosa dice ISO27001 sulle password

Da ( https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according- to-iso-27001 /) c'è un riepilogo sulle password degli utenti:

Responsabilità dell'utente (sottosezione A.9.3)

Questa è una sottosezione molto breve (con un solo controllo) che richiede di definire come gli utenti manterranno segrete le loro informazioni di autenticazione (ad esempio, proteggeranno le loro password). Questo di solito viene fatto attraverso alcuni documenti come la Politica di utilizzo accettabile, che definisce regole come queste: non scrivere le password, non rivelarle a nessuno, non usare la stessa password in sistemi diversi, ecc.

In sostanza, se un utente rivela la propria password, l'azienda non supera la verifica.

Importanza delle password

La tua password è più importante della tua firma un tempo ai vecchi tempi. Perché in passato la tua firma poteva essere falsificata, ma ora la tua password è invisibile (almeno in teoria).

La tua password autentica il tuo ID utente. Il tuo ID utente ti dà poteri certi ma limitati all'interno delle aree della tua azienda. I controlli contabili richiedono la separazione dei compiti. Ad esempio, un utente che approva gli ordini di acquisto non può approvare il ricevimento delle merci. Un utente che approva il ricevimento della merce non può approvare le fatture del fornitore.

Se un criminale (o un revisore ISO27001 o una persona IT) avesse accesso a tutte e tre le password, potrebbe impostare un account fornitore falso, impostare un ordine di acquisto falso, imposta una ricevuta falsa della merce e paga i fondi sull'account del fornitore falso.

Questo è contro ISMS. Sono certificato da audit ISO27001 e sicuramente non esiste. Hai due gruppi di password:

1. Personale: nessuna delle loro preoccupazioni
2. Azienda: ISMS costringe gli amministratori a implementare le policy sulle password, costringendoti a cambiare la password per soddisfare le loro policy E l'auditor deve controllare la politica e come viene implementata / forzata

Questo potrebbe essere il controllo della politica "non condividere la tua password con nessuno", ma non c'è mai mai un motivo per distribuire la tua password. Per garantire che la policy delle password venga applicata, potrebbero semplicemente forzare nuove password all'interno delle regole della policy.

Potresti trovare questa domanda su ServerFault di qualche utilità: https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him -the-information-he-wants? s = 1 | 2.3233

Sono d'accordo con altri commenti qui che suggeriscono che se questo è ciò che "richiedono", è meglio che ripristinino tutto password a qualcosa che hanno scelto e passano queste informazioni al proprio revisore (nel mondo reale, non dovrebbero fornire alcuna password all'auditor).

Controllando Wikipedia ( https://en.wikipedia.org/wiki/ISO/IEC_27001:2005), posso vedere una sezione sulla gestione delle password, che inizia dicendo:

La gestione delle password riguarda l'assegnazione, la regolamentazione e la modifica delle regole delle password dell'organizzazione

Sospetto che l'enfasi dovrebbe essere sulle "regole", non sulle 'Le password'.

Tempo di risposta controverso ...

• Numero di volte in cui sono stato 27001 auditato: 3 Penso di non tenere il conto personalmente.
• di volte 27001 (o 9000 per quella materia) ha richiesto l'impressione e la revisione della sicurezza dell'archiviazione delle password (a livello personale e istituzionale): troppe per essere contate.
• Numero di volte che 27001 o 9000 mi hanno richiesto per fornire direttamente una password a qualcuno: 0.
• Numero di volte in cui 27001 o 9000 mi ha richiesto di memorizzare una password da qualche parte che altre persone possano trovarla: dozzine di volte.

La cosa importante ... Il nostro controllo ci richiede di documentare le password che altre persone dovrebbero legittimamente avere, ci richiede di documentare chi dovrebbe essere in grado di accedere a determinati sistemi ad alta sicurezza e ci richiede di avere un modo per fornire password alle persone. Il dettaglio chiave è che non ci impone di farlo direttamente o in modo chiaro.

Supponiamo che tu abbia un sistema di gestione delle password interno che crittografa a riposo, crittografa in transito, controlla l'accesso ai log e applica restrizioni accesso ... questo è un metodo accettabile 27001 per la gestione delle password. L'audit 27001 dice che devi condividere una password con qualcuno, passa attraverso.

Quindi, tipo di password che dovresti condividere? Il minor numero possibile.

• Ti identifica personalmente a qualcuno? Sicuramente non dovresti condividerlo, nessuno dovrebbe accedervi.
• Puoi avere più accessi al sistema? Crearli e non condividerli.
• Un anziano può accedere al sistema come un utente diverso e reimpostare la password? Probabilmente non dovresti condividerlo e dovresti comunque utilizzare accessi individuali.
• Non puoi creare più account o puoi crearli ma non possono condividere alcuni requisiti importanti? Ok, va bene, memorizza quelle password, ma davvero non dovresti usare quel sistema di login.

Fondamentalmente, buone politiche richiedono l'archiviazione delle password appena sufficiente in modo tale che l'unica persona bloccata da qualsiasi cosa se un dipendente viene investito da un autobus è quel dipendente. sono archiviati da qualche parte come una politica di sicurezza ... non può chiederti di memorizzare i tuoi AD personali o le credenziali dell'helpdesk.

In breve, le password dovrebbero essere condivise con qualcuno solo se la necessità è giustificata persona per accedere anche a quell'account e se tale necessità non può essere soddisfatta tramite un metodo che non richiede di fornire detta password. Se entrambi i punti non sono soddisfatti, solleva un problema di conformità con il comitato di sicurezza dell'azienda.

Si spera che ciò fornisca una visione leggermente più realistica e non binaria dell'argomento. C'è un motivo per fornire le password, è piuttosto importante sapere perché qualcuno pensa che dovresti fornirle prima di dire sì o no alla richiesta.

Per essere onesti, il mio lavoro consiste nel gestire e / o impostare occasionalmente le password di amministratore principale per le risorse aziendali. La maggior parte delle persone controllate da 27001 non ha questa responsabilità lavorativa.

Ovviamente non lo è, come hanno sottolineato altre risposte. I tuoi primi sforzi dovrebbero essere volti a far cambiare idea al richiedente.

Se, nonostante i tuoi sforzi, sei costretto in qualche modo a fornire la tua password, ottieni la richiesta per iscritto.

Puoi quindi rispondere , anche per iscritto, che fornirai al richiedente queste informazioni in una busta sigillata e che da quel momento in poi non sarai responsabile per eventuali azioni compiute tramite questo account, la cui password è appena divenuta di dominio pubblico su richiesta della direzione.

È probabile che in passato tu abbia accettato (direttamente o indirettamente) di essere il responsabile dell'account, a cui si accede con una password che sei l'unico a conoscere. Probabilmente hai anche accettato di non condividere questo account.

Possono e devono creare un programma in cui inserisci la tua password corrente e controlla se soddisfa i requisiti ISO. Il programma potrebbe anche controllare il database per verificare se la password è veramente tua.

Qualsiasi altra cosa è una follia ed effettivamente rende la tua password inutile se accessibile da troppe persone, anche se gli amministratori possono probabilmente accedere ai tuoi account uno in un modo o nell'altro comunque. Chissà per cosa usi la tua password.

Tutto il software del sistema operativo oggigiorno include metodi per applicare regole di password più rigide, comprese quelle utilizzate per la sicurezza del governo. Ispezionare le password stesse è un anatema per una buona sicurezza.