Un audit ISO27001 oblige-t-il les utilisateurs à révéler leurs mots de passe?

Absolument pas!

ISO 27001 requiert la gestion des mots de passe et nécessite d'avoir des politiques de mot de passe. Quelqu'un dans votre entreprise interprète cela comme ayant besoin d'inspecter tous les mots de passe en clair pour s'assurer qu'ils respectent la politique de mot de passe.

Mais c'est une façon terrible de faire cet audit. La technologie devrait être en place pour forcer les gens à se conformer aux politiques de mot de passe lorsqu'ils font des mots de passe, et non à les inspecter à la main une fois qu'ils sont faits.

Il existe une large gamme d'échecs s'ils souhaitent auditer les mots de passe en en les regardant ...

Ce que dit ISO27001 sur les mots de passe

De ( https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according-to-iso-27001/ ) il y a un résumé sur les mots de passe des utilisateurs:

Responsabilités de l'utilisateur (sous-section A.9.3)

Il s'agit d'une sous-section très courte (avec un seul contrôle) qui vous oblige à définir comment les utilisateurs garderont secrètes leurs informations d'authentification (par exemple, protéger leurs mots de passe). Cela se fait généralement via un document comme la politique d'utilisation acceptable, qui définit des règles comme celles-ci: n'écrivez pas les mots de passe, ne les divulguez à personne, n'utilisez pas le même mot de passe dans différents systèmes, etc.

Essentiellement, si un utilisateur révèle son mot de passe, l'entreprise échoue à l'audit.

Importance des mots de passe

Votre mot de passe est plus important que votre signature autrefois. Parce qu'auparavant, votre signature pouvait être falsifiée, mais aujourd'hui, votre mot de passe est invisible (en théorie du moins).

Votre mot de passe authentifie votre ID utilisateur. Votre ID utilisateur vous donne des pouvoirs certains mais limités dans les domaines de votre entreprise. Les contrôles comptables nécessitent une séparation des tâches. Par exemple, un utilisateur qui approuve les bons de commande ne peut pas approuver la réception de marchandises. Un utilisateur qui approuve la réception de marchandises ne peut pas approuver les factures fournisseur.

Si un criminel (ou un auditeur ISO27001 ou un informaticien) avait accès aux trois mots de passe, il pouvait configurer un faux compte fournisseur, configurer un faux bon de commande, configurer une fausse réception de marchandises et payer des fonds sur le faux compte fournisseur.

C'est contre ISMS. Je suis certifié audit ISO27001 et ce n'est certainement pas là. Vous avez deux groupes de mots de passe:

1. Personnel: aucune de leurs préoccupations
2. Entreprise: le SMSI oblige les administrateurs à mettre en œuvre des politiques de mot de passe, vous oblige à changer votre mot de passe pour respecter leurs politiques ET l'auditeur doit vérifier la politique et comment elle est mise en œuvre/forcée

Il peut s'agir de l'audit de la politique "ne partagez votre mot de passe avec personne", mais il n'y a jamais une raison de remettre votre mot de passe. Pour s'assurer que la stratégie de mot de passe est appliquée, ils peuvent simplement forcer de nouveaux mots de passe dans les règles de la stratégie.

Vous pouvez trouver cette question sur ServerFault d'une certaine utilité: https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the -informations-qu'il-veut? s = 1 | 2.32

Je suis d'accord avec d'autres commentaires ici qui suggèrent que si c'est ce dont ils ont besoin, il vaut mieux qu'ils réinitialisent tous les mots de passe à quelque chose qu'ils ont choisi et transmettent ces informations à leur auditeur (dans le monde réel, ils ne devraient pas donner tous les mots de passe à l'auditeur).

En vérifiant Wikipedia ( https://en.wikipedia.org/wiki/ISO/IEC_27001:2005 ), je peux voir une section sur la gestion des mots de passe, qui commence par dire:

La gestion des mots de passe traite de l'attribution, de la régulation et du changement des règles de mot de passe de l'organisation

Je soupçonne que l'accent devrait être mis sur les "règles" et non sur les "mots de passe".

Temps de réponse controversé ...

• Nombre de fois où j'ai été audité 27001: 3 Je pense que je ne compte pas vraiment moi-même.
• Nombre de fois 27001 (ou 9000 d'ailleurs) a nécessité d'impressionner et de revoir la sécurité du stockage des mots de passe (au niveau personnel et institutionnel): trop pour être compté.
• Nombre de fois 27001 ou 9000 m'a obligé à fournir directement à quelqu'un un mot de passe: 0.
• Nombre de fois 27001 ou 9000 m'a obligé à stocker un mot de passe quelque part d'autres personnes peuvent y accéder: des dizaines de fois.

L'important ... Notre audit nous oblige à documenter des mots de passe que d'autres personnes devraient avoir légitimement, il nous oblige à documenter qui devrait pouvoir se connecter à certains systèmes de haute sécurité, et il nous oblige à avoir un moyen de fournir mots de passe aux gens. Le détail clé étant qu'il ne nous oblige pas à le faire directement ou en clair.

Supposons que vous disposiez d'un système de gestion de mot de passe interne qui chiffre au repos, chiffre en transit, accède aux journaux d'audit et impose un accès restreint ... c'est une méthode 27001 acceptable de gestion des mots de passe. L'audit 27001 indique que vous devez partager un mot de passe avec quelqu'un, cela passe par là.

Donc, une sorte de mots de passe que vous devriez partager? Le moins possible.

• Cela vous identifie-t-il personnellement à quelqu'un? Vous ne devriez certainement pas le partager, personne ne devrait s'y connecter.
• Pouvez-vous avoir plusieurs connexions au système? Faites-les et ne les partagez pas.
• Une personne âgée peut-elle se connecter au système en tant qu'utilisateur différent et réinitialiser le mot de passe? Vous ne devriez probablement pas le partager, et vous devriez probablement utiliser des connexions individuelles de toute façon.
• Vous ne pouvez pas créer plusieurs comptes ou pouvez les créer mais ils ne peuvent pas partager une exigence importante? D'accord, stockez ces mots de passe, mais vous ne devriez vraiment pas utiliser ce système de connexion.

Fondamentalement, de bonnes politiques exigent juste assez de stockage de mot de passe de telle sorte que la seule personne verrouillée de quoi que ce soit si un employé est heurté par un bus est cet employé. Ainsi, l'audit peut demander à quelqu'un de s'assurer que les mots de passe racine des serveurs de l'entreprise sont stockés quelque part en tant que stratégie de sécurité ... il ne peut pas vous demander de stocker vos informations d'identification AD ou helpdesk personnelles.

En bref, les mots de passe ne doivent être partagés avec quelqu'un que s'il est justifié que cette personne se connecte également à ce compte, et si ce besoin ne peut pas être satisfait via une méthode qui ne vous oblige pas à fournir ledit mot de passe. Si les deux points ne sont pas satisfaits, soulevez un problème de conformité avec le comité de sécurité de l'entreprise.

J'espère que cela fournit une vue légèrement plus réaliste et non binaire du sujet. Il y a est une raison de fournir des mots de passe, il est plutôt important de savoir pourquoi quelqu'un pense que vous devez les fournir avant de dire oui ou non à la demande.

Pour être honnête, mon travail consiste à gérer et/ou à définir occasionnellement des mots de passe d'administrateur principal pour les ressources de l'entreprise. La plupart des personnes auditées par 27001 n'ont pas cette responsabilité professionnelle.

Bien sûr que non, comme l'ont souligné d'autres réponses. Vos premiers efforts devraient aller à changer d'avis du demandeur.

Si, malgré vos efforts, vous êtes en quelque sorte obligé de fournir votre mot de passe, obtenez cette demande par écrit.

Vous pouvez alors répondre, également par écrit, que vous fournirez ces informations au demandeur dans une enveloppe scellée et qu'à partir de ce moment, vous n'êtes responsable d'aucune action effectuée via ce compte, dont le mot de passe est devenu public à la demande de la direction. .

Il est probable que dans le passé, vous ayez accepté (directement ou indirectement) que vous êtes en charge du compte, auquel vous accédez par un mot de passe que vous êtes le seul à connaître. Vous avez également probablement accepté de ne pas partager ce compte.