L'administrateur système de mon entreprise demande nos mots de passe pour un audit ISO et mon vice-président des opérations informatiques dit que c'est obligatoire pour ISMS (ISO27001).
Quelqu'un peut-il confirmer si cela est vrai?
Ce n'est pas vrai. Outre le fait qu'un administrateur système devrait pouvoir changer votre mot de passe en cas de besoin, il est probablement en violation des contrôles mêmes qu'ils prétendent à appliquer.
C'est leur travail de s'assurer que les contrôles sont en place autour des mots de passe, mais il est de la responsabilité des utilisateurs de garder leurs mots de passe confidentiels.
Tout mot de passe administrateur partagé doit être géré de manière centralisée par votre administrateur système.
Absolument pas!
ISO 27001 requiert la gestion des mots de passe et nécessite d'avoir des politiques de mot de passe. Quelqu'un dans votre entreprise interprète cela comme ayant besoin d'inspecter tous les mots de passe en clair pour s'assurer qu'ils respectent la politique de mot de passe.
Mais c'est une façon terrible de faire cet audit. La technologie devrait être en place pour forcer les gens à se conformer aux politiques de mot de passe lorsqu'ils font des mots de passe, et non à les inspecter à la main une fois qu'ils sont faits.
Il existe une large gamme d'échecs s'ils souhaitent auditer les mots de passe en en les regardant ...
De ( https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according-to-iso-27001/ ) il y a un résumé sur les mots de passe des utilisateurs:
Responsabilités de l'utilisateur (sous-section A.9.3)
Il s'agit d'une sous-section très courte (avec un seul contrôle) qui vous oblige à définir comment les utilisateurs garderont secrètes leurs informations d'authentification (par exemple, protéger leurs mots de passe). Cela se fait généralement via un document comme la politique d'utilisation acceptable, qui définit des règles comme celles-ci: n'écrivez pas les mots de passe, ne les divulguez à personne, n'utilisez pas le même mot de passe dans différents systèmes, etc.
Essentiellement, si un utilisateur révèle son mot de passe, l'entreprise échoue à l'audit.
Votre mot de passe est plus important que votre signature autrefois. Parce qu'auparavant, votre signature pouvait être falsifiée, mais aujourd'hui, votre mot de passe est invisible (en théorie du moins).
Votre mot de passe authentifie votre ID utilisateur. Votre ID utilisateur vous donne des pouvoirs certains mais limités dans les domaines de votre entreprise. Les contrôles comptables nécessitent une séparation des tâches. Par exemple, un utilisateur qui approuve les bons de commande ne peut pas approuver la réception de marchandises. Un utilisateur qui approuve la réception de marchandises ne peut pas approuver les factures fournisseur.
Si un criminel (ou un auditeur ISO27001 ou un informaticien) avait accès aux trois mots de passe, il pouvait configurer un faux compte fournisseur, configurer un faux bon de commande, configurer une fausse réception de marchandises et payer des fonds sur le faux compte fournisseur.
C'est contre ISMS. Je suis certifié audit ISO27001 et ce n'est certainement pas là. Vous avez deux groupes de mots de passe:
Il peut s'agir de l'audit de la politique "ne partagez votre mot de passe avec personne", mais il n'y a jamais une raison de remettre votre mot de passe. Pour s'assurer que la stratégie de mot de passe est appliquée, ils peuvent simplement forcer de nouveaux mots de passe dans les règles de la stratégie.
Vous pouvez trouver cette question sur ServerFault d'une certaine utilité: https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the -informations-qu'il-veut? s = 1 | 2.32
Je suis d'accord avec d'autres commentaires ici qui suggèrent que si c'est ce dont ils ont besoin, il vaut mieux qu'ils réinitialisent tous les mots de passe à quelque chose qu'ils ont choisi et transmettent ces informations à leur auditeur (dans le monde réel, ils ne devraient pas donner tous les mots de passe à l'auditeur).
En vérifiant Wikipedia ( https://en.wikipedia.org/wiki/ISO/IEC_27001:2005 ), je peux voir une section sur la gestion des mots de passe, qui commence par dire:
La gestion des mots de passe traite de l'attribution, de la régulation et du changement des règles de mot de passe de l'organisation
Je soupçonne que l'accent devrait être mis sur les "règles" et non sur les "mots de passe".
Temps de réponse controversé ...
L'important ... Notre audit nous oblige à documenter des mots de passe que d'autres personnes devraient avoir légitimement, il nous oblige à documenter qui devrait pouvoir se connecter à certains systèmes de haute sécurité, et il nous oblige à avoir un moyen de fournir mots de passe aux gens. Le détail clé étant qu'il ne nous oblige pas à le faire directement ou en clair.
Supposons que vous disposiez d'un système de gestion de mot de passe interne qui chiffre au repos, chiffre en transit, accède aux journaux d'audit et impose un accès restreint ... c'est une méthode 27001 acceptable de gestion des mots de passe. L'audit 27001 indique que vous devez partager un mot de passe avec quelqu'un, cela passe par là.
Donc, une sorte de mots de passe que vous devriez partager? Le moins possible.
Fondamentalement, de bonnes politiques exigent juste assez de stockage de mot de passe de telle sorte que la seule personne verrouillée de quoi que ce soit si un employé est heurté par un bus est cet employé. Ainsi, l'audit peut demander à quelqu'un de s'assurer que les mots de passe racine des serveurs de l'entreprise sont stockés quelque part en tant que stratégie de sécurité ... il ne peut pas vous demander de stocker vos informations d'identification AD ou helpdesk personnelles.
En bref, les mots de passe ne doivent être partagés avec quelqu'un que s'il est justifié que cette personne se connecte également à ce compte, et si ce besoin ne peut pas être satisfait via une méthode qui ne vous oblige pas à fournir ledit mot de passe. Si les deux points ne sont pas satisfaits, soulevez un problème de conformité avec le comité de sécurité de l'entreprise.
J'espère que cela fournit une vue légèrement plus réaliste et non binaire du sujet. Il y a est une raison de fournir des mots de passe, il est plutôt important de savoir pourquoi quelqu'un pense que vous devez les fournir avant de dire oui ou non à la demande.
Pour être honnête, mon travail consiste à gérer et/ou à définir occasionnellement des mots de passe d'administrateur principal pour les ressources de l'entreprise. La plupart des personnes auditées par 27001 n'ont pas cette responsabilité professionnelle.
Bien sûr que non, comme l'ont souligné d'autres réponses. Vos premiers efforts devraient aller à changer d'avis du demandeur.
Si, malgré vos efforts, vous êtes en quelque sorte obligé de fournir votre mot de passe, obtenez cette demande par écrit.
Vous pouvez alors répondre, également par écrit, que vous fournirez ces informations au demandeur dans une enveloppe scellée et qu'à partir de ce moment, vous n'êtes responsable d'aucune action effectuée via ce compte, dont le mot de passe est devenu public à la demande de la direction. .
Il est probable que dans le passé, vous ayez accepté (directement ou indirectement) que vous êtes en charge du compte, auquel vous accédez par un mot de passe que vous êtes le seul à connaître. Vous avez également probablement accepté de ne pas partager ce compte.