Password Depot Enterprise Server & ISO 27001
Technicky vynucená kontrola přístupu, silná autentizace a protokolování připravené pro audit vašeho ISMS.
Poznámka: Tato stránka popisuje, jak Password Depot Enterprise Server podporuje váš ISMS a požadavky ISO/IEC 27001. Informace o certifikaci ISO/IEC 27001 společnosti AceBIT GmbH naleznete samostatně v Trust Center.
Certifikace ISO/IEC 27001:2022 vyžaduje účinná opatření pro kontrolu přístupu, správu autentizačních informací a sledovatelnost událostí. Přesně zde přichází na řadu Password Depot Enterprise Server: centralizuje oprávnění, vynucuje zásady hesel, protokoluje bezpečnostně relevantní aktivity a integruje se s existujícími řešeními pro správu identit a monitoring.
Příloha A normy ISO/IEC 27001:2022 obsahuje 93 kontrol, z nichž mnohé přímo souvisejí se správou hesel a přístupu (mimo jiné A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3, A.8.5, A.8.15). S Password Depot lze tyto požadavky technicky spolehlivě implementovat a revizně doložit.
- Centrální zásady hesel & kontrola kvality (vč. kompromitovaných hesel)
- Řízení přístupu na základě rolí a skupin (RBAC) až na úroveň složek/záznamů
- Silná autentizace: 2FA (TOTP/e-mail), FIDO2/WebAuthn, SSO (IWA/Azure AD/OIDC)
- Šifrování: databáze s AES‑256 v klidu; přenos přes TLS 1.2/1.3
- Auditní protokoly (vč. vzdáleného syslogu) & reporty pro uživatele, skupiny, databáze
- Volitelné „druhé heslo" na úrovni databáze (princip čtyř očí)
Relevantní kontroly ISO 27001:2022 a implementace s Password Depot
A.5.15 – Kontrola přístupu
Požadavek: Pravidla pro fyzický a logický přístup k informacím a zařízením pro zpracování informací.
Implementace: Oprávnění na základě rolí a skupin s granulární kontrolou až na úroveň záznamů. Administrátoři definují uživatele/skupiny, přidělují práva pro čtení/zápis/správu a tak prosazují princip nejmenších oprávnění. Díky integraci s Active Directory/Azure AD a SSO zůstávají identity konzistentní.
A.5.17 – Autentizační informace
Požadavek: Přidělování a správa autentizačních informací prostřednictvím formálního procesu.
Implementace: Konfigurovatelné zásady hesel (délka, sady znaků, historie) a bezpečnostní kontrola proti uniklým heslům (služba Pwned, k‑anonymita). Silné přihlášení přes 2FA (TOTP/e-mail) a FIDO2/WebAuthn; přidělení/reset přes procesy AD/Azure AD.
A.5.18 – Přístupová práva
Požadavek: Poskytování, přezkoumání, úprava a odebírání přístupových práv.
Implementace: Centrální správa životního cyklu oprávnění prostřednictvím skupin/přiřazení, rychlá deaktivace při odchodu zaměstnanců a auditovatelnost prostřednictvím serverových protokolů a reportů.
Kritické bezpečnostní funkce pro shodu s ISO
| Požadavek ISO 27001 | Funkce Password Depot | Přínos pro shodu |
|---|---|---|
| A.8.2 Privilegovaná přístupová práva |
Serverové role (např. server/DB/účet/skupina admin), volitelné druhé heslo (čtyři oči) | Čisté oddělení privilegovaných úkolů, sledovatelnost |
| A.8.3 Omezení přístupu k informacím |
Šifrované serverové databáze (AES‑256) + matice oprávnění | Ochrana proti neoprávněnému přístupu |
| A.8.5 Bezpečná autentizace |
2FA (TOTP/e-mail), FIDO2/WebAuthn, SSO (IWA/Azure AD/OIDC) | Zvýšená bezpečnost & jasná vazba identity |
| A.8.9 Správa konfigurace |
Verze/historie změn na úrovni záznamů, serverové protokoly | Sledovatelnost změn |
| A.8.10 Mazání informací |
Bezpečné mazání externích souborů (vícenásobné přepsání) | Mazání dat v souladu s normami mimo DB |
| A.8.15 Protokolování |
Auditní protokoly na serveru; živý export přes syslog (RFC‑5424) do SIEM | Důkazy pro audity, centrální monitoring/IR |
Praktická implementace v ISMS
- Analýza rizik: Identifikace kritických systémů/účtů. V Password Depot lze záznamy seskupit, označit atributy/„důležitostí" a tak prioritizovat podle potřeby ochrany.
- Definice zásad: Definice zásad hesel v souladu s ISO 27001 & NIST 800‑63B; Password Depot technicky vynucuje minimální požadavky (kvalita, opětovné použití, HIBP kontrola).
- Nasazení & školení: Využití synchronizace AD/Azure AD, vynucení SSO/2FA, postupné nasazení v kritických oblastech.
- Průběžný monitoring: Pravidelné bezpečnostní kontroly (kompromitovaná hesla), kontrola serverových protokolů, export reportů, pravidelné přezkoumání přístupu.
- Export serverových reportů pro uživatele, skupiny, uživatele ve skupinách, serverové databáze
- Uložení auditních protokolů (lokálně nebo přes vzdálený syslog) jako důkazů
- Dokumentace zásad hesel (definice & technické vynucení)
- Pravidelné provádění bezpečnostních kontrol a přezkoumání přístupu a protokolování výsledků
Poznámka: V menu není žádný vyhrazený „ISO‑27001 auditní report" – výše uvedené reporty/protokoly slouží jako auditní důkazy.
Přidaná hodnota pro certifikaci ISO 27001
1. Prokazatelná kontrola: Server protokoluje bezpečnostně relevantní akce (přihlášení, změny, oprávnění). Prostřednictvím exportu syslogu lze události centrálně korelovat (A.8.15).
2. Technické vynucení shody: Zásady pro kvalitu a opětovné použití hesel jsou vynucovány; uniklá hesla jsou detekována a mohou být zablokována (A.5.17).
3. Kontinuita podnikání: Šifrované ukládání dat, TLS přenos, zálohy serveru a klientský offline režim podporují požadavky A.5.29 – Informační bezpečnost při narušení.
Integrace do vaší bezpečnostní architektury
- Active Directory/Azure AD/LDAP: SSO a centrální správa uživatelů (A.5.16)
- SIEM: Export serverových protokolů v reálném čase přes syslog (RFC 5424, UDP) pro monitoring & reakci na incidenty (A.5.24–A.5.28, A.8.15)
- ITSM/Ticketing: Automatizace (např. reset hesel) realizovatelná přes REST API
- Zálohy: Plánování pravidelných záloh serveru a jejich chráněné ukládání na firemní úrovni (např. šifrovaně) – odpovídá A.8.13 „Zálohování informací"
Omezení, o kterých byste měli vědět
- Žádný nativní kompletní auditní report ISO‑27001 – důkazy jsou poskytovány prostřednictvím protokolů/standardních reportů.
- Žádný integrovaný schvalovací workflow („schválení dvěma osobami") pro tajemství: ochrana čtyř očí je možná přes druhé heslo na úrovni databáze; pokročilejší workflow vyžadují systémy třetích stran nebo automatizaci API.
- Šifrování při přenosu: Přenos je založen na TLS (ne obecně „AES‑256 při přenosu"). AES‑256 se vztahuje na šifrování databáze v klidu.
Závěr: Password Depot Enterprise Server je účinný technický stavební prvek pro shodu s ISO‑27001: centrální správa oprávnění, silná autentizace, bezpečné šifrování, auditní schopnost a integrace SIEM. V kombinaci s vaším ISMS (role, procesy, důkazy) urychluje certifikaci – bez marketingových frází.
Další zdroje
- ISO/IEC 27001:2022 – Information security management systems
- Password Depot Enterprise Server – Settings (TLS, 2FA, FIDO2, AD/Azure AD, syslog, backups)
- Serverový protokol (vč. exportu syslog)
- Serverové reporty
- Šifrování databáze a přehled produktu
- Security check & Pwned service (k-anonymity)
- Second password (four-eyes principle)
- Secure deletion of external files
- NIST SP 800-63B – Digital Identity Guidelines
Správa hesel v souladu s ISO 27001
Zjistěte, jak Password Depot Enterprise Server podporuje váš ISMS.
Objevte Enterprise Server