Password Depot Enterprise Server & ISO 27001
ISMS’niz için teknik olarak zorunlu kılınan erişim kontrolü, güçlü kimlik doğrulama ve denetim güvenliği.
Not: Bu sayfada, Password Depot Enterprise Server ürününün ISMS’nizi ve ISO/IEC 27001 gereksinimlerinizi nasıl desteklediği ele alınmaktadır. AceBIT GmbH için ISO/IEC-27001 sertifikasyonu Trust Center'da ayrıca bulabilirsiniz.
ISO/IEC 27001:2022 sertifikasyonu, erişim kontrolü, kimlik doğrulama bilgilerinin yönetimi ve olayların izlenebilirliği. İşte tam bu noktada Password Depot Enterprise Server devreye girer: Yetkileri merkezi olarak yönetir, parola politikalarını zorunlu kılar, güvenlikle ilgili faaliyetleri kaydeder ve mevcut kimlik ve izleme çözümleriyle entegre olur.
ISO/IEC 27001:2022 Ek A, birçoğu doğrudan parola ve erişim yönetimiyle ilgili olan 93 kontrol içerir (örn. A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3, A.8.5, A.8.15). Password Depot ile bu gereksinimler teknik olarak temiz bir şekilde uygulanabilir ve denetime uygun biçimde kanıtlanabilir.
- Merkezi parola politikaları ve kalite kontrolü (kompromize edilmiş parolalar dahil)
- Klasör/girdi düzeyine kadar rol ve grup tabanlı erişim kontrolü (RBAC)
- Güçlü kimlik doğrulama: 2FA (TOTP/E-posta), FIDO2/WebAuthn, SSO (IWA/Azure AD/OIDC)
- Şifreleme: Veritabanları bekleme durumunda AES-256 ile; aktarım TLS 1.2/1.3 üzerinden
- Kullanıcılar, gruplar ve veritabanları için denetim günlükleri (Remote-Syslog dahil) ve raporlar
- Veritabanı düzeyinde “ikinci parola” seçeneği (dört göz prensibi)
İlgili ISO 27001:2022 kontrolleri ve Password Depot ile uygulama
A.5.15 – Erişim kontrolü
Gereklilik: Bilgi ve bilgi işleme tesislerine fiziksel ve mantıksal erişim için kurallar.
Uygulama: Rol ve grup tabanlı yetkiler ile girdi düzeyine kadar ayrıntılı kontrol. Yöneticiler kullanıcıları/grupları tanımlar, okuma/yazma/yönetici hakları atar ve böylece en az ayrıcalık ilkesini uygular. Active Directory/Azure AD entegrasyonu sayesinde ve SSO sayesinde kimlikler tutarlı kalır.
A.5.17 – Kimlik doğrulama bilgileri
Gereklilik: Kimlik doğrulama bilgilerinin resmi bir süreç üzerinden atanması ve yönetilmesi.
Uygulama: Yapılandırılabilir parola politikaları (uzunluk, karakter kümeleri, geçmiş) ve güvenlik kontrolü ile sızdırılmış parolalara karşı koruma (Pwned hizmeti, k-anonimlik). Güçlü oturum açma için 2FA (TOTP/E-posta) ve FIDO2/WebAuthn; atama/sıfırlama AD/Azure AD süreçleri üzerinden yapılır.
A.5.18 – Erişim hakları
Gereklilik: Erişim haklarının sağlanması, gözden geçirilmesi, uyarlanması ve geri alınması.
Uygulama: Merkezi yaşam döngüsü yönetimi ile haklar gruplar/atamalar üzerinden yönetilir, işten ayrılma sürecinde hızla engellenir ve denetlenebilirlik sunucu günlükleri ve raporlar üzerinden sağlanır.
ISO uyumluluğu için kritik güvenlik işlevleri
| ISO 27001 Anforderung | Password Depot Feature | Compliance‑Nutzen |
|---|---|---|
| A.8.2 Privilegierte Zugriffsrechte | Server‑Rollen (z. B. Server/DB/Account/Group Admin), optional zweites Kennwort (Vier‑Augen) | Saubere Trennung privilegierter Aufgaben, Nachvollziehbarkeit |
| A.8.3 Informationszugriffsbeschränkung | Verschlüsselte Server‑Datenbanken (AES‑256) + Berechtigungsmatrix | Schutz vor unbefugtem Zugriff |
| A.8.5 Sichere Authentifizierung | 2FA (TOTP/E‑Mail), FIDO2/WebAuthn, SSO (IWA/Azure AD/OIDC) | Erhöhte Sicherheit & klare Identitätsbindung |
| A.8.9 Konfigurationsmanagement | Versionen/Änderungshistorie auf Eintragsebene, Server‑Logs | Nachvollziehbarkeit von Änderungen |
| A.8.10 Informationslöschung | Sicheres Löschen externer Dateien (mehrfaches Überschreiben) | Regelkonforme Datenlöschung außerhalb der DB |
| A.8.15 Protokollierung | Audit‑Logs im Server; Live‑Export via Syslog (RFC‑5424) an SIEM | Beweise für Audits, zentrales Monitoring/IR |
ISMS içinde pratik uygulama
- Risk analizi: Kritik sistemleri/hesapları belirleyin. Password Depot içinde kayıtlar gruplandırılabilir, öznitelikler/“önem” ile işaretlenebilir ve böylece koruma ihtiyacına göre önceliklendirilebilir.
- Politika tanımı: ISO 27001 ve NIST 800–63B doğrultusunda parola politikaları belirleyin; Password Depot minimum gereksinimleri teknik olarak uygular (kalite, yeniden kullanım, HIBP kontrolü).
- Dağıtım ve eğitim: AD/Azure–AD senkronizasyonunu kullanın, SSO/2FA'yı zorunlu kılın, kritik alanlarda kademeli geçiş yapın.
- Sürekli izleme: Güvenlik kontrollerini düzenli olarak gerçekleştirin (ele geçirilmiş parolalar), sunucu günlüklerini inceleyin, raporları dışa aktarın, yetki gözden geçirmeleri yapın.
- Sunucu–Raporlar için Kullanıcılar, gruplar, gruplardaki kullanıcılar, sunucu veritabanları dışa aktarın
- Denetim günlükleri (yerel olarak veya Remote–Syslog) üzerinden kanıt olarak saklayın
- Parola politikalarını belgelendirin (tanım ve teknik zorlama)
- Güvenlik kontrolünü ve Erişim gözden geçirmelerini düzenli olarak gerçekleştirin ve kayıt altına alın
Not: Menüde özel bir “ISO–27001 denetim raporu” yoktur; yukarıda belirtilen raporlar/günlükler denetim kanıtı olarak kullanılır.
ISO–27001 sertifikasyonu için katma değer
1. Kanıtlanabilir kontrol: Sunucu, güvenlikle ilgili işlemleri kaydeder (oturum açmalar, değişiklikler, yetkiler). Syslog dışa aktarımı üzerinden olaylar merkezi olarak ilişkilendirilebilir (A.8.15).
2. Teknik uyumluluğun uygulanması: Parola kalitesi ve yeniden kullanımı politikaları zorunlu kılınır; sızdırılmış parolalar tespit edilir ve engellenebilir (A.5.17).
3. İş sürekliliği: Şifrelenmiş veri saklama, TLS aktarımı, sunucu yedekleri ve istemci–Çevrimdışı mod şu gereksinimleri destekler: A.5.29 – Kesintiler sırasında bilgi güvenliği.
Güvenlik mimarinize entegrasyon
- Active Directory/Azure AD/LDAP: SSO ve merkezi kullanıcı yönetimi (A.5.16)
- SIEM: İzleme ve olay müdahalesi için sunucu loglarının Syslog (RFC 5424, UDP) üzerinden gerçek zamanlı dışa aktarımı (A.5.24–A.5.28, A.8.15)
- ITSM/Ticketing: Otomasyonlar (ör. parola sıfırlamaları) REST API aracılığıyla uygulanabilir
- Yedeklemeler: Düzenli sunucu yedeklemeleri planlayın ve bunları kurum içinde korumalı şekilde (ör. şifrelenmiş olarak) saklayın – A.8.13 “Information Backup” ile uyumludur
Sınırlar (bilmeniz gerekenler)
- Yerel bir ISO-27001 denetimi için eksiksiz rapor yoktur – kanıtlar loglar/standart raporlar üzerinden sağlanır.
- Secrets için entegre bir onay iş akışı (“iki kişilik onay”) yoktur: dört göz ilkesine dayalı koruma, ikinci parola ile veritabanı düzeyinde mümkündür; daha kapsamlı iş akışları üçüncü taraf sistemler veya API otomasyonu gerektirir.
- Aktarım sırasında şifreleme: Aktarım TLS tabanlıdır (“aktarım sırasında AES-256” şeklinde genel bir ifade doğru değildir). AES-256, bekleme durumundaki veritabanı şifrelemesini ifade eder.
Sonuç: Password Depot Enterprise Server ISO-27001 uyumluluğu için etkili bir teknik bileşendir: merkezi yetki yönetimi, güçlü kimlik doğrulama, güvenli şifreleme, denetlenebilirlik ve SIEM entegrasyonu. ISMS’inizle (roller, süreçler, kanıtlar) birlikte kullanıldığında sertifikasyonu hızlandırır – pazarlama klişeleri olmadan.
Ek kaynaklar
- ISO/IEC 27001:2022 – Bilgi güvenliği yönetim sistemleri
- Password Depot Enterprise Server – Ayarlar (TLS, 2FA, FIDO2, AD/Azure AD, Syslog, Yedeklemeler)
- Sunucu günlüğü (Syslog dışa aktarma dahil)
- Sunucu raporları
- Veritabanı şifreleme ve ürüne genel bakış
- Güvenlik kontrolü ve Pwned hizmeti (k-anonimlik)
- İkinci parola (dört göz prensibi)
- Harici dosyaların güvenli şekilde silinmesi
- NIST SP 800–63B – Dijital Kimlik Yönergeleri
ISO 27001 uyumlu parola yönetimi
Password Depot Enterprise Server’ın ISMS’nizi nasıl desteklediğini öğrenin.
Enterprise Server’ı keşfedin