Накратко:
- Документирането на потребителски поток за автентикация е задължително по стандарти като ISO/IEC 27001 и NIST, за да може организацията да управлява и доказва достъпа. Включва визуални диаграми, описания и регистри на всички стъпки, изключения и роли в процеса. Пълната документация трябва да отразява както успешните, така и неуспешните сценарии, включително аварийни процедури и тестови доказателства.
Документирането на потребителски поток за автентикация в приложение е процесът на формално описване на всяка стъпка, проверка и изключение в автентикационния цикъл на дадена система. В индустрията този процес се обозначава и като „authentication flow documentation” и е задължително изискване по ISO/IEC 27001:2022 и NIST SP 800-63-4. Без пълна документация организацията не може да докаже пред одитори, че управлява достъпа контролирано. Липсата на протокол за възстановяване при компрометиран автентикатор е критичен пропуск, изрично посочен в контролите А 5.15, А 5.17 и А 8.5 на стандарта. Всяка организация, която обработва лични данни или работи в регулирана среда, трябва да третира тази документация като оперативен приоритет, а не като административна формалност.
Какви са основните компоненти при документиране на автентикационни потоци?
Структурираното документиране на потребителски поток за автентикация изисква визуална и текстова репрезентация на всяка стъпка от процеса. Стандартният инструмент за тази цел са UML Interaction Overview Diagrams, които детайлизират всяка стъпка от автентикационния процес, включително проверки, генерация на токени и изключения. Тези диаграми позволяват на IT администраторите да проследят логиката на системата без да четат изходен код.
Всяка диаграма трябва да съдържа следните елементи:
- Начален узел — точката, от която потребителят инициира автентикация (например заявка към /login endpoint).
- Булеви проверки — разклонения за валидни и невалидни идентификационни данни, активен или блокиран акаунт.
- Действия — генерация на сесиен токен, изпращане на MFA предизвикателство, запис в одитен журнал.
- Крайни състояния — успешна автентикация, отказан достъп, временно заключване.
- Изключения и „нещастни пътища” — failed login, MFA timeout, rate limiting, downgrade атака.
- Интеграционни точки — API тайни, OAuth разрешения, IdP конфигурации и записи за отнемане на достъп.
Документирането на „нещастните пътища” е особено критично. Около 70 % от документацията трябва да покрива случаи на неуспешна автентикация, тъй като именно те са цел на downgrade атаки и опити за извличане на информация. Организациите, които документират само „щастливия път”, оставят значителна атакуема повърхност без формално описание.
Професионален съвет: Включете в диаграмата и ролевата отговорност за всяко действие: кой компонент генерира токена, кой валидира MFA отговора и кой записва събитието в SIEM системата. Това улеснява значително последващите одити.
Какви са изискванията по ISO/IEC 27001 и NIST за документиране на процеса на автентикация?
ISO/IEC 27001:2022 и NIST SP 800-63-4 поставят конкретни изисквания към управлението на потребителска автентикация, а не само към техническата реализация. Контролите А 5.15, А 5.17 и А 8.5 изискват документиране на процесите по регистрация, ротация и отнемане на автентикатори. Това означава, че организацията трябва да поддържа актуални процедури за всеки от тези жизнени цикли.
Практическото изпълнение на тези изисквания включва следните стъпки:
- Документиране на регистрацията на автентикатор — описание на процеса, по който нов хардуерен ключ или приложение се свързва с потребителски акаунт, включително верификация на самоличността.
- Процедура за ротация — кога и как се подменят автентикаторите (например при изтичане на срок или при съмнение за компрометиране).
- Протокол за отнемане на достъп — стъпките при напускане на служител или при загуба на устройство, с конкретни срокове за деактивиране.
- Break-glass сценарии — процедури при загуба или компрометиране на ключов автентикатор, включително кой има право да активира аварийния достъп и как се документира това събитие.
- Одиторска пътека — записи, конфигурации на IdP, SoA документи и тестови извадки, изисквани от одиторите като доказателство при прекратяване на достъп.
„За да бъде полезна документацията пред одитори, тя трябва да съдържа реални доказателства — конфигурации, отчети, журнали и сценарии за отнемане на достъп. Декларативните политики без подкрепящи артефакти не се приемат като достатъчно доказателство по NIST SP 800-63-4.”
NIST SP 800-63-4 препоръчва многофакторна автентикация с passkeys и биометрия като основен метод, а SMS и имейл базираните методи класифицира като резервни. Документацията трябва изрично да отразява тази йерархия и да обосновава избора на метод спрямо риска на операцията.
Как се документира сигурна MFA автентикация с passkeys и биометрия?
Съвременното документиране на процеса на автентикация в приложения трябва да разграничава ясно различните MFA методи по ниво на фишинг-устойчивост. Не всички MFA методи предлагат еднаква защита и документацията трябва да отразява тези разлики.

| Метод | Фишинг-устойчивост | Препоръка по NIST SP 800-63-4 |
|---|---|---|
| FIDO2/WebAuthn (passkey, хардуерен ключ) | Висока — криптографска връзка с домейна | Основен метод |
| TOTP (приложение за автентикация) | Средна — кодът може да бъде прехванат | Допустим вторичен метод |
| Push нотификация | Средна — уязвима на MFA fatigue атаки | Допустим с допълнителни контроли |
| SMS/имейл OTP | Ниска — уязвима на SIM swap и прехващане | Само като резервен метод |
Фишинг-устойчивата MFA използва публична криптография, свързана с реалния домейн на услугата. Passkey решенията на FIDO2/WebAuthn използват биометрия или PIN без предаване на парола или код по мрежата. Това прави прехващането на автентикационни данни технически невъзможно при правилна реализация.
Документацията на FIDO2/WebAuthn поток трябва да включва:
- Описание на процеса по регистрация на публичен ключ и съхранението му на сървъра.
- Процедурата при загуба на хардуерен автентикатор, включително backup ключ и процес за повторна регистрация.
- Защити срещу downgrade атаки — конфигурация, която забранява преминаването към по-слаб метод при недостъпност на основния.
- Политика за биометрична автентикация, включително как биометричните данни се съхраняват локално на устройството и не се предават към сървъра.
Професионален съвет: Документирайте изрично какво се случва при неуспешна биометрична верификация: колко опита са разрешени, какъв е fallback методът и как се регистрира събитието в одитния журнал. Одиторите проверяват именно тези гранични случаи.
Добрата MFA документация включва и rate limiting за защита срещу brute force атаки, резервни кодове за аварийен достъп и ясна политика за изтичане на сесии. Тези елементи трябва да присъстват в диаграмата на потока, а не само в текстовите политики.
Как да изградим пълна документация на автентикационния поток за одит?
Пълната документация на потока на потребителите при автентикация обхваща четири нива: архитектурно описание, конфигурационни артефакти, оперативни журнали и тестови доказателства. Всяко ниво обслужва различна аудитория: архитектурното описание е за ръководството и одиторите, конфигурациите са за техническия екип, журналите са за SIEM анализа, а тестовите доказателства потвърждават, че процесите работят в реална среда.
| Ниво на документация | Съдържание | Предназначение |
|---|---|---|
| Архитектурно | UML диаграми, описание на потока, ролева матрица | Одитори, ръководство, нови членове на екипа |
| Конфигурационно | IdP настройки, OAuth политики, MFA правила, SoA записи | Технически екип, DevSecOps |
| Оперативно | SIEM журнали, failed login записи, MFA timeout събития | Анализ на инциденти, проследимост |
| Тестово | Резултати от penetration тестове, тестови извадки за отнемане на достъп | Валидиране на процесите пред одитори |
При високорискови операции е задължително да се документира не само как, но и къде се съхраняват метаданните и как се регистрира всяко автентикационно събитие в SIEM системата. Сесийната бисквитка трябва да е маркирана като потвърдена и да има журнали за всички предизвикателства към автентикатора. Това изискване е особено критично при финансови транзакции и достъп до чувствителни данни.
Break-glass сценариите изискват специално внимание. Одиторите изискват доказателства под формата на записи, конфигурации и тестови извадки при прекратяване на достъп. Документацията трябва да описва кой има право да активира аварийния достъп, как се регистрира това събитие и какви са стъпките за последващо разследване.
Анализът на потребителския поток при неуспешна автентикация е също толкова важен, колкото документирането на успешния сценарий. Записите за failed login, MFA timeout и rate limiting lockout трябва да се съхраняват в структуриран формат, достъпен за SIEM корелация. Балансът между сигурност и удобство е ключов: прекалено строгият процес създава „триене” и може да доведе до заобикаляне на контролите от страна на потребителите.
Тестовите извадки трябва да покриват поне три сценария: нормална автентикация, неуспешна MFA верификация и аварийно отнемане на достъп. Всеки сценарий се документира с входни данни, очакван резултат и действителен резултат. Тези доказателства са задължителни при сертификационни одити по ISO/IEC 27001.
Хардуерна автентикация за съответствие с ISO/IEC 27001 и NIST
Документирането на автентикационните потоци е само половината от работата. Другата половина е изборът на автентикационен метод, който технически поддържа изискванията на стандартите. Smart Management е официален партньор на Yubico за България и предлага YubiKey хардуерни ключове, които реализират FIDO2/WebAuthn автентикация на хардуерно ниво. Серията YubiKey 5 поддържа множество протоколи и интерфейси, включително USB-A, USB-C и NFC, което я прави подходяща за документиране в разнородни корпоративни среди. YubiKey Bio серията добавя биометрична верификация директно на устройството, без предаване на биометрични данни към сървъра. За организации с изисквания по FIPS 140-2 Smart Management предлага и съответните сертифицирани модели. Всички устройства се доставят с 24-часова доставка чрез DHL и едногодишна гаранция за пълна замяна.
Често задавани въпроси
Какво включва документацията на автентикационен поток?
Документацията включва UML диаграми на потока, описание на всички MFA методи, процедури за регистрация и отнемане на автентикатори, break-glass сценарии и SIEM журнали за всяко автентикационно събитие.
Кои стандарти изискват документиране на процеса на автентикация?
ISO/IEC 27001:2022 (контроли А 5.15, А 5.17 и А 8.5) и NIST SP 800-63-4 изискват формална документация на управлението на автентикатори, включително регистрация, ротация и отнемане на достъп.
Защо SMS автентикацията не е препоръчителна като основен метод?
SMS базираната 2FA е уязвима на SIM swap атаки и прехващане на съобщения. NIST SP 800-63-4 я класифицира като резервен метод, а не като основен, поради ниската фишинг-устойчивост.
Какво е break-glass сценарий в контекста на автентикацията?
Break-glass сценарият е документирана процедура за аварийен достъп при загуба или компрометиране на основния автентикатор. Тя описва кой има право да активира достъпа, как се регистрира събитието и какви са стъпките за последващ одит.
Как FIDO2/WebAuthn осигурява фишинг-устойчивост?
FIDO2/WebAuthn използва криптографска двойка ключове, свързана с конкретния домейн на услугата. Дори при фишинг атака автентикационният отговор е валиден само за легитимния домейн и не може да бъде използван повторно от нападателя.
Основни изводи
Пълното документиране на автентикационния поток изисква UML диаграми, конфигурационни артефакти, SIEM журнали и тестови доказателства, обхващащи както успешните, така и неуспешните сценарии.
| Точка | Подробности |
|---|---|
| Стандартна основа | ISO/IEC 27001:2022 контроли А 5.15, А 5.17 и А 8.5 задават минималните изисквания за документиране. |
| Покритие на изключенията | Документацията трябва да покрива failed login, MFA timeout и rate limiting, а не само успешния поток. |
| Фишинг-устойчиви методи | FIDO2/WebAuthn и passkeys са единствените методи с криптографска връзка към домейна. |
| Break-glass процедури | Всяка организация трябва да документира аварийния достъп с конкретни роли и одитни записи. |
| Тестови доказателства | Одиторите изискват реални тестови извадки, а не само декларативни политики. |






