Накратко:

  • Документирането на потребителски поток за автентикация е задължително по стандарти като ISO/IEC 27001 и NIST, за да може организацията да управлява и доказва достъпа. Включва визуални диаграми, описания и регистри на всички стъпки, изключения и роли в процеса. Пълната документация трябва да отразява както успешните, така и неуспешните сценарии, включително аварийни процедури и тестови доказателства.

Документирането на потребителски поток за автентикация в приложение е процесът на формално описване на всяка стъпка, проверка и изключение в автентикационния цикъл на дадена система. В индустрията този процес се обозначава и като „authentication flow documentation” и е задължително изискване по ISO/IEC 27001:2022 и NIST SP 800-63-4. Без пълна документация организацията не може да докаже пред одитори, че управлява достъпа контролирано. Липсата на протокол за възстановяване при компрометиран автентикатор е критичен пропуск, изрично посочен в контролите А 5.15, А 5.17 и А 8.5 на стандарта. Всяка организация, която обработва лични данни или работи в регулирана среда, трябва да третира тази документация като оперативен приоритет, а не като административна формалност.

Какви са основните компоненти при документиране на автентикационни потоци?

Структурираното документиране на потребителски поток за автентикация изисква визуална и текстова репрезентация на всяка стъпка от процеса. Стандартният инструмент за тази цел са UML Interaction Overview Diagrams, които детайлизират всяка стъпка от автентикационния процес, включително проверки, генерация на токени и изключения. Тези диаграми позволяват на IT администраторите да проследят логиката на системата без да четат изходен код.

Всяка диаграма трябва да съдържа следните елементи:

  • Начален узел — точката, от която потребителят инициира автентикация (например заявка към /login endpoint).
  • Булеви проверки — разклонения за валидни и невалидни идентификационни данни, активен или блокиран акаунт.
  • Действия — генерация на сесиен токен, изпращане на MFA предизвикателство, запис в одитен журнал.
  • Крайни състояния — успешна автентикация, отказан достъп, временно заключване.
  • Изключения и „нещастни пътища” — failed login, MFA timeout, rate limiting, downgrade атака.
  • Интеграционни точки — API тайни, OAuth разрешения, IdP конфигурации и записи за отнемане на достъп.

Документирането на „нещастните пътища” е особено критично. Около 70 % от документацията трябва да покрива случаи на неуспешна автентикация, тъй като именно те са цел на downgrade атаки и опити за извличане на информация. Организациите, които документират само „щастливия път”, оставят значителна атакуема повърхност без формално описание.

Професионален съвет: Включете в диаграмата и ролевата отговорност за всяко действие: кой компонент генерира токена, кой валидира MFA отговора и кой записва събитието в SIEM системата. Това улеснява значително последващите одити.

Какви са изискванията по ISO/IEC 27001 и NIST за документиране на процеса на автентикация?

ISO/IEC 27001:2022 и NIST SP 800-63-4 поставят конкретни изисквания към управлението на потребителска автентикация, а не само към техническата реализация. Контролите А 5.15, А 5.17 и А 8.5 изискват документиране на процесите по регистрация, ротация и отнемане на автентикатори. Това означава, че организацията трябва да поддържа актуални процедури за всеки от тези жизнени цикли.

Практическото изпълнение на тези изисквания включва следните стъпки:

  1. Документиране на регистрацията на автентикатор — описание на процеса, по който нов хардуерен ключ или приложение се свързва с потребителски акаунт, включително верификация на самоличността.
  2. Процедура за ротация — кога и как се подменят автентикаторите (например при изтичане на срок или при съмнение за компрометиране).
  3. Протокол за отнемане на достъп — стъпките при напускане на служител или при загуба на устройство, с конкретни срокове за деактивиране.
  4. Break-glass сценарии — процедури при загуба или компрометиране на ключов автентикатор, включително кой има право да активира аварийния достъп и как се документира това събитие.
  5. Одиторска пътека — записи, конфигурации на IdP, SoA документи и тестови извадки, изисквани от одиторите като доказателство при прекратяване на достъп.

„За да бъде полезна документацията пред одитори, тя трябва да съдържа реални доказателства — конфигурации, отчети, журнали и сценарии за отнемане на достъп. Декларативните политики без подкрепящи артефакти не се приемат като достатъчно доказателство по NIST SP 800-63-4.”

NIST SP 800-63-4 препоръчва многофакторна автентикация с passkeys и биометрия като основен метод, а SMS и имейл базираните методи класифицира като резервни. Документацията трябва изрично да отразява тази йерархия и да обосновава избора на метод спрямо риска на операцията.

Как се документира сигурна MFA автентикация с passkeys и биометрия?

Съвременното документиране на процеса на автентикация в приложения трябва да разграничава ясно различните MFA методи по ниво на фишинг-устойчивост. Не всички MFA методи предлагат еднаква защита и документацията трябва да отразява тези разлики.

Човек поставя хардуерен ключ в слота на лаптопа си.

Метод Фишинг-устойчивост Препоръка по NIST SP 800-63-4
FIDO2/WebAuthn (passkey, хардуерен ключ) Висока — криптографска връзка с домейна Основен метод
TOTP (приложение за автентикация) Средна — кодът може да бъде прехванат Допустим вторичен метод
Push нотификация Средна — уязвима на MFA fatigue атаки Допустим с допълнителни контроли
SMS/имейл OTP Ниска — уязвима на SIM swap и прехващане Само като резервен метод

 

Фишинг-устойчивата MFA използва публична криптография, свързана с реалния домейн на услугата. Passkey решенията на FIDO2/WebAuthn използват биометрия или PIN без предаване на парола или код по мрежата. Това прави прехващането на автентикационни данни технически невъзможно при правилна реализация.

Документацията на FIDO2/WebAuthn поток трябва да включва:

  • Описание на процеса по регистрация на публичен ключ и съхранението му на сървъра.
  • Процедурата при загуба на хардуерен автентикатор, включително backup ключ и процес за повторна регистрация.
  • Защити срещу downgrade атаки — конфигурация, която забранява преминаването към по-слаб метод при недостъпност на основния.
  • Политика за биометрична автентикация, включително как биометричните данни се съхраняват локално на устройството и не се предават към сървъра.

Професионален съвет: Документирайте изрично какво се случва при неуспешна биометрична верификация: колко опита са разрешени, какъв е fallback методът и как се регистрира събитието в одитния журнал. Одиторите проверяват именно тези гранични случаи.

Добрата MFA документация включва и rate limiting за защита срещу brute force атаки, резервни кодове за аварийен достъп и ясна политика за изтичане на сесии. Тези елементи трябва да присъстват в диаграмата на потока, а не само в текстовите политики.

Как да изградим пълна документация на автентикационния поток за одит?

Пълната документация на потока на потребителите при автентикация обхваща четири нива: архитектурно описание, конфигурационни артефакти, оперативни журнали и тестови доказателства. Всяко ниво обслужва различна аудитория: архитектурното описание е за ръководството и одиторите, конфигурациите са за техническия екип, журналите са за SIEM анализа, а тестовите доказателства потвърждават, че процесите работят в реална среда.

Ниво на документация Съдържание Предназначение
Архитектурно UML диаграми, описание на потока, ролева матрица Одитори, ръководство, нови членове на екипа
Конфигурационно IdP настройки, OAuth политики, MFA правила, SoA записи Технически екип, DevSecOps
Оперативно SIEM журнали, failed login записи, MFA timeout събития Анализ на инциденти, проследимост
Тестово Резултати от penetration тестове, тестови извадки за отнемане на достъп Валидиране на процесите пред одитори

 

Инфографика, която представя ключовите аспекти на документацията за удостоверяване на самоличност

При високорискови операции е задължително да се документира не само как, но и къде се съхраняват метаданните и как се регистрира всяко автентикационно събитие в SIEM системата. Сесийната бисквитка трябва да е маркирана като потвърдена и да има журнали за всички предизвикателства към автентикатора. Това изискване е особено критично при финансови транзакции и достъп до чувствителни данни.

Break-glass сценариите изискват специално внимание. Одиторите изискват доказателства под формата на записи, конфигурации и тестови извадки при прекратяване на достъп. Документацията трябва да описва кой има право да активира аварийния достъп, как се регистрира това събитие и какви са стъпките за последващо разследване.

Анализът на потребителския поток при неуспешна автентикация е също толкова важен, колкото документирането на успешния сценарий. Записите за failed login, MFA timeout и rate limiting lockout трябва да се съхраняват в структуриран формат, достъпен за SIEM корелация. Балансът между сигурност и удобство е ключов: прекалено строгият процес създава „триене” и може да доведе до заобикаляне на контролите от страна на потребителите.

Тестовите извадки трябва да покриват поне три сценария: нормална автентикация, неуспешна MFA верификация и аварийно отнемане на достъп. Всеки сценарий се документира с входни данни, очакван резултат и действителен резултат. Тези доказателства са задължителни при сертификационни одити по ISO/IEC 27001.

Хардуерна автентикация за съответствие с ISO/IEC 27001 и NIST

Документирането на автентикационните потоци е само половината от работата. Другата половина е изборът на автентикационен метод, който технически поддържа изискванията на стандартите. Smart Management е официален партньор на Yubico за България и предлага YubiKey хардуерни ключове, които реализират FIDO2/WebAuthn автентикация на хардуерно ниво. Серията YubiKey 5 поддържа множество протоколи и интерфейси, включително USB-A, USB-C и NFC, което я прави подходяща за документиране в разнородни корпоративни среди. YubiKey Bio серията добавя биометрична верификация директно на устройството, без предаване на биометрични данни към сървъра. За организации с изисквания по FIPS 140-2 Smart Management предлага и съответните сертифицирани модели. Всички устройства се доставят с 24-часова доставка чрез DHL и едногодишна гаранция за пълна замяна.

Често задавани въпроси

Какво включва документацията на автентикационен поток?

Документацията включва UML диаграми на потока, описание на всички MFA методи, процедури за регистрация и отнемане на автентикатори, break-glass сценарии и SIEM журнали за всяко автентикационно събитие.

Кои стандарти изискват документиране на процеса на автентикация?

ISO/IEC 27001:2022 (контроли А 5.15, А 5.17 и А 8.5) и NIST SP 800-63-4 изискват формална документация на управлението на автентикатори, включително регистрация, ротация и отнемане на достъп.

Защо SMS автентикацията не е препоръчителна като основен метод?

SMS базираната 2FA е уязвима на SIM swap атаки и прехващане на съобщения. NIST SP 800-63-4 я класифицира като резервен метод, а не като основен, поради ниската фишинг-устойчивост.

Какво е break-glass сценарий в контекста на автентикацията?

Break-glass сценарият е документирана процедура за аварийен достъп при загуба или компрометиране на основния автентикатор. Тя описва кой има право да активира достъпа, как се регистрира събитието и какви са стъпките за последващ одит.

Как FIDO2/WebAuthn осигурява фишинг-устойчивост?

FIDO2/WebAuthn използва криптографска двойка ключове, свързана с конкретния домейн на услугата. Дори при фишинг атака автентикационният отговор е валиден само за легитимния домейн и не може да бъде използван повторно от нападателя.


Основни изводи

Пълното документиране на автентикационния поток изисква UML диаграми, конфигурационни артефакти, SIEM журнали и тестови доказателства, обхващащи както успешните, така и неуспешните сценарии.

Точка Подробности
Стандартна основа ISO/IEC 27001:2022 контроли А 5.15, А 5.17 и А 8.5 задават минималните изисквания за документиране.
Покритие на изключенията Документацията трябва да покрива failed login, MFA timeout и rate limiting, а не само успешния поток.
Фишинг-устойчиви методи FIDO2/WebAuthn и passkeys са единствените методи с криптографска връзка към домейна.
Break-glass процедури Всяка организация трябва да документира аварийния достъп с конкретни роли и одитни записи.
Тестови доказателства Одиторите изискват реални тестови извадки, а не само декларативни политики.

 

Препоръчани

Споделете тази статия!

Присъединете се към бюлетина.

Новини и съвети за киберсигурност

Не сте сигурни кой YubiKey ви трябва?

разгледайте таблицата за сравнение на YubiKey