DLP през 2026 г.: ISO 27001 за GDPR, NIS2 и DORA
Всичко започва с електронна таблица.
В 08:17 в понеделник мениджър „Успех на клиентите“ експортира 14 000 корпоративни контакта от CRM, за да подготви кампания за подновяване. В 08:24 електронната таблица е прикачена към имейл. В 08:26 имейлът е изпратен до личен Gmail акаунт, защото служителят иска да работи по време на пътуване с влак. В 08:31 същият файл е качен в неодобрена AI услуга за водене на бележки, за да се „изчистят дубликатите“.
На този етап нищо не изглежда като нарушение. Няма бележка за рансъмуер, няма сигнал от зловреден софтуер, няма компрометиран администраторски акаунт и няма публично изтичане. Но за CISO, мениджъра по съответствие и длъжностното лице по защита на данните (DPO) реалният въпрос вече е възникнал: може ли организацията да докаже, че това движение е било разрешено, класифицирано, журнализирано, криптирано, обосновано и обратимо?
Същият сценарий се случва всяка седмица във финансовия сектор. Разработчик се опитва да качи Q1_Investor_Projections_DRAFT.xlsx в личен облачен диск, защото VPN е бавен. Мениджър продажби експортира списък с клиенти към потребителско приложение за сътрудничество. Анализатор от поддръжката поставя клиентски записи в неодобрен AI инструмент. Във всеки случай намерението може да е удобство, а не злонамереност, но рискът е един и същ. Чувствителни данни са преминали или почти са преминали граница, която организацията не контролира.
Това е съвременният проблем на предотвратяването на изтичане на данни. DLP вече не е само правило на имейл шлюз или агент на крайна точка. През 2026 г. ефективното предотвратяване на изтичане на данни е управлявана и подкрепена с доказателства система от контроли в SaaS, облачни хранилища, крайни точки, мобилни устройства, доставчици, програмни интерфейси (API), среди за разработка, експорти от резервни копия, инструменти за сътрудничество и човешки „кратки пътища“.
GDPR Article 32 изисква подходящи технически и организационни мерки за сигурността на обработването. NIS2 Article 21 изисква риск-базирани мерки за киберсигурност, включително киберхигиена, контрол на достъпа, управление на активите, сигурност на веригата на доставки, обработване на инциденти, криптиране и тестване на ефективността. DORA изисква финансовите субекти да управляват ИКТ риска чрез управление, откриване, реагиране, възстановяване, тестване, надзор върху трети страни и одитируемост. ISO/IEC 27001:2022 предоставя управленския гръбнак, който прави тези задължения оперативни, измерими и одитируеми.
Грешката, която много организации допускат, е да закупят DLP инструмент, преди да дефинират какво означава „изтичане“. Подходът на Clarysec започва по-рано: класифициране на данните, дефиниране на разрешените трансфери, прилагане на политиката, мониторинг на изключенията, подготовка на доказателства за реагиране и свързване на всичко със СУИС.
Както се посочва в Zenith Blueprint: 30-стъпкова пътна карта на одитора, във фазата „Контроли в действие“, стъпка 19, „Технологични контроли I“:
Предотвратяването на изтичане на данни е насочено към спиране на неоторизираното или случайно разкриване на чувствителна информация, независимо дали тя излиза чрез електронна поща, качвания в облак, преносими носители или дори забравена разпечатка. Контрол 8.12 разглежда необходимостта да се наблюдават, ограничават и обработват всички данни, които напускат доверените граници на организацията, независимо дали причината е цифрова, физическа или човешка. Zenith Blueprint
Това изречение е същността на DLP през 2026 г.: мониторинг, ограничаване и реагиране.
Защо DLP вече е въпрос на съответствие на ниво управителен орган
Управителният орган обикновено не пита дали DLP regex открива национални идентификационни номера. Той пита дали организацията може да защити доверието на клиентите, да продължи да работи, да избегне регулаторна експозиция и да докаже разумно ниво на сигурност, когато нещо се обърка.
Точно там GDPR, NIS2 и DORA се пресичат.
GDPR се прилага широко за автоматизирано обработване на лични данни, включително за администратори и обработващи, установени в ЕС, както и за организации извън ЕС, които предлагат стоки или услуги на лица в ЕС или наблюдават тяхното поведение. Той дефинира личните данни широко и обхваща операции като събиране, съхранение, използване, разкриване, изтриване и унищожаване. Неоторизираното разкриване на лични данни или достъпът до тях може да представлява нарушение на сигурността на личните данни. GDPR Article 5 също прави принципа на отчетност изричен: организациите трябва не само да спазват принципи като минимизиране на данните, ограничение на съхранението, цялостност и поверителност, но и да могат да докажат съответствие.
NIS2 разширява натиска отвъд защитата на личните данни. Тя се прилага за много съществени и важни субекти, включително сектори като банкиране, инфраструктури на финансовите пазари, доставчици на облачни изчислителни услуги, доставчици на центрове за данни, доставчици на управлявани услуги, доставчици на управлявани услуги за сигурност, онлайн пазари, търсачки и платформи за социални мрежи. Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително анализ на риска, политики за сигурност на информационните системи, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурна разработка, тестване на ефективността, киберхигиена, обучение, криптография, контрол на достъпа, управление на активите и автентикация.
DORA се прилага от 17 януари 2025 г. и действа като специализирана за финансовия сектор нормативна рамка за ИКТ устойчивост. За финансовите субекти в обхват тя се третира като секторно-специфичен правен акт на Съюза за припокриващите се цели на NIS2. DORA въвежда DLP в управлението на ИКТ риска, класификацията на инциденти, загубата на данни, засягаща наличност, автентичност, цялостност или поверителност, тестването на цифровата оперативна устойчивост, управлението на ИКТ трети страни и договорните контроли.
Въпросът за DLP през 2026 г. не е „Имаме ли инструмент?“. Въпросите са:
- Знаем ли коя информация е чувствителна?
- Знаем ли къде се съхранява, обработва и прехвърля?
- Дефинирани ли са разрешените и забранените маршрути за трансфер?
- Обучени ли са потребителите и ограничени ли са технически действията им?
- Управляват ли се облачните и SaaS маршрутите?
- Достатъчни ли са журналите за разследване?
- Подлагат ли се предупрежденията на триаж и класифицират ли се инцидентите своевременно?
- Обвързани ли са договорно доставчиците и външно възложените ИКТ услуги?
- Можем ли да докажем, че контролите функционират?
ISO/IEC 27001:2022 е подходящ за отговор на тези въпроси, защото изисква контекст, изисквания на заинтересованите страни, оценка на риска, третиране на риска, измерими цели, оперативен контрол, документирани доказателства, контрол на доставчиците, вътрешен одит, преглед от ръководството и непрекъснато подобрение. Това не е DLP стандарт, но превръща DLP от изолирана технологична конфигурация в контролиран процес в рамките на система за управление.
Веригата от контроли на ISO 27001 зад ефективната DLP програма
Надеждна DLP програма не се изгражда върху един контрол. Тя се изгражда като верига.
Zenith Controls: Ръководство за междурегулаторно съответствие на Clarysec картографира ISO/IEC 27002:2022 контрол 8.12, предотвратяване на изтичане на данни, като превантивен и откриващ контрол, фокусиран върху поверителността, съгласуван с концепциите за киберсигурност Protect и Detect, с информационната защита като оперативна способност и защита/отбрана като област на сигурността. Zenith Controls
Това е важно, защото одиторите очакват както блокиране, така и видимост. Превантивно DLP правило без преглед на предупрежденията е непълно. Подход само с журналиране и без прилагане за високорискови трансфери също е слаб.
Същото ръководство картографира ISO/IEC 27002:2022 контрол 5.12, Класификация на информацията, като превантивен, поддържащ поверителност, цялостност и наличност, и съгласуван с Identify. То картографира контрол 5.14, Пренос на информация, като превантивен, поддържащ поверителност, цялостност и наличност, и съгласуван с Protect, Asset Management и Information Protection.
На практика веригата от DLP контроли изглежда така:
| Област на контрол по ISO/IEC 27002:2022 | Роля на DLP | Какво се обърква при липса |
|---|---|---|
| 5.9 Инвентар на информацията и други свързани активи | Идентифицира активи, собственици и местоположения на данни | Чувствителни хранилища остават извън обхвата на DLP |
| 5.12 Класификация на информацията | Дефинира чувствителност и изисквания за боравене | DLP правилата блокират произволно или пропускат критични данни |
| 5.13 Етикетиране на информацията | Прави класификацията видима и машинно приложима | Потребителите и инструментите не могат да различат публични от поверителни данни |
| 5.14 Пренос на информация | Дефинира одобрени маршрути и условия за трансфер | Персоналът използва лична електронна поща, потребителски облачни дискове или неуправлявани съобщения |
| 5.15 до 5.18 Контрол на достъпа, идентичност, автентикация и права за достъп | Ограничава кой може да достъпва и експортира данни | Прекомерните права позволяват вътрешен риск и масово извличане |
| 5.19 до 5.23 Контроли за доставчици и облачни услуги | Управляват SaaS, облак и външно възложено обработване | Данните изтичат през неоценени доставчици или shadow IT |
| 5.24 до 5.28 Управление на инциденти | Превръща DLP предупрежденията в действия за реагиране и доказателства | Предупрежденията се игнорират, остават без триаж или не се докладват навреме |
| 5.31 и 5.34 Правни, регулаторни, договорни и контролни изисквания за поверителност | Свързват DLP с GDPR, договори и секторни правила | Контролите не съответстват на реалните задължения |
| 8.12 Предотвратяване на изтичане на данни | Наблюдава, ограничава и реагира на изходящо движение на данни | Чувствителна информация напуска без откриване или контрол |
| 8.15 Журналиране и 8.16 Дейности по мониторинг | Осигурява доказателства и форензична видимост | Организацията не може да докаже какво се е случило |
| 8.24 Използване на криптография | Защитава данни при пренос и данни в покой | Одобрените трансфери все пак излагат четими данни |
Zenith Blueprint, стъпка 22, обяснява зависимостта между инвентара на активите, класификацията и DLP:
Прегледайте текущия си инвентар на активите (5.9), за да се уверите, че включва както физически, така и логически активи, собственици и класификации. Свържете този инвентар със схемата за класификация (5.12), като гарантирате, че чувствителните активи са етикетирани и защитени по подходящ начин. Когато е необходимо, дефинирайте срок за съхранение, архивиране или изолация въз основа на класификацията.
Ето защо Clarysec рядко започва DLP ангажимент с настройване на правила. Започваме със съгласуване на активи, собственици, типове данни, етикети за класификация, маршрути за трансфер и доказателствени записи. Ако организацията не може да каже кои набори от данни са поверителни, регулирани, собственост на клиент, свързани с плащания или критични за бизнеса, DLP инструментът може само да гадае.
Трите стълба на съвременната DLP програма
Съвременната DLP програма се основава на три взаимно подсилващи се стълба: познаване на данните, управление на потока и защита на границата. Тези стълбове правят ISO/IEC 27001:2022 практически приложим за съответствие с GDPR, NIS2 и DORA.
Стълб 1: познаване на данните чрез класификация и етикетиране
Не можете да защитите това, което не разбирате. Контроли 5.12 и 5.13 на ISO/IEC 27002:2022 изискват организациите да класифицират информацията и да я етикетират според чувствителността и изискванията за боравене. Това не е упражнение по документация. Това е основата за автоматизирано прилагане.
За МСП Политика за класификация и етикетиране на данни посочва:
Поверителна: Изисква криптиране при пренос и в покой, ограничен достъп, изрично одобрение за споделяне и сигурно унищожаване при унищожаване. Политика за класификация и етикетиране на данни - МСП
Този цитат, от раздел „Изисквания за прилагане на политиката“, клауза 6.3.3, дава на DLP програмата четири приложими условия: криптиране, ограничен достъп, одобрение за споделяне и сигурно унищожаване.
В корпоративни среди Политика за класификация и етикетиране на данни е още по-директна. От раздел „Изисквания за прилагане на политиката“, клауза 6.2.6.2:
Блокиране на предаване (напр. външен имейл) за неправилно етикетирани чувствителни данни Политика за класификация и етикетиране на данни
И от раздел „Прилагане и съответствие“, клауза 8.3.2:
Автоматизирано валидиране на класификацията чрез предотвратяване на изтичане на данни (DLP) и инструменти за откриване
Тези клаузи превръщат класификацията в контрол. Файл, маркиран като „Поверителна“, може да задейства криптиране, да блокира външно предаване, да изисква одобрение или да генерира предупреждение за сигурност. Така DLP се превръща в слой за прилагане на политика, която потребителите, системите и одиторите могат да разберат.
Стълб 2: управление на потока чрез сигурен пренос на информация
След като данните са класифицирани, организацията трябва да управлява начина, по който те се движат. ISO/IEC 27002:2022 контрол 5.14, Пренос на информация, често се подценява, но именно там започват много DLP неуспехи.
Zenith Blueprint представя контрол 5.14 като необходимост от управление на информационния поток, така че трансферът да бъде сигурен, целенасочен и съобразен с класификацията и служебната цел. Това се прилага за електронна поща, сигурно споделяне на файлове, програмни интерфейси (API), SaaS интеграции, преносими носители, печатни отчети и портали на доставчици.
Дистанционната работа прави това особено важно. Политика за дистанционна работа, раздел „Изисквания за прилагане на политиката“, клауза 6.3.1.3, изисква от служителите да:
Използват само одобрени решения за споделяне на файлове (напр. M365, Google Workspace с контроли за предотвратяване на изтичане на данни (DLP)) Политика за дистанционна работа
За мобилни устройства и BYOD Политика за мобилни устройства и BYOD, раздел „Изисквания за прилагане на политиката“, клауза 6.6.4, предоставя конкретно прилагане на крайни точки:
Политиките за предотвратяване на изтичане на данни (DLP) трябва да блокират неоторизирани качвания, заснемане на екрана, достъп до клипборда или споделяне на данни от управлявани приложения към лични зони. Политика за мобилни устройства и BYOD
Това е важно, защото данните не напускат само чрез електронна поща. Те напускат чрез екранни снимки, синхронизация на клипборда, неуправлявани профили на браузъра, лични дискове, мобилни менюта за споделяне, плъгини за сътрудничество и AI инструменти.
Управлението на облачните услуги е също толкова важно. В Политика за използване на облачни услуги - МСП, раздел „Изисквания за управление“, клауза 5.5:
Shadow IT, дефинирано като използване на неодобрени облачни инструменти, трябва да се третира като нарушение на политиката и да бъде прегледано от управителя и ИТ доставчика за определяне на риска и необходимите действия за отстраняване. Политика за използване на облачни услуги - МСП
За корпоративни организации Политика за използване на облачни услуги, раздел „Изисквания за управление“, клауза 5.5, повишава изискванията за мониторинг:
Екипът по информационна сигурност трябва регулярно да оценява мрежовия трафик, DNS активността и журналите за откриване на неоторизирано използване на облачни услуги (shadow IT). Установените нарушения трябва да бъдат разследвани своевременно. Политика за използване на облачни услуги
Shadow IT не е просто ИТ неудобство. Съгласно GDPR то може да се превърне в незаконосъобразно разкриване или неконтролирано обработване. Съгласно NIS2 то е слабост в киберхигиената и веригата на доставки. Съгласно DORA то може да стане ИКТ риск, свързан с трети страни, и въпрос за класификация на инцидент.
Стълб 3: защита на границата чрез DLP технология, политика и осведоменост
ISO/IEC 27002:2022 контрол 8.12, предотвратяване на изтичане на данни, е контролът, който повечето хора свързват с DLP. Но в зряла програма той е последната линия на защита, а не първата.
Zenith Blueprint обяснява, че DLP изисква трислоен подход: технология, политика и осведоменост. Технологията включва DLP за крайни точки, сигурност на електронната поща, инспекция на съдържание, сигурност на достъпа до облачни услуги, SaaS контроли, контроли в браузъра, филтриране на изходящ мрежов трафик и маршрутизиране на предупреждения. Политиката определя какво прилагат инструментите. Осведомеността гарантира, че служителите разбират защо личната електронна поща, потребителските облачни хранилища и неодобрените AI инструменти не са допустими методи за боравене с регулирана или поверителна информация.
Компонентът за реагиране е също толкова важен, колкото превенцията. Zenith Blueprint, стъпка 19, посочва:
Но DLP не е само превенция, а и реагиране. Ако бъде открито потенциално изтичане:
✓ Предупрежденията трябва бързо да преминават през триаж, ✓ Журналирането трябва да подпомага форензичен анализ, ✓ Планът за реагиране при инциденти трябва да бъде задействан незабавно.
DLP програма, която блокира събития, но не ги подлага на триаж, не ги разследва и не извлича уроци от тях, не е готова за одит. Тя е само частично внедрена.
От изтичане на електронна таблица до реакция, готова за одит
Да се върнем към електронната таблица от понеделник сутрин.
В слаба програма организацията открива качването три седмици по-късно по време на преглед на поверителността. Никой не знае кой е одобрил експорта, дали данните са били лични данни, дали са били включени специални категории данни, дали AI инструментът е съхранил файла или дали клиентите трябва да бъдат уведомени.
В програма, проектирана от Clarysec, последователността изглежда различно.
Първо, CRM експортът се маркира като „Поверителна“, защото съдържа лични данни и търговска информация за клиенти. Второ, събитието за експортиране се журнализира. Трето, имейл шлюзът открива поверително прикачено съдържание, изпращано към личен имейл домейн, и го блокира, освен ако не съществува одобрено изключение. Четвърто, опитът за качване в неодобрена облачна услуга задейства предупреждение за използване на облачни услуги. Пето, предупреждението преминава през триаж спрямо процедурата за реагиране при инциденти. Шесто, екипът по сигурността определя дали е имало реално разкриване, дали данните са били криптирани, дали доставчикът ги е обработил или съхранил, дали критериите за нарушение по GDPR са изпълнени и дали се прилагат прагове за инцидент по NIS2 или DORA.
Политика за журналиране и мониторинг за МСП, раздел „Изисквания за управление“, клауза 5.4.3, казва на екипа точно какво трябва да бъде видимо:
Журнали за достъп: достъп до файлове (особено за чувствителни или лични данни), промени в разрешенията, използване на споделени ресурси Политика за журналиране и мониторинг - МСП
Тази клауза е кратка, но решаваща. Ако достъпът до файлове, промените в разрешенията и използването на споделени ресурси не се журнализират, DLP разследването се превръща в предположение.
Съгласно NIS2 Article 23 значимите инциденти изискват поетапно докладване: ранно предупреждение в рамките на 24 часа от узнаването, уведомление за инцидент в рамките на 72 часа и окончателен доклад не по-късно от един месец след уведомлението за инцидент. Съгласно DORA, Articles 17 to 19 изискват финансовите субекти да откриват, управляват, класифицират, записват, ескалират и докладват значими инциденти, свързани с ИКТ. Класификацията включва загуба на данни, засягаща наличност, автентичност, цялостност или поверителност, заедно със засегнатите клиенти, продължителност, географски обхват, критичност и икономическо въздействие. Съгласно GDPR неоторизираното разкриване на лични данни може да изисква оценка на нарушението и, когато праговете са изпълнени, уведомяване.
Следователно DLP предупреждението не е просто събитие по сигурността. То може да се превърне в оценка на нарушение на поверителността, работен поток за инцидент по NIS2, класификация на ИКТ инцидент по DORA, тригер за уведомяване на клиенти и пакет от одиторски доказателства.
DLP контроли за GDPR Article 32
GDPR Article 32 често се превежда в списък от мерки: криптиране, поверителност, цялостност, наличност, устойчивост, тестване и възстановяване. За DLP ключът е защитата през жизнения цикъл.
Личните данни преминават през събиране, съхранение, използване, пренос, разкриване, срок за съхранение и изтриване. GDPR Article 5 изисква минимизиране на данните, ограничение на целите, ограничение на съхранението, цялостност, поверителност и отчетност. GDPR Article 6 изисква правно основание и съвместимост на целите. GDPR Article 9 изисква по-строги предпазни мерки за специалните категории лични данни.
DLP подпомага тези задължения, когато е свързана с класификация на данните, записи за законосъобразно обработване и одобрени пътища за трансфер.
| Въпрос по GDPR | DLP внедряване | Доказателства за съхранение |
|---|---|---|
| Минимизиране на личните данни | Откриване на масови експорти или ненужно репликиране | Предупреждения за експорт и обосновки на изключения |
| Цялостност и поверителност | Блокиране на външно споделяне на некриптирани поверителни данни | DLP правило, изискване за криптиране и журнал за блокирано събитие |
| Ограничение на целите | Ограничаване на трансфери към неодобрени аналитични или AI инструменти | SaaS списък с разрешени услуги, DPIA или запис от преглед на риска |
| Специални категории данни | Прилагане на по-строги етикети и правила за блокиране | Правила за класификация, преглед на достъпа и работен процес по одобрение |
| Отчетност | Поддържане на доказателства за предупреждения, решения и ремедиация | Билети за инциденти, одитна следа и записи от преглед от ръководството |
Политика за маскиране и псевдонимизация на данни - МСП на Clarysec, раздел „Цел“, клауза 1.2, подкрепя този подход през жизнения цикъл:
Тези техники са задължителни, когато не са необходими данни от работещи системи, включително при разработка, аналитични дейности и сценарии с външни доставчици на услуги, за да се намали рискът от експониране, неправомерно използване или нарушение. Политика за маскиране и псевдонимизация на данни - МСП
Това е практичен контрол за GDPR Article 32. Ако разработчици, анализатори или доставчици не се нуждаят от реални лични данни, DLP не трябва да бъде единствената бариера. Маскирането и псевдонимизацията намаляват обхвата на въздействието, преди данните изобщо да се преместят.
Силната DLP матрица, съгласувана с поверителността, трябва да картографира типовете лични данни към етикети за класификация, правно основание, одобрени системи, одобрени методи за експорт, изисквания за криптиране, DLP правила, правила за срокове за съхранение и тригери за инциденти. Тази матрица става мостът между управлението на поверителността и операциите по сигурността.
Киберхигиена по NIS2 и DLP отвъд екипа по поверителност
NIS2 променя разговора за DLP, защото разглежда изтичането като част от киберхигиената и устойчивостта, а не само като въпрос на поверителност.
Article 20 изисква управителните органи на съществените и важните субекти да одобряват мерките за управление на риска в киберсигурността, да упражняват надзор върху внедряването им и да получават обучение по киберсигурност. Article 21 изисква подходящи и пропорционални мерки в областите политика, обработване на инциденти, непрекъсваемост, верига на доставки, сигурна разработка, тестване на ефективността, киберхигиена, обучение, криптография, сигурност на човешките ресурси, контрол на достъпа и управление на активите. Article 25 насърчава използването на съответни европейски и международни стандарти и технически спецификации.
DLP допринася пряко за тези области:
| Област по NIS2 Article 21 | Принос на DLP |
|---|---|
| Анализ на риска и политики за сигурност на информационните системи | Идентифицира сценарии за изтичане на данни и дефинира изисквания за боравене |
| Обработване на инциденти | Насочва предполагаемо извличане на данни към триаж, ескалация и работни потоци за уведомяване |
| Непрекъсваемост на дейността | Защитава критична оперативна и клиентска информация |
| Сигурност на веригата на доставки | Управлява трансферите на данни към трети страни и достъпа на доставчици |
| Сигурна разработка | Предотвратява изтичане на изходен код, тайни и тестови данни от работещи системи |
| Тестване на ефективността | Позволява DLP симулации, настолни упражнения и проследяване на ремедиацията |
| Киберхигиена и обучение | Обучава потребителите на безопасни практики за трансфер и рискове от shadow IT |
| Криптография | Прилага криптиране за поверителни трансфери |
| Контрол на достъпа и управление на активите | Ограничава кой може да експортира чувствителни активи и журнализира дейността |
Политика за мрежова сигурност - МСП, раздел „Цели“, клауза 3.4, прави целта за извличане на данни изрична:
Предотвратяване на разпространението на зловреден софтуер и извличане на данни през мрежови канали Политика за мрежова сигурност - МСП
За NIS2 този тип цел дава на одиторите директен тестов път: покажете филтриране на изходящ трафик, DNS мониторинг, proxy журнали, предупреждения от крайни точки, блокирани опити за качване и билети за разследване.
Zenith Blueprint, стъпка 23, добавя специфично за облака действие, което вече е съществено за цифрови и ИКТ доставчици, обхванати от NIS2:
Избройте всички облачни услуги, които се използват в момента (5.23), включително shadow IT, когато е известно. Идентифицирайте кой ги е одобрил и дали е извършена надлежна проверка. Разработете лек контролен списък за оценка, който обхваща местонахождение на данните, модел на достъп, журналиране и криптиране. За бъдещи услуги гарантирайте, че контролният списък е интегриран в процеса на набавяне или въвеждане на ИТ.
Много организации се провалят именно тук. Те имат обхват на СУИС и регистър на доставчиците, но не и реален списък на SaaS инструментите, през които служителите преместват регулирани или клиентски данни. DLP без откриване на облачни услуги е сляпа.
ИКТ риск по DORA: DLP за финансови субекти и доставчици
За финансовите субекти DLP трябва да се вписва в рамката за управление на ИКТ риска по DORA.
DORA Article 5 изисква вътрешна рамка за управление и контрол за управлението на ИКТ риска. Управителният орган остава отговорен за ИКТ риска, политиките за запазване на наличността, автентичността, цялостността и поверителността на данните, ясните ИКТ роли, стратегията за цифрова оперативна устойчивост, толеранса към ИКТ риск, плановете за непрекъсваемост и реагиране/възстановяване, плановете за одит, ресурсите, политиката за трети страни и каналите за докладване.
Article 6 изисква документирана рамка за управление на ИКТ риска, обхващаща стратегии, политики, процедури, ИКТ протоколи и инструменти за защита на информацията и ИКТ активите. Article 9 разглежда защитата и превенцията. Articles 11 to 14 добавят непрекъсваемост, реагиране, възстановяване, резервни копия, възстановяване, проверки на целостта на данните, извлечени поуки, обучение за осведоменост и кризисни комуникации.
DLP се вписва в тази рамка като способност за защита, откриване, реагиране и тестване.
DORA също прави риска от трети страни неизбежен. Articles 28 to 30 изискват управление на ИКТ риска от трети страни, регистри на договорите за ИКТ услуги, надлежна проверка преди сключване на договор, договорни изисквания, права на одит и инспекция, права на прекратяване, изходни стратегии, описания на услуги, местоположения за обработване и съхранение на данни, достъп до данни, възстановяване и връщане, съдействие при инциденти, сътрудничество с органи, мерки за сигурност и условия за подизпълнение.
За fintech дружество или банка DLP не може да спира на границата на Microsoft 365 или Google Workspace. Тя трябва да обхваща обработващи плащания, доставчици за проверка на идентичност, CRM платформи, хранилища за данни, облачна инфраструктура, външно възложени бюра за поддръжка, доставчици на управлявани услуги и критични SaaS интеграции.
| Очакване по DORA | DLP доказателства |
|---|---|
| Управление на ИКТ, притежавано от управителния орган | DLP рискът е приет от ръководството, ролите са възложени и бюджетът е одобрен |
| Наличност, автентичност, цялостност и поверителност на данните | Класификация, криптиране, DLP правила и ограничения на достъпа |
| Жизнен цикъл на инцидента | Триаж на DLP предупреждения, класификация, анализ на първопричините и ескалация |
| Тестване на устойчивостта | DLP симулации, сценарии за извличане на данни и проследяване на ремедиацията |
| ИКТ риск от трети страни | Надлежна проверка на доставчици, договорни DLP клаузи и доказателства за местонахождение на данните |
| Одитируемост | Журнали, история на промените в правилата, одобрения на изключения и преглед от ръководството |
Това е особено важно, когато DORA действа като секторно-специфичен правен акт на Съюза за припокриващи се задължения по NIS2. Контролите все пак трябва да съществуват. Маршрутът за докладване и надзор може да се различава.
90-минутен спринт за DLP правило
Clarysec използва практичен спринт с клиенти, които се нуждаят от бърз напредък, без да се създава илюзия, че пълна DLP програма може да бъде изградена в една среща. Целта е да се внедри един DLP контрол с висока стойност — от политика до доказателства.
Стъпка 1: изберете един тип данни и един маршрут за трансфер
Изберете „лични данни на клиенти, експортирани от CRM и изпратени външно по електронна поща“. Не започвайте с всяко хранилище, държава и тип данни.
Стъпка 2: потвърдете класификацията и етикета
Използвайте политиката за класификация, за да потвърдите, че този експорт е „Поверителна“. В МСП клауза 6.3.3 изисква криптиране, ограничен достъп, изрично одобрение за споделяне и сигурно унищожаване. В корпоративна среда Политика за класификация и етикетиране на данни поддържа блокиране на предаване за неправилно етикетирани чувствителни данни и автоматизирано валидиране чрез DLP и инструменти за откриване.
Стъпка 3: дефинирайте разрешения модел за трансфер
Разрешено: CRM експорт, изпратен до одобрен клиентски домейн чрез криптирана електронна поща или одобрена платформа за сигурно споделяне на файлове, със служебна обосновка.
Не е разрешено: лична електронна поща, публични връзки за споделяне на файлове, неодобрени AI инструменти и неуправлявани облачни дискове.
Това е съгласувано със Zenith Blueprint, стъпка 22, която посочва:
Ако информация „Поверителна“ не е разрешено да напуска компанията без криптиране, тогава системите за електронна поща трябва да прилагат политики за криптиране или да блокират външното предаване.
Стъпка 4: конфигурирайте минималното DLP правило
Конфигурирайте платформата за електронна поща или сътрудничество да открива поверителния етикет, модела за лични данни или конвенцията за именуване на файлове при експорт. Започнете с мониторинг, ако се очакват фалшиво положителни резултати, след което преминете към блокиране за лични домейни и неодобрени получатели.
Стъпка 5: активирайте журналиране и маршрутизиране на предупреждения
Уверете се, че журналите обхващат достъп до файлове, промени в разрешенията и използване на споделени ресурси, както се изисква от Политика за журналиране и мониторинг - МСП. Насочвайте предупрежденията към опашката за билети със степен на сериозност, тип данни, подател, получател, име на файл, предприето действие и преглеждащо лице.
Стъпка 6: тествайте три сценария
Тествайте одобрен криптиран трансфер към клиент, блокиран трансфер към лична електронна поща и опит за качване в неодобрен облачен домейн само с предупреждение.
Стъпка 7: запазете доказателствата
Запазете препратката към клаузата от политиката, екранна снимка на DLP правилото, резултатите от теста, билета за предупреждението, решението на преглеждащото лице и одобрението от ръководството. Добавете контрола към Плана за третиране на риска и Декларацията за приложимост.
В термините на ISO/IEC 27001:2022 това упражнение свързва Clause 6.1.2 оценка на риска, Clause 6.1.3 третиране на риска, Clause 8 оперативно планиране и контрол, Annex A пренос на информация, предотвратяване на изтичане на данни, журналиране, мониторинг, контроли за доставчици и облачни услуги, и Clause 9 оценка на изпълнението.
Картографиране на съответствието: една DLP програма, множество задължения
Силата на подхода на Clarysec е, че избягва изграждането на отделни стекове от контроли за GDPR, NIS2, DORA, NIST и COBIT. Една добре проектирана DLP програма може да изпълни множество очаквания, ако доказателствата са структурирани правилно.
| Рамка | Какво очаква от DLP | Модел на доказателства на Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Контроли, базирани на риска, SoA, собственост, оперативни доказателства и непрекъснато подобрение | Регистър на риска, SoA, картографиране на политики, DLP правила, журнали и преглед от ръководството |
| GDPR Article 32 | Подходящи технически и организационни мерки за сигурност на личните данни | Класификация, криптиране, контрол на достъпа, маскиране, DLP предупреждения и оценка на нарушение |
| NIS2 | Киберхигиена, контрол на достъпа, управление на активите, криптиране, обработване на инциденти и сигурност на веригата на доставки | Одобрени политики, обучение, прегледи на доставчици, работен поток за инциденти и готовност за докладване в рамките на 24/72 часа |
| DORA | Управление на ИКТ риска, управление на инциденти, тестване на устойчивостта и надзор върху трети страни | Рамка за ИКТ риск, DLP тестване, класификация на инциденти, договори с доставчици и одитна следа |
| NIST CSF 2.0 | Управление, профили, риск във веригата на доставки, резултати от реагиране и възстановяване | Текущ и целеви профил, план за пропуски, критичност на доставчици и записи за реагиране |
| COBIT 2019 | Цели на управление, собственост върху контролите, способност на процесите и доказателства за уверение | RACI, показатели за процеси, докладване на резултатността на контрола и констатации от вътрешен одит |
NIST CSF 2.0 е полезен като комуникационен слой. Неговата функция GOVERN подпомага проследяването на правни, регулаторни и договорни изисквания, апетит за риск, прилагане на политиките, роли и надзор. Методът Profiles помага на организациите да определят текущия и целевия профил, да документират пропуските и да изпълнят план за действие. Функциите RESPOND и RECOVER подпомагат ограничаването на DLP инциденти, анализа на първопричините, форензичното запазване на доказателства и възстановяването.
COBIT 2019 добавя управленска перспектива. Одитор, ориентиран към COBIT, ще попита дали DLP целите са съгласувани с корпоративните цели, дали собствеността е ясна, дали съществуват показатели за изпълнение, дали е дефиниран апетит за риск и дали ръководството получава съдържателно докладване.
Как одиторите ще тестват вашата DLP програма
DLP одитите рядко се свеждат до една екранна снимка. Различният одиторски опит води до различни очаквания за доказателства.
| Одиторска перспектива | Вероятен одиторски въпрос | Доказателства, които работят |
|---|---|---|
| Одитор по ISO/IEC 27001:2022 | Идентифициран, третиран, внедрен и доказан ли е DLP рискът чрез СУИС? | Оценка на риска, SoA, План за третиране на риска, политики, DLP конфигурация и оперативни записи |
| Одитор по GDPR или поверителност | Можете ли да докажете, че личните данни са защитени, минимизирани, законосъобразно прехвърляни и оценени при нарушение? | Инвентар на данните, съгласуване с RoPA, класификация, журнали за трансфер, резултати от DPIA и запис за решение по нарушение |
| Оценител по NIS2 | Одобрени и тествани ли са свързаните с DLP мерки за киберхигиена, достъп, инциденти, доставчици и криптиране? | Одобрение от ръководството, записи за обучение, наръчници за инциденти, проверки на доставчици и упражнение по срокове за докладване |
| Надзорен орган по DORA или вътрешен одит | Подпомага ли DLP ИКТ риска, поверителността на данните, класификацията на инциденти, тестването на устойчивостта и надзора върху трети страни? | Рамка за ИКТ риск, тестова програма, записи за класификация на инциденти, договори с доставчици и изходни планове |
| Оценител по NIST | Управлявани, профилирани, приоритизирани, наблюдавани и подобрявани ли са DLP резултатите? | Текущ и целеви профил, План за действия и ключови етапи (POA&M), управленски записи и доказателства за реагиране |
| Одитор по COBIT 2019 или ISACA | Управлява ли се DLP като процес с отговорни собственици, показатели и уверение? | RACI, KPI, KRI, описания на процеси, тестване на контролите и проследяване на ремедиацията |
Силен DLP одиторски пакет включва декларация за обхвата и риска, схема за класификация, одобрени методи за трансфер, DLP правила, одобрения на изключения, дизайн на журналиране, процедура за триаж на предупреждения, дърво за вземане на решения при докладване на инциденти, инвентар на доставчици и облачни услуги, резултати от тестове и записи за ремедиация.
Чести DLP провали през 2026 г.
Най-честите DLP провали са оперативни, а не екзотични.
Първо, класификацията е незадължителна или непоследователна. Етикетите съществуват в политиката, но потребителите не ги прилагат, системите не ги налагат, а хранилищата съдържат години наред неетикетирани чувствителни файлове.
Второ, DLP се внедрява завинаги в режим само за предупреждения. Този режим е полезен при настройване, но високорисков трансфер на поверителни клиентски данни към лична електронна поща в крайна сметка трябва да бъде блокиран, освен ако няма одобрено изключение.
Трето, shadow IT се третира като ИТ неудобство, а не като риск за защита на данните. Политика за използване на облачни услуги и Политика за използване на облачни услуги - МСП са предназначени да направят неодобрените облачни инструменти видими, подлежащи на преглед и подлежащи на отстраняване.
Четвърто, журналите не са достатъчни за разследване. Ако екипът по сигурността не може да възстанови кой е осъществил достъп, споделил, изтеглил, качил или променил разрешения, организацията не може уверено да оцени задълженията за докладване по GDPR, NIS2 или DORA.
Пето, доставчиците са извън DLP модела. DORA Articles 28 to 30 правят това особено опасно за финансовите субекти, но проблемът засяга всеки сектор. Договорите трябва да дефинират местоположения на данните, достъп, възстановяване, връщане, съдействие при инциденти, мерки за сигурност, подизпълнение и права на одит.
Шесто, реагирането при инциденти не включва DLP сценарии. Погрешно насочен имейл, неоторизирано SaaS качване или масов CRM експорт трябва да имат наръчник, критерии за степен на сериозност и път за решение за уведомяване.
Накрая, организациите забравят физическите и човешките канали. Zenith Blueprint напомня, че DLP включва поведение за чисто бюро, сигурно шредиране, заключени опашки за печат, журнали за одит на принтери и осведоменост на служителите. DLP програма, която игнорира хартия, екранни снимки и разговори, е непълна.
Изградете DLP програма, на която одиторите могат да се доверят
Ако вашата DLP програма в момента е конфигурация на инструмент, 2026 г. е годината да я превърнете в управлявана и подкрепена с доказателства система от контроли.
Започнете с три практически действия:
- Изберете трите си най-важни типа чувствителни данни, като лични данни на клиенти, платежни данни и изходен код.
- Картографирайте къде се движат те, включително електронна поща, SaaS, облачно хранилище, крайни точки, програмни интерфейси (API), доставчици и среди за разработка.
- Изградете по едно приложимо DLP правило за всеки тип данни, свързано с политика, журналиране, реагиране при инциденти и съхранение на доказателства.
Clarysec може да ви помогне да ускорите това чрез Zenith Blueprint: 30-стъпкова пътна карта на одитора Zenith Blueprint, Zenith Controls: Ръководство за междурегулаторно съответствие Zenith Controls и готови за адаптиране политики като Политика за класификация и етикетиране на данни Политика за класификация и етикетиране на данни, Политика за дистанционна работа Политика за дистанционна работа, Политика за използване на облачни услуги Политика за използване на облачни услуги, Политика за журналиране и мониторинг - МСП Политика за журналиране и мониторинг - МСП и Политика за мобилни устройства и BYOD Политика за мобилни устройства и BYOD.
Целта не е да се спре движението на всеки файл. Целта е сигурното движение да бъде подразбиране, рисковото движение да бъде видимо, забраненото движение да бъде блокирано и всяко изключение да бъде отчетно.
Изтеглете инструментариумите на Clarysec, прегледайте своя DLP пакет с доказателства и резервирайте оценка на готовността, за да проверите дали текущите ви контроли могат да издържат на проверка по GDPR Article 32, очакванията за киберхигиена по NIS2 и прегледа на ИКТ риска по DORA.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
