Co je kompenzační opatření pro šifrování dat v klidu?

Kompenzační opatření je alternativní bezpečnostní opatření používané tehdy, když primární opatření, například šifrování dat v klidu, není proveditelné. Musí poskytovat srovnatelnou úroveň ochrany tím, že řeší stejná rizika, například důvěrnost dat při ztrátě nebo odcizení úložného zařízení. Mezi příklady patří prevence úniku dat (DLP), důsledné řízení přístupu a maskování dat.

Akceptují auditoři kompenzační opatření u rámců, jako je ISO/IEC 27001:2022?

Ano, auditoři akceptují dobře zdokumentovaná a účinná kompenzační opatření. Budou očekávat formální posouzení rizik odůvodňující potřebu daného opatření, důkazy o jeho konzistentním uplatňování (např. logy, reporty) a doložení, že původní riziko účinně snižuje. Klíčové je prokázat vyspělý přístup založený na rizicích, nikoli pouze omluvu mezery v kontrolním prostředí.

Jak kompenzační opatření souvisejí se souladem s GDPR?

GDPR Article 32 vyžaduje „vhodná technická a organizační opatření“ k ochraně osobních údajů. Šifrování je doporučené opatření, ale není ve všech případech striktně povinné. Pokud šifrování dat v klidu není možné, robustní sada kompenzačních opatření, jako je pseudonymizace, maskování dat a přísné monitorování přístupu, může pomoci doložit náležitou péči a splnit požadavek na zajištění odpovídající úrovně zabezpečení.

Jaké jsou nejčastější chyby při zavádění kompenzačních opatření?

Mezi časté chyby patří nedostatečná dokumentace, chybějící formální akceptace rizika vlastníkem byznysu, zavedení opatření, která nepokrývají všechny vektory hrozeb (např. opomenutí cloudových synchronizačních služeb), a zanedbání pravidelného testování jejich účinnosti. Opatření existující pouze na papíře neposkytuje skutečnou ochranu a auditora neuspokojí.

Může prevence úniku dat (DLP) skutečně nahradit šifrování dat v klidu?

DLP šifrování nenahrazuje, ale může být silným kompenzačním opatřením. Šifrování zajistí, že odcizená data jsou nečitelná. Cílem DLP je zabránit odcizení dat už na začátku prostřednictvím monitorování a blokování neoprávněných přenosů dat. V kombinaci s dalšími vrstvami, jako je přísné řízení přístupu a fyzická bezpečnost, vytváří velmi účinnou ochranu, která může u konkrétních zdokumentovaných případů použití poskytnout úroveň ochrany srovnatelnou se šifrováním.

NIS2 DORA GDPR NIST COBIT 2019

Šifrování dat v klidu není možné? Průvodce pro CISO k neprůstřelným kompenzačním opatřením

Clarysec Editors

November 25, 2025

18 min read

#Řízení rizik #Audit #ISMS #Ochrana údajů #Kompenzační opatření

Vývojový diagram znázorňující třífázový postup CISO při zavádění kompenzačních opatření pro šifrování dat v klidu, včetně posouzení rizik, vícevrstvé ochrany (DLP, maskování dat, řízení přístupu) a auditní dokumentace napříč rámci ISO 27001, GDPR a NIST.

Zjištění auditora dopadlo na stůl ředitelky informační bezpečnosti Sarah Chenové se známou tíhou. Kritická legacy databáze generující příjmy, provozní srdce výrobní linky společnosti, nepodporovala moderní šifrování dat v klidu. Její základní architektura byla deset let stará a dodavatel už dávno přestal poskytovat bezpečnostní aktualizace. Auditor ji oprávněně označil za významné riziko. Doporučení znělo: „Šifrovat všechna citlivá data v klidu pomocí algoritmů odpovídajících odvětvovým standardům.“

Pro Sarah to nebyl jen technický problém; byla to krize kontinuity činností. Upgrade systému by znamenal měsíce výpadku a náklady v řádu milionů, což bylo pro správní radu nepřijatelné. Ponechat rozsáhlý soubor citlivého duševního vlastnictví nezašifrovaný však představovalo nepřijatelné riziko a jasnou odchylku od jejich systému řízení bezpečnosti informací (ISMS).

Tento scénář odpovídá realitě kybernetické bezpečnosti, kde jsou dokonalá řešení vzácná a soulad nelze pozastavit. Nastává, když jsou kritické záložní soubory uloženy na legacy systémech, když klíčový poskytovatel SaaS odkazuje na „technická omezení“ nebo když vysoce výkonné aplikace selhávají pod zátěží režie spojené se šifrováním. Učebnicová odpověď „prostě to zašifrujte“ často narazí na komplikovanou realitu.

Co tedy dělat, když primární předepsané opatření nelze použít? Riziko se jednoduše neakceptuje bez dalšího. Vybuduje se chytřejší a odolnější ochrana pomocí kompenzačních opatření. Nejde o výmluvy; jde o prokázání vyspělého řízení bezpečnosti založeného na rizicích, které obstojí i při nejpřísnějším auditním přezkumu.

Proč je šifrování dat v klidu požadavkem s vysokou prioritou

Šifrování dat v klidu je základním opatřením ve všech moderních bezpečnostních rámcích, včetně ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA a NIST SP 800-53 SC-28. Jeho účel je jednoduchý, ale kritický: zajistit, aby uložená data byla nečitelná, pokud selže fyzická nebo logická ochrana. Ztracená záložní páska nebo odcizený server obsahující nezašifrovaná data nejsou jen technickým pochybením; často jde o porušení zabezpečení dat podléhající oznamovací povinnosti.

Rizika jsou jasná a významná:

Krádež nebo ztráta přenosných médií, jako jsou USB disky a záložní pásky.
Expozice dat z nespravovaných, zapomenutých nebo legacy zařízení.
Nemožnost použít nativní šifrování disku nebo databáze v konkrétních kontextech SaaS, cloudových, OT nebo legacy prostředí.
Rizika obnovy dat při ztrátě nebo nesprávné správě šifrovacích klíčů.

Tyto požadavky nejsou pouze technické; představují právní povinnosti. GDPR Article 32 a DORA Articles 5 and 10 výslovně uznávají šifrování jako „vhodné technické opatření“. NIS2 je stanovuje jako základ pro zajištění integrity systémů a informací. Pokud tato primární ochrana není proveditelná, důkazní břemeno přechází na organizaci: musí prokázat, že její alternativní opatření jsou stejně účinná.

Od jedné zaškrtávací položky k vícevrstvé ochraně

První reakcí na auditní zjištění, jako bylo to Sarahino, bývá často panika. Dobře strukturovaný ISMS však s takovými situacemi počítá. Sarahin první krok nebyl telefonát infrastrukturnímu týmu; otevřela Politiku kryptografických opatření své organizace, dokument vytvořený s využitím podnikových šablon Clarysec. Přešla přímo na ustanovení, které poskytovalo základ pro její strategii.

Podle Politiky kryptografických opatření část 7.2.3 výslovně popisuje proces pro definování:

„Konkrétních kompenzačních opatření, která mají být uplatněna“

Toto ustanovení je pro CISO zásadní oporou. Uznává, že univerzální přístup k bezpečnosti je chybný, a poskytuje schválenou cestu k ošetření rizika. Politika nefunguje izolovaně. Jak uvádí kapitola 10.5, je přímo propojena s Politikou klasifikace a označování dat, která „definuje úrovně klasifikace (např. důvěrné, regulované), jež spouštějí konkrétní požadavky na šifrování“.

Toto propojení je klíčové. Data v legacy databázi byla klasifikována jako „Důvěrné“, což byl důvod, proč byla absence šifrování označena za zjištění. Sarahin úkol byl nyní jasný: vybudovat tak robustní soubor kompenzačních opatření, aby snížil riziko expozice na přijatelnou úroveň.

Návrh obhajitelné strategie se Zenith Blueprint

Šifrování je základním kamenem moderní bezpečnosti, ale jak vysvětluje Clarysec Zenith Blueprint: 30krokový plán auditora v kroku 21, opatření 8.24 Použití kryptografie není jen o „zapnutí šifrování“. Jde o „začlenění kryptografie do návrhu organizace, politik a řízení životního cyklu“.

Pokud jedna část návrhu (legacy databáze) selže, musí ji kompenzovat politika a aspekty životního cyklu. Sarahin tým použil tento rámec k návrhu vícevrstvé ochrany postavené na tom, aby data nikdy neopustila svůj zabezpečený, byť nezašifrovaný, kontejner.

Kompenzační opatření 1: prevence úniku dat (DLP)

Pokud data nelze zašifrovat tam, kde se nacházejí, musí být zajištěno, že je nelze odnést. Sarahin tým nasadil řešení prevence úniku dat (DLP), které fungovalo jako digitální strážce. Nešlo o jednoduché síťové pravidlo; šlo o sofistikované opatření zohledňující obsah.

S využitím Clarysec Zenith Controls: průvodce souladem napříč rámci nakonfigurovali systém DLP podle pokynů pro opatření ISO/IEC 27001:2022 8.12 Prevence úniku dat. Pravidla byla přímo odvozena z 5.12 Classification of information. Jakákoli data odpovídající schématům „důvěrných“ informací v legacy databázi byla automaticky blokována při pokusu o přenos e-mailem, nahrání na web nebo dokonce při kopírování a vkládání do jiných aplikací.

Jak vysvětluje Zenith Controls:

„Prevence úniku dat (DLP) zásadně závisí na přesné klasifikaci dat. Opatření 5.12 zajišťuje, že data jsou označována podle citlivosti… DLP je specializovaná forma průběžného monitorování zaměřená na pohyb dat… 8.12 může vynucovat šifrovací politiky pro data opouštějící organizaci a zajistit, že i pokud jsou data exfiltrována, zůstávají pro neoprávněné strany nečitelná.“

Toto opatření je uznáváno napříč více rámci a mapuje se na GDPR čl. 32, NIS2 čl. 21, DORA čl. 10 a NIST SP 800-53 SI-4. Jeho zavedením vytvořil Sarahin tým silnou ochrannou vrstvu, která zajistila izolaci nezašifrovaných dat.

Kompenzační opatření 2: maskování dat pro neprodukční použití

Jedním z největších rizik legacy dat je jejich používání v jiných prostředích. Vývojový tým často potřeboval data z produkčního systému k testování nových funkcí aplikace. Předání nezašifrovaných důvěrných dat nepřicházelo v úvahu.

Zde Sarah využila krok 20 dokumentu Zenith Blueprint, který pokrývá 8.11 Data masking. Průvodce upozorňuje, že auditoři se budou přímo ptát: „Používáte někdy skutečné osobní údaje v testovacích systémech? Pokud ano, jak jsou chráněny?“

Podle tohoto doporučení zavedl Sarahin tým přísný postup maskování dat. Každý datový extrakt vyžádaný vývojovým týmem musel projít automatizovaným procesem, který pseudonymizoval nebo anonymizoval citlivá pole. Jména zákazníků, proprietární vzorce a výrobní metriky byly nahrazeny realistickými, ale fiktivními daty. Toto jediné opatření odstranilo rozsáhlou plochu rizika a zajistilo, že citlivá data nikdy neopustila vysoce řízené produkční prostředí ve své původní podobě.

Kompenzační opatření 3: posílená fyzická a logická opatření

Po ošetření úniku dat a neprodukčního použití se poslední vrstva ochrany zaměřila na samotný systém. Sarahin tým vycházel z principů 7.10 Storage media v Zenith Controls a zacházel s fyzickým serverem jako s aktivem s vysokými bezpečnostními nároky. Ačkoli je 7.10 často spojováno s výměnnými médii, jeho principy řízení životního cyklu a fyzické bezpečnosti jsou plně použitelné.

Jak k tomuto tématu uvádí Zenith Controls:

„ISO/IEC 27002:2022 poskytuje v Clause 7.10 komplexní pokyny pro bezpečnou správu úložných médií po celý jejich životní cyklus. Norma doporučuje organizacím vést registr všech výměnných médií…“

Na základě této logiky byl server přesunut do samostatného uzamčeného racku v datovém centru, přístupného pouze dvěma jmenovitě určeným seniorním inženýrům. Fyzický přístup vyžadoval zápis při vstupu a byl monitorován kamerovým systémem CCTV. Na síťové straně byl server umístěn do segmentované VLAN pro legacy systémy. Pravidla firewallu byla nastavena na implicitní zamítnutí veškerého provozu s jediným výslovným pravidlem povolujícím komunikaci pouze z určeného aplikačního serveru na konkrétním portu. Tato vysoká míra izolace výrazně snížila útočnou plochu a učinila nezašifrovaná data neviditelnými a nedostupnými.

Auditní přezkum: předložení obhajitelné strategie z více perspektiv

Když se auditor vrátil k následnému přezkumu, Sarah nepředkládala výmluvy. Předložila komplexní plán ošetření rizik doplněný dokumentací, logy a živými ukázkami kompenzačních opatření svého týmu. Audit není jednorázová událost; je to diskuse vedená z různých perspektiv a CISO musí být připraven na každou z nich.

Perspektiva auditora ISO/IEC 27001: Auditor chtěl vidět provozní účinnost. Sarahin tým předvedl, jak systém DLP blokuje neoprávněný e-mail, ukázal běžící skript pro maskování dat a poskytl logy fyzického přístupu křížově porovnané s pracovními tikety.

Perspektiva GDPR a ochrany soukromí: Auditor se ptal, jak je vynucována minimalizace údajů. Sarah ukázala automatizované skripty pro bezpečné mazání dat v mezipaměti a proces pseudonymizace pro jakákoli data opouštějící produkční systém, v souladu s GDPR Article 25 (ochrana osobních údajů již od návrhu a ve výchozím nastavení). Politika kryptografických opatření pro SME výslovně přiřazuje pověřenci pro ochranu osobních údajů odpovědnost za to, že „zajišťuje soulad šifrovacích opatření s povinnostmi ochrany osobních údajů podle Article 32 GDPR“.

Perspektiva NIS2/DORA: Tato perspektiva se zaměřuje na provozní odolnost. Sarah předložila výsledky testů zálohování a obnovy izolovaného systému a bezpečnostní dodatky dodavatele k legacy softwaru, čímž doložila proaktivní řízení rizik požadované NIS2 Article 21 a DORA Article 9.

Perspektiva NIST/COBIT: Auditor používající tyto rámce hledá governance a metriky. Sarah předložila aktualizovaný Registr rizik s formální akceptací zbytkového rizika (COBIT APO13). Namapovala DLP na NIST SP 800-53 SI-4 (monitorování systému), segmentaci sítě na SC-7 (ochrana perimetru) a řízení přístupu na AC-3 a AC-4, čímž prokázala, že ačkoli SC-28 (ochrana informací v klidu) nebylo splněno přímo, je zavedena rovnocenná sada opatření.

Klíčové auditní důkazy pro kompenzační opatření

Aby Sarahin tým svou strategii účinně komunikoval, připravil důkazy přizpůsobené tomu, co auditoři očekávají.

Auditní perspektiva	Požadované důkazy	Běžný auditní test
ISO/IEC 27001	Záznamy v Registru rizik, záznamy o výjimkách z politik, pravidla DLP, evidence úložných médií	Přezkum logů rizik/výjimek, vyžádání logů akcí DLP; dohledání životního cyklu médií.
GDPR	Postupy maskování dat, připravenost na oznamování porušení zabezpečení, záznamy o mazání dat	Přezkum vzorků datových sad (maskované vs. nemaskované), testování spouštěčů DLP, simulace scénáře porušení zabezpečení.
NIS2/DORA	Výsledky testování zálohování/obnovy, bezpečnostní hodnocení dodavatelů, cvičení reakce na incidenty	Simulace pokusu o export dat; přezkum procesů nakládání se zálohami; testování opatření DLP na kritických datech.
NIST/COBIT	Logy technického monitorování, dokumentace integrace politik, rozhovory s pracovníky	Simulace exfiltrace dat, porovnání politiky s postupem, rozhovory s klíčovými správci dat a vlastníky systémů.

Tím, že Sarah tyto odlišné perspektivy předvídala, proměnila potenciální neshodu v ukázku bezpečnostní vyspělosti.

Praktické shrnutí pro váš další audit

Aby byla strategie jasná a obhajitelná, vytvořil Sarahin tým v Plánu ošetření rizik souhrnnou tabulku. Stejný přístup může použít jakákoli organizace.

Riziko	Primární opatření (neproveditelné)	Strategie kompenzačních opatření	Zdroj Clarysec	Důkazy pro auditora
Neoprávněné zpřístupnění dat v klidu	Šifrování celého disku (AES-256)	1. Prevence úniku dat (DLP): Monitorovat a blokovat všechny neoprávněné pokusy o exfiltraci dat na základě obsahu a kontextu.	Zenith Controls (8.12)	Konfigurace politiky DLP, logy upozornění, postupy reakce na incidenty.
		2. Přísné logické řízení přístupu: Izolovat server v segmentované síti s pravidly firewallu typu „deny-all“ a výrazně omezeným přístupem servisních účtů.	Zenith Controls (8.3)	Síťové diagramy, sady pravidel firewallu, přezkum přístupových práv uživatelů, politika přihlašovacích údajů servisních účtů.
		3. Posílená fyzická bezpečnost: Umístit server do samostatného uzamčeného racku s protokolovaným a monitorovaným fyzickým přístupem.	Zenith Controls (7.10)	Logy přístupu do datového centra, záznamy kamerového systému CCTV, výdejní listy klíčů od racku.
Použití citlivých dat v neprodukčních prostředích	Šifrování kopií testovacích dat	Maskování dat: Zavést formální postup pro pseudonymizaci nebo anonymizaci všech datových extraktů před použitím v testování nebo vývoji.	Zenith Blueprint (krok 20)	Formální dokument Postup maskování dat, ukázka maskovacích skriptů, vzorek maskované datové sady.

Přehled souladu napříč rámci

Silná strategie kompenzačních opatření je obhajitelná napříč všemi hlavními rámci. Zenith Controls od Clarysec poskytuje mapování napříč rámci, aby vaše ochranná opatření byla univerzálně srozumitelná a přijatelná.

Rámec	Klíčová kapitola/reference	Jak jsou kompenzační opatření uznávána
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	Přístup založený na rizicích umožňuje při odůvodnění alternativní opatření, jako je DLP, správa úložných médií a maskování dat.
GDPR	čl. 5(1)(f), 25, 32	Vyžaduje „vhodná“ technická opatření; pseudonymizace, řízení přístupu a DLP mohou tento požadavek splnit, pokud šifrování není proveditelné.
NIS2	čl. 21, 23	Vyžaduje přístup založený na rizicích; vícevrstvá opatření, jako je DLP, ochrana záloh a kontroly dodavatelů, jsou platnými způsoby ošetření rizik.
DORA	čl. 5, 9, 10, 28	Zdůrazňuje provozní odolnost; DLP, řízení přístupu a robustní protokolování jsou klíčové pro ochranu finančních dat se šifrováním i bez něj.
NIST SP 800-53	SC-28, MP-2 až MP-7, AC-3/4, SI-4	Umožňuje kompenzační opatření; DLP (SI-4), omezení přístupu (AC-3) a sledování médií (řada MP) mohou řešit rizika nezašifrovaných dat.
COBIT	DSS05, APO13, MEA03	Zaměřuje se na governance a měření; zdokumentovaná akceptace rizika (APO13) a monitorování kompenzačních opatření (MEA03) dokládají náležitou péči.

Závěr: proměňte nejslabší článek v silnou stránku

Příběh nezašifrovatelné legacy databáze není příběhem selhání. Je to příběh vyspělého a promyšleného řízení rizik. Tím, že Sarahin tým odmítl přijmout jednoduchou odpověď „nejde to“, proměnil významnou zranitelnost v ukázku svých schopností vícevrstvé ochrany. Prokázal, že bezpečnost není o zaškrtnutí jediné položky označené „šifrování“. Jde o pochopení rizika a vybudování promyšlené, vícevrstvé a auditovatelné ochrany, která jej snižuje.

Vaše organizace bude nevyhnutelně mít vlastní obdobu této legacy databáze. Až ji najdete, nevnímejte ji jako překážku. Vnímejte ji jako příležitost vybudovat odolnější a obhajitelnější bezpečnostní program.

Jste připraveni vybudovat vlastní neprůstřelný rámec opatření připravený na audit? Začněte správnými základy.

Proveďte přezkum ekosystému svých politik pomocí komplexních sad politik Clarysec.
Prozkoumejte The Zenith Blueprint: 30krokový plán auditora, který vás provede implementací.
Využijte Zenith Controls: průvodce souladem napříč rámci, aby vaše ochranná opatření obstála při přezkumu z jakékoli perspektivy.

Kontaktujte Clarysec a domluvte si workshop na míru nebo úplné posouzení souladu napříč rámci. Protože v dnešním regulačním prostředí je připravenost jediným opatřením, na kterém záleží.

Reference:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council