Auditivalmis isikut tuvastava teabe kaitse GDPR-i, NIS2 ja DORA jaoks
Teavitus jõudis Sarah’ postkasti teisipäeval kell 22.00.
Kiiresti kasvava finantstehnoloogia SaaS-ettevõtte infoturbejuhina (CISO) olid hilisõhtused teavitused Sarah’le tuttavad. See teavitus oli teistsugune. Noorem arendaja oli uue analüütikafunktsiooni testimise käigus avanud vahekeskkonna andmebaasi avalikule lõpp-punktile. Andmebaas pidi sisaldama testandmeid, kuid hiljutine tootmiskeskkonna ja vahekeskkonna sünkroonimine oli täitnud selle tegeliku kliendi isikut tuvastava teabega.
Intsident ohjeldati kiiresti. Seejärel ilmnes teine leid. Samast andmekogumist oli kopeeritud migratsioonitabel nimega customer_users_final_v7.xlsx. See sisaldas nimesid, e-posti aadresse, rolliõigusi, kasutusloge, riigivälju, tugimärkmeid ja vabatekstikommentaare, mis ei oleks kunagi tohtinud testimise töövoogu jõuda. Fail oli kopeeritud ühiskettale, arendaja oli selle alla laadinud, lisanud selle piletile ja seejärel unustanud.
Südaööks ei tegelenud Sarah enam tehnilise väärkonfiguratsiooniga. Ta juhtis auditiprobleemi lahendamist.
Ettevõttel oli juba ISO/IEC 27001:2022 sertifikaat. Juhatus soovis enne ELi turule sisenemist kindlust GDPR-i nõuetele vastavuse suhtes. Finantsteenuste kliendid saatsid DORA taustakontrolli küsimustikke. Pilve- ja hallatud teenuste suhted tõstatasid NIS2 tarneahela küsimusi. Õigusosakond suutis kohustusi selgitada. Inseneritiim sai viidata krüpteerimisele. Tootetiimil olid lõimitud andmekaitse kavatsused. Kohaldatavusavalduses oli nimetatud privaatsust ja isikut tuvastava teabe kaitset.
Kuid keegi ei suutnud ühe jälgitava ahelana näidata, milline isikut tuvastav teave olemas oli, miks seda töödeldi, kes sellele juurde pääses, kus seda maskeeriti, millised tarnijad sellega kokku puutusid, kui kaua seda säilitati ja kuidas intsident GDPR-i, NIS2 või DORA alusel liigitataks.
Just see lünk selgitab, miks ISO/IEC 27701:2025 ja ISO/IEC 29151:2022 on olulised. Need ei ole pelgalt privaatsussildid. Need aitavad organisatsioonidel muuta privaatsuslubadused auditivalmis isikut tuvastava teabe kaitse kontrollimeetmeteks. ISO/IEC 27701:2025 laiendab ISO/IEC 27001:2022 infoturbe juhtimissüsteemi privaatsusteabe haldamiseks. ISO/IEC 29151:2022 lisab praktilised suunised isikut tuvastava teabe kaitsmiseks kogu selle elutsükli vältel.
Claryseci lähenemine on luua üks tõendusmaterjalipõhine privaatsuse ja turbe tegevusmudel, mitte eraldiseisvad vastavussilod. See mudel ühendab Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls ja Claryseci poliitikad üheks jälgitavaks süsteemiks GDPR-i, ISO/IEC 27001:2022, ISO/IEC 27701:2025, ISO/IEC 29151:2022, NIS2, DORA, NIST-põhise kindlustandmise ja COBIT 2019 juhtimisootuste jaoks.
Miks isikut tuvastava teabe kaitse on nüüd juhatuse tasandi auditiküsimus
Isikut tuvastava teabe kaitset käsitleti varem privaatsusmeeskonna vastutusena. Täna on see juhatuse tasandi usalduse, tegevuskerksuse ja regulatiivse vastavuse küsimus.
GDPR on endiselt isikuandmete kaitse lähtealus Euroopas ja sellest väljaspool. See määratleb isikuandmed, töötlemise, vastutava töötleja, volitatud töötleja, vastuvõtja, kolmanda isiku, nõusoleku ja isikuandmetega seotud rikkumise viisil, mis mõjutab SaaS-lepinguid, tugitegevusi, analüütikat, tootetelemeetriat, tarnijahaldust ja intsidentidele reageerimist. Selle põhimõtted nõuavad seaduslikkust, õiglust, läbipaistvust, eesmärgipiirangut, võimalikult väheste andmete kogumist, õigsust, säilitamise piirangut, terviklust, konfidentsiaalsust ja vastutust. Auditi mõttes ei küsi GDPR üksnes seda, kas andmed on krüpteeritud. See küsib, kas organisatsioon suudab tõendada, miks andmed olemas on ja kuidas nõuetele vastavus saavutatakse.
NIS2 tõstab küberturvalisuse juhtimise lati oluliste ja tähtsate üksuste jaoks kõrgemale. Article 21 nõuab küberturvalisuse riskijuhtimismeetmeid, sealhulgas riskianalüüsi, infosüsteemide turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvalisust, turvalist arendust, haavatavuste käsitlemist, kontrollimeetmete tõhususe hindamist, küberhügieeni, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust, autentimist ja turvalist sidet. Article 23 lisab etapilise intsidentidest teatamise, sealhulgas varajase hoiatuse 24 tunni jooksul, teavituse 72 tunni jooksul ja lõpparuande ühe kuu jooksul pärast teavitust.
DORA muudab arutelu finantsüksuste ja nende IKT-teenuseosutajate jaoks. Seda kohaldatakse alates 17. jaanuarist 2025 ning see loob ühtlustatud digitaalse tegevuskerksuse korra, mis hõlmab IKT-riski juhtimist, olulistest IKT-ga seotud intsidentidest teatamist, tegevuskerksuse testimist, IKT kolmandate osapoolte riski, lepingulisi nõudeid ja kriitiliste IKT kolmandast isikust teenuseosutajate järelevalvet. Paljude finantsüksuste jaoks toimib DORA valdkonnapõhise liidu õigusaktina seal, kus NIS2-ga samaväärsed kohustused kattuvad. Finantsasutusi teenindavate SaaS- ja IKT-tarnijate puhul avaldub DORA surve sageli lepingutingimustes, kliendiauditites, väljumise kavandamise nõuetes, intsidenditoe kohustustes ja tegevuskerksuse testimises.
ISO/IEC 27001:2022 annab juhtimissüsteemi selgroo. See nõuab konteksti, huvitatud osapooli, kohaldamisala, juhtkonna vastutust, poliitikaid, rolle, riskihindamist, riskikäsitlust, kohaldatavusavaldust, siseauditit, juhtkonna läbivaatust ja pidevat täiustamist. Lisa A sisaldab isikut tuvastava teabe kaitsega otseselt seotud kontrollimeetmeid, sealhulgas 5.34 privaatsus ja isikut tuvastava teabe kaitse, 5.18 juurdepääsuõigused, 8.11 andmete maskeerimine, 5.23 infoturve pilveteenuste kasutamisel, 8.15 logimine, 8.33 testteave, 8.24 krüptograafia kasutamine ja 8.10 teabe kustutamine.
Väljakutse ei seisne selles, et organisatsioonidel pole kontrollimeetmeid. Probleem on selles, et kontrollimeetmed on killustatud. Privaatsuskirjed on õigusosakonnas. Juurdepääsuõiguste ülevaatused on IT-s. Maskeerimisskriptid on inseneritiimis. Tarnijalepingud on hankeüksuses. Tõendusmaterjal paikneb piletites, kuvatõmmistes, arvutustabelites ja e-kirjades.
ISO/IEC 27701:2025 ja ISO/IEC 29151:2022 aitavad selle tõendusmaterjali ühendada privaatsusteabe halduse ja isikut tuvastava teabe kaitse praktikate ümber. Clarysec muudab selle struktuuri tegevusmudeliks.
ISMS-ist PIMS-ini: integreeritud privaatsuse kontrolliahel
ISO/IEC 27001:2022 ISMS vastab põhiküsimusele: kas infoturve on juhitud, riskipõhine, rakendatud, seiratud ja täiustatud?
Privacy Information Management System ehk PIMS laiendab seda küsimust isikuandmetele: kas privaatsusvastutused, isikut tuvastava teabe töötlemistoimingud, privaatsusriskid, vastutava töötleja ja volitatud töötleja kohustused, andmesubjekti õigused ning privaatsuskontrollide tõendusmaterjal on hallatud samas süsteemis?
ISO/IEC 27701:2025 laiendab ISMS-i privaatsuse juhtimisele. ISO/IEC 29151:2022 täiendab seda praktiliste isikut tuvastava teabe kaitse suunistega, sealhulgas kogumise piiramine, avaldamise haldamine, maskeerimise või pseudonüümimise rakendamine, edastuste kaitsmine, juurdepääsu piiramine ja kontrollimeetmete kooskõlastamine privaatsusriskiga.
| Kiht | Põhiküsimus | Tüüpiline audititõendus |
|---|---|---|
| ISO/IEC 27001:2022 | Kas olemas on juhitud, riskipõhine ISMS valitud ja toimivate kontrollimeetmetega? | Kohaldamisala, huvitatud osapooled, riskihindamine, käsitlusplaan, SoA, poliitikad, siseaudit, juhtkonna läbivaatus |
| ISO/IEC 27701:2025 | Kas privaatsusvastutused, privaatsusriskid ja isikut tuvastava teabe töötlemistoimingud on juhitud juhtimissüsteemi sees? | Privaatsusrollid, töötlemisregister, vastutava ja volitatud töötleja protseduurid, privaatsusriskide hindamised, DPIA-d, andmesubjekti taotluste protsess |
| ISO/IEC 29151:2022 | Kas praktilised isikut tuvastava teabe kaitse meetmed on rakendatud kogu andmete elutsükli vältel? | Isikut tuvastava teabe klassifitseerimine, juurdepääsupiirangud, maskeerimine, pseudonüümimine, säilitamise kontrollimeetmed, edastuste kaitsemeetmed, intsidenditõendus |
| GDPR | Kas organisatsioon suudab tõendada seaduslikku, õiglast, läbipaistvat, minimaalset, turvalist ja vastutustundlikku töötlemist? | Õigusliku aluse kirjed, privaatsusteated, DPIA-d, rikkumiste protsess, volitatud töötlejate lepingud, õiguste käsitlemine |
| NIS2 ja DORA | Kas organisatsioon suudab juhtida küberturvalisuse ja tegevuskerksuse riske, sealhulgas intsidente ja tarnijaid? | Juhtkonna järelevalve, IKT-riski raamistik, intsidentide klassifitseerimine, teatamise tööjuhised, tarnijaregistrid, auditeerimisõigused, talitluspidevuse testid |
See kihiline mudel väldib privaatsusvastavuse kõige tavalisemat viga: isikut tuvastava teabe käsitlemist lihtsalt järjekordse tundliku andmetüübina. Isikut tuvastav teave toob kaasa õiguslikud, eetilised, tegevuslikud, lepingulised ja mainega seotud kohustused. See vajab kontrolliahelat, mis algab teadlikkusest ja lõpeb tõendusmaterjaliga.
Alustage andmeteadlikkusest, mitte krüpteerimisskeemidest
Kõige sagedasem privaatsuse puudujääk, mida Clarysec näeb, on konteksti puudumine. Ettevõte ei saa kaitsta isikut tuvastavat teavet, kui ta ei tea, millist isikut tuvastavat teavet tal on, kus see asub, mis eesmärki see täidab, kui kaua seda hoitakse või kes sellele ligi pääseb.
Zenith Blueprint alustab seda tööd varakult riskijuhtimise etapis. Etapis 9, varade, ohtude ja haavatavuste tuvastamine, suunatakse organisatsioone teabevarasid inventeerima ja isikuandmeid selgelt märkima:
„Iga vara kohta kirjendage põhiandmed: nimi/kirjeldus, omanik, asukoht ja klassifikatsioon (tundlikkus). Näiteks võib vara olla „Kliendiandmebaas – omanik IT-osakond – majutatud AWS-is – sisaldab isiku- ja finantsandmeid (kõrge tundlikkus).””
Samuti lisatakse: „Veenduge, et isikuandmeid sisaldavad varad oleksid märgistatud (GDPR-i asjakohasuse jaoks) ja kriitilised teenusevarad oleksid märgitud (võimaliku NIS2 kohaldatavuse jaoks, kui tegutsete reguleeritud sektoris).”
See on ISO/IEC 27701:2025 ja ISO/IEC 29151:2022 kasutuselevõtu alus. Praktiline järjestus on lihtne:
- Tuvastage süsteemid, andmestikud, hoidlad, logid, aruanded, varukoopiad, tugivahendid, arenduskeskkonnad ja tarnijad, mis töötlevad isikut tuvastavat teavet.
- Määrake igale isikut tuvastavat teavet sisaldavale varale omanik.
- Klassifitseerige isikut tuvastav teave tundlikkuse, ärieesmärgi, õigusliku aluse, töötlemisrolli ja säilitamisnõude järgi.
- Siduge iga isikut tuvastavat teavet sisaldav vara ohtude, haavatavuste, riskistsenaariumide ja regulatiivsete kohustustega.
- Valige kontrollimeetmed, määrake tõendusmaterjal ja seirake toimimist aja jooksul.
Claryseci poliitikad muudavad selle teostatavaks. SME Data Protection and Privacy Policy-sme Andmekaitse- ja privaatsuspoliitika – VKE sätestab:
„Andmekaitsekoordinaator peab pidama kõigi isikuandmete töötlemistoimingute registrit, sealhulgas andmekategooriad, eesmärk, õiguslik alus ja säilitustähtajad.”
Jaotisest „Juhtimisnõuded”, poliitika punkt 5.2.1.
Suurettevõtete puhul kehtestab Data Protection and Privacy Policy Andmekaitse- ja privaatsuspoliitika range andmete minimaalsuse reegli:
„Koguda ja töödelda võib ainult andmeid, mis on vajalikud konkreetse õiguspärase ärieesmärgi jaoks.”
Jaotisest „Poliitika rakendamise nõuded”, poliitika punkt 6.2.1.
Need punktid muudavad GDPR-i aruandekohustuse igapäevaseks töökorralduseks. Samuti toetavad need privaatsusteabe haldust ja isikut tuvastava teabe kaitset, sest kohustavad organisatsiooni määratlema, millised andmed olemas on, miks need olemas on ja kas need on vajalikud.
Kolm kontrollimeedet, mis muudavad isikut tuvastava teabe kaitse tegelikuks
Kolm ISO/IEC 27001:2022 lisa A kontrollimeedet määravad sageli, kas isikut tuvastava teabe kaitse on auditis kaitstav: 5.34 privaatsus ja isikut tuvastava teabe kaitse, 8.11 andmete maskeerimine ja 5.18 juurdepääsuõigused.
5.34 Privaatsus ja isikut tuvastava teabe kaitse
Kontrollimeede 5.34 on juhtimiskeskus. Zenith Controls käsitleb 5.34 ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning seostub küberturvalisuse mõistetega Identify ja Protect ning tegevusvõimekustega teabekaitses ja õiguslikus vastavuses.
Zenith Controls teeb sõltuvuse selgeks:
„Teabevarade register (5.9) peaks hõlmama isikut tuvastava teabe andmevarasid (kliendiandmebaasid, personalifailid). See toetab 5.34 rakendamist, tagades, et organisatsioon teab, milline isikut tuvastav teave tal on ja kus see asub; see on esimene samm selle kaitsmiseks.”
Kontrollimeede 5.34 sõltub kontrollimeetmest 5.9 teabe ja muu seotud vara register, sest isikut tuvastavat teavet ei saa kaitsta, kui seda ei leita. See seostub ka kontrollimeetmega 5.23 infoturve pilveteenuste kasutamisel, sest suurem osa isikut tuvastavast teabest paikneb nüüd pilveplatvormidel, SaaS-tööriistades, analüütikakeskkondades ja hallatud teenustes.
Kõrge riskiga töötlemise puhul nõuab suurettevõtete Andmekaitse- ja privaatsuspoliitika järgmist:
„Kõrge riskiga töötlemissüsteemide puhul on ohumudeldamine ja andmekaitsealased mõjuhinnangud (DPIA-d) kohustuslikud.”
Jaotisest „Poliitika rakendamise nõuded”, poliitika punkt 6.3.4.
See punkt on kriitilise tähtsusega. See muudab privaatsuse disaini- ja riskijuhtimistegevuseks, mitte viimasel hetkel tehtavaks õiguslikuks ülevaatuseks.
8.11 Andmete maskeerimine
Kontrollimeede 8.11 on otsene vastus Sarah’ vahekeskkonna andmebaasi avalikustumisele. Zenith Controls kirjeldab 8.11 kui ennetavat konfidentsiaalsuse kontrollimeedet teabekaitse valdkonnas. See seob 8.11 kontrollimeetmega 5.12 teabe klassifitseerimine, sest maskeerimisotsused sõltuvad tundlikkusest, kontrollimeetmega 5.34, sest maskeerimine toetab privaatsuskaitset, ning kontrollimeetmega 8.33 testteave, sest testkeskkonnad ei tohiks paljastada tegelikku isikut tuvastavat teavet.
Data Masking and Pseudonymization Policy Andmete maskeerimise ja pseudonüümimise poliitika sõnastab reegli selgelt:
„Tegelikke isikuandmeid ei tohi kasutada arendus-, testimis- ega vahekeskkondades. Selle asemel tuleb kasutada maskeeritud või pseudonüümitud andmeid ning need tuleb genereerida eelnevalt heaks kiidetud teisendusmallide alusel.”
Jaotisest „Poliitika rakendamise nõuded”, poliitika punkt 6.3.
VKE-de puhul lisab Data Masking and Pseudonymization Policy-sme Andmete maskeerimise ja pseudonüümimise poliitika – VKE olulise turbe- ja tõendusnõude:
„Juurdepääs võtmetele peab olema krüpteeritud, juurdepääsukontrolliga kaitstud ja logitud.”
Jaotisest „Poliitika rakendamise nõuded”, poliitika punkt 6.2.1.3.
See on oluline, sest pseudonüümimine vähendab riski ainult siis, kui teisendusloogika, võtmed ja taasidentifitseerimise teed on kontrolli all.
5.18 Juurdepääsuõigused
Kontrollimeede 5.18 on vähima privileegi põhimõtte tegevuslik tuum. Zenith Controls käsitleb seda ennetavana, seotuna konfidentsiaalsuse, tervikluse ja käideldavusega ning paigutatuna identiteedi- ja juurdepääsuhalduse alla. See seob 5.18 kontrollimeetmetega 5.15 juurdepääsukontroll, 5.16 identiteedihaldus ja 8.2 privilegeeritud juurdepääsuõigused.
SME Data Classification and Labeling Policy-sme Andmete klassifitseerimise ja märgistamise poliitika – VKE sätestab:
„Juurdepääs peab olema piiratud konkreetselt volitatud kasutajatega, kellel on teadmisvajadus.”
Jaotisest „Juhtimisnõuded”, poliitika punkt 5.2.1.
Suurettevõtete Data Classification and Labeling Policy Andmete klassifitseerimise ja märgistamise poliitika lisab klassifitseerimise lähtealuse:
„Kõigile teabevaradele tuleb loomise või kasutuselevõtu ajal määrata selge klassifikatsioon. Selge klassifikatsiooni puudumisel tuleb varad vaikimisi määrata tasemele „Konfidentsiaalne”, kuni need on ametlikult läbi vaadatud.”
Jaotisest „Juhtimisnõuded”, poliitika punkt 5.4.
Koos moodustavad need kontrollimeetmed praktilise isikut tuvastava teabe kaitse ahela: tea, milline isikut tuvastav teave olemas on, klassifitseeri see, piira juurdepääsu, maskeeri see seal, kus täielik identiteet ei ole vajalik, kaitse võtmeid, logi juurdepääs ja säilita tõendusmaterjal.
Looge jälgitavus kohaldatavusavalduse kaudu
Privaatsuse juhtimissüsteem muutub auditivalmiks siis, kui see suudab jälgitavust tõendada. Zenith Blueprint, riskijuhtimise etapi 13. samm „Riskikäsitluse planeerimine ja kohaldatavusavaldus” kirjeldab kohaldatavusavaldust ühendava dokumendina:
„SoA on sisuliselt ühendav dokument: see seob teie riskihindamise ja riskikäsitluse tegelike kontrollimeetmetega, mis teil olemas on. Selle täitmisel kontrollite ka üle, kas mõni kontrollimeede jäi vahele.”
See põhimõte on ISO/IEC 27701:2025, ISO/IEC 29151:2022, GDPR-i, NIS2 ja DORA valmisoleku keskmes. Iga isikut tuvastava teabe kontrollimeede peab olema jälgitav nõudest riskini, riskist kontrollimeetmeni, kontrollimeetmest omanikuni, omanikust tõendusmaterjalini ning tõendusmaterjalist läbivaatuseni.
| Jälgitavuse element | Näide klienditoe isikut tuvastava teabe kohta | Oodatav tõendusmaterjal |
|---|---|---|
| Isikut tuvastavat teavet sisaldav vara | Klienditoe piletihaldusplatvorm klientide nimede, e-posti aadresside, logide ja manustega | Vararegistri kirje, omanik, pilveasukoht, klassifikatsioon |
| Töötlemise eesmärk | Klienditugi ja teenuse diagnostika | Töötlemisregister, õiguslik alus, säilitustähtaeg |
| Riskistsenaarium | Tugispetsialist või arendaja pääseb ligi ülemäärastele kliendiandmetele | Riskiregistri kirje, tõenäosus, mõju, omanik |
| Kontrollimeetme valik | 5.34 isikut tuvastava teabe kaitse, 5.18 juurdepääsuõigused, 8.11 maskeerimine, 8.15 logimine, 5.23 pilveteenuste juhtimine | SoA, juurdepääsupoliitika, maskeerimisstandard, logimise konfiguratsioon |
| Tegevuslik tõendusmaterjal | Rollipõhine juurdepääs, maskeeritud ekspordid, kvartaalne juurdepääsuõiguste ülevaatus, hulgi allalaadimiste teavitused | Juurdepääsuõiguste ülevaatuse kirjed, DLP-teavitused, logid, piletitõendus |
| Regulatiivne vastendus | GDPR-i aruandekohustus ja turvalisus, NIS2 riskijuhtimine, DORA IKT-riski ja tarnijanõuded | Vastavusmaatriks, intsidentide tööjuhis, tarnijalepingute register |
| Läbivaatuse tõendusmaterjal | Siseauditi leid suletud, juhtkonna läbivaatuse tegevus heaks kiidetud | Auditiaruanne, parandusmeede, juhtkonna läbivaatuse protokoll |
ISO/IEC 27005:2022 toetab seda riskipõhist lähenemist, rõhutades huvitatud osapoolte nõudeid, ühiseid riskikriteeriume, vastutavaid riskiomanikke, korratavat riskihindamist, riskikäsitlust, kontrollimeetmete valikut, kohaldatavusavalduse joondamist, jääkriski heakskiitu, seiret ja pidevat täiustamist. Isikut tuvastava teabe kaitse peab olema toimiv riskitsükkel, mitte ühekordne GDPR-i dokumentatsiooniharjutus.
Parandage riskantne arvutustabel ja vahekeskkonna andmebaas
Sarah’ intsidendi saab muuta korratavaks kontrollipaketiks, kui parandusmeetmeid käsitletakse süsteemselt.
| Samm | Tegevus | Claryseci tõendusmaterjali tulemus |
|---|---|---|
| 1 | Registreerige vahekeskkonna andmebaas ja arvutustabel isikut tuvastavat teavet sisaldavate varadena | Vararegistri kirjed omaniku, asukoha, klassifikatsiooni, isikut tuvastava teabe kategooriate, eesmärgi ja säilitamisega |
| 2 | Uuendage töötlemistoimingut | Registrikirje, mis näitab andmekategooriaid, õiguslikku alust, eesmärki ja säilitustähtaega |
| 3 | Klassifitseerige failid ja andmestikud | Vaikimisi rakendatud Konfidentsiaalne või kõrgem klassifikatsioon kuni ametliku läbivaatuseni |
| 4 | Eemaldage tegelik isikut tuvastav teave tootmisvälistest keskkondadest | Maskeeritud või pseudonüümitud andmestik, mis on loodud heakskiidetud teisendusmallide alusel |
| 5 | Piirake ja vaadake üle juurdepääs | Teadmisvajadusel põhinevad õigused, ülemäärase juurdepääsu tühistamine, juurdepääsuõiguste ülevaatuse kirje |
| 6 | Kaitske teisendusloogikat ja võtmeid | Krüpteeritud, juurdepääsukontrolliga kaitstud ja logitud võtmejuurdepääs |
| 7 | Koguge tõendusmaterjal keskselt | Varakirje, riskikirje, juurdepääsuõiguste ülevaatus, kustutamise tõend, maskeerimise heakskiit ja pileti sulgemine |
| 8 | Uuendage SoA-d ja riskikäsitluse plaani | Riskistsenaarium seotuna kontrollimeetmetega 5.34, 5.18, 8.11, 8.15, 8.10, 5.23 ja tarnijakontrollidega |
| 9 | Otsustage, kas DPIA on nõutav | DPIA või dokumenteeritud põhjendus kõrge riskiga töötlemise otsustele |
| 10 | Kirjendage õppetunnid | Uuendatud koolitus, turvalise arenduse reeglid, ekspordikontrollid, DLP seire ja testandmete juhised |
Audit and Compliance Monitoring Policy-sme Auditi ja vastavusseire poliitika – VKE sätestab:
„Kogu tõendusmaterjal tuleb säilitada keskses auditikaustas.”
Jaotisest „Poliitika rakendamise nõuded”, poliitika punkt 6.2.1.
Information Security Policy Infoturbepoliitika teeb laiema auditiootuse selgeks:
„Kõik rakendatud kontrollimeetmed peavad olema auditiks sobivad, neid peavad toetama dokumenteeritud protseduurid ja säilitatud tõendusmaterjal nende toimimise kohta.”
Jaotisest „Poliitika rakendamise nõuded”, poliitika punkt 6.6.1.
Need kaks punkti eristavad kontrollimeetme olemasolu suutlikkusest seda tõendada.
Ühe isikut tuvastava teabe kontrollikogumi ristvastendus
Isikut tuvastava teabe kaitset on lihtsam kaitsta, kui see vastendatakse raamistikesse enne, kui audiitor seda küsib.
| Isikut tuvastava teabe kaitse teema | GDPR-i asjakohasus | ISO/IEC 27001:2022, ISO/IEC 27701:2025 ja ISO/IEC 29151:2022 asjakohasus | NIS2 asjakohasus | DORA asjakohasus | NIST ja COBIT 2019 auditivaade |
|---|---|---|---|---|---|
| Isikut tuvastava teabe register ja töötlemisregister | Aruandekohustus, õiguslik alus, eesmärgipiirang, säilitamise piirang | ISMS-i kontekst, 5.9 varade register, privaatsusteabe haldus, isikut tuvastava teabe kaitse | Varahaldus ja riskianalüüs | IKT-varade ja teenusesõltuvuste teadlikkus | Funktsiooni Identify tõendusmaterjal ja teabevarade juhtimine |
| Juurdepääsuõigused ja vähima privileegi põhimõte | Terviklus ja konfidentsiaalsus, rollipõhiselt piiratud juurdepääs | 5.15 juurdepääsukontroll, 5.16 identiteedihaldus, 5.18 juurdepääsuõigused, 8.2 privilegeeritud juurdepääsuõigused | Juurdepääsukontroll, personaliturve, autentimine | IKT-riski kontrollimeetmed ja privilegeeritud juurdepääsu järelevalve | Juurdepääsu rakendamine, omanikuvastutus, vastutus ja seire |
| Maskeerimine ja pseudonüümimine | Andmete minimaalsus, lõimitud andmekaitse, töötlemise turvalisus | 5.12 klassifitseerimine, 5.34 isikut tuvastava teabe kaitse, 8.11 andmete maskeerimine, 8.33 testteave | Küberhügieen ja turvaline arendus | Turvaline testimine, andmekao vähendamine, talitluspidevus | Tehniliste kaitsemeetmete testimine ja kontrollimeetmete usaldusväärne toimimine |
| Intsidentide klassifitseerimine ja teatamine | Isikuandmetega seotud rikkumise hindamine ja teavitamine | Intsidendiplaanid, sündmuste hindamine, reageerimine, tõendite kogumine | 24 tunni varajane hoiatus, 72 tunni teavitus, lõpparuanne | Oluliste IKT-ga seotud intsidentide klassifitseerimine ja teatamine | Eskalatsioonikriteeriumid, otsuselogid, algpõhjus, parandusmeetmed |
| Tarnijate ja pilveteenuste töötlemine | Volitatud töötleja kohustused, edastused, lepingud | 5.21 IKT tarneahel, 5.23 pilveteenused, 5.31 õiguslikud ja lepingulised nõuded | Tarneahela turvalisus | IKT kolmandate osapoolte risk, auditeerimisõigused, väljumine ja üleminek | Kolmandate osapoolte juhtimine, kindlustandmine ja juhtkonna vastutus |
Siin on Zenith Controls eriti kasulik. 5.34 puhul vastendab see isikut tuvastava teabe kaitse varade registri, andmete maskeerimise ja pilveteenuste juhtimisega. 8.11 puhul vastendab see maskeerimise klassifitseerimise, privaatsuskaitse ja testteabega. 5.18 puhul vastendab see juurdepääsuõigused juurdepääsukontrolli, identiteedihalduse ja privilegeeritud juurdepääsuga. Need seosed võimaldavad meeskonnal selgitada mitte ainult seda, et kontrollimeede on olemas, vaid ka seda, miks see olemas on ja millised külgnevad kontrollimeetmed peavad koos sellega toimima.
Kuidas eri audiitorid testivad sama isikut tuvastava teabe kontrollimeedet
Ühte kontrollimeedet, näiteks 8.11 andmete maskeerimist, hinnatakse erinevalt sõltuvalt auditi vaatest.
| Audiitori tüüp | Põhifookus | Oodatav tõendusmaterjal |
|---|---|---|
| ISO/IEC 27001:2022 ja ISO/IEC 27701:2025 audiitor | ISMS-i ja PIMS-i integreerimine, riskikäsitlus, SoA täpsus | Riskihindamine, SoA kirje, maskeerimispoliitika, muudatuste kirjed, siseauditi tulemused |
| GDPR-i või andmekaitseasutuse hindaja | Lõimitud andmekaitse, minimaalsus, aruandekohustus | Töötlemisregister, õiguslik alus, DPIA, pseudonüümimise tõendusmaterjal, säilitamise loogika |
| NIS2 hindaja | Turvaline arendus, intsidentide ennetamine, juhtimine | Turvalise arenduse protseduur, arendajate koolitus, intsidendi parandusmeetmete tõendusmaterjal, kontrollimeetmete tõhususe ülevaatus |
| DORA klient või audiitor | IKT-alane tegevuskerksus ja kolmandate osapoolte risk | Kriitilise rakenduse testimise tõendusmaterjal, tarnijalepingu klauslid, intsidenditoe kohustused, taaste- ja väljumisplaneerimine |
| NIST-põhine või COBIT 2019 hindaja | Kontrollimeetme disain, toimimine, omanikuvastutus, seire | Kontrollimeetme omanik, mõõdikud, tõendusmaterjali hoidla, juhtkonna aruandlus, parandusmeetmed |
ISO/IEC 27001:2022 audiitor alustab juhtimissüsteemi loogikast. Kas isikut tuvastav teave kuulub kohaldamisalasse? Kas huvitatud osapoolte nõuded on tuvastatud? Kas privaatsusriske hinnatakse määratletud kriteeriumide alusel? Kas kontrollimeetmed valitakse riskikäsitluse kaudu? Kas SoA on täpne? Kas siseauditid ja juhtkonna läbivaatused katavad isikut tuvastava teabega seotud kontrollimeetmeid?
Privaatsuse hindaja alustab aruandekohustusest. Milliseid isikuandmeid töödeldakse? Mis on õiguslik alus? Kas andmesubjekte on teavitatud? Kas töötlemine on piiratud konkreetse eesmärgiga? Kas kõrge riskiga tegevusi hinnatakse? Kas volitatud töötlejad on juhitud?
NIS2-keskne hindaja alustab juhtimisest ja küberturvalisuse riskijuhtimisest. Kas juhtkond kinnitab meetmed ja teeb nende üle järelevalvet? Kas intsidentide käsitlemine, talitluspidevus, tarnijate turvalisus, juurdepääsukontroll, varahaldus, turvaline arendus ja kontrollimeetmete tõhususe hindamine on integreeritud?
DORA klient või audiitor küsib, kas IKT-riski juhtimine on dokumenteeritud, juhatuse tasandil juhitud, proportsionaalne ja lepingutega toetatud. Kui isikut tuvastavat teavet töödeldakse finantsüksusi toetavates teenustes, tuleb eeldada küsimusi intsidendiabi, andmetöötluskohtade, taaste, auditeerimisõiguste, teenustasemete, lõpetamise ja väljumise kohta.
COBIT 2019 või ISACA-stiilis hindaja testib juhtimise kooskõla. Kes omab isikut tuvastava teabe riski? Milline juhtorgan saab aruandlust? Kas vastutused on määratud? Kas tarnijaid seiratakse? Kas kõrvalekaldeid jälgitakse? Kas mõõdikuid kasutatakse otsustamiseks? Kas jääkrisk on ametlikult aktsepteeritud?
Üks tõendusmaterjali mudel saab rahuldada kõiki neid vaatenurki, kuid ainult siis, kui kontrollisüsteem on algusest peale kavandatud jälgitavaks.
Levinud auditileiud isikut tuvastava teabe kaitse programmides
Organisatsioonid, kes lähenevad ISO/IEC 27701:2025 või ISO/IEC 29151:2022 valmisolekule ilma integreeritud tööriistakomplektita, näevad sageli samu leide.
| Leid | Miks see on oluline | Claryseci parandusmeede |
|---|---|---|
| Isikut tuvastava teabe register ei hõlma logisid, varukoopiaid, analüütikaeksporte ega tugimanuseid | Varjatud isikut tuvastavat teavet ei saa usaldusväärselt kaitsta ega kustutada | Laiendage 9. sammu varade registrit ja töötlemisregistrit, et hõlmata kõik isikut tuvastava teabe asukohad |
| Testkeskkonnad kasutavad tootmisandmeid | Tegelik isikut tuvastav teave avaldub seal, kus see pole vajalik | Rakendage maskeerimispoliitika ja heakskiidetud teisendusmallid |
| Juurdepääsuõiguste ülevaatused on üldised ega keskendu isikut tuvastava teabe hoidlatele | Ülemäärane juurdepääs jääb tuvastamata | Vastendage 5.18 juurdepääsuõigused isikut tuvastava teabe varaomanike ja perioodilise läbivaatuse tõendusmaterjaliga |
| Õiguslik alus on dokumenteeritud, kuid süsteemide või säilitamisega sidumata | GDPR-i aruandekohustust ei saa tõendada | Lisage töötlemisregistrisse ja vararegistrisse õigusliku aluse ja säilitamise väljad |
| Tarnijalepingutes puuduvad andmete asukoht, intsidendiabi, auditeerimisõigused või väljumissätted | DORA, NIS2 ja GDPR-i tarnijakindlustuse lüngad jäävad alles | Viige tarnija hoolsuskontroll ja lepingud kooskõlla IKT kolmandate osapoolte ja pilveteenuste juhtimisega |
| Intsidentide tööjuhised ei erista turbeintsidente isikuandmetega seotud rikkumistest | Teatamistähtajad võivad jääda täitmata | Looge GDPR-i, NIS2 ja DORA teatamispäästikute klassifitseerimispuud |
| Tõendusmaterjal on hajutatud piletite, ketaste, kuvatõmmiste ja e-kirjade vahel | Auditivalmidus ebaõnnestub ka siis, kui kontrollimeetmed toimivad | Kasutage keskseid auditikaustu ja tõendusmaterjali nimetamistavasid |
Need leiud ei ole paberimajanduse probleemid. Need on tegevusmudeli probleemid. ISO/IEC 27701:2025 ja ISO/IEC 29151:2022 ei kõrvalda neid, kui privaatsuse juhtimine, turbekontrollid ja tõendusmaterjali haldus ei ole põimitud tavapärastesse töövoogudesse.
Mida juhtkond peaks enne järgmist auditit küsima
Enne ISO/IEC 27701:2025 valmisoleku, ISO/IEC 29151:2022 rakendamise või GDPR-i, NIS2 või DORA kliendihindamise alustamist peaks juhtkond esitama kümme otsest küsimust:
- Kas meil on täielik isikut tuvastava teabe töötlemistoimingute register, sealhulgas andmekategooriad, eesmärk, õiguslik alus ja säilitamine?
- Kas isikut tuvastavat teavet sisaldavad varad on vararegistris märgistatud, sealhulgas logid, varukoopiad, ekspordid, analüütikatööriistad ja tugimanused?
- Kas andmete klassifikatsioon määratakse loomisel või kasutuselevõtul ning läbivaatamata varad määratakse vaikimisi tasemele Konfidentsiaalne?
- Kas suudame tõendada, et juurdepääs isikut tuvastavale teabele on piiratud volitatud kasutajatega, kellel on teadmisvajadus?
- Kas arendus-, testimis- ja vahekeskkonnad kasutavad tegelike isikuandmete asemel maskeeritud või pseudonüümitud andmeid?
- Kas maskeerimismallid on heaks kiidetud, võtmed kaitstud, juurdepääsukontrolliga piiratud ja logitud?
- Kas SoA seob isikut tuvastava teabe riskid kontrollimeetmete ja regulatiivsete kohustustega?
- Kas pilve- ja tarnijalepingud vaadatakse üle andmete asukoha, turbe, intsidenditoe, auditeerimisõiguste, taaste ja väljumise osas?
- Kas meie intsidendiprotsess suudab klassifitseerida GDPR-i isikuandmetega seotud rikkumisi, NIS2 olulisi intsidente ja DORA olulisi IKT-ga seotud intsidente?
- Kas tõendusmaterjal säilitatakse keskselt ja viisil, mida audiitor saab jälgida?
Kui vastus mõnele neist küsimustest on ebaselge, ei ole organisatsioon veel auditivalmis.
Muutke isikut tuvastava teabe kaitse tõendatavaks
Sarah’ hilisõhtusest intsidendist oleks võinud saada killustatud vastavuspaine. Selle asemel võib sellest saada tugevama tegevusmudeli lähtepunkt: ISO/IEC 27001:2022 ISMS, mida laiendatakse privaatsusele ISO/IEC 27701:2025 kaudu, tugevdatakse ISO/IEC 29151:2022 praktikatega ning vastendatakse GDPR-i, NIS2, DORA, NIST-põhise kindlustandmise ja COBIT 2019 juhtimisootustega.
See on auditivalmis isikut tuvastava teabe kaitse tegelik väärtus. See ei sõltu õige arvutustabeli leidmisest enne audiitori saabumist. See sõltub süsteemist, mis juba teab, kus isikut tuvastav teave asub, miks see olemas on, kuidas seda kaitstakse, kes vastutab, millised tarnijad on kaasatud ja kus tõendusmaterjal paikneb.
Alustage rakenduse struktureerimiseks lahendusest Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint. Kasutage Zenith Controls: The Cross-Compliance Guide Zenith Controls, et vastendada isikut tuvastava teabe kaitse ISO/IEC 27001:2022, GDPR-i, NIS2, DORA, NIST-põhise kindlustandmise ja COBIT 2019 juhtimisootustega. Viige töö tegevustesse Claryseci poliitikatega, sealhulgas Data Protection and Privacy Policy Andmekaitse- ja privaatsuspoliitika, Data Masking and Pseudonymization Policy Andmete maskeerimise ja pseudonüümimise poliitika, Data Classification and Labeling Policy Andmete klassifitseerimise ja märgistamise poliitika, Audit and Compliance Monitoring Policy-sme Auditi ja vastavusseire poliitika – VKE ja Information Security Policy Infoturbepoliitika.
Kui teie järgmine kliendiaudit, GDPR-i läbivaatus, NIS2 valmisolekuprojekt või DORA tarnijahindamine on lähenemas, ärge oodake, kuni rikkumine lüngad nähtavaks teeb. Laadige alla Claryseci tööriistakomplektid, küsige demo või leppige kokku isikut tuvastava teabe kaitse hindamine ning looge privaatsusprogramm, mis ei ole üksnes nõuetele vastav, vaid ka kaitstav.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
