Andmete klassifitseerimine ISO 27001, GDPR, NIS2 ja DORA jaoks
2026. aasta auditihetk: „Näidake tõendusmaterjali“
On 2026. aasta veebruar ja kiiresti kasvava fintech SaaS-ettevõtte kvartaalne juhatuse koosolek ei kulge infoturbejuhi jaoks nii sujuvalt, kui ta eeldas.
Ettevõte sai hiljuti ISO/IEC 27001:2022 sertifikaadi. Kasutusel on MFA, lõppseadmete kaitse, haavatavuste skaneerimine, juurdepääsuõiguste ülevaatused, intsidentidele reageerimise protseduurid ja viimistletud DORA valmisolekuaruanne. Seejärel esitab tegevjuht küsimuse, mis muudab ruumi õhkkonda.
„Meie juhtiv investor küsib, kuidas saame tõendada, et klientide finantsandmed on kaitstud järjepidevalt AWS-is, Azure’is, meie SaaS-tugiplatvormil ja analüütikaandmelaos. Kui audiitor võtab ühe faili objektisalvestusest ja teise koostöökaustast, kuidas me teame, et nende suhtes kehtivad samad reeglid?“
Infoturbejuht avab vararegistri. Selles on andmebaasid, pilvekontod, rakendused, SaaS-platvormid ja salvestuskohad. Klassifitseerimise väli on aga puudulik. Mõned kaustad on nimetatud osakonna, mitte tundlikkuse järgi. Klientide ekspordid asuvad kõrvuti sisearuandluse failidega. Mõned tugimeeskonna arvutustabelid sisaldavad kliendi identifikaatoreid, makseviiteid ja juhtumimärkmeid, kuid on märgistatud kui „sisekasutuseks“. DLP-reeglid on olemas, kuid käivituvad ainult ilmselgete mustrite korral. Pilvepoliitika ütleb, et EL-i isikuandmed peavad jääma heakskiidetud piirkondadesse, kuid meeskond ei suuda tõendada, et andmete asukoha reeglid lähtuvad klassifitseerimise metaandmetest.
Seejärel lisab vastavusfunktsiooni juht regulatiivse vaate: „Kas see rahuldab GDPR Article 32, NIS2 Article 21 ja DORA IKT-riski tõendusmaterjali nõudeid?“
Aus vastus on: veel mitte.
See on 2026. aasta puudujääk, millega paljud organisatsioonid silmitsi seisavad. Neil on turbekontrollid, kuid puudub juhtimiskiht, mis ütleks igale kontrollimeetmele, mida kaitsta, kui tugevalt kaitsta ja kuidas seda tõendada. See juhtimiskiht on andmete klassifitseerimine ja teabe märgistamine.
ISO/IEC 27001:2022 mõttes ei ole klassifitseerimine ja märgistamine pelgalt dokumentide korrastamise kosmeetilised praktikad. Need on praktiline sild riskihindamise, juurdepääsukontrolli, krüptimise, säilitamise, DLP, pilveandmete asukoha, tarnijate hoolsuskontrolli, seire ja intsidentidest teatamise vahel. Claryseci rakendusmudelis paiknevad need ISMS-i tõendusahela keskmes: registreeri vara, määra omanik, klassifitseeri, märgista, rakenda käitlusreeglid, jälgi erandeid ja näita audiitoritele jälgitavust.
Miks klassifitseerimine ja märgistamine on nüüd juhatuse tasandi kontrollimeetmed
Regulaatorid ja kliendid eeldavad üha enam, et organisatsioonid suudavad näidata, et turvameetmed vastavad andmete tundlikkusele, teenuse kriitilisusele ja tõrke ärimõjule.
GDPR teeb selle vastutuse põhimõtte kaudu selgesõnaliseks. Article 5 nõuab, et isikuandmeid töödeldaks seaduslikult, õiglaselt ja läbipaistvalt, piirataks vajalikuga, säilitataks ainult nii kaua kui vaja ning kaitstaks asjakohaste tehniliste ja korralduslike meetmetega. Vastutav töötleja peab suutma ka vastavust tõendada. GDPR Article 32 nõuete tõendamine muutub keeruliseks, kui ei ole teada, millised süsteemid töötlevad isikuandmeid, millised andmed on kõrge riskiga või eriliigilised, kus neid säilitatakse ja millised kaitsemeetmed kehtivad.
NIS2 tõstab juhtimise lati kõrgemale. Article 20 nõuab, et oluliste ja tähtsate üksuste juhtorganid kiidaksid heaks küberturvalisuse riskijuhtimismeetmed, teostaksid nende rakendamise üle järelevalvet ja läbiksid koolituse. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, sealhulgas riskianalüüsi, turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvet hankimisel ja arendamisel, tõhususe hindamist, küberhügieeni, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli ja varahaldust. Klassifitseerimine ei ole selles loetelus eraldi kontrollkast. See on otsustusmehhanism, mis muudab need meetmed proportsionaalseks.
DORA rakendab sama loogikat finantsüksustele ja fintech-ökosüsteemidele. Alates 17. jaanuarist 2025 nõuab DORA dokumenteeritud IKT-riski juhtimise raamistikku, juhtorgani vastutust, konfidentsiaalsuse, tervikluse, käideldavuse ja autentsuse poliitikaid, intsidendi klassifitseerimist, vastupidavuse testimist ning IKT kolmandate osapoolte riskijuhtimist. DORA reguleeritud finantsüksuste puhul võib DORA toimida sektorspetsiifilise liidu õigusaktina kattuvate NIS2 riskijuhtimise ja aruandluskohustuste asemel, kuid tõendusmaterjali ootus jääb samaks: näidata, kuidas kriitilised teabe- ja IKT-varad tuvastatakse, kaitstakse, testitakse, seiratakse ja juhitakse.
ISO/IEC 27001:2022 sobib hästi selle tõendusmaterjali tegevusraamistikuks. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon mõistaks sisemisi ja väliseid teemasid, huvitatud osapoolte nõudeid, regulatiivseid ja lepingulisi kohustusi ning liideseid teiste organisatsioonidega. Punktid 6.1.1 kuni 6.1.3 nõuavad riskihindamist, riskikäsitlust, kontrollimeetmete valikut, kohaldatavusdeklaratsiooni ja säilitatavat tõendusmaterjali. ISO/IEC 27001:2022
Kui GDPR, NIS2 ja DORA küsivad: „Miks te neid meetmeid rakendasite?“, aitab ISO/IEC 27001:2022 vastata: „Sest need varad, andmetüübid, riskid, kohustused ja käsitlusotsused viisid meid siia.“
Klassifitseerimine on riskiotsus. Märgistamine on operatiivne signaal.
Clarysec eristab klassifitseerimist ja märgistamist, sest audiitorid teevad sama.
Klassifitseerimine on otsus teabe tundlikkuse, väärtuse ja kriitilisuse kohta. Märgistamine muudab selle otsuse igapäevases töös nähtavaks, püsivaks ja rakendatavaks.
Claryseci Andmete klassifitseerimise ja märgistamise poliitika – VKE sõnastab eesmärgi selgelt:
See poliitika määrab, kuidas kogu organisatsioonis käsitletav teave tuleb klassifitseerida ja märgistada, et selle konfidentsiaalsus, terviklus ja käideldavus säiliksid kogu elutsükli vältel.
Sama Andmete klassifitseerimise ja märgistamise poliitika – VKE nõuab organisatsioonidelt järgmist:
Iga andmevara tuleb klassifitseerida selle tundlikkuse alusel ja vastavalt märgistada, et suunata nõuetekohast käitlemist, säilitamist ja juurdepääsu.
Ettevõttekeskkondade jaoks määratleb Claryseci P13 Andmete klassifitseerimise ja märgistamise poliitika minimaalse klassifitseerimismudeli:
Organisatsioon peab hoidma standardiseeritud klassifitseerimisskeemi selgelt määratletud tasemetega. Vähemalt tuleb kasutada järgmisi klassifitseerimistasemeid: 5.1.1 Avalik: teave, mis on mõeldud avalikuks avaldamiseks ja piiranguteta levitamiseks 5.1.2 Sisekasutuseks: mitteavalik äriteave, mis ei ole mõeldud väliseks avaldamiseks 5.1.3 Konfidentsiaalne: tundlik äri-, lepinguline või kliendiandmestik, mis nõuab ranget juurdepääsukontrolli 5.1.4 Piiratud (või väga konfidentsiaalne): kriitiline või reguleeritud teave, mille loata avalikustamine võib põhjustada olulist kahju või õiguslikku vastutust
See eristus on oluline. „Konfidentsiaalne“ klassifikatsioon võib nõuda krüptimist, rollipõhist juurdepääsu ja lepingulisi kaitsemeetmeid. „Piiratud“ klassifikatsioon võib käivitada MFA, infoturbejuhi heakskiidu väliseks jagamiseks, tõhustatud logimise, rangema säilitamise juhtimise, eraldamise ja prioriteetse intsidendi eskaleerimise.
Ettevõttepoliitika on operatiivse märgistamise suhtes selgesõnaline:
Kõik teabevarad tuleb märgistada viisil, mis on: 6.2.1.1 Püsiv: mitte kergesti eemaldatav ega ülekirjutatav 6.2.1.2 Nähtav: kasutajatele kasutuskohas selge 6.2.1.3 Masinloetav: võimaluse korral tuleb toetada metaandmepõhist märgendamist
Masinloetavad märgised on koht, kus programm liigub teadlikkuselt rakendamisele. Kui märgised põhinevad metaandmetel, saavad pilveplatvormid, DLP-süsteemid, e-posti turvalüüsid, identiteeditööriistad, SIEM-i reeglid, CASB-platvormid ja säilitamismootorid nende alusel tegutseda. Kui märgis on ainult dokumendi jaluses, võib see kasutajaid aidata, kuid ei suuda reegleid ulatuslikult usaldusväärselt rakendada.
Kuhu kuulub klassifitseerimine Claryseci teekaardil
Claryseci Zenith Blueprint: audiitori 30-sammuline teekaart paigutab klassifitseerimise riskijuhtimise elutsüklis varajasse etappi, mitte tehnoloogia juurutamise järeltegevuseks. Riskijuhtimise etapis, sammus 9 „Varade, ohtude ja haavatavuste tuvastamine“, suunab teekaart meeskondi registreerima teabevarasid ning dokumenteerima omaniku, asukoha ja klassifikatsiooni.
See väldib levinud ebaõnnestumist: pilvevara register on olemas, kuid teabevara register puudub. Andmebaas, SaaS-i rentnik või andmeladu on tehnoloogiavara. Nendes sisalduvad kliendikirjed, töötajate failid, makselogid, mudelite koolitusandmestikud, tugivestluste transkriptsioonid ja intsidendi tõendusmaterjal on teabevarad. Klassifitseerimine toimub sellel teabetasemel.
Zenith Blueprint juhised ISO/IEC 27002:2022 kontrolli 5.12 „Teabe klassifitseerimine“ kohta selgitavad põhimõtet:
Iga kunagi kirjutatud infoturbekontroll — juurdepääsupiirang, krüptimine, varundus, seire või kõrvaldamine — eeldab üht: organisatsioon teab, mida ta kaitseb. Kontroll 5.12 nõuab, et teave oleks klassifitseeritud selle väärtuse, tundlikkuse ja kriitilisuse alusel, moodustades ISMS-is kõigi järgnevate otsuste aluse.
ISO/IEC 27002:2022 kontrolli 5.13 „Teabe märgistamine“ puhul muudab sama teekaart klassifitseerimise igapäevaseks käitumiseks:
Märgistamine on viis, kuidas muuta abstraktne poliitika operatiivseks tegelikkuseks. See on hetk, mil kasutaja saab dokumenti, e-kirja, andmebaasivälja või trükitud aruannet nähes kohe aru: mis teabega on tegemist, kui tundlik see on ja kuidas seda tuleb käsitleda.
Viimane seos teekaardil ilmneb sammus 13 „Riskikäsitluse kavandamine ja kohaldatavusdeklaratsioon“. Zenith Blueprint kirjeldab SoA-d sillana riskide, käsitluste ja kontrollimeetmete vahel. Siin muutub klassifitseerimine auditi jälgitavuseks. Riskistsenaariumi, näiteks „klientide finantsandmete loata avalikustamine jagatud pilvesalvestusest“, saab vastendada klassifitseerimise, märgistamise, juurdepääsukontrolli, krüptimise, logimise, DLP, pilveteenuste kasutamise, tarnijanõuete ja intsidentidele reageerimisega.
Kontrollisuhted, mida audiitorid eeldavad nägevat
Claryseci Zenith Controls: ristvastavuse juhend vastendab ISO/IEC 27002:2022 kontrolli 5.12 „Teabe klassifitseerimine“ ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust. See on seotud küberturvalisuse kontseptsiooniga Identify, operatiivse võimekusega Information Protection ning turbevaldkondadega Protection and Defense.
ISO/IEC 27002:2022 kontrolli 5.13 „Teabe märgistamine“ puhul vastendab Zenith Controls kontrolli ennetavana, keskendudes Protect-valdkonnale, samade infoturbe omaduste ja Information Protection operatiivse võimekusega.
Oluline järeldus on, et klassifitseerimine ja märgistamine ei ole eraldiseisvad. Need muudavad ümbritsevad kontrollimeetmed auditikindlaks.
| ISO/IEC 27002:2022 kontrollivaldkond | Miks see sõltub klassifitseerimisest või märgistamisest | Tõendusmaterjal, mida audiitor võib küsida |
|---|---|---|
| 5.9 Teabe ja muude seotud varade register | Klassifitseerimise metaandmed peaksid olema varade registri põhiväli | Vararegister, mis näitab omanikku, asukohta, elutsükli staatust ja klassifikatsiooni |
| 5.12 Teabe klassifitseerimine | Määratleb tundlikkuse, väärtuse ja kriitilisuse | Heakskiidetud klassifitseerimisskeem, kriteeriumid, näited ja läbivaatamise kirjed |
| 5.13 Teabe märgistamine | Muudab klassifikatsiooni nähtavaks ja rakendatavaks | Märgiste konfiguratsioon, märgistatud failide näidised, e-posti märgised, SaaS-i sildid ja kasutajajuhised |
| 5.14 Teabe edastamine | Määrab, kas väline jagamine, krüptimine või heakskiit on nõutav | Edastusreeglid klassifikatsiooni järgi, heakskiidetud kanalid ja erandite kirjed |
| 5.15 Juurdepääsukontroll | Juurdepääsuõigused peavad järgima klassifikatsiooni piire | Rollimaatriks, juurdepääsuõiguste ülevaatused, privilegeeritud juurdepääsu reeglid ja heakskiitude ajalugu |
| 5.25 Infoturbesündmuste hindamine ja otsustamine | Intsidendi tõsidus sõltub osaliselt mõjutatud andmete tundlikkusest | Intsidendi triaaži kriteeriumid, mis kasutavad klassifikatsiooni ja teenuse kriitilisust |
| 5.34 PII privaatsus ja kaitse | Isikuandmete kategooriad vajavad privaatsusspetsiifilist käitlemist | PII register, õigusliku aluse vastendus, säilitamisreeglid ja volitatud töötlejate kontrollimeetmed |
| 8.15 Logimine | Juurdepääs Piiratud andmetele nõuab tugevamat jälgitavust | Andmetele juurdepääsu logid, logide säilitamise seaded ja läbivaatamise tõendid |
| 8.16 Seiretegevused | Seire prioriteet muutub, kui puudutatakse Piiratud andmeid | SIEM-i kasutusjuhud, teavitamislävendid ja eskaleerimise kirjed |
Zenith Controls vastendab kontrolli 5.12 GDPR Article 32 ja Recital 83, NIS2 Article 21(2)(a) ja 21(2)(f), ISO/IEC 27701 Annex B, NIST SP 800-53 MP-3 ja PM-11, FIPS 199 ja NIST SP 800-60 ning COBIT 2019 DSS06.06 ja APO13.01 nõuetega. Kontroll 5.13 vastendatakse GDPR Article 32, NIS2 Article 21(2)(a) ja 21(2)(f), DORA Article 9(1) ja 9(2), NIST SP 800-53 MP-3 ning COBIT 2019 DSS06.06 nõuetega.
See tähendab, et üks tõendusmaterjali kogum saab vastata mitmele kindlustunde küsimusele.
| Vastavuse ajend | Klassifitseerimise ja märgistamise panus | Praktiline tõendus |
|---|---|---|
| GDPR Article 32 | Näitab, millised isikuandmed vajavad konfidentsiaalsuse, tervikluse, käideldavuse ja vastupidavuse kaitsemeetmeid | PII klassifikatsioon, krüptimisreeglid, juurdepääsupiirangud, säilitamise vastendus ja rikkumise triaaži kriteeriumid |
| NIS2 Article 21 | Toetab riskianalüüsi, turbepoliitikaid, tõhususe hindamist, juurdepääsukontrolli, varahaldust ja proportsionaalseid meetmeid | Juhtkonna heakskiidetud poliitika, vararegister, koolitus, läbivaatamise mõõdikud ja testitud käitlusreeglid |
| DORA IKT-riski juhtimine | Toetab teabe- ja IKT-varade tuvastamist ja kaitset, intsidendi klassifitseerimist ning IKT kolmandate osapoolte riski | IKT-varade register, andmete kriitilisus, tarnijalepingute nõuded, testimise ulatus ja intsidendi tõsiduse kriteeriumid |
| NIST CSF 2.0 | Toetab GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND ja RECOVER tulemusi | Praegused ja sihtprofiilid koos klassifitseerimislünkade ning prioriseeritud parandusmeetmetega |
| COBIT 2019 | Toetab juhtimis- ja protsessikontrolle turbe, andmekäitluse ja kontrollide toimimise jaoks | Kontrollieesmärgid, protsessiomandus, kindlustandvad testid ja erandite haldus |
Vararegister on koht, kus klassifitseerimisest saab tõendusmaterjal
Paljud klassifitseerimisprogrammid ebaõnnestuvad, sest klassifitseerimisskeem eksisteerib ainult poliitikas. Claryseci lähenemine algab vararegistrist.
Claryseci P12 Varahalduse poliitika nõuab, et vararegister sisaldaks minimaalse väljana klassifikatsioonitaset:
Vararegister peab sisaldama vähemalt järgmist: 5.3.1 Vara ID, kategooria ja tüüp 5.3.2 Seerianumber või unikaalne silt (füüsiliste varade puhul) 5.3.3 Tarkvaraversioon või litsentsivõti (tarkvaravarade puhul) 5.3.4 Varaomanik 5.3.5 Klassifikatsioonitase (Avalik, Sisekasutuseks, Konfidentsiaalne, Piiratud) 5.3.6 Asukoht (füüsiline, virtuaalne, pilv) 5.3.7 Elutsükli staatus (aktiivne, hoolduses, kasutuselt kõrvaldatud)
See on otseses kooskõlas ISO/IEC 27001:2022 riskiplaneerimisega. Kui te ei suuda teabevara, omanikku, asukohta ja klassifikatsiooni tuvastada, ei saa te järjepidevalt hinnata tõenäosust, mõju, käsitluse prioriteeti ega jääkriski. Samuti ei saa te kindlalt otsustada, kas tarnijasuhe, pilveteenus või SaaS-integratsioon mõjutab reguleeritud teavet.
GDPR-i puhul toetab see vastutust. Article 30 töötlemistoimingute kirjed ja Article 32 turvameetmed muutuvad usaldusväärsemaks, kui vararegister tuvastab, kus isikuandmeid töödeldakse ja kuidas neid kaitstakse. DORA puhul toetab sama register IKT-vara ja teenuse kriitilisust, vastupidavuse testimise ulatust ning kolmandate osapoolte sõltuvusanalüüsi. NIS2 puhul toetab see riskianalüüsi, juurdepääsukontrolli ja varahaldust.
| Väli | Näidiskirje |
|---|---|
| Vara nimi | Klientide arveldusandmebaas |
| Varaomanik | Platvormitehnika juht |
| Äriprotsess | Tellimuste arveldamine ja arvete esitamine |
| Asukoht | EL-i pilvepiirkond, hallatav andmebaasiteenus |
| Klassifikatsioon | Piiratud |
| Andmekategooriad | Kliendi identifikaatorid, arvelduskontakti andmed, tehinguviited |
| GDPR asjakohasus | Isikuandmed, vastutava töötleja ja volitatud töötleja kontekstid |
| Kriitilisus | Toetab tulutoiminguid ja klienditeenindust |
| Peamised kontrollimeetmed | MFA, krüptimine salvestatuna, krüptimine edastamisel, privilegeeritud juurdepääsu heakskiit, auditilogimine, varundustestimine |
| Tarnijasõltuvus | Pilveandmebaasi pakkuja, maksetöötleja |
| Läbivaatamise sagedus | Kvartaalne juurdepääsuõiguste ülevaatus, iga-aastane klassifikatsiooni läbivaatamine, läbivaatamine süsteemimuudatuse korral |
Selline kirje muudab auditi tooni. Selle asemel et öelda „usume, et tundlikud andmed on kaitstud“, saab organisatsioon näidata, mis andmetega on tegemist, kes neid omab, miks need on Piiratud, millised kontrollimeetmed kehtivad ja millal neid viimati üle vaadati.
Märgised peavad juhtima pilve- ja SaaS-käitlusreegleid
Enamik tundlikke andmeid liigub nüüd pilveplatvormide, SaaS-rakenduste, analüütikatorustike ja koostöövahendite kaudu. Poliitikast, mis ütleb kasutajatele „käsitlege konfidentsiaalseid andmeid ettevaatlikult“, ei piisa.
Claryseci P27 Pilveteenuste kasutamise poliitika seob pilveteenuste kasutamise otseselt klassifitseerimise ja andmete asukohaga:
Andmete klassifitseerimine ja asukoht 6.6.1 Andmeid ei tohi pilveplatvormile viia ilma klassifitseerimiseta kooskõlas andmete klassifitseerimise ja märgistamise poliitikaga (P13). 6.6.2 Andmete asukoha nõuded tuleb jõustada lepinguliselt (nt GDPR-reguleeritud andmete puhul säilitamine ainult EL-is). 6.6.3 Piiriülesed andmeedastused peavad vastama GDPR Chapter V nõuetele ja kohaldataval juhul DORA Article 28 nõuetele.
See on oluline, sest pilverisk tekib sageli mugavusest. Meeskond ekspordib andmestiku uude analüütikatööriista. Müük sünkroonib kliendiloendid automaatikaplatvormile. Arendaja kopeerib tootmisandmed testkeskkonda. Ilma klassifitseerimise ja märgistamiseta ei pruugi need tegevused käivitada õiguslikku läbivaatamist, turbeheakskiitu ega tarnijakontrolle.
Andmete klassifitseerimise ja märgistamise poliitika – VKE annab väiksematele organisatsioonidele lihtsa rakendusmustri:
Ühiskaustad või pilvekettad peavad kasutama kaustanimetusi või silte, mis näitavad klassifikatsiooni (nt „/Clients_Confidential“).
Küpsemates keskkondades tuleb kaustanimetusi täiendada masinloetavate märgiste, tingimusliku juurdepääsu poliitikate, välise jagamise blokeeringute, krüptimise, säilitamismärgiste, DLP-reeglite ja logimisega. Eesmärk ei ole üksnes teavet märgistada. Eesmärk on muuta märgis tegevusjuhiseks.
„Piiratud“ märgis võib käivitada välise jagamise blokeeringud, krüptimise salvestatuna ja edastamisel, MFA, allalaadimispiirangud haldamata seadmetes, auditilogide säilitamise, SIEM-i teavitused, säilitamisreeglid, tarnija asukohapiirangud ja intsidendi tõsiduse eskaleerimise.
P13 Andmete klassifitseerimise ja märgistamise poliitika seab baastaseme:
Kogu teabe andmekäitlus, edastus, juurdepääs, säilitamine ja kõrvaldamine peab vastama selle klassifikatsioonitasemele. Vähemalt: 6.3.1.1 Avalik: võib vabalt avalikustada; erikäitlust ei nõuta 6.3.1.2 Sisekasutuseks: jagatakse organisatsiooni sees; säilitatakse turvalistes sisemistes süsteemides 6.3.1.3 Konfidentsiaalne: 6.3.1.3.1 Juurdepääs on piiratud üksnes volitatud personalile 6.3.1.3.2 Peab olema krüpteeritud nii edastamisel kui ka salvestatuna 6.3.1.3.3 Väliselt võib jagada ainult NDA või samaväärsete lepinguliste kaitsemeetmete alusel 6.3.1.4 Piiratud: 6.3.1.4.1 Kehtivad kõrgeimad turbenõuded 6.3.1.4.2 Nõutavad on tugevad juurdepääsukontrollid, mitmefaktoriline autentimine (MFA) ja auditilogimine 6.3.1.4.3 Füüsiline ja loogiline eraldamine, kui see on teostatav 6.3.1.4.4 Väline jagamine on keelatud ilma infoturbejuhi heakskiiduta
Igal märgisel on käitumisreegel. Igal käitumisreeglil on kontrollimeede. Igal kontrollimeetmel on tõendusmaterjal.
Praktiline rakendamisnäide
Võtame näiteks fintech-analüütiku, kes loob faili Q3_2026_Customer_Churn_Analysis.xlsx. Arvutustabel sisaldab kliendi ID-sid, tehingumahtusid ja prognoosivat kliendikadu hindavat skoorimist.
Analüütik klassifitseerib selle Konfidentsiaalseks, sest see sisaldab kliendiandmeid ja strateegilist analüüsi. Ettevõtte teabekaitsetööriista kasutades rakendab analüütik Konfidentsiaalne märgise. Kuna märgis on püsiv, nähtav ja masinloetav, aktiveeruvad kontrollimeetmed automaatselt.
Fail krüpteeritakse salvestatuna nii seadmes kui ka pilvesalvestuses. Nähtav päis märgib selle Konfidentsiaalseks. Kui analüütik püüab seda sünkroonida isiklikule pilvekettale, blokeerib DLP-reegel toimingu ja logib katse. Kui analüütik püüab saata faili e-postiga välisele mittepartneri domeenile, paigutab e-posti turvalüüs sõnumi karantiini ja teavitab turbeoperatsioone. Kui fail klassifitseeritakse hiljem ümber Piiratuks, sest see sisaldab reguleeritud finantstehinguandmeid, keelatakse väline jagamine, välja arvatud juhul, kui infoturbejuht või andmete omanik erandi heaks kiidab.
See on tõendus, mida tegevjuht soovis. See on jälgitav, automatiseeritud ja seotud juhatuse heakskiidetud poliitikaga. See on kooskõlas ka P27 Pilveteenuste kasutamise poliitikaga, sest pilve liikumine ei ole lubatud ilma klassifitseerimiseta ning piiriülesed andmeedastused peavad vastama GDPR Chapter V nõuetele ja kohaldataval juhul DORA Article 28 nõuetele.
Loo klassifikatsiooni ja kontrollimeetmete maatriks ühe nädalaga
Täielik programm võtab aega, kuid sihitud sprint võib enne auditit, kliendiülevaatust või regulatiivset hindamist luua tõendusahela selgroo.
1. päev: kinnita klassifitseerimisskeem
Alusta neljast tasemest: Avalik, Sisekasutuseks, Konfidentsiaalne ja Piiratud. Kasuta P13 Andmete klassifitseerimise ja märgistamise poliitikat baastasemena. Määra kriteeriumid ärimõju, õigusliku mõju, lepingulise tundlikkuse, isikuandmete riski, teenuse kriitilisuse ja finantskahju alusel.
| Klassifikatsioon | Tüüpilised näited | Riskiloogika |
|---|---|---|
| Avalik | Heakskiidetud turundussisu, pressiteated, töökuulutused | Mõeldud piiranguteta levitamiseks |
| Sisekasutuseks | Sisemised protseduurid, projektimärkmed, siseteated | Mitteavalik äriteave |
| Konfidentsiaalne | Kliendilepingud, personalifailid, mitteavalik finantsaruandlus | Tundlik äri-, lepinguline või kliendiandmestik |
| Piiratud | Eriliigilised isikuandmed, makseandmed, autentimissaladused, tootmiskeskkonna kliendiandmebaasid | Kriitiline või reguleeritud teave olulise õigusliku või ärimõjuga |
2. päev: vali kümme kriitilist teabevara
Kasuta Zenith Blueprint sammu 9. Kaasa kliendiandmebaas, tugipiletite süsteem, HR-platvorm, identiteedipakkuja, makseekspordi fail, andmeladu, objektisalvestuse konteiner, juhatuse aruandluskaust, lähtekoodirepositoorium ja intsidendi tõendusmaterjali hoidla. Dokumenteeri omanik, asukoht, klassifikatsioon ja GDPR asjakohasus.
3. päev: kaardista käitlusreeglid
Määra käitlusnõuded juurdepääsule, säilitamisele, edastamisele, seirele ja kõrvaldamisele.
| Klassifikatsioon | Juurdepääs | Säilitamine | Edastamine | Seire | Kõrvaldamine |
|---|---|---|---|---|---|
| Avalik | Avatud või heakskiidetud avaldamisrollid | Heakskiidetud avalikud kanalid | Pärast heakskiitu eripiirang puudub | Põhiline tervikluse seire | Tavakustutamine |
| Sisekasutuseks | Töötajad ja heakskiidetud töövõtjad | Hallatud süsteemid | Sisemised kanalid | Tavapärased juurdepääsulogid | Tavaline säilitamisgraafik |
| Konfidentsiaalne | Teadmisvajaduse alusel | Heakskiidetud turvalised hoidlad | Krüptimine ja NDA või lepingulised kaitsemeetmed | Juurdepääsuõiguste ülevaatus ja DLP-teavitused | Turvaline kustutamine |
| Piiratud | Vähimate õiguste põhimõte koos MFA ja omaniku heakskiiduga | Eraldatud või kõvendatud süsteemid | Väline jagamine keelatud, kui puudub heakskiit | Tõhustatud auditilogimine ja SIEM-i teavitused | Kontrollitud turvaline hävitamine |
4. päev: seadista üks tehnilise rakendamise rada
Vali üks platvorm, näiteks pilvepõhine dokumendihoidla, e-posti süsteem või objektisalvestuse teenus. Rakenda nähtavad ja masinloetavad märgised. Seadista üks reegel Konfidentsiaalsete andmete ja üks reegel Piiratud andmete jaoks. Näiteks nõua Konfidentsiaalsete väliste e-kirjade krüptimist ja blokeeri Piiratud failide väline jagamine.
5. päev: ajakohasta riskiregister ja SoA
Kasuta Zenith Blueprint sammu 13. Lisa klassifitseerimise ja märgistamise kontrollimeetmed kohaldatavusdeklaratsiooni. Seo need riskidega, nagu loata avalikustamine, pilve väärkonfiguratsioon, tarnija ülemäärane kokkupuude, andmete säilitamise tõrge ja intsidendi alaraportimine.
6. päev: testi kontrollimeedet
Loo testfail, millel on Piiratud märgis. Proovi seda haldamata seadmest väliselt jagada. Kinnita, kas tööriist blokeerib, hoiatab, logib või eskaleerib. Kogu ekraanitõmmised, logikirjed ja piletite tõendusmaterjal. Kui kontrollimeede ebaõnnestub, dokumenteeri erand ja parandusmeetmete plaan.
7. päev: koolita esimese liini kasutajad
Koolitus peab olema rollipõhine. Arendajad peavad teadma, millal tootmisandmeid ei tohi testkeskkondades kasutada. HR peab mõistma, miks töötajate failid on Konfidentsiaalsed või Piiratud. Müük peab teadma, miks kliendiekspordid ei tohi sattuda heakskiitmata SaaS-tööriistadesse. Tippjuhid peavad mõistma, miks juhatuse materjalid, omandamisfailid ja investorite andmed vajavad tugevamat käitlemist.
See sprint ei lõpeta kogu programmi, kuid loob tõendusahela selgroo: poliitika, register, märgised, käitlusreeglid, tehniline rakendamine, riski jälgitavus ja koolitus.
Kuidas audiitorid klassifitseerimist ja märgistamist testivad
Audiitorid testivad klassifitseerimist harva eraldi. Nad järgivad andmeid.
ISO/IEC 27001:2022 audiitor seob klassifitseerimise ISMS-i kohaldamisala, huvitatud osapoolte nõuete, õiguslike ja lepinguliste kohustuste, riskihindamise ning kohaldatavusdeklaratsiooniga. Nad eeldavad tõendusmaterjali ISO/IEC 27002:2022 kontrollide 5.9, 5.12, 5.13, 5.14, 5.15, 5.34 ja asjakohaste tehniliste kontrollide kohta. Tüüpiline tõendusmaterjal hõlmab heakskiidetud poliitikaid, vararegistri kirjeid, riskiregistri kandeid, märgistatud näidiseid, käitlusreegleid, juurdepääsuõiguste ülevaatusi, siseauditi leide ja parandusmeetmeid.
GDPR-i ülevaataja keskendub isikuandmetele. Ta küsib, kas isikuandmed on tuvastatud, kas eriliigilised andmed on eristatud, kas säilitamisreeglid vastavad eesmärgile ning kas Article 32 turvameetmed on asjakohased. Klassifitseerimine aitab eristada tavalist äriteavet isikuandmetest, tundlikest isikuandmetest, konfidentsiaalsetest kliendiandmetest ja reguleeritud kirjetest. Märgistamine aitab operatiivmeeskondadel vältida juhuslikku avalikustamist, ülemäärast säilitamist ja loata edastamist.
NIST CSF 2.0 hindaja käsitleb klassifitseerimist tõenäoliselt GOVERN, IDENTIFY ja PROTECT vaates. Ta võib küsida, kas praegused ja sihtprofiilid määratlevad tundlike andmete avastamise, kas märgiste rakendamine töötab SaaS- ja pilvesüsteemides, kas tarnijad käsitlevad andmeid vastavalt klassifikatsioonile ning kas seireprioriteedid muutuvad tundlikkuse alusel.
COBIT 2019 või ISACA-stiilis audiitor rõhutab juhtimiseesmärke, protsessiomandust, kontrollide disaini ja toimimise tõhusust. Zenith Controls vastendab registrikontrolli 5.9 COBIT 2019 BAI09.01, BAI09.02 ja DSS05.04 nõuetega ning viitab ISACA ITAF 2204 ja 2301 nõuetele. Klassifitseerimise puhul vastendab Zenith Controls kontrolli 5.12 COBIT 2019 DSS06.06 ja APO13.01 nõuetega, samas kui märgistamine vastendatakse DSS06.06 nõudega. Audiitor küsib, kes protsessi omab, kuidas erandid heaks kiidetakse, kas toimivust seiratakse ja kas juhtkond saab aruandlust.
DORA-le keskenduv ülevaataja küsib, millised teabevarad toetavad kriitilisi või olulisi funktsioone, millised andmed on Piiratud, millised IKT kolmandatest osapooltest teenuseosutajad neid andmeid säilitavad või edastavad, kas lepingud määratlevad asukohad ja turvameetmed, kas testimise ulatus hõlmab kriitilisi andmeid ning kas intsidente klassifitseeritakse osaliselt andmekao järgi käideldavuse, autentsuse, tervikluse ja konfidentsiaalsuse lõikes.
Kui vastused tulevad ühest klassifikatsioonipõhisest varade ja tarnijate tõendusmudelist, muutuvad auditid kiiremaks, järjepidevamaks ja paremini kaitstavaks.
Levinud ebaõnnestumismustrid
Klassifitseerimise ebaõnnestumised tekivad tavaliselt seetõttu, et organisatsioonid käsitlevad märgiseid teadlikkuse tööriistadena, mitte kontrollisignaalidena.
Esiteks klassifitseeritakse dokumente, kuid mitte andmebaase, rakendusliideseid, logisid, varukoopiaid, ekspordifaile või SaaS-kirjeid. Tundlikud andmed silumislogis võivad olla sama kahjulikud kui tundlikud andmed arvutustabelis.
Teiseks märgistatakse teave, kuid märgiseid ei seota juurdepääsukontrolliga. Piiratud märgis koos avatud juurdepääsuga tõendab, et organisatsioon teadis tundlikkusest, kuid ei rakendanud käitlusreeglit.
Kolmandaks toimuvad pilvemigreerimised enne klassifitseerimist. Meeskonnad viivad andmeid uutesse SaaS-tööriistadesse ilma andmete asukohta, tarnijatingimusi, alltöötleja juurdepääsu, piiriüleste andmeedastuste nõudeid või kustutamisõigusi kinnitamata. P27 Pilveteenuste kasutamise poliitika käsitleb seda otseselt, keelates andmete liikumise pilveplatvormidele ilma klassifitseerimiseta.
Neljandaks eiravad intsidentidele reageerimise plaanid klassifitseerimist. Kui tõsiduse kriteeriumid ei hõlma andmete tundlikkust, raiskavad intsidendimeeskonnad kriisi ajal aega, et tuvastada, mida mõjutati. GDPR-i rikkumise analüüs, NIS2 intsidentide käsitlemine ja DORA intsidendi klassifitseerimine saavad kõik kasu kiirest andmekontekstist.
Viiendaks ei selgita SoA, miks klassifitseerimise ja märgistamise kontrollimeetmed on kohaldatavad. Organisatsioon võib olla märgised juurutanud, kuid SoA ei seo neid GDPR Article 32, NIS2 Article 21, DORA IKT-riski, kliendilepingute või konkreetsete riskistsenaariumidega.
Juhtkonna aruandlus: tee klassifitseerimine nähtavaks
NIS2 ja DORA muudavad küberturvalisuse juhtkonna vastutusküsimuseks. ISO/IEC 27001:2022 nõuab samuti juhtkonna pühendumust, poliitika kooskõla, ressursse, rolle ja toimivusaruandlust. Seetõttu peavad klassifitseerimismõõdikud jõudma juhtkonna läbivaatamisele.
Kasulikud mõõdikud hõlmavad järgmist:
- Kriitiliste teabevarade osakaal, millele on määratud omanikud.
- Varade osakaal, millel on heakskiidetud klassifikatsioon.
- Piiratud varade arv, millel puudub tõhustatud logimine.
- Konfidentsiaalsete või Piiratud hoidlate arv, millel on väline jagamine lubatud.
- Tarnijate osakaal, kes töötlevad Konfidentsiaalseid või Piiratud andmeid ja kelle lepinguklauslid on ajakohastatud.
- Klassifitseerimise erandite ja tähtaja ületanud parandusmeetmete arv.
- DLP-intsidendid märgise järgi.
- Piiratud varade juurdepääsuõiguste ülevaatuse lõpetamise määr.
- GDPR-reguleeritud andmete pilvesalvestuse asukohad.
- Intsidentidele reageerimise õppused, kus kasutati klassifikatsioonipõhiseid tõsiduse kriteeriume.
Need mõõdikud toetavad ISO/IEC 27001:2022 juhtkonna läbivaatamist, NIS2 juhtkonna järelevalvet, DORA juhtimisaruandlust ja klientidele kindluse andmist. Need muudavad klassifitseerimise arusaadavaks ka tippjuhtidele. Juhtkond saab kiiremini tegutseda, kui näeb, et mitmel Piiratud hoidlal puudub testitud taaste või et kriitilised tarnijad töötlevad kliendiandmeid ilma kinnitatud EL-i salvestuseta.
Poliitikast tõenduseni
Claryseci rakendusmuster on tõenduspõhine:
- Määratle klassifitseerimisskeem P13 Andmete klassifitseerimise ja märgistamise poliitikas või alusta Andmete klassifitseerimise ja märgistamise poliitika – VKE abil.
- Lisa klassifikatsioon vararegistrisse, kasutades P12 Varahalduse poliitikat.
- Rakenda pilvepiirangud ja andmete asukoha nõuded P27 Pilveteenuste kasutamise poliitika kaudu.
- Kasuta Zenith Blueprint sammu 9, et tuvastada teabevarad, omanikud, asukohad ja tundlikkus.
- Kasuta Zenith Blueprint sammu 13, et vastendada riskid kontrollimeetmetega SoA-s.
- Kasuta Zenith Blueprint sammu 22, et rakendada ISO/IEC 27002:2022 kontrollid 5.12 ja 5.13 igapäevases töös.
- Kasuta Zenith Controls, et vastendada sama tõendusmaterjal GDPR, NIS2, DORA, NIST CSF, COBIT 2019 ja toetavate standarditega.
- Testi märgiste rakendamist, juurdepääsupiiranguid, logimist, DLP-d ja intsidendi triaaži.
- Esita klassifitseerimise toimivus juhtkonnale.
- Vaata klassifikatsioon üle pärast olulisi süsteemi-, protsessi-, tarnija- või regulatiivseid muudatusi.
See toimib, sest klassifitseerimisest saab ühine keel äriväärtuse, õigusliku kohustuse, tehnilise kontrolli ja audititõendusmaterjali vahel.
Kui teie organisatsioon valmistub ISO/IEC 27001:2022 sertifitseerimiseks, GDPR-i kindlustunde andmiseks, NIS2 valmisolekuks, DORA kliendi hoolsuskontrolliks või kombineeritud vastavusauditiks, alustage ühest küsimusest:
Kas suudate iga kriitilise teabevara kohta näidata, mis see on, kes seda omab, kus see asub, kuidas see on klassifitseeritud, kuidas see on märgistatud, kes sellele juurde pääseb, kuidas see on kaitstud, kui kaua seda säilitatakse, milline tarnija sellega kokku puutub ja mis juhtub, kui see avalikustub?
Kui vastus on veel mitte, saab Clarysec aidata teil tõendusahela kiiresti ja auditikindlalt üles ehitada.
Kasutage Andmete klassifitseerimise ja märgistamise poliitikat – VKE, P13 Andmete klassifitseerimise ja märgistamise poliitikat, P12 Varahalduse poliitikat, P27 Pilveteenuste kasutamise poliitikat, Zenith Blueprint: audiitori 30-sammulist teekaarti ja Zenith Controls: ristvastavuse juhendit, et muuta klassifitseerimine staatilisest poliitikast operatiivseks kontrollikihiks GDPR Article 32, NIS2 küberriski juhtimise ja DORA IKT-riski tõendusmaterjali jaoks.
Parim aeg andmete klassifitseerimiseks oli enne auditipäringu saabumist. Järgmine parim aeg on enne järgmist pilvemigreerimist, tarnija kaasamisprotsessi, kliendi küsimustikku või intsidenti.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
