DLP 2026. aastal: ISO 27001 GDPR-i, NIS2 ja DORA nõuete täitmiseks
Kõik algab arvutustabelist.
Esmaspäeval kell 08:17 ekspordib kliendiedu juht CRM-ist 14 000 ettevõttekontakti, et valmistada ette lepingu uuendamise kampaania. Kell 08:24 lisatakse arvutustabel e-kirjale. Kell 08:26 saadetakse e-kiri isiklikule Gmaili kontole, sest töötaja soovib rongis tööd teha. Kell 08:31 laaditakse sama fail üles heakskiitmata AI-märkmeteenusesse, et „duplikaadid korda teha“.
Esmapilgul ei pruugi see veel rikkumisena paista. Puudub lunavaranõue, pahavara beacon, kompromiteeritud administraatorikonto ja avalik leke. Infoturbejuhi, vastavusjuhi ja andmekaitseametniku jaoks on tegelik küsimus siiski juba laual: kas organisatsioon suudab tõendada, et see andmeliikumine oli lubatud, klassifitseeritud, logitud, krüpteeritud, põhjendatud ja tagasipööratav?
Sama stsenaarium kordub finantsteenustes igal nädalal. Arendaja püüab faili Q1_Investor_Projections_DRAFT.xlsx isiklikule pilvekettale üles laadida, sest VPN on aeglane. Müügijuht ekspordib kliendiloendi tarbijatele mõeldud koostöörakendusse. Toeanalüütik kleebib kliendikirjed heakskiitmata AI-tööriista. Igal juhul võib eesmärk olla mugavus, mitte pahatahtlikkus, kuid risk on sama. Tundlikud andmed on ületanud või peaaegu ületanud piiri, mida organisatsioon ei kontrolli.
See on tänapäevane andmelekke vältimise probleem. DLP ei ole enam üksnes e-posti lüüsi reegel või lõppseadme agent. 2026. aastal on tõhus andmelekke vältimine juhitud ja tõendusmaterjaliga toetatud kontrollisüsteem, mis hõlmab SaaS-i, pilvesalvestust, lõppseadmeid, mobiilseadmeid, tarnijaid, rakendusliideseid, arenduskeskkondi, varukoopiate eksporti, koostöövahendeid ja inimlikke otseteid.
GDPR-i Article 32 eeldab töötlemise turvalisuse tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid. NIS2 Article 21 eeldab riskipõhiseid küberturbemeetmeid, sealhulgas küberhügieeni, juurdepääsukontrolli, varahaldust, tarneahela turvalisust, intsidentide käsitlemist, krüptimist ja tõhususe testimist. DORA eeldab, et finantsüksused juhivad IKT-riski juhtimise, tuvastamise, reageerimise, taastamise, testimise, kolmandate osapoolte järelevalve ja auditeeritavuse kaudu. ISO/IEC 27001:2022 annab juhtimissüsteemi selgroo, mis muudab need kohustused operatiivseks, mõõdetavaks ja auditeeritavaks.
Paljude organisatsioonide viga on DLP-tööriista ostmine enne, kui on määratletud, mida „leke“ tähendab. Claryseci lähenemine algab varem: andmed klassifitseeritakse, lubatud edastused määratletakse, poliitika jõustatakse, erandeid seiratakse, reageerimise tõendusmaterjal valmistatakse ette ja kõik seotakse ISMS-iga.
Nagu Zenith Blueprint: audiitori 30-sammuline teekaart ütleb etapis Controls in Action, Step 19, Technological Controls I:
Andmelekke vältimise eesmärk on peatada tundliku teabe loata või juhuslik avalikustamine, olenemata sellest, kas see toimub e-posti, pilve üleslaadimise, teisaldatavate andmekandjate või isegi unustatud väljatrüki kaudu. Kontroll 8.12 käsitleb vajadust seirata, piirata ja reageerida igale andmeliikumisele, mis väljub organisatsiooni usaldatud piiridest, sõltumata sellest, kas see on digitaalne, füüsiline või inimtegevusest põhjustatud. Zenith Blueprint
See lause võtab DLP 2026. aastal kokku: seira, piira ja reageeri.
Miks DLP on nüüd juhtkonna tasandi vastavusküsimus
Juhtkond ei küsi tavaliselt, kas DLP regulaaravaldis tuvastab riiklikud isikukoodid. Juhtkond küsib, kas organisatsioon suudab kaitsta klientide usaldust, jätkata tegevust, vältida regulatiivset kokkupuudet ja tõendada mõistlikku turvalisust, kui midagi läheb valesti.
Siin kohtuvad GDPR, NIS2 ja DORA.
GDPR kohaldub laialdaselt automatiseeritud isikuandmete töötlemisele, sealhulgas EL-is asutatud vastutavatele töötlejatele ja volitatud töötlejatele ning ELi-välistele organisatsioonidele, kes pakuvad ELis inimestele kaupu või teenuseid või seiravad nende käitumist. See määratleb isikuandmed laialt ning hõlmab toiminguid, nagu kogumine, säilitamine, kasutamine, avalikustamine, kustutamine ja hävitamine. Isikuandmete loata avalikustamine või neile loata juurdepääs võib olla isikuandmetega seotud rikkumine. GDPR-i Article 5 teeb selgeks ka vastutuse: organisatsioonid ei pea üksnes järgima põhimõtteid, nagu võimalikult väheste andmete kogumine, säilitamise piirang, terviklus ja konfidentsiaalsus, vaid peavad suutma ka vastavust tõendada.
NIS2 laiendab survet privaatsusest kaugemale. See kohaldub paljudele olulistele ja tähtsatele üksustele, sealhulgas sellistes sektorites nagu pangandus, finantsturu infrastruktuurid, pilveteenuse osutajad, andmekeskuse teenuse osutajad, hallatud teenuse osutajad, hallatud turbeteenuse osutajad, veebiturud, otsingumootorid ja sotsiaalvõrgustiku platvormid. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid, sealhulgas riskianalüüsi, infosüsteemide turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvalisust, turvalist arendust, tõhususe testimist, küberhügieeni, koolitust, krüptograafiat, juurdepääsukontrolli, varahaldust ja autentimist.
DORA kohaldub alates 17. jaanuarist 2025 ja toimib finantssektori eraldiseisva digitaalse tegevuskerksuse reeglistikuna. Kohaldamisalasse kuuluvate finantsüksuste puhul käsitatakse seda kattuvate NIS2 eesmärkide jaoks sektoripõhise liidu õigusaktina. DORA toob DLP IKT-riski juhtimisse, intsidentide klassifitseerimisse, andmekadudesse, mis mõjutavad käideldavust, autentsust, terviklust või konfidentsiaalsust, digitaalse tegevuskerksuse testimisse, IKT kolmandate osapoolte haldusse ja lepingulistesse kontrollimeetmetesse.
aasta DLP-küsimus ei ole „Kas meil on tööriist?“. Küsimused on järgmised.
Kas me teame, milline teave on tundlik?
Kas me teame, kus seda säilitatakse, töödeldakse ja edastatakse?
Kas lubatud ja keelatud edastusteed on määratletud?
Kas kasutajaid on koolitatud ja tehniliselt piiratud?
Kas pilve- ja SaaS-kanalid on juhitud?
Kas logid on uurimiseks piisavad?
Kas teavitused läbivad triaaži ja intsidendid klassifitseeritakse kiiresti?
Kas tarnijad ja allhanke korras osutatavad IKT-teenused on lepinguliselt seotud?
Kas suudame tõendada, et kontrollimeetmed toimivad?
ISO/IEC 27001:2022 sobib neile küsimustele vastamiseks hästi, sest see nõuab konteksti, huvitatud poolte nõudeid, riskihindamist, riskikäsitlust, mõõdetavaid eesmärke, tegevuse ohjet, dokumenteeritud tõendusmaterjali, tarnijakontrolli, siseauditit, juhtkonnapoolset ülevaatust ja pidevat täiustamist. See ei ole DLP-standard, kuid muudab DLP isoleeritud tehnoloogiaseadistusest kontrollitud juhtimissüsteemi protsessiks.
ISO 27001 kontrolliahel tõhusa DLP taga
Usaldusväärne DLP-programm ei tugine ühele kontrollimeetmele. See tugineb ahelale.
Claryseci Zenith Controls: ristvastavuse juhend kaardistab ISO/IEC 27002:2022 kontrolli 8.12, andmelekke vältimine, ennetava ja tuvastava kontrollimeetmena, mis keskendub konfidentsiaalsusele, on joondatud küberturbe mõistetega Protect ja Detect ning mille operatiivne võimekus on teabe kaitse ja turbevaldkond kaitse/kaitsemeetmed. Zenith Controls
See on oluline, sest audiitorid eeldavad nii blokeerimist kui nähtavust. Ennetav DLP-reegel ilma teavituste läbivaatamiseta on puudulik. Ainult logimisele tuginev lähenemine ilma kõrge riskiga edastuste jõustamiseta on samuti nõrk.
Sama juhend kaardistab ISO/IEC 27002:2022 kontrolli 5.12, teabe klassifitseerimine, ennetava meetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning on joondatud Identify-funktsiooniga. Kontroll 5.14, teabe edastamine, kaardistatakse ennetava meetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning on joondatud Protect-funktsiooni, varahalduse ja teabekaitsega.
Praktikas näeb DLP kontrolliahel välja järgmine.
| ISO/IEC 27002:2022 kontrollivaldkond | DLP roll | Mis läheb valesti, kui see puudub |
|---|---|---|
| 5.9 Teabe ja muude seotud varade register | Tuvastab varad, omanikud ja andmete asukohad | Tundlikud hoidlad jäävad DLP kohaldamisalast välja |
| 5.12 Teabe klassifitseerimine | Määratleb tundlikkuse ja käitlusvajadused | DLP-reeglid blokeerivad juhuslikult või jätavad kriitilised andmed märkamata |
| 5.13 Teabe märgistamine | Muudab klassifikatsiooni nähtavaks ja masinloetavalt jõustatavaks | Kasutajad ja tööriistad ei erista avalikke andmeid konfidentsiaalsetest |
| 5.14 Teabe edastamine | Määratleb heakskiidetud edastusteed ja tingimused | Töötajad kasutavad isiklikku e-posti, tarbijaklassi pilvekettaid või haldamata sõnumivahetust |
| 5.15 kuni 5.18 Juurdepääsukontroll, identiteet, autentimine ja juurdepääsuõigused | Piirab, kes saab andmetele ligi ja neid eksportida | Ülemäärased õigused võimaldavad siseohtu ja massilist andmete väljaviimist |
| 5.19 kuni 5.23 Tarnija- ja pilvekontrollid | Juhivad SaaS-i, pilve ja allhanke korras toimuvat töötlemist | Andmed lekivad hindamata tarnijate või varjatud IT kaudu |
| 5.24 kuni 5.28 Intsidendihaldus | Muudab DLP-teavitused reageerimistegevusteks ja tõendusmaterjaliks | Teavitusi ignoreeritakse, neid ei triaažita või neist ei teatata õigel ajal |
| 5.31 ja 5.34 Õiguslikud, regulatiivsed, lepingulised ja privaatsuskontrollid | Seob DLP GDPR-i, lepingute ja sektorinõuetega | Kontrollimeetmed ei vasta tegelikele kohustustele |
| 8.12 Andmelekke vältimine | Seirab, piirab ja käsitleb väljapoole suunatud andmeliikumist | Tundlik teave lahkub ilma tuvastamise või kontrollita |
| 8.15 Logimine ja 8.16 Seiretegevused | Annab tõendusmaterjali ja digitaalkriminalistilise nähtavuse | Organisatsioon ei suuda tõendada, mis juhtus |
| 8.24 Krüptograafia kasutamine | Kaitseb andmeid edastamisel ja puhkeolekus | Ka heakskiidetud edastused paljastavad loetavaid andmeid |
Zenith Blueprint, Step 22, selgitab varade registri, klassifitseerimise ja DLP vahelist sõltuvust:
Vaadake üle oma praegune varade register (5.9), et tagada nii füüsiliste kui loogiliste varade, omanike ja klassifikatsioonide hõlmamine. Siduge see register oma klassifitseerimisskeemiga (5.12), tagades, et tundlikud varad oleksid märgistatud ja asjakohaselt kaitstud. Vajaduse korral määratlege klassifikatsiooni alusel säilitamine, varundamine või isoleerimine.
Seetõttu alustab Clarysec DLP-projekti harva reeglite häälestamisest. Alustame varade, omanike, andmetüüpide, klassifitseerimismärgiste, edastusteede ja tõendikirjete kooskõlastamisest. Kui organisatsioon ei suuda öelda, millised andmestikud on konfidentsiaalsed, reguleeritud, kliendi omandis, maksetega seotud või ärikriitilised, saab DLP-tööriist ainult oletada.
Kaasaegse DLP-programmi kolm sammast
Kaasaegne DLP-programm tugineb kolmele üksteist tugevdavale sambale: tunne andmeid, juhi andmevoogu ja kaitse piiri. Need sambad muudavad ISO/IEC 27001:2022 praktiliseks GDPR-i, NIS2 ja DORA vastavuse jaoks.
Sammas 1: tunne oma andmeid klassifitseerimise ja märgistamise kaudu
Sa ei saa kaitsta seda, millest sa aru ei saa. ISO/IEC 27002:2022 kontrollid 5.12 ja 5.13 nõuavad, et organisatsioonid klassifitseeriksid teavet ning märgistaksid selle tundlikkuse ja käitlusvajaduste järgi. See ei ole paberiharjutus. See on automaatse jõustamise alus.
VKE-de jaoks ütleb Andmete klassifitseerimise ja märgistamise poliitika:
Konfidentsiaalne: nõuab krüptimist edastamisel ja puhkeolekus, piiratud juurdepääsu, jagamiseks selgesõnalist heakskiitu ning kõrvaldamisel turvalist hävitamist. Andmete klassifitseerimise ja märgistamise poliitika - VKE
See tsitaat jaotisest „Poliitika rakendamise nõuded“, punkt 6.3.3, annab DLP-programmile neli jõustatavat tingimust: krüptimine, piiratud juurdepääs, jagamise heakskiit ja turvaline kõrvaldamine.
Ettevõttekeskkondades on Andmete klassifitseerimise ja märgistamise poliitika veel otsesem. Jaotisest „Poliitika rakendamise nõuded“, punkt 6.2.6.2:
Edastuse blokeerimine (nt väline e-post) valesti märgistatud tundlike andmete puhul Andmete klassifitseerimise ja märgistamise poliitika
Ja jaotisest „Rakendamine ja vastavus“, punkt 8.3.2:
Automaatne klassifikatsiooni valideerimine, kasutades andmelekke vältimise (DLP) ja avastamise tööriistu
Need punktid muudavad klassifitseerimise kontrollimeetmeks. Fail, mille märgis on Konfidentsiaalne, võib käivitada krüptimise, blokeerida välise edastuse, nõuda heakskiitu või tekitada turbeteavituse. DLP-st saab seejärel poliitika jõustamise kiht, millest kasutajad, süsteemid ja audiitorid aru saavad.
Sammas 2: juhi andmevoogu turvalise teabeedastuse kaudu
Kui andmed on klassifitseeritud, peab organisatsioon juhtima nende liikumist. ISO/IEC 27002:2022 kontroll 5.14, teabe edastamine, jääb sageli tähelepanuta, kuid just sealt algavad paljud DLP-tõrked.
Zenith Blueprint käsitleb kontrolli 5.14 vajadusena juhtida teabevoogu nii, et edastus oleks turvaline, tahtlik ning kooskõlas klassifikatsiooni ja ärieesmärgiga. See hõlmab e-posti, turvalist failijagamist, rakendusliideseid, SaaS-integratsioone, irdkandjaid, trükitud aruandeid ja tarnijaportaale.
Kaugtöö muudab selle eriti oluliseks. Kaugtööpoliitika, jaotis „Poliitika rakendamise nõuded“, punkt 6.3.1.3, nõuab töötajatelt järgmist:
Kasutada ainult heakskiidetud failijagamislahendusi (nt M365, Google Workspace koos andmelekke vältimise (DLP) kontrollimeetmetega) Kaugtööpoliitika
Mobiilseadmete ja BYOD puhul annab Mobiilseadmete ja BYOD-poliitika, jaotis „Poliitika rakendamise nõuded“, punkt 6.6.4, konkreetse lõppseadme tasandi jõustamise:
Andmelekke vältimise (DLP) poliitikad peavad blokeerima volitamata üleslaadimised, ekraanitõmmised, lõikelauale juurdepääsu või andmete jagamise hallatud rakendustest isiklikele aladele. Mobiilseadmete ja BYOD-poliitika
See on oluline, sest andmed ei lahku ainult e-posti kaudu. Need lahkuvad ekraanitõmmiste, lõikelaua sünkroonimise, haldamata brauseriprofiilide, isiklike ketaste, mobiilsete jagamisfunktsioonide, koostööpluginade ja AI-tööriistade kaudu.
Pilvejuhtimine on sama oluline. VKE-de Pilveteenuste kasutamise poliitika-sme, jaotis „Juhtimisnõuded“, punkt 5.5:
Varjatud IT, mida määratletakse heakskiitmata pilvetööriistade kasutamisena, tuleb käsitada poliitika rikkumisena ning peadirektor ja IT-teenusepakkuja peavad selle läbi vaatama, et määrata risk ja vajalikud parandusmeetmed. Pilveteenuste kasutamise poliitika-sme - VKE
Ettevõtete jaoks tõstab Pilveteenuste kasutamise poliitika, jaotis „Juhtimisnõuded“, punkt 5.5, seiretaset:
Infoturbe meeskond peab regulaarselt hindama võrguliiklust, DNS-tegevust ja logisid, et tuvastada volitamata pilveteenuste kasutamine (varjatud IT). Tuvastatud rikkumisi tuleb viivitamata uurida. Pilveteenuste kasutamise poliitika
Varjatud IT ei ole lihtsalt IT-tüütus. GDPR-i alusel võib sellest saada ebaseaduslik avalikustamine või kontrollimatu töötlemine. NIS2 alusel on see küberhügieeni ja tarneahela nõrkus. DORA alusel võib sellest saada IKT kolmanda osapoole risk ja intsidendi klassifitseerimise küsimus.
Sammas 3: kaitse piiri DLP-tehnoloogia, poliitika ja teadlikkusega
ISO/IEC 27002:2022 kontroll 8.12, andmelekke vältimine, on kontrollimeede, mida enamik inimesi DLP-ga seostab. Küpses programmis on see siiski viimane kaitseliin, mitte esimene.
Zenith Blueprint selgitab, et DLP nõuab kolmekihilist lähenemist: tehnoloogia, poliitika ja teadlikkus. Tehnoloogia hõlmab lõppseadme DLP-d, e-posti turvet, sisu kontrolli, pilvejuurdepääsu turvet, SaaS-kontrolle, brauserikontrolle, võrgust väljuva liikluse filtreerimist ja teavituste suunamist. Poliitika määratleb, mida tööriistad jõustavad. Teadlikkus tagab, et töötajad mõistavad, miks isiklik e-post, tarbijatele mõeldud pilvesalvestus ja heakskiitmata AI-tööriistad ei ole reguleeritud või konfidentsiaalse teabe jaoks lubatud käitlusviisid.
Reageerimiskomponent on sama oluline kui ennetus. Zenith Blueprint, Step 19, ütleb:
Kuid DLP ei ole ainult ennetus, see on ka reageerimine. Kui tuvastatakse võimalik leke:
✓ teavitused tuleb kiiresti triaažida, ✓ logimine peab toetama digitaalkriminalistilist analüüsi, ✓ intsidentidele reageerimise plaan tuleb käivitada viivituseta.
DLP-programm, mis sündmusi blokeerib, kuid neid ei triaaži, ei uuri ega kasuta õppimiseks, ei ole auditiks valmis. See on ainult osaliselt juurutatud.
Arvutustabeli lekkest auditiks valmis reageerimiseni
Naaseme esmaspäevahommikuse arvutustabeli juurde.
Nõrgas programmis avastab organisatsioon üleslaadimise kolm nädalat hiljem privaatsuse ülevaatuse käigus. Keegi ei tea, kes ekspordi heaks kiitis, kas andmed olid isikuandmed, kas kaasatud oli eriliigilisi andmeid, kas AI-tööriist säilitas faili või kas kliente tuleb teavitada.
Claryseci kavandatud programmis näeb järjestus välja teisiti.
Esiteks märgitakse CRM-i eksport Konfidentsiaalseks, sest see sisaldab isikuandmeid ja kliendi äriteavet. Teiseks logitakse ekspordisündmus. Kolmandaks tuvastab e-posti lüüs konfidentsiaalse manuse saatmise isiklikule e-posti domeenile ja blokeerib selle, kui heakskiidetud erand puudub. Neljandaks käivitab üleslaadimiskatse heakskiitmata pilveteenusesse pilveteenuste kasutamise teavituse. Viiendaks triaažitakse teavitus intsidentidele reageerimise protseduuri alusel. Kuuendaks teeb turbemeeskond kindlaks, kas toimus tegelik avalikustamine, kas andmed olid krüpteeritud, kas teenusepakkuja töötles või säilitas neid, kas GDPR-i rikkumiskriteeriumid on täidetud ning kas kohalduvad NIS2 või DORA intsidendilävendid.
VKE-de Logimis- ja seirepoliitika, jaotis „Juhtimisnõuded“, punkt 5.4.3, ütleb meeskonnale täpselt, mis peab olema nähtav:
Juurdepääsulogid: juurdepääs failidele (eriti tundlikele või isikuandmetele), õiguste muudatused, jagatud ressursside kasutamine Logimis- ja seirepoliitika - VKE
See punkt on lühike, kuid määrav. Kui failidele juurdepääsu, õiguste muudatusi ja jagatud ressursside kasutust ei logita, muutub DLP-uurimine oletamiseks.
NIS2 Article 23 alusel nõuavad olulised intsidendid etapilist teavitamist: varajane hoiatus 24 tunni jooksul teadlikuks saamisest, intsidenditeade 72 tunni jooksul ja lõpparuanne hiljemalt ühe kuu jooksul pärast intsidenditeadet. DORA Articles 17 kuni 19 nõuavad, et finantsüksused tuvastaksid, haldaksid, klassifitseeriksid, registreeriksid, eskaleeriksid ja teataksid olulistest IKT-ga seotud intsidentidest. Klassifitseerimine hõlmab andmekadu, mis mõjutab käideldavust, autentsust, terviklust või konfidentsiaalsust, samuti mõjutatud kliente, kestust, geograafilist ulatust, kriitilisust ja majanduslikku mõju. GDPR-i alusel võib isikuandmete loata avalikustamine nõuda rikkumise hindamist ja lävendite täitmisel teavitamist.
Seega ei ole DLP-teavitus pelgalt turbesündmus. Sellest võib saada privaatsusrikkumise hindamine, NIS2 intsidenditöövoog, DORA IKT-intsidendi klassifitseerimine, klienditeavituse käivitaja ja audititõendite pakett.
DLP kontrollimeetmed GDPR-i Article 32 jaoks
GDPR-i Article 32 tõlgitakse sageli meetmete loendiks: krüptimine, konfidentsiaalsus, terviklus, käideldavus, vastupidavus, testimine ja taastamine. DLP puhul on võtmeküsimus kaitse kogu elutsükli jooksul.
Isikuandmed liiguvad kogumise, säilitamise, kasutamise, edastamise, avalikustamise, säilitustähtaja ja kustutamise etappide kaudu. GDPR-i Article 5 nõuab võimalikult väheste andmete kogumist, eesmärgi piirangut, säilitamise piirangut, terviklust, konfidentsiaalsust ja vastutust. GDPR-i Article 6 nõuab õiguslikku alust ja eesmärgiga kokkusobivust. GDPR-i Article 9 nõuab eriliigiliste isikuandmete jaoks rangemaid kaitsemeetmeid.
DLP toetab neid kohustusi siis, kui see on seotud andmete klassifitseerimise, seadusliku töötlemise kirjete ja heakskiidetud edastusteedega.
| GDPR-i teema | DLP rakendamine | Säilitatav tõendusmaterjal |
|---|---|---|
| Võimalikult väheste isikuandmete kogumine | Tuvasta massilised ekspordid või tarbetu replikatsioon | Eksporditeavitused ja erandite põhjendused |
| Terviklus ja konfidentsiaalsus | Blokeeri krüpteerimata konfidentsiaalsete andmete väline jagamine | DLP-reegel, krüptimisnõue ja blokeeritud sündmuse logi |
| Eesmärgi piirang | Piira edastusi heakskiitmata analüütika- või AI-tööriistadesse | SaaS-i lubatud loend, DPIA või riskiülevaatuse kirje |
| Eriliigilised andmed | Rakenda rangemaid märgiseid ja blokeerimisreegleid | Klassifitseerimisreeglid, juurdepääsuõiguste läbivaatamine ja heakskiitmise töövoog |
| Vastutus | Säilita tõendusmaterjal teavituste, otsuste ja parandusmeetmete kohta | Intsidendipiletid, auditijälg ja juhtkonnapoolse ülevaatuse kirjed |
Claryseci Andmete maskeerimise ja pseudonüümimise poliitika-sme, jaotis „Eesmärk“, punkt 1.2, toetab seda elutsükli lähenemist:
Need meetodid on kohustuslikud juhtudel, kui aktiivkasutuses andmeid ei ole vaja, sealhulgas arenduses, analüütikas ja kolmanda osapoole teenuste stsenaariumides, et vähendada kokkupuute, väärkasutuse või rikkumise riski. Andmete maskeerimise ja pseudonüümimise poliitika-sme - VKE
See on praktiline GDPR-i Article 32 kontrollimeede. Kui arendajad, analüütikud või tarnijad ei vaja aktiivkasutuses isikuandmeid, ei tohiks DLP olla ainus tõke. Maskeerimine ja pseudonüümimine vähendavad mõjuulatust enne, kui andmed üldse liiguvad.
Tugev privaatsusega joondatud DLP-maatriks peaks kaardistama isikuandmete tüübid klassifitseerimismärgiste, õigusliku aluse, heakskiidetud süsteemide, heakskiidetud ekspordimeetodite, krüptimisnõuete, DLP-reeglite, säilitamisreeglite ja intsidendi käivitajatega. Sellest maatriksist saab sild andmekaitse juhtimise ja turbeoperatsioonide vahel.
NIS2 küberhügieen ja DLP väljaspool privaatsusmeeskonda
NIS2 muudab DLP-arutelu, sest käsitleb leket küberhügieeni ja vastupidavuse osana, mitte ainult privaatsusena.
Article 20 nõuab, et oluliste ja tähtsate üksuste juhtorganid kiidaksid heaks küberturbe riskijuhtimise meetmed, teostaksid järelevalvet nende rakendamise üle ja läbiksid küberturbekoolituse. Article 21 nõuab asjakohaseid ja proportsionaalseid meetmeid poliitika, intsidentide käsitlemise, talitluspidevuse, tarneahela, turvalise arenduse, tõhususe testimise, küberhügieeni, koolituse, krüptograafia, personaliturbe, juurdepääsukontrolli ja varahalduse valdkonnas. Article 25 soodustab asjakohaste Euroopa ja rahvusvaheliste standardite ning tehniliste spetsifikatsioonide kasutamist.
DLP panustab nendesse valdkondadesse otseselt:
| NIS2 Article 21 valdkond | DLP panus |
|---|---|
| Riskianalüüs ja infosüsteemide turbepoliitikad | Tuvastab andmelekke stsenaariumid ja määratleb käitlusnõuded |
| Intsidentide käsitlemine | Suunab kahtlustatava andmete väljaviimise triaaži, eskaleerimise ja teavitamise töövoogudesse |
| Talitluspidevus | Kaitseb kriitilist operatiivset ja klienditeavet |
| Tarneahela turvalisus | Juhib kolmandate osapoolte andmeedastusi ja tarnijate juurdepääsu |
| Turvaline arendus | Takistab lähtekoodi, saladuste ja aktiivkasutuses testandmete lekkimist |
| Tõhususe testimine | Võimaldab DLP-simulatsioone, lauaõppusi ja parandusmeetmete jälgimist |
| Küberhügieen ja koolitus | Õpetab kasutajatele turvalisi edastustavasid ja varjatud IT riske |
| Krüptograafia | Jõustab konfidentsiaalsete edastuste krüptimist |
| Juurdepääsukontroll ja varahaldus | Piirab, kes saab tundlikke varasid eksportida, ja logib tegevuse |
Võrguturbe poliitika-sme, jaotis „Eesmärgid“, punkt 3.4, muudab andmete väljaviimise eesmärgi selgesõnaliseks:
Takistada pahavara levikut ja andmete väljaviimist võrgukanalite kaudu Võrguturbe poliitika-sme - VKE
NIS2 puhul annab selline eesmärk audiitoritele otsese testitee: näidata väljuva liikluse filtreerimist, DNS-seiret, proksilogisid, lõppseadme teavitusi, blokeeritud üleslaadimiskatseid ja uurimispileteid.
Zenith Blueprint, Step 23, lisab pilvespetsiifilise tegevuse, mis on nüüd NIS2 alla kuuluvate digitaalsete ja IKT-teenuse osutajate jaoks hädavajalik:
Loetlege kõik praegu kasutatavad pilveteenused (5.23), sealhulgas teadaolev varjatud IT. Tuvastage, kes need heaks kiitis ja kas hoolsuskontroll tehti. Koostage lihtsustatud hindamise kontrollnimekiri, mis hõlmab andmete asukohta, juurdepääsumudelit, logimist ja krüptimist. Tulevaste teenuste puhul tagage, et kontrollnimekiri oleks integreeritud hanke- või IT-sisseelamisprotsessi.
Paljud organisatsioonid ebaõnnestuvad siin. Neil on ISMS-i kohaldamisala ja tarnijaregister, kuid puudub tegelik SaaS-tööriistade loend, kuhu töötajad liigutavad reguleeritud või kliendiandmeid. DLP ilma pilveavastamiseta on pime.
DORA IKT-risk: DLP finantsüksustele ja teenuseosutajatele
Finantsüksuste puhul peab DLP sobituma DORA IKT-riski juhtimise raamistikku.
DORA Article 5 nõuab IKT-riski juhtimiseks sisemist juhtimis- ja kontrolliraamistikku. Juhtorgan vastutab jätkuvalt IKT-riski eest, samuti poliitikate eest, mis säilitavad andmete käideldavuse, autentsuse, tervikluse ja konfidentsiaalsuse, selged IKT-rollid, digitaalse tegevuskerksuse strateegia, IKT-riski taluvuse, talitluspidevuse ning reageerimis- ja taasteplaanid, auditiplaanid, ressursid, kolmandate osapoolte poliitika ja teavituskanalid.
Article 6 nõuab dokumenteeritud IKT-riski juhtimise raamistikku, mis hõlmab strateegiaid, poliitikaid, protseduure, IKT-protokolle ja tööriistu teabe ning IKT-varade kaitseks. Article 9 käsitleb kaitset ja ennetust. Articles 11 kuni 14 lisavad talitluspidevuse, reageerimise, taastamise, varundamise, taaste, andmete tervikluse kontrollid, õppetunnid, teadlikkuskoolituse ja kriisikommunikatsiooni.
DLP sobitub sellesse raamistikku kaitse-, tuvastus-, reageerimis- ja testimisvõimekusena.
DORA muudab vältimatuks ka kolmandate osapoolte riski juhtimise. Articles 28 kuni 30 nõuavad IKT kolmandate osapoolte riskijuhtimist, IKT-teenuslepingute registreid, lepingueelset hoolsuskontrolli, lepingulisi nõudeid, auditi- ja kontrolliõigusi, lõpetamisõigusi, väljumisstrateegiaid, teenuste kirjeldusi, andmete töötlemise ja säilitamise asukohti, andmetele juurdepääsu, taastamist ja tagastamist, intsidentide korral abi, koostööd ametiasutustega, turvameetmeid ja alltöövõtu tingimusi.
Fintech-ettevõtte või panga jaoks ei saa DLP peatuda Microsoft 365 või Google Workspace’i piiril. See peab hõlmama maksetöötlejaid, isikusamasuse kontrolli teenusepakkujaid, CRM-platvorme, andmeladusid, pilvetaristut, allhanke tugilaudu, hallatud teenuse osutajaid ja kriitilisi SaaS-integratsioone.
| DORA ootus | DLP tõendusmaterjal |
|---|---|
| Juhtkonna omanduses IKT-juhtimine | Juhtkond on DLP-riski aktsepteerinud, rollid on määratud ja eelarve kinnitatud |
| Andmete käideldavus, autentsus, terviklus ja konfidentsiaalsus | Klassifitseerimine, krüptimine, DLP-reeglid ja juurdepääsupiirangud |
| Intsidendi elutsükkel | DLP-teavituse triaaž, klassifitseerimine, algpõhjuse analüüs ja eskaleerimine |
| Toimepidevuse testimine | DLP-simulatsioonid, andmete väljaviimise stsenaariumid ja parandusmeetmete jälgimine |
| IKT kolmandate osapoolte risk | Tarnija hoolsuskontroll, lepingulised DLP-klauslid ja andmete asukoha tõendusmaterjal |
| Auditeeritavus | Logid, reeglimuudatuste ajalugu, erandite heakskiidud ja juhtkonnapoolne ülevaatus |
See on eriti oluline seal, kus DORA toimib kattuvate NIS2 kohustuste puhul sektoripõhise liidu õigusaktina. Kontrollimeetmed peavad endiselt olemas olema. Teavitamise ja järelevalve tee võib erineda.
90-minutiline DLP-reegli sprint
Clarysec kasutab klientidega praktilist sprinti, kui on vaja kiiresti edasi liikuda, ilma et teeseldaks täismahus DLP-programmi valmimist ühe koosolekuga. Eesmärk on rakendada üks kõrge väärtusega DLP-kontroll poliitikast tõendusmaterjalini.
Samm 1: vali üks andmetüüp ja üks edastustee
Vali „CRM-ist eksporditud ja e-postiga väliselt saadetud kliendi isikuandmed“. Ära alusta kõigist hoidlatest, riikidest ja andmetüüpidest.
Samm 2: kinnita klassifikatsioon ja märgis
Kasuta klassifitseerimispoliitikat, et kinnitada, et see eksport on Konfidentsiaalne. VKE puhul nõuab punkt 6.3.3 krüptimist, piiratud juurdepääsu, jagamiseks selgesõnalist heakskiitu ja turvalist hävitamist. Ettevõttes toetab Andmete klassifitseerimise ja märgistamise poliitika valesti märgistatud tundlike andmete edastuse blokeerimist ning automaatset valideerimist DLP- ja avastamistööriistade abil.
Samm 3: määratle lubatud edastusmuster
Lubatud: CRM-i eksport saadetakse heakskiidetud kliendidomeenile krüpteeritud e-posti või heakskiidetud turvalise failijagamisplatvormi kaudu koos ärilise põhjendusega.
Keelatud: isiklik e-post, avalikud failijagamislingid, heakskiitmata AI-tööriistad ja haldamata pilvekettad.
See on kooskõlas Zenith Blueprint, Step 22, väitega:
Kui „Konfidentsiaalne“ teave ei tohi ettevõttest lahkuda ilma krüptimiseta, peavad e-posti süsteemid rakendama krüptimispoliitikaid või blokeerima välise edastuse.
Samm 4: konfigureeri minimaalne DLP-reegel
Konfigureeri e-posti- või koostööplatvorm tuvastama konfidentsiaalset märgist, isikuandmete mustrit või ekspordifaili nimetamistava. Kui on oodata valepositiivseid tulemusi, alusta seirega ja liigu seejärel isiklike domeenide ning heakskiitmata saajate puhul blokeerimisele.
Samm 5: luba logimine ja teavituste suunamine
Veendu, et logid hõlmaksid failidele juurdepääsu, õiguste muudatusi ja jagatud ressursside kasutust, nagu nõuab Logimis- ja seirepoliitika - VKE. Suuna teavitused piletijärjekorda koos tõsiduse, andmetüübi, saatja, saaja, failinime, võetud tegevuse ja läbivaatajaga.
Samm 6: testi kolme stsenaariumi
Testi heakskiidetud krüpteeritud edastust kliendile, blokeeritud edastust isiklikule e-postile ja ainult teavitust tekitavat üleslaadimiskatset heakskiitmata pilvedomeenile.
Samm 7: säilita tõendusmaterjal
Salvesta poliitikapunkti viide, DLP-reegli ekraanipilt, testitulemused, teavituse pilet, läbivaataja otsus ja juhtkonna heakskiit. Lisa kontrollimeede riskikäsitlusplaani ja kohaldatavusdeklaratsiooni (SoA).
ISO/IEC 27001:2022 mõistes seob see harjutus jaotise 6.1.2 riskihindamise, jaotise 6.1.3 riskikäsitluse, jaotise 8 tegevuse planeerimise ja ohje, Annex A teabe edastamise, andmelekke vältimise, logimise, seire, tarnija- ja pilvekontrollid ning jaotise 9 toimivuse hindamise.
Ristvastavuse kaardistus: üks DLP-programm, mitu kohustust
Claryseci lähenemise tugevus seisneb selles, et see väldib GDPR-i, NIS2, DORA, NIST-i ja COBIT-i jaoks eraldi kontrollivirnade loomist. Üks hästi kavandatud DLP-programm võib täita mitut ootust, kui tõendusmaterjal on korrektselt struktureeritud.
| Raamistik | Mida see DLP-lt ootab | Claryseci tõendusmaterjali muster |
|---|---|---|
| ISO/IEC 27001:2022 | Riskipõhised kontrollimeetmed, SoA, omanikuvastutus, operatiivne tõendusmaterjal ja pidev täiustamine | Riskiregister, SoA, poliitikakaardistus, DLP-reeglid, logid ja juhtkonnapoolne ülevaatus |
| GDPR Article 32 | Asjakohased tehnilised ja korralduslikud meetmed isikuandmete turvalisuse tagamiseks | Klassifitseerimine, krüptimine, juurdepääsukontroll, maskeerimine, DLP-teavitused ja rikkumise hindamine |
| NIS2 | Küberhügieen, juurdepääsukontroll, varahaldus, krüptimine, intsidentide käsitlemine ja tarneahela turvalisus | Heakskiidetud poliitikad, koolitus, tarnijate läbivaatamised, intsidenditöövoog ja 24/72 tunni teavitamisvalmidus |
| DORA | IKT-riski juhtimine, intsidendihaldus, toimepidevuse testimine ja kolmandate osapoolte järelevalve | IKT-riski raamistik, DLP-testimine, intsidendi klassifitseerimine, tarnijalepingud ja auditijälg |
| NIST CSF 2.0 | Juhtimine, profiilid, tarneahela risk, reageerimise ja taastamise tulemused | Praegune ja sihtprofiil, puudujääkide plaan, tarnija kriitilisus ja reageerimiskirjed |
| COBIT 2019 | Juhtimiseesmärgid, kontrollimeetmete omanikud, protsessivõimekus ja kindluse andmise tõendusmaterjal | RACI, protsessimõõdikud, kontrollimeetmete toimivuse aruandlus ja siseauditi leiud |
NIST CSF 2.0 on kasulik kommunikatsioonikihina. Selle GOVERN-funktsioon toetab õiguslike, regulatiivsete ja lepinguliste nõuete jälgimist, riskivalmidust, poliitika rakendamist, rolle ja järelevalvet. Profiilide meetod aitab organisatsioonidel määratleda praeguse ja sihtseisundi, dokumenteerida puudujäägid ning rakendada tegevusplaani. Funktsioonid RESPOND ja RECOVER toetavad DLP-intsidendi ohjeldamist, algpõhjuse analüüsi, tõendusmaterjali säilitamist ja taastamist.
COBIT 2019 lisab juhtimisvaate. COBIT-ile orienteeritud audiitor küsib, kas DLP eesmärgid on kooskõlas ettevõtte eesmärkidega, kas omanikuvastutus on selge, kas tulemusnäitajad on olemas, kas riskivalmidus on määratletud ja kas juhtkond saab sisukat aruandlust.
Kuidas audiitorid sinu DLP-programmi testivad
DLP-auditid puudutavad harva üht ekraanipilti. Erineva taustaga audiitoritel on erinevad tõendusmaterjali ootused.
| Audiitori vaade | Tõenäoline auditi küsimus | Toimiv tõendusmaterjal |
|---|---|---|
| ISO/IEC 27001:2022 audiitor | Kas DLP-risk on ISMS-i kaudu tuvastatud, käsitletud, rakendatud ja tõendatud? | Riskihindamine, SoA, riskikäsitlusplaan, poliitikad, DLP-konfiguratsioon ja tegevuskirjed |
| GDPR-i või privaatsuse audiitor | Kas suudad tõendada, et isikuandmed on kaitstud, minimeeritud, seaduslikult edastatud ja rikkumise suhtes hinnatud? | Andmeregister, RoPA joondus, klassifitseerimine, edastuslogid, DPIA tulemused ja rikkumisotsuse kirje |
| NIS2 hindaja | Kas DLP-ga seotud küberhügieeni, juurdepääsu, intsidentide, tarnijate ja krüptimise meetmed on heaks kiidetud ja testitud? | Juhtkonna heakskiit, koolituskirjed, intsidendi tööjuhised, tarnijakontrollid ja teavitamise ajakava harjutus |
| DORA järelevalvaja või siseaudit | Kas DLP toetab IKT-riski, andmete konfidentsiaalsust, intsidendi klassifitseerimist, toimepidevuse testimist ja kolmandate osapoolte järelevalvet? | IKT-riski raamistik, testiprogramm, intsidendi klassifitseerimise kirjed, teenuseosutajate lepingud ja väljumisplaanid |
| NIST-i hindaja | Kas DLP tulemused on juhitud, profileeritud, prioriseeritud, seiratud ja täiustatud? | Praegune ja sihtprofiil, POA&M, juhtimiskirjed ja reageerimise tõendusmaterjal |
| COBIT 2019 või ISACA audiitor | Kas DLP-d juhitakse protsessina koos vastutavate omanike, mõõdikute ja kindluse andmisega? | RACI, KPI-d, KRI-d, protsessikirjeldused, kontrollimeetmete testimine ja parandusmeetmete jälgimine |
Tugev DLP auditipakett sisaldab kohaldamisala ja riskiavaldust, klassifitseerimisskeemi, heakskiidetud edastusmeetodeid, DLP-reegleid, erandite heakskiite, logimise disaini, teavituste triaaži protseduuri, intsidentidest teavitamise otsustuspuud, tarnija- ja pilveregistrit, testitulemusi ning parandusmeetmete kirjeid.
Levinud DLP-tõrked 2026. aastal
Kõige levinumad DLP-tõrked on operatiivsed, mitte eksootilised.
Esiteks on klassifitseerimine vabatahtlik või ebajärjekindel. Märgised on poliitikas olemas, kuid kasutajad ei rakenda neid, süsteemid ei jõusta neid ja hoidlates on aastaid märgistamata tundlikke faile.
Teiseks jääb DLP igaveseks ainult teavitamise režiimi. Ainult teavitamine on häälestamise ajal kasulik, kuid kõrge riskiga konfidentsiaalsete kliendiandmete edastus isiklikule e-postile tuleb lõpuks blokeerida, välja arvatud juhul, kui on heakskiidetud erand.
Kolmandaks käsitatakse varjatud IT-d IT-tüütusena, mitte andmekaitseriskina. Pilveteenuste kasutamise poliitika ja Pilveteenuste kasutamise poliitika-sme on kavandatud selleks, et muuta heakskiitmata pilvetööriistad nähtavaks, läbivaadatavaks ja parandatavaks.
Neljandaks ei ole logid uurimiseks piisavad. Kui turbemeeskond ei suuda taastada, kes millele juurde pääses, mida jagas, alla laadis, üles laadis või milliseid õigusi muutis, ei saa organisatsioon GDPR-i, NIS2 ega DORA teavitamiskohustusi usaldusväärselt hinnata.
Viiendaks jäävad tarnijad DLP-mudelist välja. DORA Articles 28 kuni 30 muudavad selle finantsüksuste jaoks eriti ohtlikuks, kuid probleem puudutab iga sektorit. Lepingud peavad määratlema andmete asukohad, juurdepääsu, taastamise, tagastamise, abi intsidentide korral, turvameetmed, alltöövõtu ja auditeerimisõigused.
Kuuendaks ei hõlma intsidentidele reageerimine DLP-stsenaariume. Valesti adresseeritud e-kirjal, volitamata SaaS-üleslaadimisel või massilisel CRM-i ekspordil peab olema tööjuhis, tõsiduse kriteeriumid ja teavitamisotsuse tee.
Lõpuks unustavad organisatsioonid füüsilised ja inimkanalid. Zenith Blueprint tuletab meelde, et DLP hõlmab puhta laua käitumist, turvalist purustamist, lukustatud prindijärjekordi, printeri auditilogisid ja töötajate teadlikkust. DLP-programm, mis eirab paberit, ekraanitõmmiseid ja vestlusi, on puudulik.
Loo DLP-programm, mida audiitorid saavad usaldada
Kui sinu DLP-programm on praegu tööriistakonfiguratsioon, on 2026. aastal aeg muuta see juhitud ja tõendusmaterjaliga toetatud kontrollisüsteemiks.
Alusta kolmest praktilisest tegevusest:
- Vali kolm kõige olulisemat tundlikku andmetüüpi, näiteks klientide isikuandmed, makseandmed ja lähtekood.
- Kaardista, kuhu need liiguvad, sealhulgas e-post, SaaS, pilvesalvestus, lõppseadmed, rakendusliidesed, tarnijad ja arenduskeskkonnad.
- Loo iga andmetüübi kohta üks jõustatav DLP-reegel, mis on seotud poliitika, logimise, intsidentidele reageerimise ja tõendusmaterjali säilitamisega.
Clarysec aitab seda kiirendada Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint, Zenith Controls: ristvastavuse juhend Zenith Controls ning kohandamisvalmis poliitikate abil, nagu Andmete klassifitseerimise ja märgistamise poliitika Andmete klassifitseerimise ja märgistamise poliitika, Kaugtööpoliitika Kaugtööpoliitika, Pilveteenuste kasutamise poliitika Pilveteenuste kasutamise poliitika, Logimis- ja seirepoliitika-sme Logimis- ja seirepoliitika - VKE ning Mobiilseadmete ja BYOD-poliitika Mobiilseadmete ja BYOD-poliitika.
Eesmärk ei ole peatada iga faili liikumist. Eesmärk on muuta turvaline liikumine vaikimisi valikuks, riskantne liikumine nähtavaks, keelatud liikumine blokeerituks ja iga erand vastutusega kaetuks.
Laadi alla Claryseci tööriistakomplektid, vaata üle oma DLP tõendusmaterjali pakett ja broneeri valmisoleku hindamine, et näha, kas sinu praegused kontrollimeetmed peavad vastu GDPR-i Article 32 kontrollile, NIS2 küberhügieeni ootustele ja DORA IKT-riski ülevaatusele.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
