Mis on kompenseeriv kontrollimeede puhkeolekus andmete krüptimise kontekstis?

Kompenseeriv kontrollimeede on alternatiivne turvameede, mida kasutatakse siis, kui põhikontroll, näiteks puhkeolekus andmete krüptimine, ei ole teostatav. See peab tagama võrreldava kaitsetaseme, käsitledes samu riske, näiteks andmete konfidentsiaalsust juhul, kui salvestusseade kaob või varastatakse. Näited hõlmavad andmekao vältimist (DLP), rangeid juurdepääsukontrolle ja andmete maskeerimist.

Kas audiitorid aktsepteerivad kompenseerivaid kontrollimeetmeid sellistes raamistikes nagu ISO/IEC 27001:2022?

Jah, audiitorid aktsepteerivad hästi dokumenteeritud ja tõhusaid kompenseerivaid kontrollimeetmeid. Nad eeldavad ametlikku riskihindamist, mis põhjendab kontrollimeetme vajadust, tõendusmaterjali selle järjepideva rakendamise kohta (nt logid, aruanded) ning kinnitust, et meede maandab algset riski tõhusalt. Oluline on tõendada küpset riskipõhist lähenemist, mitte lihtsalt õigustada kontrollilünka.

Kuidas seostuvad kompenseerivad kontrollimeetmed GDPR-i nõuete täitmisega?

GDPR Article 32 nõuab isikuandmete kaitseks asjakohaseid tehnilisi ja korralduslikke meetmeid. Kuigi krüptimine on soovitatav meede, ei ole see kõigil juhtudel rangelt kohustuslik. Kui puhkeolekus andmete krüptimine ei ole võimalik, aitab tugev kompenseerivate kontrollimeetmete kogum, näiteks pseudonüümimine, andmete maskeerimine ja range juurdepääsu seire, tõendada hoolsuskohustuse täitmist ning vastata asjakohase turbetaseme nõudele.

Millised on levinumad vead kompenseerivate kontrollimeetmete rakendamisel?

Levinumad vead on puudulik dokumentatsioon, ametliku riskiaktsepteerimise puudumine kõrgema juhtkonna poolt, kontrollimeetmed, mis ei kata kõiki ründevektoreid (nt pilvesünkroonimisteenuste tähelepanuta jätmine), ning kontrollimeetmete tõhususe regulaarse testimise eiramine. Kontrollimeede, mis eksisteerib ainult paberil, ei paku tegelikku kaitset ega rahulda audiitori ootusi.

Kas andmekao vältimine (DLP) saab puhkeolekus andmete krüptimist päriselt asendada?

DLP ei asenda krüptimist, kuid võib olla tugev kompenseeriv kontrollimeede. Krüptimine muudab varastatud andmed loetamatuks. DLP eesmärk on ennetada andmete väljaviimist, jälgides ja blokeerides volitamata andmeedastusi. Koos teiste kihtidega, nagu ranged juurdepääsukontrollid ja füüsiline turve, loob see tugeva kaitse, mis võib konkreetsete dokumenteeritud kasutusjuhtude puhul pakkuda krüptimisega võrreldavat kaitsetaset.

NIS2 DORA GDPR NIST COBIT 2019

Kui puhkeolekus andmete krüptimine ei ole võimalik: infoturbejuhi juhend auditis kaitstavate kompenseerivate kontrollimeetmete loomiseks

Claryseci toimetus

November 25, 2025

18 min read

#Riskijuhtimine #Audit #ISMS #Andmekaitse #Kompenseerivad kontrollimeetmed

Vooskeem, mis illustreerib infoturbejuhi kolmefaasilist protsessi kompenseerivate kontrollimeetmete rakendamiseks puhkeolekus andmete krüptimise alternatiivina, sealhulgas riskihindamist, kihilist kaitset (DLP, andmete maskeerimine, juurdepääsukontroll) ja auditidokumentatsiooni ISO 27001, GDPR ja NIST raamistikes.

Audiitori leid jõudis infoturbejuht Sarah Cheni lauale tuttava raskusega. Ettevõtte tootmisliini operatiivne tuum — kriitiline ja tulu loov pärandandmebaas — ei toetanud kaasaegset puhkeolekus andmete krüptimist. Selle alusarhitektuur oli kümme aastat vana ning tarnija oli turvapaikade pakkumise ammu lõpetanud. Audiitor märkis selle põhjendatult oluliseks riskiks. Soovitus oli selge: „Krüptige kõik tundlikud puhkeolekus andmed valdkonna standardalgoritmidega.“

Sarah’ jaoks ei olnud see pelgalt tehniline probleem, vaid talitluspidevuse kriis. Süsteemi uuendamine oleks tähendanud kuudepikkust seisakut ja miljoneid kulusid, mis oli juhatuse jaoks välistatud. Samas oli tundliku intellektuaalomandi krüptimata jätmine lubamatu risk ning selge kõrvalekalle nende infoturbe juhtimissüsteemist (ISMS).

See stsenaarium kirjeldab küberturvalisuse tegelikkust: täiuslikke lahendusi esineb harva ning vastavust ei saa pausile panna. Seda juhtub siis, kui kriitilisi varundusfaile hoitakse pärandsüsteemides, kui oluline SaaS-teenusepakkuja viitab „tehnilistele piirangutele“ või kui suure jõudlusega rakendused ei talu krüptimise lisakoormust. Õpikuvastus „lihtsalt krüptige“ põrkub sageli keerulise tegelikkusega.

Mis juhtub siis, kui põhiline ettenähtud kontrollimeede ei ole kasutatav? Riski ei aktsepteerita lihtsalt niisama. Tuleb ehitada targem ja vastupidavam kaitse, kasutades kompenseerivaid kontrollimeetmeid. See ei tähenda vabanduste otsimist, vaid küpse riskipõhise turbejuhtimise tõendamist viisil, mis peab vastu ka kõige rangemale auditikontrollile.

Miks puhkeolekus andmete krüptimine on kõrge kaaluga nõue

Puhkeolekus andmete krüptimine on kõigi kaasaegsete turberaamistike, sealhulgas ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA ja NIST SP 800-53 SC-28, põhikontroll. Selle eesmärk on lihtne, kuid kriitiline: muuta salvestatud andmed loetamatuks juhul, kui füüsilised või loogilised kaitsemeetmed ebaõnnestuvad. Kadunud varulint või varastatud server, mis sisaldab krüptimata andmeid, ei ole pelgalt tehniline eksimus; sageli on see õiguslikult teatamiskohustuslik andmekaitserikkumine.

Riskid on selged ja olulised:

teisaldatavate andmekandjate, näiteks USB-mäluseadmete ja varulintide vargus või kaotsiminek;
andmete avalikuks saamine hallamata, unustatud või pärandseadmetest;
võimetus rakendada natiivset ketta- või andmebaasikrüptimist teatud SaaS-, pilve-, OT- või pärandkeskkondades;
andmete taastamise riskid, kui krüptimisvõtmed kaovad või neid hallatakse puudulikult.

Need nõuded ei ole ainult tehnilised, vaid ka õiguslikud kohustused. GDPR Article 32 ning DORA Articles 5 ja 10 tunnustavad krüptimist sõnaselgelt „asjakohase tehnilise meetmena“. NIS2 käsitleb seda baasnõudena süsteemide ja teabe tervikluse tagamisel. Kui see põhiline kaitse ei ole teostatav, kandub tõendamiskoormus organisatsioonile: tuleb näidata, et alternatiivsed meetmed on sama tõhusad.

Liikumine ühest linnukesest kihilise kaitseni

Sarah’ olukorraga sarnase auditileiu korral on esmane reaktsioon sageli paanika. Hästi üles ehitatud ISMS näeb selliseid olukordi aga ette. Sarah’ esimene samm ei olnud taristumeeskonnale helistamine; ta avas oma organisatsiooni krüptograafiliste kontrollimeetmete poliitika, mis oli koostatud Claryseci ettevõttemallide alusel. Ta liikus otse punktini, mis andis tema strateegiale aluse.

Krüptograafiliste kontrollimeetmete poliitika kohaselt kirjeldab jaotis 7.2.3 sõnaselgelt protsessi järgmise määratlemiseks:

„Rakendatavad konkreetsed kompenseerivad kontrollimeetmed“

See punkt on infoturbejuhi jaoks väga väärtuslik. See tunnistab, et universaalne turbelahendus ei toimi, ning annab heaks kiidetud tee riski käsitlemiseks. Poliitika ei toimi vaakumis. Punkti 10.5 kohaselt on see otseselt seotud andmete klassifitseerimise ja märgistamise poliitikaga, mis „määratleb klassifitseerimistasemed (nt Konfidentsiaalne, reguleeritud), mis käivitavad konkreetsed krüptimisnõuded“.

See seos on kriitiline. Pärandandmebaasis olevad andmed olid klassifitseeritud kui „Konfidentsiaalne“, mistõttu krüptimise puudumine auditileiuna esile tõsteti. Sarah’ ülesanne oli nüüd selge: ehitada nii tugev kompenseerivate kontrollimeetmete kaitsekiht, et see maandaks avalikuks saamise riski aktsepteeritavale tasemele.

Kaitstava strateegia ülesehitamine Zenith Blueprinti abil

Krüptimine on kaasaegse turbe nurgakivi, kuid nagu Claryseci Zenith Blueprint: audiitori 30-sammuline tegevuskava selgitab sammus 21, ei tähenda kontroll 8.24 Krüptograafia kasutamine lihtsalt „krüptimise sisselülitamist“. Selle eesmärk on hoopis „krüptograafia lõimimine organisatsiooni disaini, poliitikasse ja elutsükli haldusse“.

Kui üks osa disainist — pärandandmebaas — ei toimi, peavad poliitika ja elutsükli aspektid seda kompenseerima. Sarah’ meeskond kasutas seda raamistikku mitmekihilise kaitse ülesehitamiseks, mille keskmes oli takistada andmete lahkumist turvalisest, ehkki krüptimata konteinerist.

Kompenseeriv kontrollimeede 1: andmekao vältimine (DLP)

Kui andmeid ei saa nende asukohas krüptida, tuleb tagada, et need ei saaks sealt lahkuda. Sarah’ meeskond juurutas andmekao vältimise (DLP) lahenduse digitaalse valvurina. See ei olnud lihtne võrgureegel, vaid keerukas sisuteadlik kontrollimeede.

Claryseci Zenith Controls: mitme raamistiku vastavuse juhendi abil konfigureeris meeskond DLP-süsteemi ISO/IEC 27001:2022 kontrolli 8.12 Andmelekke vältimine juhiste alusel. Reegleid mõjutas otseselt 5.12 Classification of information. Kõik andmed, mis vastasid pärandandmebaasis oleva „Konfidentsiaalne“ teabe mustritele, blokeeriti automaatselt enne edastamist e-posti, veebilaadimiste või isegi teistesse rakendustesse kopeerimise-kleepimise kaudu.

Nagu Zenith Controls selgitab:

„Andmekao vältimine (DLP) sõltub põhimõtteliselt täpsest andmete klassifitseerimisest. Kontroll 5.12 tagab, et andmed märgistatakse tundlikkuse alusel… DLP on pideva seire spetsialiseeritud vorm, mis keskendub andmete liikumisele… 8.12 võib rakendada krüptimispoliitikaid organisatsioonist väljuvate andmete suhtes, tagades, et isegi andmete väljaviimise korral jäävad need volitamata osapooltele loetamatuks.“

Seda kontrollimeedet tunnustatakse mitmes raamistikus ning see vastendub GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 ja NIST SP 800-53 SI-4 nõuetega. Selle rakendamisega lõi Sarah’ meeskond tugeva kaitsemulli, mis hoidis krüptimata andmed isoleerituna.

Kompenseeriv kontrollimeede 2: andmete maskeerimine tootmisvälistes kasutusjuhtudes

Üks suurimaid pärandandmetega seotud riske on nende kasutamine teistes keskkondades. Arendusmeeskond vajas tootmissüsteemist sageli andmeid uute rakendusfunktsioonide testimiseks. Krüptimata konfidentsiaalsete andmete neile otse üleandmine ei tulnud kõne alla.

Siin pöördus Sarah Zenith Blueprinti sammu 20 poole, mis käsitleb 8.11 Data masking. Juhend märgib, et audiitorid küsivad otse: „Kas te kasutate testisüsteemides kunagi tegelikke isikuandmeid? Kui jah, siis kuidas neid kaitstakse?“

Neid juhiseid järgides rakendas Sarah’ meeskond range andmete maskeerimise protseduuri. Iga arendusmeeskonna taotletud andmeväljavõte pidi läbima automatiseeritud protsessi, mis pseudonüümis või anonüümis tundlikud väljad. Klientide nimed, ärisaladust sisaldavad valemid ja tootmismõõdikud asendati realistlike, kuid fiktiivsete andmetega. See üks kontrollimeede kõrvaldas suure riskipinna, tagades, et tundlikud andmed ei lahkunud kõrgelt kontrollitud tootmiskeskkonnast oma algsel kujul.

Kompenseeriv kontrollimeede 3: tugevdatud füüsilised ja loogilised kontrollimeetmed

Kui andmeleke ja tootmisväline kasutus olid käsitletud, keskendus viimane kaitsekiht süsteemile endale. Tuginedes Zenith Controls põhimõtetele 7.10 Storage media, käsitles Sarah’ meeskond füüsilist serverit kõrge turbetasemega varana. Kuigi 7.10 seostub sageli irdkandjatega, sobivad selle elutsükli halduse ja füüsilise turbe põhimõtted siia täielikult.

Nagu Zenith Controls selle teema kohta märgib:

„ISO/IEC 27002:2022 annab punktis 7.10 põhjalikud juhised andmekandjate turvaliseks haldamiseks kogu nende elutsükli jooksul. Standard soovitab organisatsioonidel pidada registrit kõigi irdkandjate kohta…“

Seda loogikat rakendades paigutati server andmekeskuses eraldi lukustatud kappi, millele pääsesid ligi ainult kaks nimeliselt määratud vaneminseneri. Füüsiline juurdepääs eeldas registreerimist ja seda jälgiti CCTV abil. Võrgupoolel paigutati server segmenteeritud „pärand“ VLAN-i. Tulemüüri reeglid seadistati vaikimisi kogu liiklust keelama; lubatud oli ainult üks selgelt määratletud reegel, mis võimaldas suhtlust määratud rakendusserverilt konkreetsel pordil. Selline ulatuslik isoleerimine vähendas oluliselt ründepinda ning muutis krüptimata andmed nähtamatuks ja kättesaamatuks.

Auditi ees: kaitstava mitme vaate strateegia esitamine

Kui audiitor naasis järelkontrolliks, ei esitanud Sarah vabandusi. Ta esitas tervikliku riski käsitlemise plaani koos dokumentatsiooni, logide ja oma meeskonna kompenseerivate kontrollimeetmete reaalajas demonstratsioonidega. Audit ei ole üksiksündmus, vaid eri vaatenurkadest peetav arutelu ning infoturbejuht peab olema valmis igaüheks.

ISO/IEC 27001 audiitori vaade: Audiitor soovis näha operatiivset tõhusust. Sarah’ meeskond näitas, kuidas DLP-süsteem blokeeris volitamata e-kirja, demonstreeris andmete maskeerimise skripti tööd ning esitas füüsilise juurdepääsu logid, mis olid ristviidatud tööpiletitega.

GDPR-i ja privaatsuse vaade: Audiitor küsis, kuidas rakendatakse võimalikult väheste andmete kogumise põhimõtet. Sarah näitas puhverdatud andmete turvalise kustutamise automatiseeritud skripte ja pseudonüümimise protsessi kõigi tootmissüsteemist lahkuvate andmete puhul, viies selle kooskõlla GDPR Article 25-ga (lõimitud ja vaikimisi andmekaitse). Krüptograafiliste kontrollimeetmete poliitika VKE-dele määrab andmekaitsespetsialistile (DPO) sõnaselgelt vastutuse: „tagab, et krüptimiskontrollid on kooskõlas GDPR-i Article 32 kohaste andmekaitsekohustustega“.

NIS2/DORA vaade: See vaade keskendub talitluspidevusele. Sarah esitas isoleeritud süsteemi varundamise ja taastamise testitulemused ning pärandtarkvara tarnija turbelisad, tõendades proaktiivset riskijuhtimist, mida nõuavad NIS2 Article 21 ja DORA Article 9.

NIST/COBIT vaade: Neid raamistikke kasutav audiitor otsib juhtimist ja mõõdikuid. Sarah esitas ajakohastatud riskiregistri, mis näitas jääkriski ametlikku aktsepteerimist (COBIT APO13). Ta vastendas DLP NIST SP 800-53 SI-4-ga (System Monitoring), võrgusegmenteerimise SC-7-ga (Boundary Protection) ning juurdepääsukontrollid AC-3 ja AC-4-ga, tõendades, et kuigi SC-28 (Protection of Information at Rest) ei olnud otseselt täidetud, oli kasutusel samaväärne kontrollimeetmete kogum.

Peamine audititõendus kompenseerivate kontrollimeetmete kohta

Strateegia tõhusaks selgitamiseks valmistas Sarah’ meeskond ette tõendusmaterjali, mis vastas audiitorite ootustele.

Auditi vaade	Nõutav tõendusmaterjal	Levinud audititest
ISO/IEC 27001	Riskiregistri kanded, poliitikaerandite logid, DLP-reeglid, andmekandjate registrid	Vaadatakse läbi riski- ja erandilogid, küsitakse DLP-tegevuste logisid; jälgitakse andmekandja elutsüklit.
GDPR	Andmete maskeerimise protseduurid, rikkumisest teavitamise valmisolek, andmete kustutamise kirjed	Vaadatakse läbi näidisandmestikud (maskeeritud vs. maskeerimata), testitakse DLP-päästikuid, simuleeritakse rikkumisstsenaarium.
NIS2/DORA	Varundamise ja taastamise testitulemused, tarnija turbehinnangud, intsidentidele reageerimise õppused	Simuleeritakse andmeekspordi katset; vaadatakse läbi varukoopiate käitlemise protsessid; testitakse DLP-kontrolle kriitilistel andmetel.
NIST/COBIT	Tehnilise seire logid, poliitikate integreerimise dokumentatsioon, töötajate intervjuud	Simuleeritakse andmete väljaviimist, võrreldakse poliitikat protseduuriga, intervjueeritakse peamisi andmehaldureid ja süsteemiomanikke.

Neid erinevaid vaatenurki ette nähes muutis Sarah võimaliku mittevastavuse infoturbe küpsuse tõenduseks.

Praktiline kokkuvõte järgmiseks auditiks

Et strateegia oleks selge ja kaitstav, koostas Sarah’ meeskond riski käsitlemise plaani kokkuvõtliku tabeli. Seda lähenemist saab kasutada iga organisatsioon.

Risk	Põhikontroll (ei ole teostatav)	Kompenseerivate kontrollimeetmete strateegia	Claryseci ressurss	Audiitorile esitatav tõendusmaterjal
Puhkeolekus andmete volitamata avalikustamine	Täisketta krüpteerimine (AES-256)	1. Andmekao vältimine (DLP): jälgida ja blokeerida kõik volitamata andmete väljaviimise katsed sisu ja konteksti alusel.	Zenith Controls (8.12)	DLP-poliitika konfiguratsioon, teavituslogid, intsidentidele reageerimise protseduurid.
		2. Range loogiline juurdepääsukontroll: isoleerida server segmenteeritud võrku „keela kõik“ tulemüürireeglitega ning tugevalt piiratud teenusekonto juurdepääsuga.	Zenith Controls (8.3)	Võrguskeemid, tulemüürireeglistikud, kasutajate juurdepääsuõiguste ülevaatused, teenusekontode autentimisandmete poliitika.
		3. Tugevdatud füüsiline turve: paigutada server eraldi lukustatud kappi, kus füüsiline juurdepääs logitakse ja seda jälgitakse.	Zenith Controls (7.10)	Andmekeskuse juurdepääsulogid, CCTV-salvestiste kirjed, serverikapi võtme väljastamise lehed.
Tundlike andmete kasutamine tootmisvälistes keskkondades	Testandmete koopiate krüptimine	Andmete maskeerimine: rakendada ametlik protseduur kõigi andmeväljavõtete pseudonüümimiseks või anonüümimiseks enne nende kasutamist testimises või arenduses.	Zenith Blueprint (samm 20)	Ametlik andmete maskeerimise protseduuri dokument, maskeerimisskriptide demonstratsioon, maskeeritud näidisandmestik.

Mitme raamistiku vastavus lühiülevaatena

Tugev kompenseerivate kontrollimeetmete strateegia on kaitstav kõigis suuremates raamistikes. Claryseci Zenith Controls annab vastendustabeli, mis aitab tagada, et teie kaitsemeetmed oleksid üheselt mõistetavad ja aktsepteeritavad.

Raamistik	Peamine punkt/viide	Kuidas kompenseerivaid kontrollimeetmeid tunnustatakse
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	Riskipõhine lähenemine võimaldab põhjendatud juhtudel alternatiivseid kontrollimeetmeid, nagu DLP, andmekandjate haldus ja andmete maskeerimine.
GDPR	Art. 5(1)(f), 25, 32	Nõuab „asjakohaseid“ tehnilisi meetmeid; pseudonüümimine, juurdepääsukontrollid ja DLP võivad selle nõude täita, kui krüptimine ei ole teostatav.
NIS2	Art. 21, 23	Kehtestab riskipõhise lähenemise; kihilised kontrollimeetmed, nagu DLP, varukoopiate kaitse ja tarnijakontrollid, on sobivad riskikäsitlused.
DORA	Art. 5, 9, 10, 28	Rõhutab talitluspidevust; DLP, juurdepääsukontroll ja tugev logimine on finantsandmete kaitsmisel võtmetähtsusega nii krüptimisega kui ka ilma selleta.
NIST SP 800-53	SC-28, MP-2 to MP-7, AC-3/4, SI-4	Lubab kompenseerivaid kontrollimeetmeid; DLP (SI-4), juurdepääsupiirangud (AC-3) ja andmekandjate jälgimine (MP-seeria) võivad käsitleda krüptimata andmete riske.
COBIT	DSS05, APO13, MEA03	Keskendub juhtimisele ja mõõtmisele; dokumenteeritud riski aktsepteerimine (APO13) ja kompenseerivate kontrollimeetmete seire (MEA03) tõendavad hoolsuskohustuse täitmist.

Kokkuvõte: muutke nõrgim lüli tugevuseks

Lugu krüptimata pärandandmebaasist ei ole läbikukkumise lugu. See on küpse ja läbimõeldud riskijuhtimise lugu. Keeldudes leppimast lihtsa vastusega „seda ei saa teha“, muutis Sarah’ meeskond olulise haavatavuse oma mitmekihilise kaitsevõimekuse demonstratsiooniks. Nad tõendasid, et turvalisus ei tähenda ühe linnukese tegemist kasti „krüptimine“. See tähendab riski mõistmist ning läbimõeldud, kihilise ja auditis kaitstava kaitse ülesehitamist selle maandamiseks.

Teie organisatsioonis on paratamatult oma versioon sellisest pärandandmebaasist. Kui selle leiate, ärge käsitage seda takistusena. Käsitage seda võimalusena ehitada vastupidavam ja paremini kaitstav turbeprogramm.

Kas olete valmis looma oma töökindla ja auditiks valmis kontrolliraamistiku? Alustage õigest alusest.

Vaadake üle oma poliitikaökosüsteem Claryseci terviklike poliitikakomplektide abil.
Tutvuge The Zenith Blueprint: audiitori 30-sammulise tegevuskavaga, et suunata oma rakendamist.
Kasutage Zenith Controls: mitme raamistiku vastavuse juhendit, et tagada kaitsemeetmete vastupidavus igast vaatenurgast tulevale kontrollile.

Võtke Claryseciga ühendust kohandatud töötoa või täieliku mitme raamistiku vastavushindamise jaoks. Tänases regulatiivses keskkonnas on valmisolek ainus kontrollimeede, mis päriselt loeb.

Viited:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council