RoPA ja andmevoogude kaardistamine GDPR-i, NIS2 ja DORA jaoks
Kell on teisipäeval 09:10 ning infoturbejuht, andmekaitseametnik, hankevastutaja ja operatsioonide direktor on samas videokõnes, kuid nad ei vaata sama tõendusmaterjali.
Andmekaitseametnikul on töötlemistoimingute register (RoPA), kus on kirjas klientide sisseelamine, töötajate palgaarvestus, tugipiletid ja turundusanalüütika. Infoturbejuhil on pilvevarade register. Hanketiimil on tarnijalepingud. Operatsioonide tiimil on talitluspidevuse tabel. Finantsüksusel on DORA teaberegister. Keegi ei suuda vastata järelevalveasutuse kõige põhilisemale läbivale küsimusele:
Kui see maksega seotud kliendi sisseelamisteenus katkeb, millised süsteemid, tarnijad, andmekategooriad, alltöötlejad, piiriülesed andmeedastused ja kriitilised ärifunktsioonid on mõjutatud?
See küsimus on 2026. aasta tegelik vastavustest.
GDPR nõuab endiselt vastutustundlikult hallatud Article 30 kirjeid. NIS2 on muutnud küberturvalisuse oluliste ja tähtsate üksuste juhtorgani vastutuse küsimuseks. DORA nõuab finantsüksustelt tõendusmaterjali IKT-sõltuvuste, kriitiliste või oluliste funktsioonide, IKT kolmandate osapoolte kokkulepete, intsidentide klassifitseerimise ja kerksustestimise kohta. ISO/IEC 27001:2022 annab juhtimissüsteemi struktuuri, mis seob selle kõik kokku, kuid ainult siis, kui RoPA-d ja andmevoogude kaardistamist käsitatakse elava juhtimistõendusena, mitte andmekaitsetiimi tabelitena.
Clarysecis näeme sama mustrit kiiresti kasvavates SaaS-, finantstehnoloogia-, pilve-, MSP- ja B2B-tehnoloogiaettevõtetes. Neil on piisavalt dokumentatsiooni küsimustikule vastamiseks, kuid mitte piisavalt seotud tõendusmaterjali, et läbida järelevalveasutuse kontroll, küberintsident, tarnija tõrge või siseaudit. Probleem ei ole enamasti teabe puudumises. Probleem on seoste puudumises.
Lahendus on muuta RoPA ja andmevoogude kaardistamine ühiseks tõendikihiks andmekaitse, küberkerksuse, tarnijahaldus, pilvejuhtimise ja talitluspidevuse jaoks.
Miks RoPA ja andmevoogude kaardistamine muutusid 2026. aasta juhtimisküsimuseks
RoPA-d peeti varem andmekaitse artefaktiks. Andmevoogude kaardid koostati sageli DPIA, pilvemigreerimise või turbearhitektuuri ülevaatuse käigus ja jäeti seejärel vananema. Selline lähenemine enam ei toimi.
GDPR kohaldub laialdaselt isikuandmete töötlemisele EL-is asuva tegevuskoha kontekstis ning ka paljudele EL-i-välistele vastutavatele töötlejatele või volitatud töötlejatele, kes pakuvad EL-is asuvatele isikutele kaupu või teenuseid või jälgivad nende käitumist. Isikuandmed hõlmavad teavet tuvastatud või tuvastatava füüsilise isiku kohta. Töötlemine hõlmab kogumist, säilitamist, kasutamist, avalikustamist, piiramist, kustutamist ja hävitamist. Vastutav töötleja määrab eesmärgid ja vahendid, samal ajal kui volitatud töötleja tegutseb vastutava töötleja nimel.
Seetõttu ei ole RoPA lihtsalt andmebaaside loend. See on kirje ärieesmärkidest, andmekategooriatest, rollidest, vastuvõtjatest, säilitustähtaegadest, kaitsemeetmetest ja rahvusvahelistest sõltuvustest.
NIS2 lisab teenuse kerksuse vaate. See toob kohaldamisalasse paljud keskmise suurusega ja suuremad organisatsioonid kõrge kriitilisusega ja muudes kriitilistes sektorites, sealhulgas digitaristu, pilveteenuse osutajad, andmekeskusteenuse osutajad, sisuedastusvõrgud, usaldusteenuse osutajad, avalike elektroonilise side teenuste osutajad, hallatud teenuse osutajad ja hallatud turbeteenuse osutajad. I lisa hõlmab ka pangandust ja finantsturu taristuid. Mõned üksused võivad kohaldamisalasse kuuluda sõltumata suurusest, sealhulgas teatud DNS-, TLD-, usaldusteenuse ja avaliku side osutajad ning üksused, kelle tegevuse katkemine võiks oluliselt mõjutada avalikku turvalisust, rahvatervist, süsteemset riski või kriitilise tähtsusega ühiskondlikke ja majandustegevusi.
NIS2 Article 21 nõuab proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid operatsioonideks või teenuste osutamiseks kasutatavate võrgu- ja infosüsteemide jaoks. Selle miinimumvaldkonnad hõlmavad riskianalüüsi, turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist arendust, tõhususe hindamist, küberhügieeni, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ja autentimist.
NIS2 üksuse puhul on RoPA ilma teenusesõltuvuste vaateta puudulik. Olulist intsidenti tuleb mõista teenuse mõju, tegevushäire, mõjutatud vastuvõtjate, tarnijate ja piiriüleste mõjude kaudu.
DORA teravdab sama punkti finantsüksuste jaoks. Seda kohaldatakse alates 17. jaanuarist 2025 ning see kehtestab ühtsed nõuded IKT-riski juhtimisele, olulistest IKT-ga seotud intsidentidest teatamisele, digitaalse tegevuskerksuse testimisele, küberohtude ja haavatavuste teabe jagamisele, IKT kolmanda osapoole riskile ning lepingulistele kokkulepetele IKT kolmandast osapoolest teenuseosutajatega. DORA määratleb IKT-teenused laialt kui digitaalsed ja andmeteenused, mida osutatakse IKT-süsteemide kaudu pidevalt. Kriitiline või oluline funktsioon on DORA järgi funktsioon, mille häire kahjustaks oluliselt finantstulemust, teenuse järjepidevust või vastavuskohustusi.
Finantsüksuste puhul, kes on tuvastatud ka NIS2 siseriikliku ülevõtmise alusel, käsitatakse DORA-t sektorispetsiifilise liidu õigusaktina samaväärsete IKT-riski, intsidentidest teatamise, testimise, teabejagamise ja kolmanda osapoole riski nõuete kohta. Praktikas ei saa finantstehnoloogiaettevõte luua üht tõendusmaterjali kogumit andmekaitse, teist DORA ja kolmandat NIS2 jaoks. Vaja on ühtset sõltuvusteadlikku andmejuhtimise kihti.
See kiht on RoPA koos andmevoogude kaardistamisega.
ISO/IEC 27001:2022 on selgroog
ISO/IEC 27001:2022 on loodud just sellise integratsiooni jaoks. See kehtestab skaleeritava infoturbe juhtimissüsteemi (ISMS), mille eesmärk on säilitada konfidentsiaalsus, terviklus ja käideldavus riskijuhtimise kaudu. Standard on mõeldud integreerimiseks organisatsiooni protsessidesse ning kohandamiseks organisatsiooni vajaduste, suuruse ja struktuuriga.
Lähtepunkt ei ole diagrammitööriist. Lähtepunkt on kohaldamisala.
ISO/IEC 27001:2022 punktid 4.1 kuni 4.4 nõuavad, et organisatsioon määratleks konteksti, huvitatud osapooled, ISMS-i kohaldamisala ja koostoimivad protsessid. Kohaldamisala peab arvestama õiguslikke, regulatiivseid ja lepingulisi kohustusi ning liideseid ja sõltuvusi sisemiste tegevuste ja teiste organisatsioonide tehtavate tegevuste vahel. RoPA ja andmevoogude kaardistamise puhul tähendab see, et ISMS-i kohaldamisala peab selgelt hõlmama sisseostetud pilveplatvorme, maksetöötlejaid, identiteedipakkujaid, tugivahendeid, hallatud turbeteenuse osutajaid ja ärikriitilisi SaaS-integratsioone.
Punktid 5.1 kuni 5.3 panevad juhtkonna vastutama poliitika, ressursside, rollimäärangute ja aruandluse eest. See peegeldab NIS2 Article 20 suunda, mis nõuab juhtorganitelt küberturvalisuse riskijuhtimismeetmete heakskiitmist, rakendamise järelevalvet ja koolitusel osalemist. See on kooskõlas ka DORA Article 5-ga, mis annab juhtorganile lõpliku vastutuse IKT-riski ja poliitikate, kerksusstrateegia, talitluspidevuse plaanide, auditiplaanide, IKT kolmandate osapoolte teenuste ning oluliste intsidentide teavituskanalite järelevalve eest.
Punktid 6.1.1 kuni 6.1.3 annavad planeerimismehhanismi: tuvastada konfidentsiaalsuse, tervikluse ja käideldavuse riskid, määrata riskiomanikud, analüüsida tagajärgi ja tõenäosust, valida riskikäsitluse võimalused, võrrelda kontrollimeetmeid lisaga A, koostada kohaldatavusdeklaratsioon (SoA) ja saada riskiomaniku heakskiit.
Siin muutub RoPA operatiivseks. Iga töötlemistoiming ja andmevoog peab olema seotud riskide, kontrollimeetmete, tarnijate, varade ja kriitiliste teenustega. Kui see nii ei ole, jääb see andmekaitseregistriks, mis ei toeta intsidentidele reageerimist, kerksustestimist ega tarnijariskiga seotud otsuseid.
Claryseci Zenith Blueprint: audiitori 30 sammu teekaart muudab selle praktiliseks riskijuhtimise etapis, sammus 9 „Varade, ohtude ja haavatavuste tuvastamine“:
Iga vara kohta registreerige põhiandmed: nimi/kirjeldus, omanik, asukoht ja klassifikatsioon (tundlikkus). Näiteks võib vara olla „Kliendiandmebaas – omanik IT-osakond – majutatud AWS-is – sisaldab isiku- ja finantsandmeid (kõrge tundlikkus)“.
Sama samm 9 lisab olulise vastavusalase tähelepaneku: isikuandmeid sisaldavad varad tuleb märkida GDPR-i seisukohast asjakohaseks ning kriitiliste teenuste varad tuleb tuua välja võimaliku NIS2 kohaldatavuse jaoks, kui organisatsioon tegutseb reguleeritud sektoris. See on sild RoPA, varade registri ja kriitiliste teenuste sõltuvuste kaardistamise vahel.
Mida peab auditivalmis RoPA sisaldama
Tugev RoPA ei pea olema keeruline, kuid see peab olema seotud.
GDPR Article 5 nõuab, et isikuandmeid töödeldaks seaduslikult, õiglaselt ja läbipaistvalt, et neid kogutaks kindlaksmääratud ja õiguspärastel eesmärkidel, piirataks vajalikuga, hoitaks täpsena, säilitataks ainult nii kaua kui vajalik ning kaitstaks asjakohaste tehniliste ja korralduslike meetmetega. Article 5(2) nõuab, et vastutav töötleja vastutaks vastavuse eest ja suudaks seda tõendada.
Article 6 nõuab õiguslikku alust, näiteks nõusolekut, lepingu täitmise vajadust, juriidilist kohustust, elulisi huve, avalikes huvides ülesannet või õigustatud huve. Kui töötlemine toimub uuel eesmärgil, tuleb hinnata kooskõla, arvestades algset ja uut eesmärki, kogumise konteksti, tundlikkust, tagajärgi isikutele ning kaitsemeetmeid, nagu krüptimine või pseudonüümimine. Article 9 lisab rangemad reeglid isikuandmete eriliikidele, sealhulgas terviseandmetele, unikaalseks tuvastamiseks kasutatavatele biomeetrilistele andmetele ja muudele tundlikele kategooriatele.
Claryseci VKE poliitikakomplekt muudab selle operatiivseks nõudeks. Andmekaitse ja privaatsuspoliitika - VKE sätestab:
Andmekaitsekoordinaator peab pidama kõigi isikuandmete töötlemistoimingute registrit, sealhulgas andmekategooriad, eesmärk, õiguslik alus ja säilitustähtajad
See pärineb juhtimisnõuete jaotisest, punktist 5.2.1. Suuremate organisatsioonide puhul määrab Claryseci Andmekaitse ja privaatsuspoliitika vastutuse otse:
Hoiab töötlemistoimingute registrit (RoPA) kooskõlas GDPR Article 30-ga.
See sõnastus pärineb rollide ja vastutuste jaotisest, punktist 4.2.2. Praktiline sõnum on lihtne: RoPA omanik peab olema määratud. See ei tohi olla omanikuta vastavustabel.
- aastaks valmis RoPA peab sisaldama järgmisi välju.
| RoPA väli | Miks see on oluline | Seos tõendusmaterjaliga |
|---|---|---|
| Töötlemistoimingu nimi | Loob ärile arusaadava kirje | Seos protsessiomaniku ja ISMS-i kohaldamisalaga |
| Eesmärk ja õiguslik alus | Toetab GDPR-i vastutust | Seos privaatsusteate, lepingu või õigusliku analüüsiga |
| Andmesubjektid ja andmekategooriad | Tuvastab kokkupuute ja tundlikkuse | Seos klassifitseerimise ja maskeerimisreeglitega |
| Eriliigiliste või suure riskiga andmete märgis | Käivitab tugevdatud kaitsemeetmed | Seos DPIA, pseudonüümimise ja juurdepääsukontrollidega |
| Süsteemid ja rakendused | Seob andmekaitse IKT-varadega | Seos varade registri ja haavatavuste haldusega |
| Tarnijad ja alltöötlejad | Näitab välist töötlemisahelat | Seos tarnijaregistri ja lepingutega |
| Andmete asukohad ja edastused | Toetab andmete asukoha ja edastuste läbivaatamist | Seos pilveregistri ja edastuse kaitsemeetmetega |
| Säilitamise ja kustutamise reeglid | Toetab säilitamise piirangut | Seos säilitamisgraafiku ja turvalise kustutamisega |
| Kriitilise teenuse sõltuvus | Toetab NIS2 ja DORA mõjuanalüüsi | Seos BIA, talitluspidevuse ja intsidendi klassifitseerimisega |
| Kontrollimeetmed ja tõendusmaterjal | Muudab RoPA auditikõlblikuks | Seos SoA, riskiregistri ja testitõenditega |
Viimased read on need, mis viivad RoPA andmekaitsedokumentatsioonist küberkerksuse tõendusmaterjaliks. Ilma süsteemide, tarnijate, asukohtade, kriitilisuse ja kontrollimeetmeteta võib RoPA täita kitsa Article 30 kontrollnimekirja, kuid ebaõnnestuda kohe, kui intsident, katkestus või järelevalveasutuse kontroll nõuab mõjuanalüüsi.
Andmevoogude kaardistamine seob andmekaitse, pilve ja kriitilised teenused
Kui RoPA vastab küsimusele „milline töötlemine toimub ja miks“, siis andmevoogude kaart vastab küsimusele „kuhu andmed liiguvad, kes nendega kokku puutub, mis neid kaitseb ja mis katkeb, kui voog peatub“.
Claryseci Andmete maskeerimise ja pseudonüümimise poliitika - VKE teeb nõude üheselt selgeks:
Tuleb koostada andmevoogude kaart.
See pärineb juhtimisnõuetest, punktist 5.1.1.1. Ettevõtte versioon Andmete maskeerimise ja pseudonüümimise poliitika laiendab ootust punktis 5.2.1:
Hoida ajakohast registrit süsteemidest ja andmevoogudest, mis hõlmavad tundlikke andmeid.
Punkt 5.2.2 lisab:
Kaardistada, kus ja kuidas andmeid keskkondade vahel teisendatakse, jagatakse või neile juurde pääsetakse.
Audiitorid ja regulaatorid ei otsi kunstipäraseid diagramme. Nad tahavad mõista andmete teisendamist, juurdepääsuteid, jagamist, keskkondi ja kaitsemeetmeid.
Zenith Blueprinti kontrollimeetmete rakendamise etapis, sammus 22 „Organisatsioonilised kontrollimeetmed 5.1 kuni 5.18“, selgitab teabe edastamise juhis, et organisatsioonid peavad määratlema lubatud edastusmeetodid, siduma need klassifitseerimisega ning tagama, et osapooled mõistavad oma rolle ja kohustusi. Näidetena tuuakse krüpteeritud e-post, turvalised portaalid, SFTP, rakendusliidesed ja füüsiline üleandmine koos krüptimisega. Samuti märgitakse, et piiriüleselt edastatavad isikuandmed peavad vastama andmekaitse- ja õiguslikele kohustustele, mitte ainult sisemistele eelistustele.
Sama samm seob teabe edastamise klassifitseerimise ja märgistamise, andmelekkekaitse, tarnijasuhete ja krüptograafiaga. See loob praktilise mudeli andmevoogude kaardistamiseks:
- Tuvastage lähtesüsteem, näiteks CRM, makseplatvorm, HRIS või kasutajatugi.
- Tuvastage andmekategooria, sealhulgas isikuandmed, finantsandmed, töötajaandmed, eriliigilised andmed või autentimisandmed.
- Tuvastage edastusmeetod, näiteks API, SFTP, e-post, turvaline portaal, käsitsi eksport või varukoopia replikatsioon.
- Tuvastage sihtkoht, sealhulgas sisemine süsteem, pilveteenus, tarnija, alltöötleja, andmeladu või arhiiv.
- Tuvastage kaitse, näiteks krüptimine, pseudonüümimine, juurdepääsukontroll, logimine, DLP või lepinguline piirang.
- Tuvastage sõltuvus, sealhulgas kas voog toetab kriitilist ärifunktsiooni, kriitilist või olulist funktsiooni, olulist teenust või intsidendist teatamise kohustust.
Kolm ISO/IEC 27001:2022 lisa A kontrollimeedet on siin eriti olulised. ISO/IEC 27002:2022 annab nende kontrollimeetmete rakendusjuhised:
| ISO/IEC 27001:2022 lisa A kontrollimeede | Kontrollimeetme nimetus | RoPA ja andmevoogude asjakohasus |
|---|---|---|
| 5.9 | Teabe ja muude seotud varade register | Tuvastab süsteemid, andmehoidlad, omanikud, asukohad ja klassifikatsioonid |
| 5.14 | Teabe edastamine | Määratleb, kuidas andmeid liigutatakse, kaitstakse, autoriseeritakse ja jälgitakse |
| 5.34 | Privaatsus ja PII kaitse | Seob isikuandmete käitlemise privaatsuskohustuste ja kaitsemeetmetega |
Claryseci Zenith Controls: ristvastavuse juhend määratleb 5.9, 5.14 ja 5.34 selle juhtimiskihi teemaga seotud kontrollimeetmetena. Käsitlege neid ankurkontrollidena ning siduge need tarnija-, pilve-, intsidendi-, talitluspidevuse, logimise, juurdepääsu- ja krüptograafiakontrollidega oma kohaldatavusdeklaratsiooni kaudu.
Miks NIS2 ja DORA vajavad enamat kui andmekaitseregistrit
Levinud viga on koostada RoPA, mis on GDPR-i järgi tehniliselt korrektne, kuid NIS2 või DORA jaoks kasutu. Erinevus seisneb teenuse kriitilisuses.
NIS2 Article 23 nõuab, et olulised ja tähtsad üksused teataksid olulistest intsidentidest põhjendamatu viivituseta. Selle teavitusmudel sisaldab varajast hoiatust 24 tunni jooksul, intsidenditeadet 72 tunni jooksul ja lõpparuannet ühe kuu jooksul. Olulisi intsidente hinnatakse tõsise tegevushäire, rahalise kahju või teistele füüsilistele või juriidilistele isikutele tekitatud varalise või mittevaralise kahju alusel. See hindamine sõltub teadmisest, millised teenused, vastuvõtjad, riigid, süsteemid ja tarnijad on mõjutatud.
DORA Article 17 nõuab, et finantsüksused määratleksid ja rakendaksid IKT-ga seotud intsidentide haldamise protsessi, mis tuvastab, haldab ja teatab intsidentidest, registreerib intsidendid ja olulised küberohud, tuvastab algpõhjused, määrab varajase hoiatuse indikaatorid, klassifitseerib intsidendid mõjutatud teenuste tõsiduse ja kriitilisuse järgi, määrab rollid ning loob suhtlus- ja eskaleerimisprotseduurid. Article 18 nõuab klassifitseerimist mõjutatud klientide või vastaspoolte ja tehingute, kestuse ja katkestusaja, geograafilise ulatuse, käideldavust, autentsust, terviklust või konfidentsiaalsust mõjutava andmekao, mõjutatud teenuste kriitilisuse ja majandusliku mõju alusel.
Intsidenti ei saa kiiresti klassifitseerida, kui andmevoog ja sõltuvusahel ei ole teada.
Claryseci Talitluspidevuse ja katastroofitaaste poliitika - VKE osutab tõendusväljale, mida organisatsioonid vajavad:
prioriseeritud teenused ja süsteemid (kriitilised ärifunktsioonid)
See pärineb juhtimisnõuetest, punktist 5.2.1.2. Ettevõtte Talitluspidevuse ja katastroofitaaste poliitika lisab sõltuvusmõõtme punktis 5.2.4:
Kriitilised sõltuvused (süsteemid, tarnijad, personal)
DORA reguleeritud organisatsioonide puhul peab see olema kooskõlas kriitiliste või oluliste funktsioonide, IKT-teenuste, lepinguliste kokkulepete ja väljumisstrateegiatega. DORA Article 28 nõuab, et IKT kolmanda osapoole riski juhitaks IKT-riski raamistiku osana. See kohustab pidama IKT-teenuste lepinguliste kokkulepete registrit, nõuab lepingu-eelset hoolsuskontrolli ning kriitilisuse, kontsentratsiooniriski, sobivuse ja huvide konfliktide hindamist, samuti väljumisstrateegiaid IKT-teenuste jaoks, mis toetavad kriitilisi või olulisi funktsioone.
DORA Article 30 määrab kindlaks IKT-lepingute miinimumtingimused, sealhulgas teenuste kirjeldused, alltöövõtu tingimused, andmete töötlemise ja säilitamise asukohad, andmekaitse, juurdepääsu, andmete taastamise ja tagastamise, teenustasemed, intsidendiabi, koostöö ametiasutustega, lõpetamisõigused, auditeerimisõigused ning ülemineku- või väljumiskorralduse.
RoPA, mis ei tuvasta tarnijaid, asukohti, edastusmeetodeid, kriitilisust ja väljumissõltuvusi, ei toeta DORA tõendusmaterjali.
Tarnijate, pilve ja alltöötlejate kaardistamine on koht, kus tõendusmaterjal sageli katkeb
Tegelikes auditites ilmnevad RoPA puudused sageli tarnijapuudustena. Töötlemistoiming ütleb „klienditugi“. Andmevoogude kaart ütleb „tugiplatvorm“. Kuid keegi ei suuda tuvastada majutuspiirkonda, AI-transkriptsiooni lisamoodulit, analüütika alltöötlejat, piletimanuste säilitamist, administraatori juurdepääsumudelit ega väljumisprotseduuri.
Claryseci VKE tarnijapoliitika loob minimaalse operatiivse tõendusmaterjali. Kolmandate osapoolte ja tarnijate turbepoliitika - VKE sätestab:
Tarnijaregistrit peab pidama ja ajakohastama haldus- või hankekontakt. See peab sisaldama:
See pärineb juhtimisnõuetest, punktist 5.4. Pilvepoliitika lisab eraldi registrinõude. Pilveteenuste kasutamise poliitika - VKE sätestab:
Pilveteenuste registrit peab pidama IT-teenuseosutaja või tegevjuht. See peab registreerima:
See pärineb juhtimisnõuetest, punktist 5.3. Ettevõtte sõltuvusriski puhul on Claryseci Tarnijasõltuvuse riskijuhtimise poliitika täpsem:
Tarnijasõltuvuste register: VMO peab pidama ajakohast registrit kõigist kriitilistest tarnijatest, sealhulgas sellised andmed nagu osutatavad teenused/tooted; kas tarnija on ainus allikas; olemasolevad alternatiivsed tarnijad või asendatavus; kehtivad lepingutingimused; ning mõju hinnang juhul, kui tarnija peaks ebaõnnestuma või kompromiteeritama. Register peab selgelt tuvastama kõrge sõltuvusega tarnijad (nt need, kellele puudub kiiresti kasutatav alternatiiv).
See nõue, mis pärineb rakendusnõuete punktist 6.1, seob RoPA täpselt NIS2 tarneahela turbe ja DORA IKT kolmanda osapoole riskiga.
Zenith Blueprinti kontrollimeetmete rakendamise etapis, sammus 23 „Organisatsioonilised kontrollimeetmed 5.19 kuni 5.37“, soovitatakse koostada täielik tarnijaloend, klassifitseerida tarnijad süsteemidele, andmetele või operatiivsele kontrollile juurdepääsu alusel, lisada lepingutesse turbeootused, vaadata läbi alltöövõtjad, kehtestada tarnijamuudatuste päästikud ning luua pilveteenuse hindamisprotsess, mis katab andmete asukoha, juurdepääsumudeli, logimise ja krüptimise.
Just see võimaldab infoturbejuhil intsidendi ajal vastata: „Milline kriitiline teenus kasutab seda tarnijat, millised andmed avalikustusid, milliseid kliente tuleb teavitada, millisele regulaatorile võib olla vaja aru anda ning milline alternatiivne tarnija või väljumistee on olemas?“
Praktiline näide: klientide sisseelamine finantstehnoloogiaettevõttes
Võtame finantstehnoloogiaettevõtte, mis pakub digitaalse rahakoti kasutuselevõttu. Kliendid laadivad üles isikut tõendavad dokumendid, tarnija teeb biomeetrilise elususe kontrolli, tulemused salvestatakse pilveandmebaasi ning klienditugi saab kontrollistaatust vaadata piletihaldusvahendis.
Sisseelamisteenus võib olla DORA alusel kriitiline või oluline funktsioon, sest selle häire mõjutab oluliselt teenuse järjepidevust ja regulatiivseid kohustusi. Kui ettevõte tegutseb NIS2 sektoris või osutab asjakohaseid IKT-teenuseid, võib see olla ka osa kriitilise teenuse tõendusmaterjalist.
Kasulik kaart algab ühest seotud kirjest.
| Tõendusobjekt | Näidiskirje | Claryseci allikas |
|---|---|---|
| RoPA tegevus | Kliendi identiteedi kontrollimine rahakoti kasutuselevõtuks | Andmekaitse ja privaatsuspoliitika |
| Eesmärk | Identiteedi kontrollimine ja pettuste ennetamine | GDPR-i vastutuse ja õigusliku aluse kirje |
| Andmekategooriad | Isikut tõendav dokument, selfi, biomeetrilise elususe tulemus, kontaktandmed | Andmekaitse ja privaatsuspoliitika |
| Tundlike andmete märgis | Identiteedi kontrollimiseks kasutatavad biomeetrilised andmed | Andmete maskeerimise ja pseudonüümimise poliitika |
| Süsteemid | Mobiilirakendus, identiteeditarnija API, pilveandmebaas, tugiplatvorm | Zenith Blueprinti samm 9 varade register |
| Andmevoog | Rakendus identiteedi API-sse, API pilveandmebaasi, andmebaas tugiplatvormile | Andmete maskeerimise ja pseudonüümimise poliitika |
| Tarnija | Identiteedikontrolli teenuseosutaja, pilveteenuse pakkuja, tugiteenuse SaaS | Kolmandate osapoolte ja tarnijate turbepoliitika |
| Pilvekirje | Piirkond, krüptimine, juurdepääsumudel, logid, säilitamine | Pilveteenuste kasutamise poliitika |
| Kriitiline funktsioon | Digitaalse rahakoti kasutuselevõtt | Talitluspidevuse ja katastroofitaaste poliitika |
| Sõltuvusrisk | Identiteedipakkuja on kõrge sõltuvusega tarnija, kellele on piiratud kiire asendus | Tarnijasõltuvuse riskijuhtimise poliitika |
| Kontrollimeetmed | Varade register, teabe edastamine, privaatsus ja PII kaitse, tarnijate turve, pilve kasutamine, logimine, juurdepääsukontroll, krüptograafia | Zenith Controls ja SoA |
| Kasutus intsidendi korral | Mõjutatud klientide, katkestusaja, andmekao ja teenuse kriitilisuse klassifitseerimine | DORA ja NIS2 intsidenditõendus |
Nüüd lisage ISO/IEC 27001:2022 riskikäsitluse jälgitavus.
Zenith Blueprinti riskijuhtimise etapis, sammus 13 „Riskikäsitluse planeerimine ja kohaldatavusdeklaratsioon“, kirjeldab Clarysec SoA-d silladokumendina, mis seob riskihindamise ja -käsitluse tegelike kontrollimeetmetega. See soovitab kaardistada kontrollimeetmed riskidega ning ristviidata regulatsioonidele, nagu GDPR, NIS2 või DORA, riskiregistri või SoA märkustes, kus see on asjakohane.
Sisseelamise näites võiks riskistsenaarium olla: „Identiteedikontrolli teenuseosutaja katkestus või kompromiteerimine häirib sisseelamist ja avalikustab biomeetrilised identiteediandmed.“ Käsitlusmeetmed võiksid hõlmata tarnija hoolsuskontrolli, lepingulist intsidenditeavitust, krüptimist, juurdepääsukontrolli, logimist, varundamist ja taastamist, andmete minimaalsust, pseudonüümimist, seiret, väljumise planeerimist ja intsidentidele reageerimise tööjuhiseid.
SoA märkus võib öelda, et kontrollimeetmete kogum toetab GDPR-i vastutust, NIS2 Article 21 tarneahela ja intsidendivalmidust ning DORA IKT kolmanda osapoole riski ja kriitilise funktsiooni kerksust.
See on see, mida audiitorid ootavad: jälgitavus.
Ristvastavuse kaardistamine: üks tõendikiht, mitu küsimust
RoPA ja andmevoogude kaardistamine ei ole eraldiseisvad vastavussilod. Need toetavad ühist küsimuste kogumit GDPR-i, NIS2, DORA, ISO/IEC 27001:2022, NIST CSF 2.0 ja COBIT 2019 lõikes.
| Raamistik | Järelevalve- või auditiküsimus | RoPA ja andmevoogude tõendusmaterjal |
|---|---|---|
| GDPR | Kas suudate tõendada, milliseid isikuandmeid töödeldakse, miks, kus, kelle poolt ja kui kaua? | RoPA koos eesmärgi, õigusliku aluse, kategooriate, vastuvõtjate, säilitamise, kaitsemeetmete ja edastustega |
| NIS2 | Millised teenused, süsteemid, tarnijad ja andmevood toetavad olulise või tähtsa teenuse osutamist? | Kriitilise teenuse kaart, mis on seotud süsteemide, tarnijate, voogude, intsidentide ja talitluspidevuse plaanidega |
| DORA | Millised IKT-teenused ja kolmandate osapoolte kokkulepped toetavad kriitilisi või olulisi funktsioone? | IKT-sõltuvuste kaart, mis on seotud tarnijate, lepingute, andmete asukohtade, intsidendi klassifitseerimise ja väljumisplaanidega |
| ISO/IEC 27001:2022 | Kas riske, kontrollimeetmeid, dokumenteeritud teavet ja vastutusi juhitakse ISMS-i kaudu? | ISMS-i kohaldamisala, riskiregister, varade register, SoA, poliitikad, siseauditid ja juhtkonna läbivaatamine |
| NIST CSF 2.0 | Kas juhtimine, tarnijarisk, varahaldus, kaitse, tuvastamine, reageerimine ja taaste tulemused on mõistetud? | Praegused ja sihtprofiilid, kasutades RoPA-d, vararegistreid, tarnijaregistreid ja kerksuse tõendusmaterjali |
| COBIT 2019 | Kas juhtimiseesmärgid, infovood, omandiõigus, riskiotsused ja kindlust andvad tegevused on määratletud? | Protsessi omamine, kontrollieesmärgid, teabe kvaliteet, sõltuvuste kaardistamine ja auditijäljed |
NIST CSF 2.0 on kasulik korraldava kihina. Selle CSF-profiilid toetavad praeguse ja sihtseisundi analüüsi, kasutades sisenditena poliitikaid, riskiprioriteete, ärimõju registreid, nõudeid, standardeid, tavasid, tööriistu ja töörolle. Selle GOVERN-funktsioon hõlmab õiguslikke, regulatiivseid, lepingulisi, privaatsus- ja kodanikuvabadustega seotud kohustusi, riskieesmärke, juhtkonna vastutust, rolle, poliitikat, järelevalvet ja tulemuslikkuse läbivaatamist. Selle tarneahela tulemused nõuavad, et tarnijad oleksid teada ja prioriseeritud kriitilisuse alusel, lepingulised küberturvalisuse nõuded oleksid integreeritud, hoolsuskontroll tehtaks enne suhteid, tarnijariskid registreeritaks ja neid seirataks ning tarnijad kaasataks intsidentidele reageerimise ja taastamise planeerimisse.
See sobitub hästi Claryseci RoPA toimimismudeliga. RoPA annab privaatsuskonteksti. Varade register annab tehnilise konteksti. Tarnija- ja pilveregistrid annavad kolmandate osapoolte konteksti. BIA annab kriitilisuse konteksti. SoA annab kontrollimeetmete konteksti.
Üks ISO/IEC 27001:2022 lisa A kontrollimeede võib samuti toetada mitut raamistikku. Kontrollimeede 5.14 „Teabe edastamine“ on hea näide.
| Raamistik või standard | Nõue | Kuidas 5.14 tõendusmaterjali annab |
|---|---|---|
| GDPR | Article 30 RoPA ja Article 32 töötlemise turvalisus | Andmevoogude kaardid moodustavad RoPA aluse ja dokumenteerivad kaitsemeetmed, näiteks krüptimise edastamisel |
| DORA | Article 8 kaitse ja ennetus, Article 28 IKT kolmanda osapoole risk | Edastuskaardid tuvastavad IKT-teenuste sõltuvused, mis toetavad kriitilisi või olulisi funktsioone |
| NIS2 | Article 21 küberturvalisuse riskijuhtimismeetmed, sealhulgas tarneahela turve | Edastuste jälgimine tarnijateni toetab oluliste ja tähtsate teenuste tarneahela riskianalüüsi |
| NIST CSF 2.0 | PR.DS-02 edastamisel olevad andmed on kaitstud | Teabe edastamise reeglid annavad tõendusmaterjali, et andmed on süsteemide vahel liikudes kaitstud |
| ISO/IEC 27001:2022 | Lisa A 5.14 teabe edastamine | Edastusmeetodid, vastutused ja kaitsed on määratletud ja rakendatud |
See on Zenith Controlsi väärtus ristvastavuse kompassina. See aitab organisatsioonidel selgitada, miks üks kontrollipraktika toetab mitut regulatiivset ja auditi ootust.
Kuidas erinevad audiitorid sama kaarti testivad
Küps RoPA ja andmevoogude kaart võib rahuldada mitut audiitorit, kuid igaüks läheneb sellele erinevalt.
ISO/IEC 27001:2022 audiitor alustab kohaldamisalast, huvitatud osapooltest, riskidest, dokumenteeritud teabest ja kontrollimeetmete valikust. Ta küsib, kas õiguslikud ja lepingulised nõuded on tuvastatud, kas isikuandmed ja kriitilised teenused on ISMS-i kohaldamisalas, kas varadel on omanikud ja klassifikatsioonid, kas riskihindamine arvestas konfidentsiaalsust, terviklust ja käideldavust ning kas SoA põhjendab kohaldatavaid kontrollimeetmeid.
GDPR-i audiitor või andmekaitse järelevalveasutus alustab vastutusest. Ta testib, kas RoPA kajastab tegelikku töötlemist, kas eesmärgid ja õiguslikud alused on dokumenteeritud, kas eriliigilised andmed on tuvastatud, kas säilitustähtaegu rakendatakse, kas vastuvõtjad ja volitatud töötlejad on täpsed ning kas edastuste ja turvalisuse jaoks on olemas asjakohased kaitsemeetmed.
NIS2-le keskenduv audiitor vaatab teenuse mõju. Ta küsib, kuidas organisatsioon määrab kriitilised või olulised teenused, kuidas juhtkond on riskimeetmed heaks kiitnud ja nende üle järelevalvet teeb, kuidas tarnijate haavatavusi ja teenuseosutajate riske arvestatakse, kuidas talitluspidevus ja intsidentide käsitlemine on seotud ning kas organisatsioon suudab usaldusväärse tõendusmaterjaliga toetada 24 tunni, 72 tunni ja lõpparuande tähtaegu.
DORA audiitor vaatab IKT-riski juhtimist ning kriitilisi või olulisi funktsioone. Ta testib, kas juhtorgan on heaks kiitnud IKT-riski raamistiku ja kerksusstrateegia, kas IKT kolmandate osapoolte kokkulepped on registreeritud, kas kriitilisust ja kontsentratsiooniriski hinnatakse, kas lepingud sisaldavad nõutud tingimusi, kas testimine katab kriitilisi või olulisi funktsioone toetavad süsteemid ning kas intsidendid klassifitseeritakse mõjutatud klientide, tehingute, katkestusaja, geograafia, andmekao, teenuse kriitilisuse ja majandusliku mõju alusel.
NIST CSF 2.0 hindaja kasutab sageli profiile. Ta võrdleb praeguseid ja sihttulemusi funktsioonides GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND ja RECOVER. RoPA ja andmevoogude kaardid muutuvad sisenditeks õiguslike kohustuste haldamisel, vararegistrites, tarnijariskis, andmekaitses, seires, intsidendikommunikatsioonis ja taastamise planeerimises.
COBIT 2019 või ISACA-laadne audiitor keskendub juhtimisele, omandiõigusele ja protsessivõimekusele. Ta testib, kas infovoogudel on omanikud, kas otsustusõigused on selged, kas riskivalmidust rakendatakse, kas kontrollimeetmeid seiratakse, kas erandeid eskaleeritakse ning kas tõendusmaterjal on juhtkonnale kindluse andmiseks piisavalt usaldusväärne.
| Auditi vaade | Tõenäoline valim | Oodatav tõendusmaterjal |
|---|---|---|
| ISO/IEC 27001:2022 | Üks kriitiline töötlemistoiming | Kohaldamisala, risk, varaomanik, klassifikatsioon, SoA kaardistus, poliitikad ja tegevuskirjed |
| GDPR | Üks isikuandmete protsess | RoPA kirje, õiguslik alus, säilitamine, vastuvõtjad, kaitsemeetmed ja volitatud töötleja kirjed |
| NIS2 | Üks kriitiline teenus | Süsteemid, tarnijad, sõltuvused, intsidendilävendid, talitluspidevus ja juhtkonna järelevalve |
| DORA | Üks kriitiline või oluline funktsioon | IKT-teenuste register, lepingud, sõltuvuste kaart, testimine, intsidendi klassifitseerimine ja väljumisplaan |
| NIST CSF 2.0 | Tarnija toetatud andmevoog | Praegune ja sihtprofiil, tarnija kriitilisus, seire, reageerimise ja taastamise tõendusmaterjal |
| COBIT 2019 | Juhtimisprotsess | Omandiõigus, otsustusõigused, mõõdikud, kindlust andev auditijälg ja juhtkonna aruandlus |
Levinud puudusemustrid
Kõige sagedasemad RoPA ja andmevoogude kaardistamise puudused on etteaimatavad.
Esiteks loetleb RoPA töötlemistoimingud, kuid mitte süsteemid. See muudab võimatuks siduda GDPR-i vastutuse haavatavuste halduse, juurdepääsuõiguste läbivaatamise, varundamise, logimise või intsidentidele reageerimisega.
Teiseks peatuvad andmevoogude kaardid esimese tarnija juures. Need ei näita alltöötlejaid, pilvepiirkondi, toe juurdepääsu, analüütikatööriistu, seireplatvorme ega varukoopiate asukohti.
Kolmandaks tuvastavad talitluspidevuse plaanid süsteemid, kuid mitte isikuandmed. Katkestuse ajal mõistab organisatsioon taastamise prioriteeti, kuid mitte privaatsusmõju.
Neljandaks kajastavad tarnijaregistrid lepinguomanikke, kuid mitte kriitilisust, asendatavust, andmekategooriaid, intsidenditeavituse kohustusi ega väljumisvõimalusi.
Viiendaks on SoA kirjutatud sertifitseerimisdokumendina, mitte kontrollisillana. See ütleb, et kontrollimeetmed on kohaldatavad, kuid ei selgita, millist GDPR-i, NIS2 või DORA tõendusprobleemi kontrollimeede lahendada aitab.
Lõpuks on omandiõigus killustunud. Andmekaitseametnik omab RoPA-d, IT omab varasid, hanked omavad tarnijaid, operatsioonid omavad BIA-d, finantsüksus omab DORA registreid ning keegi ei oma integreeritud sõltuvuskaarti.
Claryseci lähenemine lahendab selle, määrates tõendusobjektid poliitika omanikele ja kasutades seejärel Zenith Blueprinti samme varade, riskide, kontrollimeetmete ja SoA jälgitavuse ühendamiseks.
30 päeva rakendusplaan
Te ei pea kogu organisatsiooni korraga ümber ehitama. Alustage teenustest, mis on kõige olulisemad.
1. nädal: valige kolm kriitilist või suure riskiga töötlemistoimingut. Head kandidaadid on klientide sisseelamine, maksete töötlemine, töötajate personalihaldus, tugipiletid või turvaseire. Igaühe puhul valideerige RoPA kirje tegelike süsteemide, andmekategooriate, eesmärkide, õiguslike aluste ja säilitamisreeglite suhtes.
2. nädal: koostage nende tegevuste andmevoogude kaardid. Tuvastage allikas, sihtkoht, edastusmeetod, keskkond, tarnija, alltöötleja, andmete asukoht, juurdepääsutee, teisendus ja säilitamispunkt. Kasutage Claryseci Andmete maskeerimise ja pseudonüümimise poliitika nõuet pidada registreid süsteemidest ja andmevoogudest, mis hõlmavad tundlikke andmeid.
3. nädal: siduge iga voog varade, tarnijate, pilveteenuste ja kriitiliste ärifunktsioonidega. Kasutage Zenith Blueprinti sammu 9 vara omamise ja klassifitseerimise jaoks. Kasutage tarnija- ja pilveregistri poliitikanõudeid kolmandate osapoolte tõendusmaterjali kogumiseks. Kasutage talitluspidevuse poliitikat prioriseeritud teenuste ja kriitiliste sõltuvuste tuvastamiseks.
4. nädal: lisage riski ja kontrollimeetmete jälgitavus. Iga voo kohta looge või ajakohastage riskistsenaariumid. Kaardistage kontrollimeetmed SoA-s Zenith Blueprinti sammu 13 abil. Lisage vajaduse korral märkused GDPR Article 30 vastutuse, NIS2 Article 21 riskimeetmete ja DORA IKT-sõltuvuste tõendusmaterjali kohta.
Seejärel viige läbi üks lauaõppus: „Tarnija katkestus koos andmete avalikustumisega kriitilises teenuses“. Testige, kas teie tõendusmaterjal toetab intsidendi klassifitseerimist, teavitusotsuseid, kliendikommunikatsiooni, regulaatorikommunikatsiooni ja taastamise prioriseerimist.
30 päeva lõpuks on teil korratav mudel ülejäänud organisatsiooni jaoks.
Claryseci viis: muutke RoPA elavaks kerksuse tõendusmaterjaliks
RoPA ja andmevoogude kaardistamine ei ole enam lihtsalt andmekaitse haldus. Need on ühenduskude GDPR-i vastutuse, NIS2 kriitiliste teenuste juhtimise ja DORA IKT-sõltuvuste tõendusmaterjali vahel.
- aastal ei saavuta parimaid tulemusi organisatsioonid, kellel on kõige rohkem dokumente. Edukamad on need, kes suudavad siduda äriteenuse selle töötlemistoimingute, andmevoogude, süsteemide, tarnijate, pilvepiirkondade, lepingute, kontrollimeetmete, riskide, intsidendilävendite ja taastamisplaanidega.
Clarysec aitab meeskondadel luua selle jälgitavuse ilma tarbetu bürokraatiata. Meie poliitikakomplekt määrab omandiõiguse ja tõendusmaterjali nõuded. Zenith Blueprint annab rakendamise teekaardi, sealhulgas varade tuvastamise, tarnija- ja pilvekontrollide rakendamise ning SoA jälgitavuse. Zenith Controls annab ristvastavuse kompassi ISO/IEC 27001:2022 lisa A kontrollimeetmete kaardistamiseks andmekaitse, kerksuse, tarnijate, pilve ja auditi ootustega.
Teie järgmine samm on lihtne: valige üks kriitiline teenus, üks RoPA kirje ja üks tarnija toetatud andmevoog. Kaardistage see otsast lõpuni. Kui te ei suuda ühe leheküljega selgitada andmeid, sõltuvust, kontrollimeedet ja intsidendi mõju, ei ole teie tõenduskiht 2026. aastaks valmis.
Clarysec saab aidata selle valmis seada. Tutvuge Zenith Blueprintiga, tugevdage oma juhtimist Andmekaitse ja privaatsuspoliitikaga ning Tarnijasõltuvuse riskijuhtimise poliitikaga, ja kasutage Zenith Controlsi, et muuta killustunud vastavuse tõendusmaterjal üheks auditivalmis toimimismudeliks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
