Što je kompenzacijska kontrola za šifriranje podataka u mirovanju?

Kompenzacijska kontrola alternativna je sigurnosna mjera koja se primjenjuje kada primarna kontrola, poput šifriranja podataka u mirovanju, nije izvediva. Mora osigurati usporedivu razinu zaštite obradom istog rizika, primjerice povjerljivosti podataka u slučaju gubitka ili krađe medija za pohranu. Primjeri uključuju sprječavanje curenja podataka (DLP), stroge kontrole pristupa i maskiranje podataka.

Prihvaćaju li revizori kompenzacijske kontrole za okvire poput ISO/IEC 27001:2022?

Da, revizori prihvaćaju dobro dokumentirane i učinkovite kompenzacijske kontrole. Očekivat će formalnu procjenu rizika koja opravdava potrebu za kontrolom, dokaze da se kontrola dosljedno provodi (npr. zapisi dnevnika, izvješća) i dokaz da učinkovito ublažava izvorni rizik. Ključno je pokazati zreo pristup temeljen na riziku, a ne samo opravdavati prazninu u kontrolama.

Kako su kompenzacijske kontrole povezane s usklađenošću s GDPR-om?

GDPR Article 32 zahtijeva 'odgovarajuće tehničke i organizacijske mjere' za zaštitu osobnih podataka. Iako je šifriranje preporučena mjera, nije strogo obvezno u svim slučajevima. Ako šifriranje podataka u mirovanju nije moguće, robustan skup kompenzacijskih kontrola poput pseudonimizacije, maskiranja podataka i strogog nadzora pristupa može pomoći u dokazivanju dužne pažnje i ispunjavanju zahtjeva za osiguranje odgovarajuće razine sigurnosti.

Koje su najčešće pogreške pri implementaciji kompenzacijskih kontrola?

Najčešće pogreške uključuju manjkavu dokumentaciju, izostanak formalnog prihvaćanja rizika od strane poslovnog vodstva, implementaciju kontrola koje ne pokrivaju sve vektore prijetnji (npr. zanemarivanje usluga sinkronizacije u oblaku) te propuštanje redovitog testiranja njihove učinkovitosti. Kontrola koja postoji samo na papiru ne pruža stvarnu zaštitu i neće zadovoljiti revizora.

Može li sprječavanje curenja podataka (DLP) doista zamijeniti šifriranje podataka u mirovanju?

DLP ne zamjenjuje šifriranje, ali može biti snažna kompenzacijska kontrola. Šifriranje čini podatke nečitljivima ako budu ukradeni. DLP nastoji spriječiti krađu podataka tako što nadzire i blokira neovlaštene prijenose podataka. U kombinaciji s drugim slojevima, poput strogih kontrola pristupa i fizičke sigurnosti, stvara snažnu obranu koja za specifične, dokumentirane slučajeve uporabe može pružiti razinu zaštite usporedivu sa šifriranjem.

NIS2 DORA GDPR NIST COBIT 2019

Šifriranje podataka u mirovanju nije opcija? Vodič za CISO-e kroz robusne kompenzacijske kontrole

Uredništvo Claryseca

November 25, 2025

18 min read

#Upravljanje rizicima #Revizija #ISMS #Zaštita podataka #Kompenzacijske kontrole

Dijagram toka koji prikazuje CISO-ov proces u 3 faze za implementaciju kompenzacijskih kontrola za šifriranje podataka u mirovanju, uključujući procjenu rizika, slojevite obrane (DLP, maskiranje podataka, kontrola pristupa) i revizijsku dokumentaciju kroz okvire ISO 27001, GDPR i NIST.

Nalaz revizora s poznatim prizvukom završio je na stolu CISO-a Sarah Chen. Kritična naslijeđena baza podataka koja ostvaruje prihod i predstavlja operativno središte proizvodne linije društva nije mogla podržati suvremeno šifriranje podataka u mirovanju. Njezina temeljna arhitektura bila je stara deset godina, a dobavljač je odavno prestao isporučivati sigurnosna ažuriranja. Revizor ju je, s pravom, označio kao značajan rizik. Preporuka je glasila: “Šifrirati sve osjetljive podatke u mirovanju primjenom standardnih industrijskih algoritama.”

Za Sarah to nije bio samo tehnički problem; bila je to kriza kontinuiteta poslovanja. Nadogradnja sustava značila bi mjesece prekida rada i milijunske troškove, što za upravni odbor nije dolazilo u obzir. No ostaviti veliku količinu osjetljivog intelektualnog vlasništva nešifriranom bio je neprihvatljiv rizik i jasno odstupanje od njihova sustava upravljanja informacijskom sigurnošću (ISMS).

Ovaj scenarij predstavlja stvarnost kibernetičke sigurnosti, u kojoj su savršena rješenja rijetka, a usklađenost se ne može staviti na čekanje. Događa se kada se kritične sigurnosne kopije čuvaju na naslijeđenim sustavima, kada ključni SaaS pružatelj navodi “tehnička ograničenja” ili kada se visokoučinkovite aplikacije ruše pod opterećenjem šifriranja. Udžbenički odgovor “samo šifrirajte” često se sudara s neurednom stvarnošću.

Što, dakle, kada primarna, propisana kontrola nije primjenjiva? Rizik se ne prihvaća automatski. Gradi se pametnija i otpornija obrana primjenom kompenzacijskih kontrola. Ne radi se o traženju izgovora, nego o dokazivanju zrelog upravljanja sigurnošću temeljenog na riziku, dovoljno čvrstog da izdrži najstrožu revizijsku provjeru.

Zašto je šifriranje podataka u mirovanju zahtjev visokog značaja

Šifriranje podataka u mirovanju temeljna je kontrola u svim suvremenim sigurnosnim okvirima, uključujući ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA i NIST SP 800-53 SC-28. Svrha je jednostavna, ali kritična: učiniti pohranjene podatke nečitljivima ako fizičke ili logičke obrane zakažu. Izgubljena traka sigurnosne kopije ili ukradeni poslužitelj s nešifriranim podacima nisu samo tehnički propust; često predstavljaju povredu podataka koja se mora prijaviti prema propisima.

Rizici su jasni i značajni:

Krađa ili gubitak prijenosnih medija poput USB pogona i traka sigurnosnih kopija.
Izloženost podataka s neupravljanih, zaboravljenih ili naslijeđenih uređaja.
Nemogućnost primjene izvornog šifriranja diska ili baze podataka u specifičnim SaaS, oblačnim, OT ili naslijeđenim okruženjima.
Rizici oporavka podataka ako se ključevi za šifriranje izgube ili se njima pogrešno upravlja.

Ti zahtjevi nisu samo tehnički, nego predstavljaju i pravne obveze. GDPR Article 32 i DORA Article 5 i Article 10 izričito prepoznaju šifriranje kao “odgovarajuću tehničku mjeru”. NIS2 ga određuje kao polaznu osnovu za osiguranje cjelovitosti sustava i informacija. Kada ta primarna obrana nije izvediva, teret dokazivanja prelazi na organizaciju, koja mora pokazati da su njezine alternativne mjere jednako učinkovite.

Prijelaz s jedne kvačice na slojevitu obranu

Instinktivna reakcija na revizijski nalaz poput Sarahina često je panika. No dobro strukturiran ISMS predviđa takve situacije. Sarahin prvi potez nije bio pozvati infrastrukturni tim; otvorila je organizacijsku Politiku kriptografskih kontrola, dokument izrađen na temelju Clarysecovih predložaka za poduzeća. Odmah je pronašla točku koja je postavila temelj njezine strategije.

Prema Politici kriptografskih kontrola, odjeljak 7.2.3 izričito opisuje postupak za definiranje:

“Specifičnih kompenzacijskih kontrola koje treba primijeniti”

Ta je točka najbolji saveznik CISO-a. Ona priznaje da pristup sigurnosti “jedna mjera za sve” nije ispravan i osigurava odobreni put za obradu rizika. Politika ne djeluje izolirano. Kako je navedeno u točki 10.5, izravno je povezana s Politikom klasifikacije i označavanja podataka, koja “definira klasifikacijske razine (npr. Povjerljivo, regulirani podaci) koje pokreću specifične zahtjeve za šifriranje.”

Ta je povezanost kritična. Podaci u naslijeđenoj bazi bili su klasificirani kao “Povjerljivo”, zbog čega je nedostatak šifriranja i označen kao nalaz. Sarahina misija sada je bila jasna: izgraditi takvu strukturu kompenzacijskih kontrola da se rizik izloženosti ublaži na prihvatljivu razinu.

Oblikovanje dokazive strategije uz Zenith Blueprint

Šifriranje je jedan od temelja suvremene sigurnosti, ali kako Clarysecov Zenith Blueprint: revizorov plan u 30 koraka objašnjava u koraku 21, kontrola 8.24 Uporaba kriptografije ne svodi se na jednostavno “uključivanje šifriranja”. Umjesto toga, riječ je o “ugradnji kriptografije u dizajn, politiku i upravljanje životnim ciklusom organizacije.”

Kada jedan dio dizajna (naslijeđena baza podataka) zakaže, aspekti politike i životnog ciklusa moraju to nadomjestiti. Sarahin tim upotrijebio je taj okvir za oblikovanje višeslojne obrane usmjerene na sprječavanje da podaci ikada napuste svoj sigurni, iako nešifrirani, spremnik.

Kompenzacijska kontrola 1: sprječavanje curenja podataka (DLP)

Ako ne možete šifrirati podatke ondje gdje se nalaze, morate osigurati da ne mogu otići. Sarahin tim implementirao je rješenje za sprječavanje curenja podataka (DLP) kao digitalnog čuvara. To nije bilo jednostavno mrežno pravilo, nego sofisticirana kontrola koja razumije sadržaj.

Koristeći Clarysecov Zenith Controls: vodič za usklađenost kroz više okvira, konfigurirali su DLP sustav na temelju smjernica za kontrolu ISO/IEC 27001:2022 8.12 Sprječavanje curenja podataka. Pravila su bila izravno oblikovana prema 5.12 Classification of information. Svi podaci koji su odgovarali obrascima informacija klasificiranih kao “Povjerljivo” u naslijeđenoj bazi automatski su blokirani pri prijenosu e-poštom, web prijenosima ili čak kopiranjem i lijepljenjem u druge aplikacije.

Kako objašnjava Zenith Controls:

“Sprječavanje curenja podataka (DLP) temeljno ovisi o točnoj klasifikaciji podataka. Kontrola 5.12 osigurava da su podaci označeni prema osjetljivosti… DLP je specijalizirani oblik kontinuiranog nadzora, usmjeren na kretanje podataka… 8.12 može provoditi politike šifriranja za podatke koji napuštaju organizaciju, osiguravajući da podaci, čak i ako budu izneseni, ostanu nečitljivi neovlaštenim stranama.”

Ova je kontrola prepoznata u više okvira i mapira se na GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 i NIST SP 800-53 SI-4. Njezinom implementacijom Sarahin tim stvorio je snažan zaštitni sloj koji osigurava izolaciju nešifriranih podataka.

Kompenzacijska kontrola 2: maskiranje podataka za neprodukcijsku uporabu

Jedan od najvećih rizika za naslijeđene podatke jest njihova uporaba u drugim okruženjima. Razvojni tim često je trebao podatke iz proizvodnog sustava kako bi testirao nove funkcionalnosti aplikacija. Jednostavno im predati nešifrirane povjerljive podatke nije dolazilo u obzir.

Ovdje se Sarah oslonila na korak 20 iz Zenith Blueprint, koji obuhvaća 8.11 Data masking. Vodič napominje da će revizori izravno pitati: “Koristite li ikada stvarne osobne podatke u testnim sustavima? Ako da, kako su zaštićeni?”

Slijedeći te smjernice, Sarahin tim implementirao je strogi postupak maskiranja podataka. Svaki izvadak podataka koji je zatražio razvojni tim morao je proći automatizirani proces kojim su se osjetljiva polja pseudonimizirala ili anonimizirala. Imena klijenata, vlasničke formule i proizvodne metrike zamijenjeni su realističnim, ali fiktivnim podacima. Ta je jedna kontrola uklonila veliko područje rizika i osigurala da osjetljivi podaci nikada ne napuste strogo kontrolirano produkcijsko okruženje u izvornom obliku.

Kompenzacijska kontrola 3: ojačane fizičke i logičke kontrole

Nakon što su obrađeni curenje podataka i neprodukcijska uporaba, završni sloj obrane usmjeren je na sam sustav. Polazeći od načela 7.10 Storage media iz Zenith Controls, Sarahin tim tretirao je fizički poslužitelj kao imovinu visoke sigurnosne važnosti. Iako se 7.10 često povezuje s prijenosnim medijima, njegova načela upravljanja životnim ciklusom i fizičke sigurnosti u potpunosti su primjenjiva.

Kako Zenith Controls navodi o toj temi:

“ISO/IEC 27002:2022 pruža sveobuhvatne smjernice u Clause 7.10 za sigurno upravljanje medijima za pohranu tijekom njihova životnog ciklusa. Standard savjetuje organizacijama da vode registar svih prijenosnih medija…”

Primjenom te logike poslužitelj je premješten u namjenski, zaključani ormar u podatkovnom centru, dostupan samo dvojici imenovanih viših inženjera. Fizički pristup zahtijevao je prijavu i nadzirao se CCTV sustavom. Na mrežnoj strani, poslužitelj je smješten u segmentirani “naslijeđeni” VLAN. Pravila vatrozida konfigurirana su tako da zadano odbijaju sav promet, uz jedno izričito pravilo koje dopušta komunikaciju samo s imenovanog aplikacijskog poslužitelja na određenom portu. Takva stroga izolacija znatno je smanjila površinu napada, čineći nešifrirane podatke nevidljivima i nedostupnima.

Suočavanje s revizijom: predstavljanje dokazive strategije iz više perspektiva

Kada se revizor vratio na naknadnu provjeru, Sarah nije iznosila opravdanja. Predstavila je sveobuhvatan plan obrade rizika, zajedno s dokumentacijom, zapisima dnevnika i demonstracijama kompenzacijskih kontrola svojeg tima uživo. Revizija nije jednokratan događaj; ona je razgovor promatran kroz različite perspektive, a CISO mora biti spreman za svaku od njih.

Perspektiva revizora ISO/IEC 27001: Revizor je želio vidjeti operativnu učinkovitost. Sarahin tim demonstrirao je DLP sustav koji blokira neovlaštenu e-poštu, prikazao izvršavanje skripte za maskiranje podataka i dostavio zapise fizičkog pristupa povezane s radnim nalozima.

Perspektiva GDPR-a i privatnosti: Revizor je pitao kako se provodi minimizacija podataka. Sarah je prikazala automatizirane skripte za sigurno brisanje predmemoriranih podataka i proces pseudonimizacije za sve podatke koji napuštaju produkcijski sustav, usklađeno s GDPR Article 25 (zaštita podataka u fazi projektiranja i prema zadanim postavkama). Politika kriptografskih kontrola za MSP-ove izričito dodjeljuje službeniku za zaštitu podataka (DPO) odgovornost da “osigura usklađenost kontrola šifriranja s obvezama zaštite podataka prema Article 32 GDPR-a.”

Perspektiva NIS2/DORA: Ova se perspektiva usredotočuje na operativnu otpornost. Sarah je predstavila rezultate testiranja sigurnosnih kopija i vraćanja za izolirani sustav te sigurnosne dodatke dobavljača za naslijeđeni softver, čime je pokazala proaktivno upravljanje rizicima kako zahtijevaju NIS2 Article 21 i DORA Article 9.

Perspektiva NIST/COBIT: Revizor koji koristi ove okvire traži upravljanje i metrike. Sarah je predstavila ažurirani registar rizika koji prikazuje formalno prihvaćanje preostalog rizika (COBIT APO13). Mapirala je DLP na NIST SP 800-53 SI-4 (System Monitoring), segmentaciju mreže na SC-7 (Boundary Protection), a kontrole pristupa na AC-3 i AC-4, dokazujući da je, iako SC-28 (Protection of Information at Rest) nije izravno ispunjen, uspostavljen ekvivalentan skup kontrola.

Ključni revizijski dokazi za kompenzacijske kontrole

Kako bi učinkovito komunicirao strategiju, Sarahin tim pripremio je dokaze prilagođene onome što revizori traže.

Revizijska perspektiva	Potrebni dokazi	Uobičajeni revizijski test
ISO/IEC 27001	Unosi u registar rizika, dnevnici iznimaka od politika, DLP pravila, popisi medija za pohranu	Pregledati dnevnike rizika/iznimaka, zatražiti zapise dnevnika DLP radnji; pratiti životni ciklus medija.
GDPR	Postupci maskiranja podataka, spremnost za prijavu povrede podataka, zapisi o brisanju podataka	Pregledati uzorke skupova podataka (maskirani u odnosu na nemaskirane), testirati DLP okidače, simulirati scenarij povrede podataka.
NIS2/DORA	Rezultati testiranja sigurnosnog kopiranja/vraćanja, procjene sigurnosti dobavljača, vježbe odgovora na incidente	Simulirati pokušaj izvoza podataka; pregledati procese postupanja sa sigurnosnim kopijama; testirati DLP kontrole na kritičnim podacima.
NIST/COBIT	Tehnički zapisi dnevnika nadzora, dokumentacija integracije politika, intervjui s osobljem	Simulirati iznošenje podataka, usporediti politiku s postupkom, intervjuirati ključne skrbnike podataka i vlasnike sustava.

Predviđanjem tih različitih perspektiva Sarah je potencijalnu nesukladnost pretvorila u dokaz zrelosti sigurnosti.

Praktičan sažetak za vašu sljedeću reviziju

Kako bi strategija bila jasna i dokaziva, Sarahin tim izradio je sažetu tablicu u planu obrade rizika. Taj pristup može primijeniti svaka organizacija.

Rizik	Primarna kontrola (nije izvediva)	Strategija kompenzacijskih kontrola	Clarysec resurs	Dokazi za revizora
Neovlašteno otkrivanje podataka u mirovanju	Šifriranje cijelog diska (AES-256)	1. Sprječavanje curenja podataka (DLP): Pratiti i blokirati sve neovlaštene pokušaje iznošenja podataka na temelju sadržaja i konteksta.	Zenith Controls (8.12)	Konfiguracija DLP politike, zapisi upozorenja, postupci odgovora na incidente.
		2. Stroga logička kontrola pristupa: Izolirati poslužitelj u segmentiranoj mreži s pravilima vatrozida “deny-all” i vrlo ograničenim pristupom servisnih računa.	Zenith Controls (8.3)	Mrežni dijagrami, skupovi pravila vatrozida, pregledi korisničkog pristupa, politika vjerodajnica servisnih računa.
		3. Pojačana fizička sigurnost: Smjestiti poslužitelj u namjenski, zaključani ormar uz evidentirani i nadzirani fizički pristup.	Zenith Controls (7.10)	Zapisi pristupa podatkovnom centru, zapisi CCTV snimki, evidencije izdavanja ključa ormara.
Uporaba osjetljivih podataka u neprodukcijskim okruženjima	Šifriranje kopija testnih podataka	Maskiranje podataka: Implementirati formalni postupak za pseudonimizaciju ili anonimizaciju svih izvadaka podataka prije uporabe u testiranju ili razvoju.	Zenith Blueprint (Step 20)	Formalni dokument postupka maskiranja podataka, demonstracija skripti za maskiranje, uzorak maskiranog skupa podataka.

Usklađenost kroz više okvira na prvi pogled

Snažna strategija kompenzacijskih kontrola dokaziva je u svim glavnim okvirima. Clarysecov Zenith Controls pruža mapiranje za usklađenost kroz više okvira kako bi vaše obrane bile univerzalno razumljive i prihvatljive.

Okvir	Ključna točka/referenca	Kako se prepoznaju kompenzacijske kontrole
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	Pristup temeljen na riziku dopušta alternativne kontrole kao što su DLP, upravljanje medijima za pohranu i maskiranje podataka kada su opravdane.
GDPR	Art. 5(1)(f), 25, 32	Zahtijeva “odgovarajuće” tehničke mjere; pseudonimizacija, kontrole pristupa i DLP mogu ispuniti taj zahtjev ako šifriranje nije izvedivo.
NIS2	Art. 21, 23	Propisuje pristup temeljen na riziku; slojevite kontrole poput DLP-a, zaštite sigurnosnih kopija i provjera dobavljača valjani su načini obrade rizika.
DORA	Art. 5, 9, 10, 28	Naglašava operativnu otpornost; DLP, kontrola pristupa i robusno zapisivanje događaja ključni su za zaštitu financijskih podataka, sa šifriranjem ili bez njega.
NIST SP 800-53	SC-28, MP-2 to MP-7, AC-3/4, SI-4	Dopušta kompenzacijske kontrole; DLP (SI-4), ograničenja pristupa (AC-3) i praćenje medija (MP series) mogu obraditi rizike nešifriranih podataka.
COBIT	DSS05, APO13, MEA03	Usredotočuje se na upravljanje i mjerenje; dokumentirano prihvaćanje rizika (APO13) i praćenje kompenzacijskih kontrola (MEA03) pokazuju dužnu pažnju.

Zaključak: pretvorite najslabiju kariku u prednost

Priča o naslijeđenoj bazi podataka koju nije moguće šifrirati nije priča o neuspjehu. To je priča o zrelom i promišljenom upravljanju rizicima. Odbijanjem jednostavnog odgovora “ne može se”, Sarahin tim pretvorio je značajnu ranjivost u dokaz svojih sposobnosti višeslojne obrane. Pokazali su da sigurnost nije označavanje jedne kvačice s natpisom “šifriranje”. Riječ je o razumijevanju rizika i izgradnji promišljene, slojevite i revizijski provjerljive obrane koja ga ublažava.

Vaša će organizacija neizbježno imati vlastitu verziju ove naslijeđene baze podataka. Kada je pronađete, nemojte je gledati kao prepreku. Gledajte je kao priliku za izgradnju otpornijeg i dokazivijeg sigurnosnog programa.

Spremni ste izgraditi vlastiti robustan okvir kontrola spreman za reviziju? Započnite s pravim temeljima.

Pregledajte svoj ekosustav politika uz Clarysecove sveobuhvatne pakete politika.
Istražite Zenith Blueprint: revizorov plan u 30 koraka kako biste usmjerili svoju implementaciju.
Iskoristite Zenith Controls: vodič za usklađenost kroz više okvira kako biste osigurali da vaše obrane izdrže provjeru iz svakog kuta.

Obratite se Clarysecu za prilagođenu radionicu ili cjelovitu procjenu usklađenosti kroz više okvira. Jer u današnjem regulatornom okruženju pripremljenost je jedina kontrola koja je presudna.

Reference:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council