Auditui parengta asmens identifikavimo informacijos (AII) apsauga pagal GDPR, NIS2 ir DORA
Įspėjimas Saros pašto dėžutę pasiekė antradienį 22 valandą.
Kaip sparčiai augančios finansinių technologijų SaaS bendrovės vyriausioji informacijos saugumo vadovė (CISO), ji buvo pripratusi prie vėlyvų įspėjimų. Tačiau šis buvo kitoks. Jaunesnysis kūrėjas, testuodamas naują analitikos funkciją, parengiamosios aplinkos duomenų bazę buvo atvėręs per viešai pasiekiamą prieigos tašką. Duomenų bazėje turėjo būti testavimo duomenys, tačiau neseniai atliktas produkcinės aplinkos sinchronizavimas į parengiamąją aplinką ją užpildė tikra klientų asmens identifikavimo informacija (AII).
Incidentas buvo greitai suvaldytas. Tuomet paaiškėjo antra aplinkybė. Iš to paties duomenų rinkinio buvo nukopijuota migracijos skaičiuoklė, pavadinta customer_users_final_v7.xlsx. Joje buvo vardai, el. pašto adresai, vaidmenų leidimai, naudojimo žurnalai, šalių laukai, pagalbos tarnybos pastabos ir laisvo teksto komentarai, kurie niekada neturėjo patekti į testavimo darbo eigą. Failas buvo nukopijuotas į bendrinamą diską, atsisiųstas kūrėjo, pridėtas prie užduoties ir pamirštas.
Iki vidurnakčio Sara jau nebevaldė vien techninės klaidingos konfigūracijos. Ji valdė audito problemą.
Bendrovė jau buvo sertifikuota pagal ISO/IEC 27001:2022. Valdyba, prieš bendrovei įžengiant į ES rinką, prašė GDPR užtikrinimo. Finansinių paslaugų klientai siuntė DORA deramo patikrinimo klausimynus. Debesijos ir valdomų paslaugų santykiai kėlė NIS2 tiekimo grandinės klausimus. Teisės skyrius galėjo paaiškinti įpareigojimus. Inžinerija galėjo parodyti šifravimą. Produktų komanda turėjo privatumo pagal projektą ketinimų. Taikomumo pareiškime buvo paminėtas privatumas ir AII apsauga.
Tačiau niekas negalėjo vienoje atsekamoje grandinėje parodyti, kokia AII egzistuoja, kodėl ji tvarkoma, kas gali ją pasiekti, kur ji maskuojama, kurie tiekėjai ją tvarko, kiek laiko ji saugoma ir kaip incidentas būtų klasifikuojamas pagal GDPR, NIS2 arba DORA.
Būtent dėl šios spragos ISO/IEC 27701:2025 ir ISO/IEC 29151:2022 yra svarbūs. Tai nėra vien privatumo etiketės. Jie padeda organizacijoms privatumo pažadus paversti auditui parengtomis AII apsaugos kontrolės priemonėmis. ISO/IEC 27701:2025 išplečia ISO/IEC 27001:2022 informacijos saugumo valdymo sistemą į privatumo informacijos valdymą. ISO/IEC 29151:2022 prideda praktines gaires, kaip apsaugoti asmens identifikavimo informaciją per visą jos gyvavimo ciklą.
Clarysec požiūris – kurti vieną įrodymais grindžiamą privatumo ir saugumo veiklos modelį, o ne atskirus atitikties silosus. Šis modelis sujungia Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą Zenith Blueprint, Zenith Controls: kryžminės atitikties vadovą Zenith Controls ir Clarysec politikas į vieną atsekamą sistemą, skirtą GDPR, ISO/IEC 27001:2022, ISO/IEC 27701:2025, ISO/IEC 29151:2022, NIS2, DORA, NIST pagrįstam užtikrinimui ir COBIT 2019 valdysenos lūkesčiams.
Kodėl AII apsauga tapo valdybos lygmens audito klausimu
Anksčiau AII apsauga dažnai buvo laikoma privatumo komandos atsakomybe. Šiandien tai yra valdybos lygmens pasitikėjimo, atsparumo ir reguliacinis klausimas.
GDPR tebėra asmens duomenų apsaugos pagrindas Europoje ir už jos ribų. Jis apibrėžia asmens duomenis, tvarkymą, duomenų valdytoją, duomenų tvarkytoją, gavėją, trečiąją šalį, sutikimą ir asmens duomenų saugumo pažeidimą taip, kad tai daro įtaką SaaS sutartims, pagalbos procesams, analitikai, produkto telemetrijai, tiekėjų valdymui ir reagavimui į incidentus. Jo principai reikalauja teisėtumo, sąžiningumo, skaidrumo, tikslo ribojimo, duomenų kiekio mažinimo, tikslumo, saugojimo trukmės ribojimo, vientisumo, konfidencialumo ir atskaitomybės. Audito požiūriu GDPR klausia ne tik, ar duomenys šifruojami. Jis klausia, ar organizacija gali pagrįsti, kodėl duomenys egzistuoja ir kaip užtikrinama atitiktis.
NIS2 kelia kibernetinio saugumo valdysenos kartelę esminiams ir svarbiems subjektams. Article 21 reikalauja kibernetinio saugumo rizikos valdymo priemonių, įskaitant rizikos analizę, informacinių sistemų saugumo politikas, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų kūrimą, pažeidžiamumų valdymą, kontrolės veiksmingumo vertinimą, kibernetinę higieną, kriptografiją, personalo saugumą, prieigos kontrolę, turto valdymą, autentifikavimą ir saugią komunikaciją. Article 23 prideda etapais vykdomą pranešimą apie incidentus, įskaitant ankstyvąjį įspėjimą per 24 valandas, pranešimą per 72 valandas ir galutinę ataskaitą per vieną mėnesį nuo pranešimo.
DORA keičia diskusiją finansų subjektams ir jų IRT teikėjams. Jis taikomas nuo 2025 m. sausio 17 d. ir sukuria suderintą skaitmeninio veiklos atsparumo režimą, apimantį IRT rizikos valdymą, reikšmingų su IRT susijusių incidentų pranešimą, atsparumo testavimą, IRT trečiųjų šalių riziką, sutartinius reikalavimus ir kritinių IRT trečiųjų šalių paslaugų teikėjų priežiūrą. Daugeliui finansų subjektų DORA veikia kaip sektoriui skirtas Sąjungos teisės aktas tais atvejais, kai persidengia NIS2 lygiaverčiai įpareigojimai. SaaS ir IRT tiekėjams, aptarnaujantiems finansų įstaigas, DORA spaudimas dažnai ateina per sutartines nuostatas, klientų auditus, pasitraukimo planavimo reikalavimus, incidentų palaikymo įpareigojimus ir atsparumo testavimą.
ISO/IEC 27001:2022 suteikia valdymo sistemos pagrindą. Jis reikalauja konteksto, suinteresuotųjų šalių, taikymo srities, vadovybės atskaitomybės, politikų, vaidmenų, rizikos vertinimo, rizikos tvarkymo, Taikomumo pareiškimo, vidaus audito, vadovybės peržiūros ir nuolatinio gerinimo. A priede yra kontrolės priemonės, tiesiogiai susijusios su AII apsauga, įskaitant 5.34 privatumą ir AII apsaugą, 5.18 prieigos teises, 8.11 duomenų maskavimą, 5.23 informacijos saugumą naudojant debesijos paslaugas, 8.15 žurnalų tvarkymą, 8.33 testavimo informaciją, 8.24 kriptografijos naudojimą ir 8.10 informacijos ištrynimą.
Iššūkis nėra tai, kad organizacijos neturi kontrolės priemonių. Iššūkis yra tai, kad kontrolės priemonės suskaidytos. Privatumo įrašai lieka teisės skyriuje. Prieigos peržiūros lieka IT. Maskavimo scenarijai lieka inžinerijoje. Tiekėjų sutartys lieka pirkimų skyriuje. Įrodymai išsibarstę užduotyse, ekrano kopijose, skaičiuoklėse ir el. laiškuose.
ISO/IEC 27701:2025 ir ISO/IEC 29151:2022 padeda suvienyti šiuos įrodymus aplink privatumo informacijos valdymą ir AII apsaugos praktikas. Clarysec šią struktūrą paverčia veiklos modeliu.
Nuo ISVS iki PIMS: integruota privatumo kontrolės grandinė
ISO/IEC 27001:2022 ISVS atsako į pagrindinį klausimą: ar informacijos saugumas yra valdomas, grindžiamas rizika, įgyvendintas, stebimas ir gerinamas?
Privatumo informacijos valdymo sistema, arba PIMS, šį klausimą išplečia asmens duomenims: ar privatumo atsakomybės, AII tvarkymo veiklos, privatumo rizikos, duomenų valdytojo ir duomenų tvarkytojo įpareigojimai, duomenų subjektų teisės ir privatumo kontrolės priemonių įrodymai valdomi toje pačioje sistemoje?
ISO/IEC 27701:2025 išplečia ISVS į privatumo valdyseną. ISO/IEC 29151:2022 ją papildo praktinėmis AII apsaugos gairėmis, įskaitant rinkimo ribojimą, atskleidimo valdymą, maskavimo arba pseudonimizavimo taikymą, perdavimų apsaugą, prieigos ribojimą ir kontrolės priemonių suderinimą su privatumo rizika.
| Sluoksnis | Pagrindinis klausimas | Tipiniai audito įrodymai |
|---|---|---|
| ISO/IEC 27001:2022 | Ar veikia valdoma, rizika grindžiama ISVS su parinktomis ir veikiančiomis kontrolės priemonėmis? | Taikymo sritis, suinteresuotosios šalys, rizikos vertinimas, rizikos tvarkymo planas, SoA, politikos, vidaus auditas, vadovybės peržiūra |
| ISO/IEC 27701:2025 | Ar privatumo atsakomybės, privatumo rizikos ir AII tvarkymo veiklos valdomos valdymo sistemos viduje? | Privatumo vaidmenys, tvarkymo veiklos registras, duomenų valdytojo ir duomenų tvarkytojo procedūros, privatumo rizikos vertinimai, DPIA, duomenų subjektų prašymų procesas |
| ISO/IEC 29151:2022 | Ar praktinės AII apsaugos priemonės įgyvendintos per visą duomenų gyvavimo ciklą? | AII klasifikavimas, prieigos apribojimai, maskavimas, pseudonimizavimas, saugojimo kontrolės priemonės, perdavimo apsaugos priemonės, incidentų įrodymai |
| GDPR | Ar organizacija gali pagrįsti teisėtą, sąžiningą, skaidrų, minimizuotą, saugų ir atskaitingą tvarkymą? | Teisinio pagrindo įrašai, privatumo pranešimai, DPIA, pažeidimų procesas, duomenų tvarkymo sutartys, teisių įgyvendinimas |
| NIS2 ir DORA | Ar organizacija gali valdyti kibernetinio saugumo ir atsparumo rizikas, įskaitant incidentus ir tiekėjus? | Vadovybės priežiūra, IRT rizikos valdymo sistema, incidentų klasifikavimas, pranešimų veiksmų planai, tiekėjų registrai, audito teisės, tęstinumo testai |
Šis sluoksniuotas modelis apsaugo nuo dažniausios privatumo atitikties klaidos – AII traktavimo kaip dar vieno jautrių duomenų tipo. AII sukuria teisinius, etinius, operacinius, sutartinius ir reputacinius įpareigojimus. Jai reikia kontrolės grandinės, kuri prasideda informuotumu ir baigiasi įrodymais.
Pradėkite nuo duomenų supratimo, o ne nuo šifravimo schemų
Dažniausia privatumo nesėkmė, kurią mato Clarysec, yra konteksto trūkumas. Bendrovė negali apsaugoti AII, jei nežino, kokią AII turi, kur ji saugoma, kokiam tikslui naudojama, kiek laiko laikoma arba kas gali ją pasiekti.
Zenith Blueprint šį darbą pradeda ankstyvame Rizikos valdymo etape. 9 žingsnyje „Turto, grėsmių ir pažeidžiamumų identifikavimas“ organizacijoms nurodoma inventorizuoti informacijos turtą ir aiškiai pažymėti asmens duomenis:
„Kiekvienam turtui įrašykite pagrindinius duomenis: pavadinimą / aprašą, savininką, vietą ir klasifikaciją (jautrumą). Pavyzdžiui, turtas galėtų būti „Klientų duomenų bazė – priklauso IT departamentui – talpinama AWS – joje yra asmens ir finansinių duomenų (didelis jautrumas).“
Taip pat priduriama: „Užtikrinkite, kad asmens duomenų turtas būtų pažymėtas (dėl GDPR aktualumo), o kritinių paslaugų turtas būtų nurodytas (dėl galimo NIS2 taikymo, jei veikiate reguliuojamame sektoriuje).“
Tai yra ISO/IEC 27701:2025 ir ISO/IEC 29151:2022 taikymo pagrindas. Praktinė seka paprasta:
- Identifikuokite sistemas, duomenų rinkinius, saugyklas, žurnalus, ataskaitas, atsargines kopijas, pagalbos priemones, kūrimo aplinkas ir tiekėjus, kurie tvarko AII.
- Kiekvienam AII turtui priskirkite savininką.
- Suklasifikuokite AII pagal jautrumą, verslo tikslą, teisinį pagrindą, tvarkymo vaidmenį ir saugojimo reikalavimą.
- Susiekite kiekvieną AII turtą su grėsmėmis, pažeidžiamumais, rizikos scenarijais ir reguliaciniais įpareigojimais.
- Parinkite kontrolės priemones, priskirkite įrodymus ir laikui bėgant stebėkite veikimą.
Clarysec politikos tai paverčia įgyvendinama praktika. MVĮ skirta Duomenų apsaugos ir privatumo politika Duomenų apsaugos ir privatumo politika – MVĮ nustato:
„Privatumo koordinatorius privalo tvarkyti visų asmens duomenų tvarkymo veiklų registrą, įskaitant duomenų kategorijas, tikslą, teisinį pagrindą ir saugojimo laikotarpius.“
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.2.1.
Įmonės masto organizacijoms Duomenų apsaugos ir privatumo politika Duomenų apsaugos ir privatumo politika nustato griežtą duomenų kiekio mažinimo taisyklę:
„Gali būti renkami ir tvarkomi tik tie duomenys, kurie būtini konkrečiam teisėtam verslo tikslui.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.1.
Šios nuostatos GDPR atskaitomybę paverčia kasdienėmis operacijomis. Jos taip pat palaiko privatumo informacijos valdymą ir AII apsaugą, nes įpareigoja organizaciją apibrėžti, kokie duomenys egzistuoja, kodėl jie egzistuoja ir ar jie būtini.
Trys kontrolės priemonės, kurios AII apsaugą paverčia realia
Trys ISO/IEC 27001:2022 A priedo kontrolės priemonės dažnai lemia, ar AII apsauga gali būti pagrįsta audito metu: 5.34 privatumas ir AII apsauga, 8.11 duomenų maskavimas ir 5.18 prieigos teisės.
5.34 Privatumas ir AII apsauga
Kontrolės priemonė 5.34 yra valdysenos centras. Zenith Controls 5.34 vertinama kaip prevencinė kontrolės priemonė, palaikanti konfidencialumą, vientisumą ir prieinamumą, susieta su kibernetinio saugumo „Identify“ ir „Protect“ funkcijomis bei operaciniais gebėjimais informacijos apsaugos ir teisinės atitikties srityse.
Zenith Controls aiškiai parodo priklausomybę:
„Informacijos išteklių inventorizavimas (5.9) turėtų apimti AII duomenų saugyklas (klientų duomenų bazes, personalo bylas). Tai pagrindžia 5.34, nes užtikrina, kad organizacija žino, kokią AII turi ir kur ji yra – tai pirmasis žingsnis ją apsaugant.“
Kontrolės priemonė 5.34 priklauso nuo 5.9 informacijos ir kito susijusio turto inventorizavimo, nes AII negali būti apsaugota, jei jos neįmanoma rasti. Ji taip pat susijusi su 5.23 informacijos saugumu naudojant debesijos paslaugas, nes dauguma AII šiandien yra debesijos platformose, SaaS priemonėse, analitikos aplinkose ir valdomose paslaugose.
Didelės rizikos tvarkymui įmonės masto Duomenų apsaugos ir privatumo politika reikalauja:
„Grėsmių modeliavimas ir poveikio duomenų apsaugai vertinimai (DPIA) yra privalomi didelės rizikos tvarkymo sistemoms.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.3.4.
Ši nuostata yra kritinė. Ji privatumą paverčia projektavimo ir rizikos valdymo veikla, o ne paskutinės minutės teisine peržiūra.
8.11 Duomenų maskavimas
Kontrolės priemonė 8.11 yra tiesioginis atsakymas į Saros parengiamosios aplinkos duomenų bazės atvėrimą. Zenith Controls 8.11 apibūdina kaip prevencinę konfidencialumo kontrolės priemonę informacijos apsaugos srityje. Ji susieja 8.11 su 5.12 informacijos klasifikavimu, nes maskavimo sprendimai priklauso nuo jautrumo, su 5.34, nes maskavimas palaiko privatumo apsaugą, ir su 8.33 testavimo informacija, nes testavimo aplinkos neturėtų atskleisti tikros AII.
Duomenų maskavimo ir pseudonimizavimo politika Duomenų maskavimo ir pseudonimizavimo politika taisyklę nustato aiškiai:
„Tikri asmens duomenys negali būti naudojami kūrimo, testavimo ar parengiamosiose aplinkose. Vietoj jų turi būti naudojami maskuoti arba pseudonimizuoti duomenys, sugeneruoti pagal iš anksto patvirtintus transformavimo šablonus.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.3.
MVĮ skirta Duomenų maskavimo ir pseudonimizavimo politika Duomenų maskavimo ir pseudonimizavimo politika – MVĮ prideda svarbų saugumo ir įrodymų reikalavimą:
„Prieiga prie raktų turi būti šifruojama, kontroliuojama prieigos priemonėmis ir registruojama žurnaluose.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.1.3.
Tai svarbu, nes pseudonimizavimas riziką mažina tik tada, kai kontroliuojama transformavimo logika, raktai ir pakartotinio identifikavimo keliai.
5.18 Prieigos teisės
Kontrolės priemonė 5.18 yra mažiausių privilegijų principo operacinis pagrindas. Zenith Controls ją vertina kaip prevencinę, susietą su konfidencialumu, vientisumu ir prieinamumu, ir priskirtą tapatybės ir prieigos valdymui. Ji susieja 5.18 su 5.15 prieigos kontrole, 5.16 tapatybės valdymu ir 8.2 privilegijuotos prieigos teisėmis.
MVĮ skirta Duomenų klasifikavimo ir ženklinimo politika Duomenų klasifikavimo ir ženklinimo politika – MVĮ nustato:
„Prieiga turi būti ribojama konkrečiai autorizuotiems naudotojams, taikant būtinybės žinoti principą.“
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.2.1.
Įmonės masto Duomenų klasifikavimo ir ženklinimo politika Duomenų klasifikavimo ir ženklinimo politika prideda bazinį klasifikavimo reikalavimą:
„Visiems informacijos ištekliams sukūrimo arba įtraukimo į eksploatavimą metu turi būti aiškiai priskirta klasifikacija. Jei aiškios klasifikacijos nėra, turtui pagal numatytuosius nustatymus turi būti taikoma „Konfidencialus“ klasifikacija, kol jis bus formaliai peržiūrėtas.“
Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.4.
Kartu šios kontrolės priemonės sudaro praktinę AII apsaugos grandinę: žinoti AII, ją klasifikuoti, riboti prieigą, maskuoti ją ten, kur visa tapatybė nebūtina, saugoti raktus, registruoti prieigą žurnaluose ir saugoti įrodymus.
Kurkite atsekamumą per Taikomumo pareiškimą
Privatumo valdymo sistema tampa tinkama auditui, kai gali įrodyti atsekamumą. Zenith Blueprint Rizikos valdymo etapo 13 žingsnyje „Rizikos tvarkymo planavimas ir Taikomumo pareiškimas“ Taikomumo pareiškimą apibūdina kaip jungiamąjį dokumentą:
„SoA iš esmės yra jungiamasis dokumentas: jis susieja jūsų rizikos vertinimą / tvarkymą su faktinėmis kontrolės priemonėmis, kurias turite. Jį užpildydami taip pat dar kartą patikrinate, ar nepraleidote kokių nors kontrolės priemonių.“
Ši koncepcija yra esminė pasirengimui pagal ISO/IEC 27701:2025, ISO/IEC 29151:2022, GDPR, NIS2 ir DORA. Kiekviena AII kontrolės priemonė turėtų būti atsekama nuo reikalavimo iki rizikos, nuo rizikos iki kontrolės priemonės, nuo kontrolės priemonės iki savininko, nuo savininko iki įrodymo ir nuo įrodymo iki peržiūros.
| Atsekamumo elementas | Klientų aptarnavimo AII pavyzdys | Tikėtini įrodymai |
|---|---|---|
| AII turtas | Pagalbos užklausų platforma su klientų vardais, el. pašto adresais, žurnalais ir priedais | Turto registro įrašas, savininkas, debesijos vieta, klasifikacija |
| Tvarkymo tikslas | Klientų aptarnavimas ir paslaugos diagnostika | Tvarkymo veiklos registras, teisinis pagrindas, saugojimo laikotarpis |
| Rizikos scenarijus | Pagalbos agentas arba kūrėjas pasiekia perteklinius klientų duomenis | Rizikų registro įrašas, tikimybė, poveikis, savininkas |
| Kontrolės priemonių parinkimas | 5.34 AII apsauga, 5.18 prieigos teisės, 8.11 maskavimas, 8.15 žurnalų tvarkymas, 5.23 debesijos valdysena | SoA, prieigos politika, maskavimo standartas, žurnalavimo konfigūracija |
| Veikimo įrodymai | Vaidmenimis grindžiama prieiga, maskuoti eksportai, ketvirtinė prieigos peržiūra, įspėjimai apie masinį atsisiuntimą | Prieigos peržiūros įrašai, DLP įspėjimai, žurnalai, užduočių įrodymai |
| Reguliacinis susiejimas | GDPR atskaitomybė ir saugumas, NIS2 rizikos valdymas, DORA IRT rizikos ir tiekėjų reikalavimai | Atitikties matrica, incidentų veiksmų planas, tiekėjų sutarčių registras |
| Peržiūros įrodymai | Uždaryta vidaus audito išvada, priimtas vadovybės peržiūros veiksmas | Audito ataskaita, korekcinis veiksmas, vadovybės peržiūros protokolas |
ISO/IEC 27005:2022 palaiko šį rizika grindžiamą požiūrį, pabrėždamas suinteresuotųjų šalių reikalavimus, bendrus rizikos kriterijus, atsakingus rizikos savininkus, pakartojamą rizikos vertinimą, rizikos tvarkymą, kontrolės priemonių parinkimą, Taikomumo pareiškimo suderinimą, liekamosios rizikos patvirtinimą, stebėseną ir nuolatinį gerinimą. AII apsauga turi būti gyvas rizikos ciklas, o ne vienkartinis GDPR dokumentacijos pratimas.
Sutvarkykite rizikingą skaičiuoklę ir parengiamosios aplinkos duomenų bazę
Saros incidentą galima paversti pakartotinai taikomu kontrolės priemonių rinkiniu, jei taisomieji veiksmai vykdomi sistemiškai.
| Žingsnis | Veiksmas | Clarysec įrodymų rezultatas |
|---|---|---|
| 1 | Užregistruoti parengiamosios aplinkos duomenų bazę ir skaičiuoklę kaip AII turtą | Turto inventoriaus įrašai su savininku, vieta, klasifikacija, AII kategorijomis, tikslu ir saugojimu |
| 2 | Atnaujinti tvarkymo veiklą | Registro įrašas, rodantis duomenų kategorijas, teisinį pagrindą, tikslą ir saugojimo laikotarpį |
| 3 | Suklasifikuoti failus ir duomenų rinkinius | Pagal numatytuosius nustatymus taikoma „Konfidencialus“ arba aukštesnė klasifikacija, kol bus formaliai peržiūrėta |
| 4 | Pašalinti tikrą AII iš neprodukcinės aplinkos | Maskuotas arba pseudonimizuotas duomenų rinkinys, sugeneruotas pagal patvirtintus transformavimo šablonus |
| 5 | Apriboti ir peržiūrėti prieigą | Būtinybės žinoti principu pagrįsti leidimai, atšaukta perteklinė prieiga, prieigos peržiūros įrašas |
| 6 | Apsaugoti transformavimo logiką ir raktus | Šifruota, prieigos priemonėmis kontroliuojama ir žurnaluose registruojama prieiga prie raktų |
| 7 | Centralizuotai surinkti įrodymus | Turto įrašas, rizikos įrašas, prieigos peržiūra, ištrynimo įrodymas, maskavimo patvirtinimas ir užduoties uždarymas |
| 8 | Atnaujinti SoA ir rizikos tvarkymo planą | Rizikos scenarijus susietas su 5.34, 5.18, 8.11, 8.15, 8.10, 5.23 ir tiekėjų kontrolės priemonėmis |
| 9 | Nuspręsti, ar reikalingas DPIA | DPIA arba dokumentuotas didelės rizikos tvarkymo sprendimų pagrindimas |
| 10 | Užfiksuoti įgytą patirtį | Atnaujinti mokymai, saugaus kūrimo taisyklės, eksporto kontrolės priemonės, DLP stebėsena ir testavimo duomenų gairės |
MVĮ skirta Audito ir atitikties stebėsenos politika Audito ir atitikties stebėsenos politika – MVĮ nustato:
„Visi įrodymai turi būti saugomi centralizuotame audito aplanke.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.1.
Informacijos saugumo politika Informacijos saugumo politika aiškiai nustato platesnį audito lūkestį:
„Visos įgyvendintos kontrolės priemonės turi būti audituojamos, paremtos dokumentuotomis procedūromis ir saugomais veikimo įrodymais.“
Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.6.1.
Šios dvi nuostatos skiria kontrolės priemonės turėjimą nuo gebėjimo ją įrodyti.
Kryžminis vieno AII kontrolės priemonių rinkinio atitikties susiejimas
AII apsaugą lengviau pagrįsti, kai ji dar prieš auditoriui paklausiant susiejama tarp kelių sistemų.
| AII apsaugos tema | GDPR aktualumas | ISO/IEC 27001:2022, ISO/IEC 27701:2025 ir ISO/IEC 29151:2022 aktualumas | NIS2 aktualumas | DORA aktualumas | NIST ir COBIT 2019 audito perspektyva |
|---|---|---|---|---|---|
| AII inventorius ir tvarkymo veiklos registras | Atskaitomybė, teisinis pagrindas, tikslo ribojimas, saugojimo trukmės ribojimas | ISVS kontekstas, 5.9 turto inventorizavimas, privatumo informacijos valdymas, AII apsauga | Turto valdymas ir rizikos analizė | IRT turto ir paslaugų priklausomybių žinojimas | Identifikavimo funkcijos įrodymai ir informacijos išteklių valdysena |
| Prieigos teisės ir mažiausių privilegijų principas | Vientisumas ir konfidencialumas, vaidmenimis ribojama prieiga | 5.15 prieigos kontrolė, 5.16 tapatybės valdymas, 5.18 prieigos teisės, 8.2 privilegijuotos prieigos teisės | Prieigos kontrolė, personalo saugumas, autentifikavimas | IRT rizikos kontrolės priemonės ir privilegijuotos prieigos priežiūra | Prieigos įgyvendinimas, savininkystė, atsakomybė ir stebėsena |
| Maskavimas ir pseudonimizavimas | Duomenų kiekio mažinimas, duomenų apsauga pagal projektą, tvarkymo saugumas | 5.12 klasifikavimas, 5.34 AII apsauga, 8.11 duomenų maskavimas, 8.33 testavimo informacija | Kibernetinė higiena ir saugus kūrimas | Saugus testavimas, duomenų praradimo mažinimas, veiklos atsparumas | Techninių apsaugos priemonių testavimas ir patikimas kontrolės priemonių veikimas |
| Incidentų klasifikavimas ir pranešimas | Asmens duomenų saugumo pažeidimo vertinimas ir pranešimas | Incidentų planavimas, įvykio vertinimas, reagavimas, įrodymų rinkimas | 24 valandų ankstyvasis įspėjimas, 72 valandų pranešimas, galutinė ataskaita | Reikšmingų su IRT susijusių incidentų klasifikavimas ir pranešimas | Eskalavimo kriterijai, sprendimų žurnalai, pagrindinė priežastis, taisomieji veiksmai |
| Tiekėjų ir debesijos tvarkymas | Duomenų tvarkytojo įpareigojimai, perdavimai, sutartys | 5.21 IRT tiekimo grandinė, 5.23 debesijos paslaugos, 5.31 teisiniai ir sutartiniai reikalavimai | Tiekimo grandinės saugumas | IRT trečiųjų šalių rizika, audito teisės, pasitraukimas ir perėjimas | Trečiųjų šalių valdysena, užtikrinimas ir vadovybės atskaitomybė |
Čia Zenith Controls yra ypač naudinga. 5.34 atveju ji susieja AII apsaugą su turto inventorizavimu, duomenų maskavimu ir debesijos valdysena. 8.11 atveju ji susieja maskavimą su klasifikavimu, privatumo apsauga ir testavimo informacija. 5.18 atveju ji susieja prieigos teises su prieigos kontrole, tapatybės valdymu ir privilegijuota prieiga. Šie ryšiai leidžia komandai paaiškinti ne tik tai, kad kontrolės priemonė egzistuoja, bet ir kodėl ji egzistuoja bei kurios gretimos kontrolės priemonės turi veikti kartu.
Kaip skirtingi auditoriai tikrina tą pačią AII kontrolės priemonę
Viena kontrolės priemonė, pavyzdžiui, 8.11 duomenų maskavimas, bus vertinama skirtingai, priklausomai nuo audito perspektyvos.
| Auditoriaus tipas | Pagrindinis dėmesys | Tikėtini įrodymai |
|---|---|---|
| ISO/IEC 27001:2022 ir ISO/IEC 27701:2025 auditorius | ISVS ir PIMS integracija, rizikos tvarkymas, SoA tikslumas | Rizikos vertinimas, SoA įrašas, maskavimo politika, pakeitimų įrašai, vidaus audito rezultatai |
| GDPR arba duomenų apsaugos priežiūros institucijos vertintojas | Duomenų apsauga pagal projektą, duomenų kiekio mažinimas, atskaitomybė | Tvarkymo veiklos registras, teisinis pagrindas, DPIA, pseudonimizavimo įrodymai, saugojimo logika |
| NIS2 vertintojas | Saugus kūrimas, incidentų prevencija, valdysena | Saugaus kūrimo procedūra, kūrėjų mokymai, incidentų taisomųjų veiksmų įrodymai, kontrolės veiksmingumo peržiūra |
| DORA klientas arba auditorius | IRT veiklos atsparumas ir trečiųjų šalių rizika | Kritinių taikomųjų programų testavimo įrodymai, tiekėjų sutarčių nuostatos, incidentų palaikymo įpareigojimai, atkūrimo ir pasitraukimo planavimas |
| NIST tipo arba COBIT 2019 vertintojas | Kontrolės priemonės projektavimas, veikimas, savininkystė, stebėsena | Kontrolės savininkas, rodikliai, įrodymų saugykla, vadovybės ataskaitos, korekciniai veiksmai |
ISO/IEC 27001:2022 auditorius pradeda nuo valdymo sistemos logikos. Ar AII patenka į taikymo sritį? Ar identifikuoti suinteresuotųjų šalių reikalavimai? Ar privatumo rizikos vertinamos pagal apibrėžtus kriterijus? Ar kontrolės priemonės parinktos per rizikos tvarkymą? Ar SoA tikslus? Ar vidaus auditai ir vadovybės peržiūros apima su AII susijusias kontrolės priemones?
Privatumo vertintojas pradeda nuo atskaitomybės. Kokie asmens duomenys tvarkomi? Koks teisinis pagrindas? Ar duomenų subjektai informuoti? Ar tvarkymas ribojamas konkrečiu tikslu? Ar įvertintos didelės rizikos veiklos? Ar duomenų tvarkytojai valdomi?
Į NIS2 orientuotas vertintojas pradeda nuo valdysenos ir kibernetinio saugumo rizikos valdymo. Ar vadovybė tvirtina priemones ir vykdo jų priežiūrą? Ar incidentų valdymas, tęstinumas, tiekėjų saugumas, prieigos kontrolė, turto valdymas, saugus kūrimas ir kontrolės veiksmingumo vertinimas yra integruoti?
DORA klientas arba auditorius klausia, ar IRT rizikos valdymas dokumentuotas, valdomas valdybos lygmeniu, proporcingas ir paremtas sutartimis. Jei AII tvarkoma paslaugose, palaikančiose finansų subjektus, tikėkitės klausimų apie pagalbą incidentų metu, duomenų tvarkymo vietas, atkūrimą, audito teises, paslaugų lygius, nutraukimą ir pasitraukimą.
COBIT 2019 arba ISACA tipo vertintojas tikrina valdysenos suderinimą. Kam priklauso AII rizika? Kuri valdysenos institucija gauna ataskaitas? Ar atsakomybės priskirtos? Ar tiekėjai stebimi? Ar nukrypimai sekami? Ar rodikliai naudojami sprendimams priimti? Ar likutinė rizika formaliai priimta?
Vienas įrodymų modelis gali patenkinti visas šias perspektyvas, bet tik tada, jei kontrolės sistema nuo pradžių kuriama atsekamumui.
Dažnos audito išvados AII apsaugos programose
Organizacijos, kurios pasirengimo pagal ISO/IEC 27701:2025 arba ISO/IEC 29151:2022 siekia be integruoto priemonių rinkinio, dažnai susiduria su tomis pačiomis išvadomis.
| Išvada | Kodėl tai svarbu | Clarysec taisomieji veiksmai |
|---|---|---|
| AII inventorius neapima žurnalų, atsarginių kopijų, analitikos eksportų arba pagalbos priedų | Paslėpta AII negali būti patikimai apsaugota arba ištrinta | Išplėsti 9 žingsnio turto inventorizavimą ir tvarkymo veiklos registrą, kad jie apimtų visas AII vietas |
| Testavimo aplinkose naudojami produkciniai duomenys | Tikra AII atskleidžiama ten, kur ji nebūtina | Taikyti maskavimo politiką ir patvirtintus transformavimo šablonus |
| Prieigos peržiūros yra bendro pobūdžio ir nesutelktos į AII saugyklas | Perteklinė prieiga lieka neaptikta | Susieti 5.18 prieigos teises su AII turto savininkais ir periodinės peržiūros įrodymais |
| Teisinis pagrindas dokumentuotas, bet nesusietas su sistemomis arba saugojimu | GDPR atskaitomybės neįmanoma pagrįsti | Į tvarkymo veiklos registrą ir turto inventorių įtraukti teisinio pagrindo ir saugojimo laukus |
| Tiekėjų sutartyse trūksta duomenų vietos, pagalbos incidentų metu, audito teisių arba pasitraukimo nuostatų | Išlieka DORA, NIS2 ir GDPR tiekėjų užtikrinimo spragos | Suderinti tiekėjų deramą patikrinimą ir sutartis su IRT trečiųjų šalių ir debesijos valdysena |
| Incidentų veiksmų planai neskiria saugumo incidentų nuo asmens duomenų saugumo pažeidimų | Gali būti praleisti pranešimų terminai | Sukurti klasifikavimo medžius GDPR, NIS2 ir DORA pranešimo aktyvikliams |
| Įrodymai išsibarstę užduotyse, diskuose, ekrano kopijose ir el. laiškuose | Pasirengimas auditui žlunga net tada, kai kontrolės priemonės veikia | Naudoti centralizuotus audito aplankus ir įrodymų pavadinimų standartus |
Šios išvados nėra dokumentacijos problemos. Tai veiklos modelio problemos. ISO/IEC 27701:2025 ir ISO/IEC 29151:2022 jų neišspręs, jei privatumo valdysena, saugumo kontrolės priemonės ir įrodymų valdymas nebus įterpti į įprastas darbo eigas.
Ko vadovybė turėtų paklausti prieš kitą auditą
Prieš siekdama pasirengimo pagal ISO/IEC 27701:2025, ISO/IEC 29151:2022 įgyvendinimo arba GDPR, NIS2 ar DORA kliento vertinimo, vadovybė turėtų užduoti dešimt tiesioginių klausimų:
- Ar turime išsamų AII tvarkymo veiklų registrą, apimantį duomenų kategorijas, tikslą, teisinį pagrindą ir saugojimą?
- Ar AII turtas pažymėtas turto inventoriuje, įskaitant žurnalus, atsargines kopijas, eksportus, analitikos priemones ir pagalbos priedus?
- Ar duomenų klasifikacijos priskiriamos sukūrimo arba įtraukimo į eksploatavimą metu, o neperžiūrėtam turtui pagal numatytuosius nustatymus taikoma „Konfidencialus“ klasifikacija?
- Ar galime įrodyti, kad prieiga prie AII ribojama autorizuotiems naudotojams, kuriems taikomas būtinybės žinoti principas?
- Ar kūrimo, testavimo ir parengiamosiose aplinkose vietoj tikrų asmens duomenų naudojami maskuoti arba pseudonimizuoti duomenys?
- Ar maskavimo šablonai patvirtinti, raktai apsaugoti, prieiga kontroliuojama ir registruojama žurnaluose?
- Ar SoA susieja AII rizikas su kontrolės priemonėmis ir reguliaciniais įpareigojimais?
- Ar debesijos ir tiekėjų sutartys peržiūrimos dėl duomenų vietos, saugumo, pagalbos incidentų metu, audito teisių, atkūrimo ir pasitraukimo?
- Ar mūsų incidentų procesas gali klasifikuoti GDPR asmens duomenų saugumo pažeidimus, NIS2 reikšmingus incidentus ir DORA reikšmingus su IRT susijusius incidentus?
- Ar įrodymai saugomi centralizuotai ir taip, kad auditorius galėtų juos atsekti?
Jei atsakymas į bet kurį iš šių klausimų neaiškus, organizacija dar nėra pasirengusi auditui.
Paverskite AII apsaugą įrodoma
Saros vėlyvas incidentas galėjo virsti fragmentuota atitikties krize. Vietoj to jis gali tapti stipresnio veiklos modelio pradžia: ISO/IEC 27001:2022 ISVS, išplėsta į privatumą per ISO/IEC 27701:2025, sustiprinta ISO/IEC 29151:2022 praktikomis ir susieta su GDPR, NIS2, DORA, NIST pagrįstu užtikrinimu bei COBIT 2019 valdysenos lūkesčiais.
Tai ir yra tikroji auditui parengtos AII apsaugos vertė. Ji nepriklauso nuo to, ar prieš auditoriui atvykstant pavyks rasti tinkamą skaičiuoklę. Ji priklauso nuo sistemos, kuri jau žino, kur yra AII, kodėl ji egzistuoja, kaip ji apsaugoma, kas yra atskaitingas, kurie tiekėjai dalyvauja ir kur saugomi įrodymai.
Pradėkite nuo Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plano Zenith Blueprint, kad struktūruotumėte įgyvendinimą. Naudokite Zenith Controls: kryžminės atitikties vadovą Zenith Controls, kad susietumėte AII apsaugą su ISO/IEC 27001:2022, GDPR, NIS2, DORA, NIST pagrįstu užtikrinimu ir COBIT 2019 valdysenos lūkesčiais. Įgyvendinkite darbą naudodami Clarysec politikas, įskaitant Duomenų apsaugos ir privatumo politiką Duomenų apsaugos ir privatumo politika, Duomenų maskavimo ir pseudonimizavimo politiką Duomenų maskavimo ir pseudonimizavimo politika, Duomenų klasifikavimo ir ženklinimo politiką Duomenų klasifikavimo ir ženklinimo politika, MVĮ skirtą Audito ir atitikties stebėsenos politiką Audito ir atitikties stebėsenos politika – MVĮ ir Informacijos saugumo politiką Informacijos saugumo politika.
Jei artėja kitas kliento auditas, GDPR peržiūra, NIS2 pasirengimo projektas arba DORA tiekėjo vertinimas, nelaukite, kol pažeidimas atskleis spragas. Atsisiųskite Clarysec priemonių rinkinius, paprašykite demonstracijos arba suplanuokite AII apsaugos vertinimą ir sukurkite privatumo programą, kuri būtų ne tik atitinkanti reikalavimus, bet ir pagrindžiama.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
