Duomenų klasifikavimas ISO 27001, GDPR, NIS2 ir DORA kontekste

2026 m. audito momentas: „Parodykite įrodymus“

2026 m. vasaris. Sparčiai augančios finansinių technologijų SaaS bendrovės ketvirtinis valdybos posėdis vyksta ne taip sklandžiai, kaip tikėjosi CISO.

Bendrovė neseniai gavo ISO/IEC 27001:2022 sertifikatą. Ji turi MFA, galinių įrenginių apsaugą, pažeidžiamumų skenavimą, prieigos peržiūras, reagavimo į incidentus procedūras ir išsamią pasirengimo DORA ataskaitą. Tuomet generalinis direktorius užduoda klausimą, kuris pakeičia posėdžio eigą.

„Mūsų pagrindinis investuotojas klausia, kaip galime įrodyti, kad klientų finansiniai duomenys nuosekliai saugomi AWS, Azure, mūsų SaaS pagalbos platformoje ir analitikos duomenų saugykloje. Jei auditorius paima vieną failą iš objektinės saugyklos, o kitą — iš bendradarbiavimo aplanko, kaip žinome, kad jiems taikomos tos pačios taisyklės?“

CISO atveria turto registrą. Jame nurodytos duomenų bazės, debesijos paskyros, taikomosios programos, SaaS platformos ir saugojimo vietos. Tačiau klasifikavimo laukas užpildytas ne visur. Kai kurie aplankai pavadinti pagal padalinį, o ne pagal jautrumą. Klientų eksportai laikomi šalia vidaus ataskaitų failų. Kai kuriose pagalbos komandos skaičiuoklėse yra klientų identifikatorių, mokėjimo nuorodų ir bylų pastabų, tačiau jos pažymėtos kaip „Vidaus“. DLP taisyklės yra, bet jos suveikia tik pagal akivaizdžius šablonus. Debesijos politika nurodo, kad ES asmens duomenys turi likti patvirtintuose regionuose, tačiau komanda negali įrodyti, kad duomenų buvimo vietos taisyklės grindžiamos klasifikavimo metaduomenimis.

Tada atitikties vadovas prideda reguliacinį aspektą: „Ar to pakaks GDPR 32 straipsnio, NIS2 21 straipsnio ir DORA IRT rizikos įrodymams?“

Sąžiningas atsakymas — dar ne.

Tai yra 2026 m. spraga, su kuria susiduria daugelis organizacijų. Jos turi saugumo kontrolės priemones, bet neturi valdysenos sluoksnio, kuris kiekvienai kontrolei nurodytų, ką saugoti, kokiu lygiu saugoti ir kaip tai įrodyti. Šis valdysenos sluoksnis yra duomenų klasifikavimas ir informacijos ženklinimas.

ISO/IEC 27001:2022 požiūriu klasifikavimas ir ženklinimas nėra kosmetinės dokumentų valdymo praktikos. Tai praktinis tiltas tarp rizikos vertinimo, prieigos kontrolės, šifravimo, saugojimo terminų, DLP, duomenų buvimo vietos debesijoje, tiekėjų deramo patikrinimo, stebėsenos ir pranešimo apie incidentus. Clarysec įgyvendinimo modelyje jie yra ISVS įrodymų grandinės centre: inventorizuoti turtą, priskirti savininką, suklasifikuoti, paženklinti, taikyti tvarkymo taisykles, stebėti išimtis ir auditoriams parodyti atsekamumą.

Kodėl klasifikavimas ir ženklinimas tapo valdybos lygmens kontrolės priemonėmis

Reguliuotojai ir klientai vis dažniau tikisi, kad organizacijos parodys, jog saugumo priemonės atitinka duomenų jautrumą, paslaugos kritiškumą ir veiklos sutrikimo poveikį verslui.

GDPR tai aiškiai įtvirtina per atskaitomybę. 5 straipsnis reikalauja, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai, apsiribojant tuo, kas būtina, saugomi tik tiek, kiek reikia, ir apsaugomi tinkamomis techninėmis ir organizacinėmis priemonėmis. Duomenų valdytojas taip pat turi gebėti įrodyti atitiktį. Todėl GDPR 32 straipsnį sunku pagrįsti įrodymais, jei nežinoma, kurios sistemos tvarko asmens duomenis, kurie duomenys yra didelės rizikos arba specialių kategorijų, kur jie saugomi ir kokios apsaugos priemonės taikomos.

NIS2 pakelia valdysenos kartelę. 20 straipsnis reikalauja, kad esminių ir svarbių subjektų valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir dalyvautų mokymuose. 21 straipsnis reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant rizikos analizę, saugumo politikas, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugumą įsigijimo ir kūrimo metu, veiksmingumo vertinimą, kibernetinę higieną, mokymus, kriptografiją, personalo saugumą, prieigos kontrolę ir turto valdymą. Klasifikavimas šiame sąraše nėra atskiras kontrolinis punktas. Tai sprendimų sistema, kuri šias priemones padaro proporcingas.

DORA tą pačią logiką taiko finansų subjektams ir finansinių technologijų ekosistemoms. Nuo 2025 m. sausio 17 d. DORA reikalauja dokumentuotos IRT rizikos valdymo sistemos, valdymo organo atsakomybės, konfidencialumo, vientisumo, prieinamumo ir autentiškumo politikų, incidentų klasifikavimo, atsparumo testavimo ir IRT trečiųjų šalių rizikos valdymo. DORA reguliuojamiems finansų subjektams DORA gali veikti kaip sektoriui skirtas Sąjungos teisės aktas vietoje persidengiančių NIS2 rizikos valdymo ir ataskaitų teikimo pareigų, tačiau įrodymų lūkestis išlieka tas pats: parodyti, kaip kritinė informacija ir IRT turtas identifikuojami, saugomi, testuojami, stebimi ir valdomi.

ISO/IEC 27001:2022 yra tinkama šių įrodymų operacinė sistema. 4.1–4.4 punktai reikalauja, kad organizacija suprastų vidinius ir išorinius veiksnius, suinteresuotųjų šalių reikalavimus, reguliacinius ir sutartinius įsipareigojimus bei sąsajas su kitomis organizacijomis. 6.1.1–6.1.3 punktai reikalauja rizikos vertinimo, rizikos tvarkymo, kontrolės priemonių parinkimo, Taikomumo pareiškimo ir saugomų įrodymų. ISO/IEC 27001:2022

Jei GDPR, NIS2 ir DORA klausia: „Kodėl pritaikėte šias priemones?“, ISO/IEC 27001:2022 padeda atsakyti: „Nes šis turtas, duomenų tipai, rizikos, įsipareigojimai ir tvarkymo sprendimai mus atvedė iki čia.“

Klasifikavimas yra rizikos sprendimas. Ženklinimas yra operacinis signalas.

Clarysec atskiria klasifikavimą ir ženklinimą, nes taip daro auditoriai.

Klasifikavimas yra sprendimas dėl informacijos jautrumo, vertės ir kritiškumo. Ženklinimas — tai šio sprendimo pavertimas matomu, išliekančiu ir taikomu kasdienėje veikloje.

Clarysec Duomenų klasifikavimo ir ženklinimo politika - SME tikslą apibrėžia aiškiai:

Ši politika apibrėžia, kaip visa organizacijos tvarkoma informacija turi būti klasifikuojama ir ženklinama, kad per visą jos gyvavimo ciklą būtų išlaikytas konfidencialumas, vientisumas ir prieinamumas.

Ta pati Duomenų klasifikavimo ir ženklinimo politika - SME reikalauja, kad organizacijos:

Reikalautų, kad kiekvienas duomenų turtas būtų klasifikuojamas pagal jo jautrumą ir atitinkamai ženklinamas, siekiant užtikrinti tinkamą tvarkymą, saugojimą ir prieigą.

Įmonių aplinkoms Clarysec P13 Duomenų klasifikavimo ir ženklinimo politika apibrėžia minimalų klasifikavimo modelį:

Organizacija turi palaikyti standartizuotą klasifikavimo schemą su aiškiai apibrėžtais lygiais. Mažiausiai turi būti naudojami šie klasifikavimo lygiai: 5.1.1 Vieša: informacija, skirta viešam paskelbimui ir neribotam platinimui 5.1.2 Vidaus: nevieša organizacijos informacija, neskirta išoriniam paskelbimui 5.1.3 Konfidenciali: jautrūs verslo, sutartiniai arba klientų duomenys, kuriems reikalinga griežta prieigos kontrolė 5.1.4 Ribojama (arba Ypač konfidenciali): kritinė arba reglamentuojama informacija, kurios neteisėtas atskleidimas galėtų sukelti reikšmingą žalą arba teisinę atsakomybę

Šis skirtumas svarbus. „Konfidenciali“ klasifikacija gali reikalauti šifravimo, vaidmenimis grindžiamos prieigos ir sutartinių apsaugos priemonių. „Ribojama“ klasifikacija gali suaktyvinti MFA, CISO patvirtinimą išoriniam dalijimuisi, išplėstinį žurnalavimą, griežtesnę saugojimo valdyseną, atskyrimą ir prioritetinį incidentų eskalavimą.

Įmonių politika aiškiai apibrėžia operacinį ženklinimą:

Visi informacijos ištekliai turi būti ženklinami taip, kad ženklinimas būtų: 6.2.1.1 Išliekantis: nelengvai pašalinamas ar apeinamas 6.2.1.2 Matomas: aiškus naudotojams naudojimo metu 6.2.1.3 Nuskaitomas mašininiu būdu: kai įmanoma, turi būti palaikomas metaduomenimis grindžiamas žymėjimas

Mašininiu būdu nuskaitomos žymos yra ta vieta, kur programa pereina nuo informuotumo prie įgyvendinimo. Jei žymos grindžiamos metaduomenimis, debesijos platformos, DLP sistemos, el. pašto šliuzai, tapatybės priemonės, SIEM taisyklės, CASB platformos ir saugojimo mechanizmai gali pagal jas veikti. Jei žymos tėra dokumento poraštė, jos gali padėti naudotojams, tačiau negali patikimai taikyti taisyklių mastu.

Kur klasifikavimas priklauso Clarysec veiksmų plane

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas klasifikavimą įtraukia anksti rizikos valdymo gyvavimo cikle, o ne po technologijų diegimo. Rizikos valdymo etape, 9 žingsnyje „Turto, grėsmių ir pažeidžiamumų identifikavimas“, veiksmų planas nurodo komandoms inventorizuoti informacijos išteklius ir užfiksuoti savininką, vietą bei klasifikaciją.

Tai užkerta kelią dažnai klaidai: turėti debesijos apskaitą, bet neturėti informacijos apskaitos. Duomenų bazė, SaaS nuomininkas ar duomenų saugykla yra technologinis turtas. Juose esantys klientų įrašai, darbuotojų bylos, mokėjimų žurnalai, modelių mokymo duomenų rinkiniai, pagalbos pokalbių transkriptai ir incidentų įrodymai yra informacijos ištekliai. Klasifikavimas taikomas būtent šiame informacijos lygmenyje.

Zenith Blueprint gairės dėl ISO/IEC 27002:2022 kontrolės 5.12, informacijos klasifikavimo, paaiškina principą:

Kiekviena kada nors parašyta informacijos saugumo kontrolės priemonė — prieigos apribojimas, šifravimas, atsarginės kopijos, stebėsena ar sunaikinimas — remiasi viena prielaida: organizacija žino, ką saugo. Kontrolė 5.12 reikalauja, kad informacija būtų klasifikuojama pagal jos vertę, jautrumą ir kritiškumą, taip sukuriant pagrindą visiems vėlesniems sprendimams ISVS.

ISO/IEC 27002:2022 kontrolės 5.13, informacijos ženklinimo, atveju tas pats veiksmų planas paverčia klasifikavimą kasdiene elgsena:

Ženklinimas yra būdas abstrakčią politiką paversti operacine realybe. Tai momentas, kai naudotojas, pamatęs dokumentą, el. laišką, duomenų bazės lauką ar spausdintą ataskaitą, iš karto supranta: kas yra ši informacija, kiek ji jautri ir kaip ji turi būti tvarkoma.

Galutinė veiksmų plano sąsaja atsiranda 13 žingsnyje „Rizikos tvarkymo planavimas ir Taikomumo pareiškimas“. Zenith Blueprint apibūdina SoA kaip tiltą tarp rizikų, tvarkymo priemonių ir kontrolės priemonių. Čia klasifikavimas tampa audito atsekamumu. Toks rizikos scenarijus kaip „neteisėtas klientų finansinių duomenų atskleidimas iš bendrinamos debesijos saugyklos“ gali būti susietas su klasifikavimu, ženklinimu, prieigos kontrole, šifravimu, žurnalavimu, DLP, debesijos naudojimu, tiekėjų reikalavimais ir reagavimu į incidentus.

Kontrolės ryšiai, kuriuos auditoriai tikisi matyti

Clarysec Zenith Controls: kryžminės atitikties vadove ISO/IEC 27002:2022 kontrolė 5.12, informacijos klasifikavimas, susieta kaip prevencinė kontrolės priemonė, palaikanti konfidencialumą, vientisumą ir prieinamumą. Ji siejama su kibernetinio saugumo funkcija Identify, operaciniu pajėgumu Information Protection ir saugumo sritimis Protection ir Defense.

ISO/IEC 27002:2022 kontrolės 5.13, informacijos ženklinimo, atveju Zenith Controls šią kontrolės priemonę susieja kaip prevencinę, orientuotą į Protect, su tomis pačiomis informacijos saugumo savybėmis ir Information Protection operaciniu pajėgumu.

Esminė įžvalga: klasifikavimas ir ženklinimas nėra izoliuoti. Jie padaro aplinkines kontrolės priemones pagrindžiamas.

Zenith Controls susieja kontrolę 5.12 su GDPR 32 straipsniu ir 83 konstatuojamąja dalimi, NIS2 Article 21(2)(a) ir 21(2)(f), ISO/IEC 27701 Annex B, NIST SP 800-53 MP-3 ir PM-11, FIPS 199 ir NIST SP 800-60 bei COBIT 2019 DSS06.06 ir APO13.01. Kontrolę 5.13 jis susieja su GDPR 32 straipsniu, NIS2 Article 21(2)(a) ir 21(2)(f), DORA Article 9(1) ir 9(2), NIST SP 800-53 MP-3 ir COBIT 2019 DSS06.06.

Tai reiškia, kad vienas įrodymų rinkinys gali atsakyti į kelis patikinimo klausimus.

Turto registras yra vieta, kur klasifikavimas tampa įrodymais

Daugelis klasifikavimo programų žlunga, nes klasifikavimo schema egzistuoja tik politikoje. Clarysec metodas prasideda nuo turto apskaitos.

Clarysec P12 Turto valdymo politika reikalauja, kad turto apskaitoje klasifikavimo lygis būtų įtrauktas kaip minimalus laukas:

Turto apskaitoje turi būti bent: 5.3.1 Turto identifikatorius, kategorija ir tipas 5.3.2 Serijos numeris arba unikali žyma (fiziniam turtui) 5.3.3 Programinės įrangos versija arba licencijos raktas (programinės įrangos turtui) 5.3.4 Turto savininkas 5.3.5 Klasifikavimo lygis (Vieša, Vidaus, Konfidenciali, Ribojama) 5.3.6 Vieta (fizinė, virtuali, debesijos) 5.3.7 Gyvavimo ciklo būsena (aktyvus, prižiūrimas, išimtas iš eksploatacijos)

Tai tiesiogiai dera su ISO/IEC 27001:2022 rizikos planavimu. Jei negalite identifikuoti informacijos turto, savininko, vietos ir klasifikacijos, negalite nuosekliai vertinti tikimybės, poveikio, tvarkymo prioriteto ar liekamosios rizikos. Taip pat negalite patikimai nuspręsti, ar tiekėjo susitarimas, debesijos paslauga ar SaaS integracija veikia reglamentuojamą informaciją.

GDPR kontekste tai palaiko atskaitomybę. 30 straipsnio tvarkymo veiklos įrašai ir 32 straipsnio saugumo priemonės tampa patikimesni, kai turto registras nurodo, kur tvarkomi asmens duomenys ir kaip jie saugomi. DORA kontekste tas pats registras palaiko IRT turto ir paslaugų kritiškumą, atsparumo testavimo apimtį ir trečiųjų šalių priklausomybių analizę. NIS2 kontekste jis palaiko rizikos analizę, prieigos kontrolę ir turto valdymą.

Toks įrašas pakeičia audito toną. Užuot sakiusi „manome, kad jautrūs duomenys saugomi“, organizacija gali parodyti, kas yra duomenys, kas yra jų savininkas, kodėl jie yra Ribojami, kurios kontrolės priemonės taikomos ir kada jos paskutinį kartą buvo peržiūrėtos.

Žymos turi valdyti debesijos ir SaaS tvarkymo taisykles

Dauguma jautrių duomenų dabar juda per debesijos platformas, SaaS taikomąsias programas, analitikos konvejerius ir bendradarbiavimo priemones. Politikos nuostatos, nurodančios naudotojams „atsargiai tvarkyti konfidencialius duomenis“, nepakanka.

Clarysec P27 Debesijos paslaugų naudojimo politika tiesiogiai susieja debesijos naudojimą su klasifikavimu ir duomenų buvimo vieta:

Duomenų klasifikavimas ir buvimo vieta 6.6.1 Jokie duomenys negali būti perkelti į debesijos platformą be klasifikavimo pagal Duomenų klasifikavimo ir ženklinimo politiką (P13). 6.6.2 Duomenų buvimo vietos reikalavimai turi būti įtvirtinti sutartyse (pvz., tik ES saugykla GDPR reglamentuojamiems duomenims). 6.6.3 Tarpvalstybiniai duomenų perdavimai turi atitikti GDPR V skyrių ir, kai taikoma, DORA Article 28.

Tai svarbu, nes debesijos rizika dažnai atsiranda dėl patogumo. Komanda eksportuoja duomenų rinkinį į naują analitikos priemonę. Pardavimų komanda sinchronizuoja klientų sąrašus į automatizavimo platformą. Kūrėjas nukopijuoja produkcinius duomenis į testavimo aplinką. Be klasifikavimo ir ženklinimo tokie veiksmai gali nesuaktyvinti teisinės peržiūros, saugumo patvirtinimo ar tiekėjų patikrų.

Duomenų klasifikavimo ir ženklinimo politika - SME mažesnėms organizacijoms pateikia paprastą įgyvendinimo modelį:

Bendrinami aplankai arba debesijos diskai turi naudoti aplankų pavadinimus arba žymas klasifikacijai nurodyti (pvz., „/Clients_Confidential“).

Brandžiose aplinkose aplankų pavadinimai turi būti papildomi mašininiu būdu nuskaitomomis žymomis, sąlyginės prieigos politikomis, išorinio dalijimosi blokavimu, šifravimu, saugojimo žymomis, DLP taisyklėmis ir žurnalavimu. Tikslas nėra vien paženklinti informaciją. Tikslas — padaryti žymą veiksmingą.

„Ribojama“ žyma gali suaktyvinti išorinio dalijimosi blokavimą, saugomų ir perduodamų duomenų šifravimą, MFA, atsisiuntimo apribojimus nevaldomuose įrenginiuose, audito žurnalų saugojimą, SIEM įspėjimus, saugojimo taisykles, tiekėjų vietos apribojimus ir incidento sunkumo eskalavimą.

P13 Duomenų klasifikavimo ir ženklinimo politika nustato bazinius reikalavimus:

Visas duomenų tvarkymas, perdavimas, prieiga, saugojimas ir informacijos sunaikinimas turi atitikti jos klasifikavimo lygį. Mažiausiai: 6.3.1.1 Vieša: gali būti laisvai atskleidžiama; specialaus tvarkymo nereikia 6.3.1.2 Vidaus: bendrinama organizacijos viduje; saugoma saugiose vidaus sistemose 6.3.1.3 Konfidenciali: 6.3.1.3.1 Prieiga ribojama tik autorizuotam personalui 6.3.1.3.2 Turi būti šifruojama perduodant ir saugant 6.3.1.3.3 Išoriškai gali būti bendrinama tik pagal NDA arba lygiavertes sutartines apsaugos priemones 6.3.1.4 Ribojama: 6.3.1.4.1 Taikomi aukščiausi saugumo reikalavimai 6.3.1.4.2 Reikalingos stiprios prieigos kontrolės priemonės, daugiaveiksnis autentifikavimas (MFA) ir audito žurnalavimas 6.3.1.4.3 Fizinė ir loginė segmentacija, kai įmanoma 6.3.1.4.4 Išorinis bendrinimas draudžiamas be CISO patvirtinimo

Kiekviena žyma turi elgseną. Kiekviena elgsena turi kontrolės priemonę. Kiekviena kontrolės priemonė turi įrodymus.

Praktinis įgyvendinimo pavyzdys

Įsivaizduokite finansinių technologijų analitiką, kuris sukuria Q3_2026_Customer_Churn_Analysis.xlsx. Skaičiuoklėje yra klientų ID, operacijų apimtys ir prognozinis klientų praradimo vertinimas.

Analitikas ją klasifikuoja kaip Konfidencialią, nes joje yra klientų duomenų ir strateginės analizės. Naudodamas bendrovės informacijos apsaugos priemonę, analitikas pritaiko Konfidencialią žymą. Kadangi žyma yra išliekanti, matoma ir nuskaitoma mašininiu būdu, kontrolės priemonės aktyvuojamos automatiškai.

Failas šifruojamas saugant įrenginyje ir debesijos saugykloje. Matoma antraštė pažymi jį kaip Konfidencialų. Kai analitikas bando sinchronizuoti jį su asmenine debesijos saugykla, DLP taisyklė blokuoja veiksmą ir užregistruoja bandymą žurnale. Kai analitikas bando išsiųsti jį el. paštu išoriniam ne partnerio domenui, el. pašto šliuzas karantinuoja laišką ir įspėja saugumo operacijų komandą. Jei vėliau failas perklasifikuojamas kaip Ribojamas, nes jame yra reglamentuojamų finansinių operacijų duomenų, išorinis bendrinimas išjungiamas, nebent CISO arba duomenų savininkas patvirtina išimtį.

Tai yra įrodymas, kurio norėjo generalinis direktorius. Jis atsekamas, automatizuotas ir susietas su valdybos patvirtinta politika. Jis taip pat dera su P27 Debesijos paslaugų naudojimo politika, nes be klasifikavimo neleidžiamas joks duomenų judėjimas į debesiją, o tarpvalstybiniai perdavimai turi atitikti GDPR V skyrių ir, kai taikoma, DORA Article 28.

Sukurkite klasifikavimo ir kontrolės priemonių matricą per vieną savaitę

Visai programai reikia laiko, tačiau sutelktas sprintas gali sukurti įrodymų pagrindą prieš auditą, kliento peržiūrą ar reguliacinį vertinimą.

1 diena: patvirtinkite klasifikavimo schemą

Pradėkite nuo keturių lygių: Vieša, Vidaus, Konfidenciali ir Ribojama. Kaip pagrindą naudokite P13 Duomenų klasifikavimo ir ženklinimo politiką. Kriterijus apibrėžkite pagal poveikį verslui, teisinį poveikį, sutartinį jautrumą, asmens duomenų riziką, paslaugos kritiškumą ir finansinę žalą.

2 diena: pasirinkite dešimt kritinių informacijos išteklių

Naudokite Zenith Blueprint 9 žingsnį. Įtraukite klientų duomenų bazę, pagalbos užklausų sistemą, HR platformą, tapatybės teikėją, mokėjimų eksportą, duomenų saugyklą, objektinės saugyklos konteinerį, valdybos ataskaitų aplanką, išeitinio kodo saugyklą ir incidentų įrodymų saugyklą. Užfiksuokite savininką, vietą, klasifikaciją ir GDPR aktualumą.

3 diena: susiekite tvarkymo taisykles

Apibrėžkite tvarkymo reikalavimus prieigai, saugojimui, perdavimui, stebėsenai ir sunaikinimui.

4 diena: sukonfigūruokite vieną techninio įgyvendinimo kelią

Pasirinkite vieną platformą, pavyzdžiui, debesijos dokumentų saugyklą, el. pašto sistemą arba objektinės saugyklos paslaugą. Įdiekite matomas ir mašininiu būdu nuskaitomas žymas. Sukonfigūruokite vieną taisyklę Konfidencialiems duomenims ir vieną taisyklę Ribojamiems duomenims. Pavyzdžiui, reikalaukite šifravimo Konfidencialiems išoriniams el. laiškams ir blokuokite Ribojamų failų išorinį bendrinimą.

5 diena: atnaujinkite rizikų registrą ir SoA

Naudokite Zenith Blueprint 13 žingsnį. Įtraukite klasifikavimo ir ženklinimo kontrolės priemones į Taikomumo pareiškimą. Susiekite jas su rizikomis, tokiomis kaip neteisėtas atskleidimas, klaidinga debesijos konfigūracija, perteklinė tiekėjų ekspozicija, duomenų saugojimo nesėkmė ir nepakankamas pranešimas apie incidentus.

6 diena: patikrinkite kontrolės priemonę

Sukurkite testinį failą, pažymėtą kaip Ribojamas. Pabandykite bendrinti jį išoriškai iš nevaldomo įrenginio. Patvirtinkite, ar priemonė blokuoja, įspėja, registruoja žurnale arba eskaluoja. Užfiksuokite ekrano kopijas, žurnalų įrašus ir užklausos įrodymus. Jei kontrolės priemonė nesuveikia, užregistruokite išimtį ir taisomųjų veiksmų planą.

7 diena: apmokykite pirmosios linijos naudotojus

Mokymai turi būti pritaikyti vaidmenims. Kūrėjai turi žinoti, kada produkcinių duomenų negalima naudoti testavimo aplinkose. HR turi suprasti, kodėl darbuotojų bylos yra Konfidencialios arba Ribojamos. Pardavimų komanda turi žinoti, kodėl klientų eksportų negalima įkelti į nepatvirtintas SaaS priemones. Vykdomieji vadovai turi suprasti, kodėl valdybos medžiaga, įsigijimų failai ir investuotojų duomenys reikalauja griežtesnio tvarkymo.

Šis sprintas neužbaigia visos programos, bet sukuria įrodymų pagrindą: politiką, apskaitą, žymas, tvarkymo taisykles, techninį įgyvendinimą, rizikos atsekamumą ir mokymus.

Kaip auditoriai testuos klasifikavimą ir ženklinimą

Auditoriai retai testuoja klasifikavimą atskirai. Jie seka duomenimis.

ISO/IEC 27001:2022 auditorius susies klasifikavimą su ISVS taikymo sritimi, suinteresuotųjų šalių reikalavimais, teisiniais ir sutartiniais įsipareigojimais, rizikos vertinimu ir Taikomumo pareiškimu. Jis tikėsis įrodymų dėl ISO/IEC 27002:2022 kontrolių 5.9, 5.12, 5.13, 5.14, 5.15, 5.34 ir susijusių techninių kontrolės priemonių. Tipiniai įrodymai apima patvirtintas politikas, turto apskaitos įrašus, rizikų registro įrašus, paženklintus pavyzdžius, tvarkymo taisykles, prieigos peržiūras, vidaus audito išvadas ir korekcinius veiksmus.

GDPR vertintojas sutelks dėmesį į asmens duomenis. Jis klaus, ar asmens duomenys identifikuoti, ar specialių kategorijų duomenys atskirti, ar saugojimo taisyklės atitinka tikslą ir ar 32 straipsnio saugumo priemonės yra tinkamos. Klasifikavimas padeda atskirti įprastą verslo informaciją nuo asmens duomenų, jautrių asmens duomenų, konfidencialių klientų duomenų ir reglamentuojamų įrašų. Ženklinimas padeda operacinėms komandoms išvengti atsitiktinio atskleidimo, perteklinio saugojimo ir neteisėto perdavimo.

NIST CSF 2.0 vertintojas klasifikavimą greičiausiai sies su GOVERN, IDENTIFY ir PROTECT. Jis gali klausti, ar esami ir tiksliniai profiliai apibrėžia jautrių duomenų aptikimą, ar žymų taikymas veikia SaaS ir debesijos sistemose, ar tiekėjai tvarko duomenis pagal klasifikaciją ir ar stebėsenos prioritetai keičiasi pagal jautrumą.

COBIT 2019 arba ISACA stiliaus auditorius akcentuos valdysenos tikslus, procesų savininkystę, kontrolės priemonių projektavimą ir veikimo veiksmingumą. Zenith Controls susieja apskaitos kontrolę 5.9 su COBIT 2019 BAI09.01, BAI09.02 ir DSS05.04, taip pat nurodo ISACA ITAF 2204 ir 2301. Klasifikavimo atveju Zenith Controls susieja kontrolę 5.12 su COBIT 2019 DSS06.06 ir APO13.01, o ženklinimą — su DSS06.06. Auditorius klaus, kas yra proceso savininkas, kaip tvirtinamos išimtys, ar veiksmingumas stebimas ir ar vadovybei teikiamos ataskaitos.

DORA orientuotas vertintojas klaus, kurie informacijos ištekliai palaiko kritines ar svarbias funkcijas, kurie duomenys yra Ribojami, kurie IRT trečiųjų šalių teikėjai saugo arba perduoda šiuos duomenis, ar sutartys apibrėžia vietas ir saugumo priemones, ar testavimas apima kritinius duomenis ir ar incidentai iš dalies klasifikuojami pagal duomenų praradimą prieinamumo, autentiškumo, vientisumo ir konfidencialumo požiūriu.

Jei atsakymai gaunami iš vieno klasifikavimu grindžiamo turto ir tiekėjų įrodymų modelio, auditai tampa greitesni, nuoseklesni ir geriau pagrindžiami.

Dažni nesėkmių modeliai

Klasifikavimo nesėkmės paprastai įvyksta todėl, kad organizacijos žymas laiko informuotumo priemonėmis, o ne kontrolės signalais.

Pirma, jos klasifikuoja dokumentus, bet ne duomenų bazes, taikomųjų programų sąsajas, žurnalus, atsargines kopijas, eksportus ar SaaS įrašus. Jautrūs duomenys derinimo žurnale gali būti tokie pat žalingi kaip jautrūs duomenys skaičiuoklėje.

Antra, jos ženklina informaciją, bet nesusieja žymų su prieigos kontrole. Ribojama žyma su atvira prieiga įrodo, kad organizacija žinojo jautrumą, bet neįgyvendino tvarkymo taisyklės.

Trečia, debesijos migracijos vyksta prieš klasifikavimą. Komandos perkelia duomenis į naujas SaaS priemones nepatvirtinusios buvimo vietos, tiekėjų sąlygų, subtvarkytojų prieigos, tarpvalstybinio perdavimo reikalavimų ar ištrynimo teisių. P27 Debesijos paslaugų naudojimo politika tiesiogiai sprendžia šią problemą drausdama duomenų perkėlimą į debesijos platformas be klasifikavimo.

Ketvirta, reagavimo į incidentus planai ignoruoja klasifikavimą. Jei sunkumo kriterijai neapima duomenų jautrumo, incidentų komandos krizės metu gaišta laiką aiškindamosi, kas buvo paveikta. GDPR pažeidimų analizai, NIS2 incidentų valdymui ir DORA incidentų klasifikavimui visiems naudinga greitai turėti duomenų kontekstą.

Penkta, SoA nepaaiškina, kodėl klasifikavimo ir ženklinimo kontrolės priemonės yra taikytinos. Organizacija galbūt įdiegė žymas, tačiau SoA nesusieja jų su GDPR 32 straipsniu, NIS2 21 straipsniu, DORA IRT rizika, klientų sutartimis ar konkrečiais rizikos scenarijais.

Vadovybės ataskaitos: padarykite klasifikavimą matomą

NIS2 ir DORA kibernetinį saugumą paverčia vadovybės atskaitomybės klausimu. ISO/IEC 27001:2022 taip pat reikalauja vadovybės įsipareigojimo, politikos suderinimo, išteklių, vaidmenų ir veiklos ataskaitų. Todėl klasifikavimo rodikliai turi pasiekti vadovybės peržiūrą.

Naudingi rodikliai apima:

• Kritinių informacijos išteklių, kuriems priskirti savininkai, procentinę dalį.
• Turto, turinčio patvirtintą klasifikaciją, procentinę dalį.
• Ribojamų turtų be išplėstinio žurnalavimo skaičių.
• Konfidencialių arba Ribojamų saugyklų su įjungtu išoriniu bendrinimu skaičių.
• Tiekėjų, tvarkančių Konfidencialius arba Ribojamus duomenis ir turinčių atnaujintas sutartines nuostatas, procentinę dalį.
• Klasifikavimo išimčių ir vėluojančių taisomųjų veiksmų skaičių.
• DLP incidentus pagal žymą.
• Prieigos peržiūrų užbaigimą Ribojamiems turtams.
• Debesijos saugojimo vietas GDPR reglamentuojamiems duomenims.
• Reagavimo į incidentus pratybas, kuriose naudoti klasifikavimu grindžiami sunkumo kriterijai.

Šie rodikliai palaiko ISO/IEC 27001:2022 vadovybės peržiūrą, NIS2 vadovybės priežiūrą, DORA valdysenos ataskaitų teikimą ir klientų patikinimą. Jie taip pat padaro klasifikavimą suprantamą vadovams. Vadovybė gali veikti greičiau, kai mato, kad kelioms Ribojamoms saugykloms trūksta patikrinto atkūrimo arba kad kritiniai tiekėjai tvarko klientų duomenis be patvirtinto saugojimo ES.

Nuo politikos iki įrodymo

Clarysec įgyvendinimo modelis grindžiamas įrodymais:

1. Apibrėžkite klasifikavimo schemą P13 Duomenų klasifikavimo ir ženklinimo politikoje arba pradėkite nuo Duomenų klasifikavimo ir ženklinimo politikos - SME.
2. Įtraukite klasifikaciją į turto apskaitą naudodami P12 Turto valdymo politiką.
3. Taikykite debesijos apribojimus ir duomenų buvimo vietos reikalavimus per P27 Debesijos paslaugų naudojimo politiką.
4. Naudokite Zenith Blueprint 9 žingsnį informacijos ištekliams, savininkams, vietoms ir jautrumui identifikuoti.
5. Naudokite Zenith Blueprint 13 žingsnį rizikoms susieti su kontrolės priemonėmis SoA.
6. Naudokite Zenith Blueprint 22 žingsnį ISO/IEC 27002:2022 kontrolių 5.12 ir 5.13 įgyvendinimui kasdienėje veikloje.
7. Naudokite Zenith Controls tiems patiems įrodymams susieti su GDPR, NIS2, DORA, NIST CSF, COBIT 2019 ir pagalbiniais standartais.
8. Testuokite žymų taikymą, prieigos apribojimus, žurnalavimą, DLP ir incidentų triažą.
9. Teikite klasifikavimo veiksmingumo ataskaitas vadovybei.
10. Peržiūrėkite klasifikavimą po reikšmingų sistemos, proceso, tiekėjo ar reguliavimo pokyčių.

Tai veikia, nes klasifikavimas tampa bendra kalba tarp verslo vertės, teisinio įsipareigojimo, techninės kontrolės priemonės ir audito įrodymų.

Jei jūsų organizacija rengiasi ISO/IEC 27001:2022 sertifikavimui, GDPR patikinimui, NIS2 pasirengimui, DORA klientų deramo patikrinimo procesui arba jungtiniam atitikties auditui, pradėkite nuo vieno klausimo:

Ar galite parodyti apie kiekvieną kritinį informacijos išteklių: kas tai yra, kas yra jo savininkas, kur jis yra, kaip jis klasifikuotas, kaip jis paženklintas, kas gali prie jo prieiti, kaip jis apsaugotas, kiek laiko jis saugomas, kuris tiekėjas jį liečia ir kas įvyksta, jei jis atskleidžiamas?

Jei atsakymas — dar ne, Clarysec gali padėti greitai ir pagrįstai sukurti įrodymų grandinę.

Naudokite Duomenų klasifikavimo ir ženklinimo politiką - SME, P13 Duomenų klasifikavimo ir ženklinimo politiką, P12 Turto valdymo politiką, P27 Debesijos paslaugų naudojimo politiką, Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą ir Zenith Controls: kryžminės atitikties vadovą, kad klasifikavimą iš statinės politikos paverstumėte operaciniu kontrolės sluoksniu GDPR 32 straipsniui, NIS2 kibernetinės rizikos valdymui ir DORA IRT rizikos įrodymams.

Geriausias laikas klasifikuoti duomenis buvo prieš gaunant audito užklausą. Kitas geriausias laikas — prieš kitą debesijos migraciją, tiekėjų įtraukimą, kliento klausimyną ar incidentą.