Auditam gatava personu identificējošas informācijas (PII) aizsardzība GDPR, NIS2 un DORA prasībām
Brīdinājums Sāras iesūtnē pienāca otrdienas vakarā plkst. 22.00.
Kā augoša FinTech SaaS uzņēmuma CISO Sāra bija pieradusi pie vēlu vakara brīdinājumiem. Taču šis gadījums bija citāds. Jaunākais izstrādātājs, testējot jaunu analītikas funkciju, bija padarījis pirmsprodukcijas vides datubāzi pieejamu publiskā galapunktā. Datubāzē bija jābūt testa datiem, taču nesen veikta sinhronizācija no produkcijas vides uz pirmsprodukcijas vidi tajā bija ievietojusi reālu klientu personu identificējošu informāciju (PII).
Incidents tika ātri ierobežots. Pēc tam atklājās otra problēma. No tās pašas datu kopas bija nokopēta migrācijas izklājlapa ar nosaukumu customer_users_final_v7.xlsx. Tajā bija vārdi, e-pasta adreses, lomu piekļuves tiesības, lietošanas žurnāli, valstu lauki, atbalsta piezīmes un brīvā teksta komentāri, kuriem nekad nevajadzēja nonākt testēšanas darbplūsmā. Izklājlapa bija nokopēta koplietojamā diskā, lejupielādēta izstrādātāja datorā, pievienota pieteikumam un aizmirsta.
Ap pusnakti Sāra vairs nepārvaldīja tehnisku kļūdainu konfigurāciju. Viņa pārvaldīja audita problēmu.
Uzņēmums jau bija sertificēts atbilstoši ISO/IEC 27001:2022. Valde pirms ieiešanas ES tirgū pieprasīja GDPR apliecinājumu. Finanšu pakalpojumu klienti sūtīja DORA sākotnējās izpētes anketas. Mākoņpakalpojumu un pārvaldīto pakalpojumu attiecības radīja NIS2 piegādes ķēdes jautājumus. Juridiskais dienests varēja izskaidrot pienākumus. Inženierijas komanda varēja norādīt uz šifrēšanu. Produktu komandai bija datu aizsardzība pēc noklusējuma un projektēšanas stadijā. Piemērojamības paziņojumā bija minēts privātums un personu identificējošas informācijas (PII) aizsardzība.
Tomēr neviens nevarēja vienā izsekojamā ķēdē parādīt, kāda personu identificējoša informācija (PII) pastāv, kāpēc tā tiek apstrādāta, kam ir piekļuve, kur tā tiek maskēta, kuri piegādātāji tai piekļūst, cik ilgi tā tiek glabāta un kā incidents tiktu klasificēts saskaņā ar GDPR, NIS2 vai DORA.
Tieši šī plaisa ir iemesls, kāpēc ISO/IEC 27701:2025 un ISO/IEC 29151:2022 ir būtiski. Tie nav tikai privātuma marķieri. Tie palīdz organizācijām pārvērst privātuma solījumus auditam gatavos personu identificējošas informācijas (PII) aizsardzības kontroles pasākumos. ISO/IEC 27701:2025 paplašina ISO/IEC 27001:2022 informācijas drošības pārvaldības sistēmu ar privātuma informācijas pārvaldību. ISO/IEC 29151:2022 pievieno praktiskas vadlīnijas personu identificējošas informācijas aizsardzībai visā tās dzīves ciklā.
Clarysec pieeja ir veidot vienotu, uz pierādījumiem balstītu privātuma un drošības darbības modeli, nevis atsevišķus atbilstības silosus. Šis modelis apvieno Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls un Clarysec politikas vienā izsekojamā sistēmā GDPR, ISO/IEC 27001:2022, ISO/IEC 27701:2025, ISO/IEC 29151:2022, NIS2, DORA, NIST tipa apliecinājuma un COBIT 2019 pārvaldības prasībām.
Kāpēc personu identificējošas informācijas (PII) aizsardzība tagad ir valdes līmeņa audita jautājums
Personu identificējošas informācijas (PII) aizsardzība agrāk tika uzskatīta par privātuma komandas atbildību. Šodien tas ir valdes līmeņa uzticēšanās, noturības un regulatīvās atbilstības jautājums.
GDPR joprojām ir personas datu aizsardzības pamats Eiropā un ārpus tās. Tas definē personas datus, apstrādi, pārzini, apstrādātāju, saņēmēju, trešo pusi, piekrišanu un personas datu aizsardzības pārkāpumu tādā veidā, kas ietekmē SaaS līgumus, atbalsta operācijas, analītiku, produkta telemetriju, piegādātāju pārvaldību un reaģēšanu uz incidentiem. Tā principi pieprasa likumīgumu, godprātību, pārredzamību, nolūka ierobežojumu, datu minimizēšanu, precizitāti, glabāšanas ierobežojumu, integritāti, konfidencialitāti un pārskatatbildību. Audita izpratnē GDPR neprasa tikai noskaidrot, vai dati ir šifrēti. Tas prasa, lai organizācija varētu pierādīt, kāpēc dati pastāv un kā tiek nodrošināta atbilstība.
NIS2 paaugstina kiberdrošības pārvaldības latiņu būtiskajām un svarīgajām vienībām. Article 21 prasa kiberdrošības risku pārvaldības pasākumus, tostarp riska analīzi, informācijas sistēmu drošības politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu izstrādi, ievainojamību apstrādi, kontroles efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību, autentifikāciju un drošu saziņu. Article 23 pievieno pakāpenisku incidentu ziņošanu, tostarp agrīno brīdinājumu 24 stundu laikā, paziņošanu 72 stundu laikā un galīgo ziņojumu viena mēneša laikā pēc paziņošanas.
DORA maina sarunu finanšu vienībām un to IKT pakalpojumu sniedzējiem. Tā tiek piemērota no 2025. gada 17. janvāra un izveido saskaņotu digitālās darbības noturības režīmu, kas aptver IKT risku pārvaldību, būtisku ar IKT saistītu incidentu ziņošanu, noturības testēšanu, IKT trešo pušu risku, līgumiskās prasības un kritisku IKT trešo pušu pakalpojumu sniedzēju pārraudzību. Daudzām finanšu vienībām DORA darbojas kā nozares specifisks Savienības tiesību akts gadījumos, kad pārklājas NIS2 līdzvērtīgi pienākumi. SaaS un IKT piegādātājiem, kas apkalpo finanšu iestādes, DORA spiediens bieži izpaužas kā līguma klauzulas, klientu auditi, izstāšanās plānošanas prasības, incidentu atbalsta pienākumi un noturības testēšana.
ISO/IEC 27001:2022 nodrošina pārvaldības sistēmas pamatu. Tas prasa kontekstu, ieinteresētās puses, piemērošanas jomu, vadības pārskatatbildību, politikas, lomas, risku izvērtēšanu, riska apstrādi, Piemērojamības paziņojumu, iekšējo auditu, vadības pārskatīšanu un nepārtrauktu uzlabošanu. A pielikums ietver kontroles pasākumus, kas tieši attiecas uz personu identificējošas informācijas (PII) aizsardzību, tostarp 5.34 Privātums un personu identificējošas informācijas (PII) aizsardzība, 5.18 Piekļuves tiesības, 8.11 Datu maskēšana, 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā, 8.15 Žurnālfiksēšana, 8.33 Testa informācija, 8.24 Kriptogrāfijas izmantošana un 8.10 Informācijas dzēšana.
Izaicinājums nav tas, ka organizācijām nav kontroles pasākumu. Problēma ir tā, ka kontroles pasākumi ir sadrumstaloti. Privātuma ieraksti atrodas juridiskajā funkcijā. Piekļuves tiesību pārskatīšana atrodas IT pārziņā. Maskēšanas skripti atrodas inženierijas komandā. Piegādātāju līgumi atrodas iepirkumā. Pierādījumi atrodas pieteikumos, ekrānuzņēmumos, izklājlapās un e-pastos.
ISO/IEC 27701:2025 un ISO/IEC 29151:2022 palīdz apvienot šos pierādījumus ap privātuma informācijas pārvaldību un personu identificējošas informācijas (PII) aizsardzības praksēm. Clarysec šo struktūru pārvērš darbības modelī.
No ISMS uz PIMS: integrēta privātuma kontroles ķēde
ISO/IEC 27001:2022 ISMS atbild uz pamatjautājumu: vai informācijas drošība tiek pārvaldīta, balstīta riskos, ieviesta, uzraudzīta un uzlabota?
Privātuma informācijas pārvaldības sistēma jeb PIMS šo jautājumu paplašina attiecībā uz personas datiem: vai privātuma pienākumi, personu identificējošas informācijas (PII) apstrādes darbības, privātuma riski, pārziņa un apstrādātāja pienākumi, datu subjektu tiesības un privātuma kontroles pierādījumi tiek pārvaldīti tajā pašā sistēmā?
ISO/IEC 27701:2025 paplašina ISMS ar privātuma pārvaldību. ISO/IEC 29151:2022 to papildina ar praktiskām personu identificējošas informācijas (PII) aizsardzības vadlīnijām, tostarp vākšanas ierobežošanu, izpaušanas pārvaldību, maskēšanas vai pseidonimizācijas piemērošanu, pārsūtīšanas aizsardzību, piekļuves ierobežošanu un kontroles pasākumu saskaņošanu ar privātuma risku.
| Slānis | Pamatjautājums | Tipiski audita pierādījumi |
|---|---|---|
| ISO/IEC 27001:2022 | Vai pastāv pārvaldīta, riskos balstīta ISMS ar atlasītiem un funkcionējošiem kontroles pasākumiem? | Piemērošanas joma, ieinteresētās puses, risku izvērtēšana, riska apstrādes plāns, SoA, politikas, iekšējais audits, vadības pārskatīšana |
| ISO/IEC 27701:2025 | Vai privātuma pienākumi, privātuma riski un personu identificējošas informācijas (PII) apstrādes darbības tiek pārvaldītas pārvaldības sistēmā? | Privātuma lomas, apstrādes reģistrs, pārziņa un apstrādātāja procedūras, privātuma risku izvērtēšana, DPIA, datu subjektu pieprasījumu process |
| ISO/IEC 29151:2022 | Vai praktiski personu identificējošas informācijas (PII) aizsardzības pasākumi ir ieviesti visā datu dzīves ciklā? | Personu identificējošas informācijas (PII) klasifikācija, piekļuves ierobežojumi, maskēšana, pseidonimizācija, glabāšanas kontroles pasākumi, pārsūtīšanas drošības pasākumi, incidentu pierādījumi |
| GDPR | Vai organizācija var pierādīt likumīgu, godprātīgu, pārredzamu, minimizētu, drošu un pārskatatbildīgu apstrādi? | Tiesiskā pamata ieraksti, privātuma paziņojumi, DPIA, pārkāpumu process, apstrādātāju līgumi, tiesību īstenošana |
| NIS2 un DORA | Vai organizācija pārvalda kiberdrošības un noturības riskus, tostarp incidentus un piegādātājus? | Vadības pārraudzība, IKT risku ietvars, incidentu klasifikācija, ziņošanas rokasgrāmatas, piegādātāju reģistri, audita tiesības, nepārtrauktības testi |
Šis slāņotais modelis novērš izplatītāko kļūdu privātuma atbilstībā: personu identificējošas informācijas (PII) uztveršanu kā vēl vienu sensitīvu datu tipu. Personu identificējošai informācijai (PII) ir juridiski, ētiski, operacionāli, līgumiski un reputācijas pienākumi. Tai ir nepieciešama kontroles ķēde, kas sākas ar informētību un beidzas ar pierādījumiem.
Sāciet ar datu izpratni, nevis šifrēšanas shēmām
Visbiežākā privātuma kļūme, ko Clarysec novēro, ir konteksta trūkums. Uzņēmums nevar aizsargāt personu identificējošu informāciju (PII), ja tas nezina, kāda personu identificējoša informācija (PII) tam ir, kur tā atrodas, kādam nolūkam tā kalpo, cik ilgi tā tiek glabāta vai kam tā ir pieejama.
Zenith Blueprint šo darbu sāk jau Risku pārvaldības posmā. 9. solī “Aktīvu, apdraudējumu un ievainojamību identificēšana” organizācijām ir norādīts veikt informācijas aktīvu uzskaiti un skaidri atzīmēt personas datus:
“Katram aktīvam reģistrējiet galvenās detaļas: nosaukumu/aprakstu, īpašnieku, atrašanās vietu un klasifikāciju (sensitivitāti). Piemēram, aktīvs varētu būt ‘Klientu datubāze – pieder IT nodaļai – izvietota AWS – satur personas un finanšu datus (augsta sensitivitāte).’”
Papildus tiek norādīts: “Nodrošiniet, ka personas datu aktīvi ir atzīmēti (GDPR nozīmīguma dēļ) un kritisko pakalpojumu aktīvi ir norādīti (iespējamai NIS2 piemērojamībai, ja darbojaties regulētā nozarē).”
Tas ir pamats ISO/IEC 27701:2025 un ISO/IEC 29151:2022 ieviešanai. Praktiskā secība ir vienkārša:
- Identificēt sistēmas, datu kopas, repozitorijus, žurnālus, pārskatus, rezerves kopijas, atbalsta rīkus, izstrādes vides un piegādātājus, kas apstrādā personu identificējošu informāciju (PII).
- Katram personu identificējošas informācijas (PII) aktīvam piešķirt īpašnieku.
- Klasificēt personu identificējošu informāciju (PII) pēc sensitivitātes, biznesa mērķa, tiesiskā pamata, apstrādes lomas un glabāšanas prasības.
- Saistīt katru personu identificējošas informācijas (PII) aktīvu ar apdraudējumiem, ievainojamībām, riska scenārijiem un regulatīvajiem pienākumiem.
- Atlasīt kontroles pasākumus, piešķirt pierādījumus un laika gaitā uzraudzīt to darbību.
Clarysec politikas padara to izpildāmu. MVU Datu aizsardzības un privātuma politika Datu aizsardzības un privātuma politika - MVU nosaka:
“Privātuma koordinatoram ir jāuztur visu personas datu apstrādes darbību reģistrs, tostarp datu kategorijas, nolūks, tiesiskais pamats un glabāšanas termiņi”
No sadaļas “Pārvaldības prasības”, politikas 5.2.1. punkts.
Uzņēmuma organizācijām Datu aizsardzības un privātuma politika Datu aizsardzības un privātuma politika nosaka stingru minimizēšanas noteikumu:
“Drīkst vākt un apstrādāt tikai tādus datus, kas nepieciešami konkrētam, likumīgam biznesa mērķim.”
No sadaļas “Politikas ieviešanas prasības”, politikas 6.2.1. punkts.
Šīs klauzulas pārvērš GDPR pārskatatbildību ikdienas operācijās. Tās arī atbalsta privātuma informācijas pārvaldību un personu identificējošas informācijas (PII) aizsardzību, jo liek organizācijai definēt, kādi dati pastāv, kāpēc tie pastāv un vai tie ir nepieciešami.
Trīs kontroles pasākumi, kas padara personu identificējošas informācijas (PII) aizsardzību reālu
Trīs ISO/IEC 27001:2022 A pielikuma kontroles pasākumi bieži nosaka, vai personu identificējošas informācijas (PII) aizsardzība auditā ir aizstāvama: 5.34 Privātums un personu identificējošas informācijas (PII) aizsardzība, 8.11 Datu maskēšana un 5.18 Piekļuves tiesības.
5.34 Privātums un personu identificējošas informācijas (PII) aizsardzība
Kontroles pasākums 5.34 ir pārvaldības centrs. Zenith Controls 5.34 traktē kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ar kiberdrošības konceptiem “Identify” un “Protect” un operacionālajām spējām informācijas aizsardzībā un tiesiskajā atbilstībā.
Zenith Controls šo atkarību paskaidro skaidri:
“Informācijas aktīvu uzskaitē (5.9) jāiekļauj personu identificējošas informācijas (PII) datu krātuves (klientu datubāzes, HR datnes). Tas ir 5.34 pamats, jo nodrošina, ka organizācija zina, kāda personu identificējoša informācija (PII) tai ir un kur tā atrodas, kas ir pirmais solis tās aizsardzībā.”
Kontroles pasākums 5.34 ir atkarīgs no 5.9 Informācijas un citu saistīto aktīvu uzskaite, jo personu identificējošu informāciju (PII) nevar aizsargāt, ja to nevar atrast. Tas ir saistīts arī ar 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā, jo lielākā daļa personu identificējošas informācijas (PII) tagad atrodas mākoņplatformās, SaaS rīkos, analītikas vidēs un pārvaldītajos pakalpojumos.
Augsta riska apstrādei uzņēmuma Datu aizsardzības un privātuma politika prasa:
“Draudu modelēšana un Datu aizsardzības ietekmes novērtējumi (DPIA) ir obligāti augsta riska apstrādes sistēmām.”
No sadaļas “Politikas ieviešanas prasības”, politikas 6.3.4. punkts.
Šī klauzula ir būtiska. Tā pārvērš privātumu par projektēšanas un risku pārvaldības darbību, nevis pēdējā brīža juridisko pārbaudi.
8.11 Datu maskēšana
Kontroles pasākums 8.11 ir tieša atbilde uz Sāras pirmsprodukcijas vides datubāzes ekspozīciju. Zenith Controls 8.11 apraksta kā preventīvu konfidencialitātes kontroles pasākumu informācijas aizsardzības jomā. Tas sasaista 8.11 ar 5.12 Informācijas klasifikācija, jo maskēšanas lēmumi ir atkarīgi no sensitivitātes; ar 5.34, jo maskēšana atbalsta privātuma aizsardzību; un ar 8.33 Testa informācija, jo testa vides nedrīkst eksponēt reālu personu identificējošu informāciju (PII).
Datu maskēšanas un pseidonimizācijas politika Datu maskēšanas un pseidonimizācijas politika šo noteikumu formulē nepārprotami:
“Reālus personas datus nedrīkst izmantot izstrādes, testa vai pirmsprodukcijas vidēs. Tā vietā jāizmanto maskēti vai pseidonimizēti dati, un tie jāģenerē no iepriekš apstiprinātām transformācijas veidnēm.”
No sadaļas “Politikas ieviešanas prasības”, politikas 6.3. punkts.
MVU gadījumā Datu maskēšanas un pseidonimizācijas politika Datu maskēšanas un pseidonimizācijas politika - MVU pievieno būtisku drošības un pierādījumu prasību:
“Piekļuve atslēgām ir jāšifrē, jākontrolē ar piekļuves kontroles pasākumiem un jāreģistrē žurnālos.”
No sadaļas “Politikas ieviešanas prasības”, politikas 6.2.1.3. punkts.
Tas ir svarīgi, jo pseidonimizācija samazina risku tikai tad, ja transformācijas loģika, atslēgas un atkārtotas identificēšanas ceļi tiek kontrolēti.
5.18 Piekļuves tiesības
Kontroles pasākums 5.18 ir minimālo privilēģiju principa operacionālais kodols. Zenith Controls to traktē kā preventīvu kontroles pasākumu, kas saistīts ar konfidencialitāti, integritāti un pieejamību un ietilpst identitātes un piekļuves pārvaldībā. Tas sasaista 5.18 ar 5.15 Piekļuves kontrole, 5.16 Identitātes pārvaldība un 8.2 Privileģētās piekļuves tiesības.
MVU Datu klasifikācijas un marķēšanas politika Datu klasifikācijas un marķēšanas politika - MVU nosaka:
“Piekļuve jāierobežo tikai īpaši autorizētiem lietotājiem pēc principa “jāzina”.”
No sadaļas “Pārvaldības prasības”, politikas 5.2.1. punkts.
Uzņēmuma Datu klasifikācijas un marķēšanas politika Datu klasifikācijas un marķēšanas politika pievieno klasifikācijas pamatu:
“Visiem informācijas aktīviem izveides vai sākotnējās piesaistes brīdī jābūt skaidri piešķirtai klasifikācijai. Ja skaidra klasifikācija nav noteikta, aktīviem pēc noklusējuma jāpiemēro ‘Konfidenciāls’ statuss līdz formālai pārskatīšanai.”
No sadaļas “Pārvaldības prasības”, politikas 5.4. punkts.
Kopā šie kontroles pasākumi veido praktisku personu identificējošas informācijas (PII) aizsardzības ķēdi: zināt, kur atrodas personu identificējoša informācija (PII), klasificēt to, ierobežot piekļuvi, maskēt to gadījumos, kad pilna identitāte nav nepieciešama, aizsargāt atslēgas, reģistrēt piekļuvi žurnālos un glabāt pierādījumus.
Veidojiet izsekojamību ar Piemērojamības paziņojumu
Privātuma pārvaldības sistēma kļūst auditam gatava tad, kad tā var pierādīt izsekojamību. Zenith Blueprint Risku pārvaldības posma 13. solī “Riska apstrādes plānošana un Piemērojamības paziņojums” Piemērojamības paziņojumu apraksta kā sasaistes dokumentu:
“SoA faktiski ir sasaistes dokuments: tas savieno jūsu risku izvērtēšanu/apstrādi ar faktiskajiem kontroles pasākumiem, kas jums ir. Aizpildot to, jūs arī vēlreiz pārbaudāt, vai nav palaists garām kāds kontroles pasākums.”
Šis koncepts ir centrāls ISO/IEC 27701:2025, ISO/IEC 29151:2022, GDPR, NIS2 un DORA gatavībai. Katram personu identificējošas informācijas (PII) kontroles pasākumam jābūt izsekojamam no prasības līdz riskam, no riska līdz kontroles pasākumam, no kontroles pasākuma līdz īpašniekam, no īpašnieka līdz pierādījumiem un no pierādījumiem līdz pārskatīšanai.
| Izsekojamības elements | Piemērs klientu atbalsta personu identificējošai informācijai (PII) | Sagaidāmie pierādījumi |
|---|---|---|
| Personu identificējošas informācijas (PII) aktīvs | Atbalsta pieteikumu platforma ar klientu vārdiem, e-pastiem, žurnāliem un pielikumiem | Aktīvu reģistra ieraksts, īpašnieks, atrašanās vieta mākonī, klasifikācija |
| Apstrādes nolūks | Klientu atbalsts un pakalpojumu diagnostika | Apstrādes reģistrs, tiesiskais pamats, glabāšanas termiņš |
| Riska scenārijs | Atbalsta aģents vai izstrādātājs piekļūst pārmērīgam klientu datu apjomam | Riska reģistra ieraksts, iespējamība, ietekme, īpašnieks |
| Kontroles pasākumu atlase | 5.34 personu identificējošas informācijas (PII) aizsardzība, 5.18 piekļuves tiesības, 8.11 maskēšana, 8.15 žurnālfiksēšana, 5.23 mākoņpakalpojumu pārvaldība | SoA, piekļuves politika, maskēšanas standarts, žurnālfiksēšanas konfigurācija |
| Operacionālie pierādījumi | Lomu balstīta piekļuve, maskēti eksporti, ceturkšņa piekļuves tiesību pārskatīšana, brīdinājumi par masveida lejupielādēm | Piekļuves tiesību pārskatīšanas ieraksti, DLP brīdinājumi, žurnāli, pieteikumu pierādījumi |
| Regulatīvais kartējums | GDPR pārskatatbildība un drošība, NIS2 risku pārvaldība, DORA IKT riska un piegādātāju prasības | Atbilstības matrica, incidentu rokasgrāmata, piegādātāju līgumu reģistrs |
| Pārskatīšanas pierādījumi | Iekšējā audita konstatējums slēgts, vadības pārskatīšanas darbība akceptēta | Audita pārskats, korektīvā darbība, vadības pārskatīšanas protokols |
ISO/IEC 27005:2022 atbalsta šo riskos balstīto pieeju, uzsverot ieinteresēto pušu prasības, kopīgus riska kritērijus, atbildīgus riska īpašniekus, atkārtojamu risku izvērtēšanu, riska apstrādi, kontroles pasākumu atlasi, saskaņošanu ar Piemērojamības paziņojumu, atlikušā riska apstiprināšanu, uzraudzību un nepārtrauktu uzlabošanu. Personu identificējošas informācijas (PII) aizsardzībai jābūt dzīvam riska ciklam, nevis vienreizējai GDPR dokumentācijas darbībai.
Novērsiet riskanto izklājlapu un pirmsprodukcijas vides datubāzi
Sāras incidentu var pārvērst atkārtojamā kontroles pasākumu paketē, ja trūkumu novēršana tiek veikta sistemātiski.
| Solis | Darbība | Clarysec pierādījumu rezultāts |
|---|---|---|
| 1 | Reģistrēt pirmsprodukcijas vides datubāzi un izklājlapu kā personu identificējošas informācijas (PII) aktīvus | Aktīvu uzskaites ieraksti ar īpašnieku, atrašanās vietu, klasifikāciju, personu identificējošas informācijas (PII) kategorijām, nolūku un glabāšanu |
| 2 | Atjaunināt apstrādes darbību | Reģistra ieraksts, kas parāda datu kategorijas, tiesisko pamatu, nolūku un glabāšanas termiņu |
| 3 | Klasificēt datnes un datu kopas | Pēc noklusējuma piemērota konfidenciāla vai augstāka klasifikācija līdz formālai pārskatīšanai |
| 4 | Izņemt reālu personu identificējošu informāciju (PII) no neprodukcijas vidēm | Maskēta vai pseidonimizēta datu kopa, kas ģenerēta no apstiprinātām transformācijas veidnēm |
| 5 | Ierobežot un pārskatīt piekļuvi | Piekļuves tiesības pēc principa “jāzina”, atsaukta pārmērīga piekļuve, piekļuves tiesību pārskatīšanas ieraksts |
| 6 | Aizsargāt transformācijas loģiku un atslēgas | Šifrēta, ar piekļuves kontroli aizsargāta un žurnālos reģistrēta piekļuve atslēgām |
| 7 | Centralizēti fiksēt pierādījumus | Aktīva ieraksts, riska ieraksts, piekļuves tiesību pārskatīšana, dzēšanas pierādījums, maskēšanas apstiprinājums un pieteikuma slēgšana |
| 8 | Atjaunināt SoA un riska apstrādes plānu | Riska scenārijs sasaistīts ar 5.34, 5.18, 8.11, 8.15, 8.10, 5.23 un piegādātāju kontroles pasākumiem |
| 9 | Izlemt, vai ir nepieciešams DPIA | DPIA vai dokumentēts pamatojums augsta riska apstrādes lēmumiem |
| 10 | Reģistrēt gūtās mācības | Atjaunināta apmācība, drošas izstrādes noteikumi, eksporta kontroles pasākumi, DLP uzraudzība un testa datu vadlīnijas |
Audita un atbilstības uzraudzības politika Audita un atbilstības uzraudzības politika - MVU nosaka:
“Visi pierādījumi jāglabā centralizētā audita mapē.”
No sadaļas “Politikas ieviešanas prasības”, politikas 6.2.1. punkts.
Informācijas drošības politika Informācijas drošības politika plašāku audita prasību formulē skaidri:
“Visiem ieviestajiem kontroles pasākumiem jābūt auditējamiem, balstītiem dokumentētās procedūrās un ar glabātiem pierādījumiem par to darbību.”
No sadaļas “Politikas ieviešanas prasības”, politikas 6.6.1. punkts.
Šīs divas klauzulas ir atšķirība starp kontroles pasākuma esamību un spēju to pierādīt.
Starpatbilstības kartējums vienai personu identificējošas informācijas (PII) kontroles kopai
Personu identificējošas informācijas (PII) aizsardzību ir vieglāk aizstāvēt, ja tā ir kartēta pret ietvariem, pirms auditors to pieprasa.
| Personu identificējošas informācijas (PII) aizsardzības tēma | GDPR nozīmīgums | ISO/IEC 27001:2022, ISO/IEC 27701:2025 un ISO/IEC 29151:2022 nozīmīgums | NIS2 nozīmīgums | DORA nozīmīgums | NIST un COBIT 2019 audita skatījums |
|---|---|---|---|---|---|
| Personu identificējošas informācijas (PII) uzskaite un apstrādes reģistrs | Pārskatatbildība, tiesiskais pamats, nolūka ierobežojums, glabāšanas ierobežojums | ISMS konteksts, 5.9 aktīvu uzskaite, privātuma informācijas pārvaldība, personu identificējošas informācijas (PII) aizsardzība | Aktīvu pārvaldība un riska analīze | IKT aktīvu un pakalpojumu atkarību izpratne | Identificēšanas funkcijas pierādījumi un informācijas aktīvu pārvaldība |
| Piekļuves tiesības un minimāli nepieciešamās tiesības | Integritāte un konfidencialitāte, piekļuve ierobežota pēc lomas | 5.15 piekļuves kontrole, 5.16 identitāšu pārvaldība, 5.18 piekļuves tiesības, 8.2 privileģētās piekļuves tiesības | Piekļuves kontrole, personāla drošība, autentifikācija | IKT riska kontroles pasākumi un privileģētās piekļuves pārraudzība | Piekļuves piemērošana, īpašumtiesības, atbildība un uzraudzība |
| Maskēšana un pseidonimizācija | Datu minimizēšana, datu aizsardzība pēc noklusējuma un projektēšanas stadijā, apstrādes drošība | 5.12 klasifikācija, 5.34 personu identificējošas informācijas (PII) aizsardzība, 8.11 datu maskēšana, 8.33 testa informācija | Kiberdrošības higiēna un droša izstrāde | Droša testēšana, datu zuduma samazināšana, darbības noturība | Tehnisko drošības pasākumu testēšana un uzticama kontroles darbība |
| Incidentu klasifikācija un ziņošana | Personas datu aizsardzības pārkāpuma izvērtēšana un paziņošana | Incidentu plānošana, notikumu izvērtēšana, reaģēšana, pierādījumu vākšana | 24 stundu agrīnais brīdinājums, 72 stundu paziņošana, galīgais ziņojums | Būtisku ar IKT saistītu incidentu klasifikācija un ziņošana | Eskalācijas kritēriji, lēmumu žurnāli, pamatcēlonis, trūkumu novēršana |
| Piegādātāju un mākoņpakalpojumu apstrāde | Apstrādātāja pienākumi, pārsūtīšana, līgumi | 5.21 IKT piegādes ķēde, 5.23 mākoņpakalpojumi, 5.31 tiesiskās un līgumiskās prasības | Piegādes ķēdes drošība | IKT trešo pušu risks, audita tiesības, izstāšanās un pāreja | Trešo pušu pārvaldība, apliecinājums un vadības pārskatatbildība |
Šeit Zenith Controls ir īpaši noderīgs. 5.34 gadījumā tas kartē personu identificējošas informācijas (PII) aizsardzību pret aktīvu uzskaiti, datu maskēšanu un mākoņpakalpojumu pārvaldību. 8.11 gadījumā tas kartē maskēšanu pret klasifikāciju, privātuma aizsardzību un testa informāciju. 5.18 gadījumā tas kartē piekļuves tiesības pret piekļuves kontroli, identitāšu pārvaldību un privileģēto piekļuvi. Šīs attiecības komandai ļauj izskaidrot ne tikai to, ka kontroles pasākums pastāv, bet arī kāpēc tas pastāv un kuriem saistītajiem kontroles pasākumiem jādarbojas kopā ar to.
Kā dažādi auditori testē vienu un to pašu personu identificējošas informācijas (PII) kontroles pasākumu
Vienu kontroles pasākumu, piemēram, 8.11 Datu maskēšana, pārbaudīs atšķirīgi atkarībā no audita skatījuma.
| Auditora tips | Galvenais fokuss | Sagaidāmie pierādījumi |
|---|---|---|
| ISO/IEC 27001:2022 un ISO/IEC 27701:2025 auditors | ISMS un PIMS integrācija, riska apstrāde, SoA precizitāte | Risku izvērtēšana, SoA ieraksts, maskēšanas politika, izmaiņu ieraksti, iekšējā audita rezultāti |
| GDPR vai datu aizsardzības iestādes pārbaudītājs | Datu aizsardzība pēc noklusējuma un projektēšanas stadijā, minimizēšana, pārskatatbildība | Apstrādes reģistrs, tiesiskais pamats, DPIA, pseidonimizācijas pierādījumi, glabāšanas loģika |
| NIS2 izvērtētājs | Droša izstrāde, incidentu novēršana, pārvaldība | Drošas izstrādes procedūra, izstrādātāju apmācība, incidenta trūkumu novēršanas pierādījumi, kontroles efektivitātes pārskatīšana |
| DORA klients vai auditors | IKT darbības noturība un trešo pušu risks | Kritisko lietojumprogrammu testēšanas pierādījumi, piegādātāju līgumu klauzulas, incidentu atbalsta pienākumi, atjaunošanas un izstāšanās plānošana |
| NIST tipa vai COBIT 2019 pārbaudītājs | Kontroles dizains, darbība, īpašumtiesības, uzraudzība | Kontroles pasākuma īpašnieks, metrikas, pierādījumu repozitorijs, vadības ziņošana, korektīvās darbības |
ISO/IEC 27001:2022 auditors sāk ar pārvaldības sistēmas loģiku. Vai personu identificējoša informācija (PII) ir piemērošanas jomā? Vai ieinteresēto pušu prasības ir identificētas? Vai privātuma riski ir izvērtēti, izmantojot definētus kritērijus? Vai kontroles pasākumi ir atlasīti riska apstrādes ceļā? Vai SoA ir precīzs? Vai iekšējie auditi un vadības pārskatīšana aptver ar personu identificējošu informāciju (PII) saistītos kontroles pasākumus?
Privātuma pārbaudītājs sāk ar pārskatatbildību. Kādi personas dati tiek apstrādāti? Kāds ir tiesiskais pamats? Vai datu subjekti ir informēti? Vai apstrāde ir ierobežota ar konkrētu nolūku? Vai augsta riska darbības ir izvērtētas? Vai apstrādātāji tiek pārvaldīti?
NIS2 fokusēts izvērtētājs sāk ar pārvaldību un kiberdrošības risku pārvaldību. Vai vadība apstiprina un pārrauga pasākumus? Vai incidentu apstrāde, nepārtrauktība, piegādātāju drošība, piekļuves kontrole, aktīvu pārvaldība, droša izstrāde un kontroles efektivitātes izvērtēšana ir integrētas?
DORA klients vai auditors jautā, vai IKT risku pārvaldība ir dokumentēta, valdes pārraudzīta, samērīga un atbalstīta ar līgumiem. Ja personu identificējoša informācija (PII) tiek apstrādāta pakalpojumos, kas atbalsta finanšu vienības, sagaidiet jautājumus par incidentu palīdzību, datu apstrādes vietām, atjaunošanu, audita tiesībām, pakalpojumu līmeņiem, izbeigšanu un izstāšanos.
COBIT 2019 vai ISACA tipa pārbaudītājs testē pārvaldības saskaņotību. Kam pieder personu identificējošas informācijas (PII) risks? Kura pārvaldības struktūra saņem ziņošanu? Vai pienākumi ir piešķirti? Vai piegādātāji tiek uzraudzīti? Vai atkāpes tiek izsekotas? Vai lēmumu pieņemšanā tiek izmantotas metrikas? Vai atlikušais risks ir formāli pieņemts?
Viens pierādījumu modelis var apmierināt visus šos skatījumus, bet tikai tad, ja kontroles sistēma jau no sākuma ir projektēta izsekojamībai.
Biežākie audita konstatējumi personu identificējošas informācijas (PII) aizsardzības programmās
Organizācijas, kas ISO/IEC 27701:2025 vai ISO/IEC 29151:2022 gatavībai pieiet bez integrēta rīkkopuma, bieži saskaras ar vieniem un tiem pašiem konstatējumiem.
| Konstatējums | Kāpēc tas ir svarīgi | Clarysec trūkumu novēršana |
|---|---|---|
| Personu identificējošas informācijas (PII) uzskaite neietver žurnālus, rezerves kopijas, analītikas eksportus vai atbalsta pielikumus | Slēptu personu identificējošu informāciju (PII) nevar uzticami aizsargāt vai dzēst | Paplašināt 9. soļa aktīvu uzskaiti un apstrādes reģistru, iekļaujot visas personu identificējošas informācijas (PII) atrašanās vietas |
| Testa vides izmanto produkcijas datus | Reāla personu identificējoša informācija (PII) tiek eksponēta tur, kur tā nav nepieciešama | Piemērot maskēšanas politiku un apstiprinātas transformācijas veidnes |
| Piekļuves tiesību pārskatīšana ir vispārīga un nav fokusēta uz personu identificējošas informācijas (PII) repozitorijiem | Pārmērīga piekļuve paliek neatklāta | Kartēt 5.18 piekļuves tiesības pret personu identificējošas informācijas (PII) aktīvu īpašniekiem un periodiskas pārskatīšanas pierādījumiem |
| Tiesiskais pamats ir dokumentēts, bet nav sasaistīts ar sistēmām vai glabāšanu | GDPR pārskatatbildību nevar pierādīt | Pievienot tiesiskā pamata un glabāšanas laukus apstrādes reģistram un aktīvu uzskaitei |
| Piegādātāju līgumos trūkst datu atrašanās vietas, incidentu palīdzības, audita tiesību vai izstāšanās noteikumu | Saglabājas DORA, NIS2 un GDPR piegādātāju apliecinājuma trūkumi | Saskaņot piegādātāju pienācīgu pārbaudi un līgumus ar IKT trešo pušu un mākoņpakalpojumu pārvaldību |
| Incidentu rokasgrāmatas nenošķir drošības incidentus no personas datu aizsardzības pārkāpumiem | Ziņošanas termiņi var tikt nokavēti | Izveidot klasifikācijas kokus GDPR, NIS2 un DORA ziņošanas trigeriem |
| Pierādījumi ir izkaisīti pa pieteikumiem, diskiem, ekrānuzņēmumiem un e-pastiem | Gatavība auditam neizdodas pat tad, ja kontroles pasākumi darbojas | Izmantot centralizētas audita mapes un pierādījumu nosaukumu standartus |
Šie konstatējumi nav dokumentu kārtošanas problēmas. Tās ir darbības modeļa problēmas. ISO/IEC 27701:2025 un ISO/IEC 29151:2022 tās neatrisinās, ja privātuma pārvaldība, drošības kontroles pasākumi un pierādījumu pārvaldība nav iestrādāti parastajās darbplūsmās.
Ko vadībai jautāt pirms nākamā audita
Pirms ISO/IEC 27701:2025 gatavības, ISO/IEC 29151:2022 ieviešanas vai GDPR, NIS2 vai DORA klienta izvērtēšanas uzsākšanas vadībai jāuzdod desmit tieši jautājumi:
- Vai mums ir pilnīgs personu identificējošas informācijas (PII) apstrādes darbību reģistrs, tostarp datu kategorijas, nolūks, tiesiskais pamats un glabāšana?
- Vai personu identificējošas informācijas (PII) aktīvi ir atzīmēti aktīvu uzskaitē, tostarp žurnāli, rezerves kopijas, eksporti, analītikas rīki un atbalsta pielikumi?
- Vai datu klasifikācijas tiek piešķirtas izveides vai sākotnējās piesaistes brīdī, neizskatītajiem aktīviem pēc noklusējuma piemērojot konfidenciālu statusu?
- Vai varam pierādīt, ka piekļuve personu identificējošai informācijai (PII) ir ierobežota līdz autorizētiem lietotājiem pēc principa “jāzina”?
- Vai izstrādes, testa un pirmsprodukcijas vides reālu personas datu vietā izmanto maskētus vai pseidonimizētus datus?
- Vai maskēšanas veidnes ir apstiprinātas, atslēgas aizsargātas, piekļuves kontrole piemērota un piekļuve reģistrēta žurnālos?
- Vai SoA sasaista personu identificējošas informācijas (PII) riskus ar kontroles pasākumiem un regulatīvajiem pienākumiem?
- Vai mākoņpakalpojumu un piegādātāju līgumi tiek pārskatīti attiecībā uz datu atrašanās vietu, drošību, incidentu atbalstu, audita tiesībām, atjaunošanu un izstāšanos?
- Vai mūsu incidentu process spēj klasificēt GDPR personas datu aizsardzības pārkāpumus, NIS2 būtiskus incidentus un DORA būtiskus ar IKT saistītus incidentus?
- Vai pierādījumi tiek glabāti centralizēti un tādā veidā, lai auditors tiem varētu izsekot?
Ja atbilde uz kādu no šiem jautājumiem nav skaidra, organizācija vēl nav gatava auditam.
Padariet personu identificējošas informācijas (PII) aizsardzību pierādāmu
Sāras vēlā vakara incidents varēja pārtapt sadrumstalotā atbilstības krīzē. Tā vietā tas var kļūt par sākumpunktu spēcīgākam darbības modelim: ISO/IEC 27001:2022 ISMS, kas ar ISO/IEC 27701:2025 ir paplašināta privātuma virzienā, nostiprināta ar ISO/IEC 29151:2022 praksēm un kartēta pret GDPR, NIS2, DORA, NIST tipa apliecinājuma un COBIT 2019 pārvaldības prasībām.
Tā ir auditam gatavas personu identificējošas informācijas (PII) aizsardzības patiesā vērtība. Tā nav atkarīga no pareizās izklājlapas atrašanas pirms auditora ierašanās. Tā ir atkarīga no sistēmas, kas jau zina, kur atrodas personu identificējoša informācija (PII), kāpēc tā pastāv, kā tā tiek aizsargāta, kurš ir pārskatatbildīgs, kuri piegādātāji ir iesaistīti un kur atrodas pierādījumi.
Sāciet ar Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, lai strukturētu ieviešanu. Izmantojiet Zenith Controls: The Cross-Compliance Guide Zenith Controls, lai kartētu personu identificējošas informācijas (PII) aizsardzību pret ISO/IEC 27001:2022, GDPR, NIS2, DORA, NIST tipa apliecinājuma un COBIT 2019 pārvaldības prasībām. Darbu īstenojiet ar Clarysec politikām, tostarp Datu aizsardzības un privātuma politiku Datu aizsardzības un privātuma politika, Datu maskēšanas un pseidonimizācijas politiku Datu maskēšanas un pseidonimizācijas politika, Datu klasifikācijas un marķēšanas politiku Datu klasifikācijas un marķēšanas politika, Audita un atbilstības uzraudzības politiku Audita un atbilstības uzraudzības politika - MVU un Informācijas drošības politiku Informācijas drošības politika.
Ja tuvojas nākamais klientu audits, GDPR pārskatīšana, NIS2 gatavības projekts vai DORA piegādātāju izvērtēšana, negaidiet pārkāpumu, kas atklās trūkumus. Lejupielādējiet Clarysec rīkkopas, pieprasiet demonstrāciju vai ieplānojiet personu identificējošas informācijas (PII) aizsardzības izvērtēšanu un izveidojiet privātuma programmu, kas ir ne tikai atbilstoša prasībām, bet arī aizstāvama.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
