Datu klasifikācija ISO 27001, GDPR, NIS2 un DORA vajadzībām

2026. gada audita brīdis: “Parādiet pierādījumus”

Ir 2026. gada februāris, un strauji augoša fintech SaaS uzņēmuma ceturkšņa valdes sanāksme nenorit tik gludi, kā informācijas drošības vadītājs bija gaidījis.

Uzņēmums nesen ieguva ISO/IEC 27001:2022 sertifikāciju. Tam ir MFA, galapunktu aizsardzība, ievainojamību skenēšana, piekļuves tiesību pārskatīšana, incidentu reaģēšanas procedūras un noslīpēts DORA gatavības pārskats. Tad izpilddirektors uzdod jautājumu, kas maina sarunas gaitu.

“Mūsu galvenais investors jautā, kā mēs varam pierādīt, ka klientu finanšu dati tiek konsekventi aizsargāti AWS, Azure, mūsu SaaS atbalsta platformā un analītikas datu noliktavā. Ja auditors paņem vienu datni no objektkrātuves un otru no sadarbības mapes, kā mēs zinām, ka uz tām attiecas vienādi noteikumi?”

Informācijas drošības vadītājs atver aktīvu reģistru. Tajā ir uzskaitītas datubāzes, mākoņpakalpojumu konti, lietojumprogrammas, SaaS platformas un glabāšanas vietas. Taču klasifikācijas lauks nav pilnībā aizpildīts. Dažas mapes ir nosauktas pēc struktūrvienības, nevis sensitivitātes. Klientu eksporta datnes atrodas līdzās iekšējo pārskatu datnēm. Dažās atbalsta izklājlapās ir klientu identifikatori, maksājumu atsauces un lietu piezīmes, bet tās ir marķētas kā “iekšējai lietošanai”. DLP noteikumi pastāv, taču tie nostrādā tikai uz acīmredzamiem modeļiem. Mākoņpakalpojumu politika nosaka, ka ES personas dati jāglabā apstiprinātos reģionos, taču komanda nevar pierādīt, ka datu rezidences noteikumus nosaka klasifikācijas metadati.

Tad atbilstības vadītājs pievieno regulatīvo aspektu: “Vai tas apmierinās GDPR Article 32, NIS2 Article 21 un DORA IKT risku pierādījumu prasības?”

Godīgā atbilde — vēl ne.

Tā ir 2026. gada plaisa, ar kuru saskaras daudzas organizācijas. Tām ir drošības kontroles pasākumi, bet nav pārvaldības slāņa, kas katram kontroles pasākumam nosaka, ko aizsargāt, cik stingri aizsargāt un kā to pierādīt. Šis pārvaldības slānis ir datu klasifikācija un informācijas marķēšana.

ISO/IEC 27001:2022 izpratnē klasifikācija un marķēšana nav kosmētiska dokumentu pārvaldības prakse. Tās ir praktiska saikne starp risku izvērtēšanu, piekļuves kontroli, šifrēšanu, glabāšanu, DLP, datu rezidenci mākoņvidē, piegādātāju padziļināto izpēti, uzraudzību un incidentu ziņošanu. Clarysec ieviešanas modelī tās atrodas IDPS pierādījumu ķēdes centrā: uzskaitīt aktīvu, piešķirt īpašnieku, klasificēt, marķēt, piemērot apstrādes noteikumus, uzraudzīt izņēmumus un parādīt auditoriem izsekojamību.

Kāpēc klasifikācija un marķēšana tagad ir valdes līmeņa kontroles pasākumi

Regulatori un klienti arvien biežāk sagaida, ka organizācijas spēs parādīt, ka drošības pasākumi atbilst datu sensitivitātei, pakalpojuma kritiskumam un atteices ietekmei uz organizācijas darbību.

GDPR to skaidri nosaka ar pārskatatbildību. Article 5 prasa, lai personas dati tiktu apstrādāti likumīgi, godprātīgi un pārredzami, tikai nepieciešamajā apjomā, glabāti tikai tik ilgi, cik nepieciešams, un aizsargāti ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem. Pārzinim jāspēj arī pierādīt atbilstību. Tādēļ GDPR Article 32 kļūst grūti pamatot ar pierādījumiem, ja nav zināms, kuras sistēmas apstrādā personas datus, kuri dati ir augsta riska vai īpašu kategoriju dati, kur tie tiek glabāti un kuri drošības pasākumi tiem tiek piemēroti.

NIS2 paaugstina pārvaldības prasību līmeni. Article 20 prasa, lai būtisko un svarīgo subjektu pārvaldes institūcijas apstiprinātu kiberdrošības risku pārvaldības pasākumus, pārraudzītu to ieviešanu un saņemtu apmācību. Article 21 prasa atbilstošus un samērīgus tehniskus, operacionālus un organizatoriskus pasākumus, tostarp riska analīzi, drošības politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošību iegādē un izstrādē, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli un aktīvu pārvaldību. Klasifikācija šajā sarakstā nav atsevišķa atzīmējama prasība. Tā ir lēmumu sistēma, kas padara šos pasākumus samērīgus.

DORA piemēro tādu pašu loģiku finanšu sabiedrībām un fintech ekosistēmām. Kopš 2025. gada 17. janvāra DORA prasa dokumentētu IKT risku pārvaldības ietvaru, pārvaldes institūcijas atbildību, konfidencialitātes, integritātes, pieejamības un autentiskuma politikas, incidentu klasifikāciju, noturības testēšanu un IKT trešo pušu risku pārvaldību. DORA regulētām finanšu sabiedrībām DORA var darboties kā nozarspecifisks Savienības tiesību akts, kas aizstāj pārklājošos NIS2 risku pārvaldības un ziņošanas pienākumus, taču pierādījumu gaidas paliek nemainīgas: parādīt, kā tiek identificēti, aizsargāti, testēti, uzraudzīti un pārvaldīti kritiski informācijas un IKT aktīvi.

ISO/IEC 27001:2022 ir labi piemērots kā operētājsistēma šādiem pierādījumiem. Punkti 4.1 līdz 4.4 prasa, lai organizācija izprastu iekšējos un ārējos apstākļus, ieinteresēto pušu prasības, regulatīvos un līgumiskos pienākumus un saskarnes ar citām organizācijām. Punkti 6.1.1 līdz 6.1.3 prasa risku izvērtēšanu, riska apstrādi, kontroles pasākumu atlasi, Piemērojamības paziņojumu un saglabātus pierādījumus. ISO/IEC 27001:2022

Ja GDPR, NIS2 un DORA jautā: “Kāpēc jūs piemērojāt šos pasākumus?”, ISO/IEC 27001:2022 palīdz atbildēt: “Tāpēc, ka šie aktīvi, datu tipi, riski, pienākumi un riska apstrādes lēmumi mūs noveda pie šiem pasākumiem.”

Klasifikācija ir riska lēmums. Marķēšana ir operatīvais signāls.

Clarysec nošķir klasifikāciju un marķēšanu, jo auditori to dara.

Klasifikācija ir lēmums par informācijas sensitivitāti, vērtību un kritiskumu. Marķēšana ir darbība, kas šo lēmumu padara redzamu, noturīgu un piemērojamu ikdienas darbībā.

Clarysec Datu klasifikācijas un marķēšanas politika — SME skaidri nosaka mērķi:

Šī politika nosaka, kā visa organizācijas apstrādātā informācija ir jāklasificē un jāmarķē, lai visā tās dzīves ciklā tiktu saglabāta tās konfidencialitāte, integritāte un pieejamība.

Tā pati Datu klasifikācijas un marķēšanas politika — SME prasa organizācijām:

Prasīt, lai katrs datu aktīvs tiktu klasificēts atbilstoši tā sensitivitātei un attiecīgi marķēts, lai nodrošinātu pareizu apstrādi, glabāšanu un piekļuvi.

Uzņēmuma līmeņa vidēm Clarysec P13 Datu klasifikācijas un marķēšanas politika nosaka minimālo klasifikācijas modeli:

Organizācijai jāuztur standartizēta klasifikācijas shēma ar skaidri definētiem līmeņiem. Kā minimums jāizmanto šādi klasifikācijas līmeņi: 5.1.1 Publiska: informācija, kas paredzēta atklātai publicēšanai un neierobežotai izplatīšanai 5.1.2 Iekšēja: nepubliska biznesa informācija, kas nav paredzēta ārējai izpaušanai 5.1.3 Konfidenciāla: sensitīvi biznesa, līgumiskie vai klientu dati, kuriem nepieciešama stingra piekļuves kontrole 5.1.4 Ierobežota (vai īpaši konfidenciāla): kritiska vai reglamentēta informācija, kuras nesankcionēta izpaušana var radīt būtisku kaitējumu vai juridisku atbildību

Šī atšķirība ir svarīga. Klasifikācija “Konfidenciāla” var prasīt šifrēšanu, lomās balstītu piekļuvi un līgumiskus drošības pasākumus. Klasifikācija “Ierobežota” var iedarbināt MFA, informācijas drošības vadītāja apstiprinājumu ārējai koplietošanai, pastiprinātu žurnālreģistrēšanu, stingrāku glabāšanas pārvaldību, nodalīšanu un prioritāru incidenta eskalāciju.

Uzņēmuma politika skaidri nosaka operatīvo marķēšanu:

Visi informācijas aktīvi ir jāmarķē tādā veidā, kas ir: 6.2.1.1 Noturīgs: nav viegli noņemams vai apejams 6.2.1.2 Redzams: lietotājiem skaidrs izmantošanas brīdī 6.2.1.3 Mašīnlasāms: ja iespējams, jāatbalsta metadatos balstīta marķēšana

Mašīnlasāmi marķējumi ir brīdis, kad programma nobriest no informētības līdz piemērošanai. Ja marķējumi ir balstīti metadatos, mākoņplatformas, DLP sistēmas, e-pasta vārtejas, identitāšu rīki, SIEM noteikumi, CASB platformas un glabāšanas dzinēji var uz tiem reaģēt. Ja marķējums ir tikai kājene dokumentā, tas var palīdzēt lietotājiem, taču nevar uzticami piemērot noteikumus mērogā.

Kur klasifikācija iederas Clarysec ceļkartē

Clarysec Zenith Blueprint: auditora 30 soļu ceļkarte novieto klasifikāciju risku pārvaldības dzīves cikla sākumā, nevis pēc tehnoloģiju ieviešanas. Risku pārvaldības posmā, 9. solī “Aktīvu, apdraudējumu un ievainojamību identificēšana”, ceļkarte norāda komandām uzskaitīt informācijas aktīvus un reģistrēt īpašnieku, atrašanās vietu un klasifikāciju.

Tas novērš biežu kļūdu: mākoņvides uzskaite ir, bet informācijas uzskaites nav. Datubāze, SaaS nomnieks vai datu noliktava ir tehnoloģiju aktīvs. Klientu ieraksti, darbinieku lietas, maksājumu žurnāli, modeļu apmācības datu kopas, atbalsta sarunu atšifrējumi un incidentu pierādījumi tajos ir informācijas aktīvi. Klasifikācija pastāv tieši šajā informācijas līmenī.

Zenith Blueprint norādījumi par ISO/IEC 27002:2022 kontroles pasākumu 5.12 “Informācijas klasifikācija” skaidro principu:

Katrs jebkad izstrādātais informācijas drošības kontroles pasākums — piekļuves ierobežojums, šifrēšana, rezerves kopiju veidošana, uzraudzība vai likvidēšana — balstās uz vienu pieņēmumu: organizācija zina, ko tā aizsargā. Kontroles pasākums 5.12 prasa, lai informācija tiktu klasificēta pēc tās vērtības, sensitivitātes un kritiskuma, veidojot pamatu visiem turpmākajiem lēmumiem IDPS ietvaros.

ISO/IEC 27002:2022 kontroles pasākumam 5.13 “Informācijas marķēšana” tā pati ceļkarte pārvērš klasifikāciju ikdienas rīcībā:

Marķēšana ir veids, kā abstraktu politiku pārvērst operatīvā realitātē. Tas ir brīdis, kad lietotājs, ieraugot dokumentu, e-pastu, datubāzes lauku vai drukātu pārskatu, uzreiz saprot: kas ir šī informācija, cik tā ir sensitīva un kā ar to jāapietas.

Pēdējā saikne ceļkartē parādās 13. solī “Risku apstrādes plānošana un Piemērojamības paziņojums”. Zenith Blueprint raksturo SoA kā tiltu starp riskiem, apstrādi un kontroles pasākumiem. Šeit klasifikācija kļūst par audita izsekojamību. Riska scenāriju, piemēram, “klientu finanšu datu nesankcionēta izpaušana no koplietotas mākoņkrātuves”, var sasaistīt ar klasifikāciju, marķēšanu, piekļuves kontroli, šifrēšanu, žurnālreģistrēšanu, DLP, mākoņpakalpojumu izmantošanu, piegādātāju prasībām un reaģēšanu uz incidentiem.

Kontroles saiknes, ko auditori sagaida redzēt

Clarysec Zenith Controls: starpatbilstības ceļvedī ISO/IEC 27002:2022 kontroles pasākums 5.12 “Informācijas klasifikācija” ir kartēts kā preventīvs kontroles pasākums, kas atbalsta konfidencialitāti, integritāti un pieejamību. Tas ir saistīts ar Identify kiberdrošības konceptu, Informācijas aizsardzības operacionālo spēju un Aizsardzības un aizstāvēšanas drošības jomām.

ISO/IEC 27002:2022 kontroles pasākumam 5.13 “Informācijas marķēšana” Zenith Controls kartē kontroles pasākumu kā preventīvu, vērstu uz Protect, ar tām pašām informācijas drošības īpašībām un Informācijas aizsardzības operacionālo spēju.

Būtiskā atziņa ir tāda, ka klasifikācija un marķēšana nav izolētas. Tās padara apkārtējos kontroles pasākumus aizstāvamus.

Zenith Controls kartē kontroles pasākumu 5.12 uz GDPR Article 32 un Recital 83, NIS2 Article 21(2)(a) un 21(2)(f), ISO/IEC 27701 Annex B, NIST SP 800-53 MP-3 un PM-11, FIPS 199 un NIST SP 800-60, kā arī COBIT 2019 DSS06.06 un APO13.01. Tas kartē kontroles pasākumu 5.13 uz GDPR Article 32, NIS2 Article 21(2)(a) un 21(2)(f), DORA Article 9(1) un 9(2), NIST SP 800-53 MP-3 un COBIT 2019 DSS06.06.

Tas nozīmē, ka viena pierādījumu kopa var atbildēt uz vairākiem apliecinājuma jautājumiem.

Aktīvu reģistrs ir vieta, kur klasifikācija kļūst par pierādījumiem

Daudzas klasifikācijas programmas izgāžas, jo klasifikācijas shēma pastāv tikai politikā. Clarysec pieeja sākas ar aktīvu uzskaiti.

Clarysec P12 Aktīvu pārvaldības politika prasa, lai aktīvu uzskaitē klasifikācijas līmenis būtu iekļauts kā minimālais lauks:

Aktīvu uzskaitei kā minimums jāietver: 5.3.1 Aktīva ID, kategorija un tips 5.3.2 Sērijas numurs vai unikāla uzlīme (fiziskiem aktīviem) 5.3.3 Programmatūras versija vai licences atslēga (programmatūras aktīviem) 5.3.4 Aktīva īpašnieks 5.3.5 Klasifikācijas līmenis (Publiska, Iekšēja, Konfidenciāla, Ierobežota) 5.3.6 Atrašanās vieta (fiziska, virtuāla, mākonis) 5.3.7 Dzīves cikla statuss (aktīvs, apkopē, izņemts no ekspluatācijas)

Tas tieši saskan ar ISO/IEC 27001:2022 risku plānošanu. Ja nevar identificēt informācijas aktīvu, īpašnieku, atrašanās vietu un klasifikāciju, nav iespējams konsekventi izvērtēt iespējamību, ietekmi, apstrādes prioritāti vai atlikušo risku. Tāpat nevar pārliecinoši lemt, vai piegādātāja vienošanās, mākoņpakalpojums vai SaaS integrācija ietekmē reglamentētu informāciju.

GDPR kontekstā tas atbalsta pārskatatbildību. Article 30 apstrādes darbību ieraksti un Article 32 drošības pasākumi kļūst ticamāki, ja aktīvu reģistrs identificē, kur personas dati tiek apstrādāti un kā tie tiek aizsargāti. DORA kontekstā tas pats reģistrs atbalsta IKT aktīvu un pakalpojumu kritiskumu, noturības testēšanas tvērumu un trešo pušu atkarību analīzi. NIS2 kontekstā tas atbalsta riska analīzi, piekļuves kontroli un aktīvu pārvaldību.

Šāda veida ieraksts maina audita sarunas toni. Tā vietā, lai teiktu “mēs uzskatām, ka sensitīvi dati ir aizsargāti”, organizācija var parādīt, kas ir dati, kam tie pieder, kāpēc tie ir Ierobežoti, kuri kontroles pasākumi tiek piemēroti un kad tie pēdējo reizi pārskatīti.

Marķējumiem jāvada mākoņvides un SaaS apstrādes noteikumi

Lielākā daļa sensitīvo datu tagad pārvietojas caur mākoņplatformām, SaaS lietojumprogrammām, analītikas cauruļvadiem un sadarbības rīkiem. Politika, kas lietotājiem saka “ar konfidenciāliem datiem jāapietas uzmanīgi”, nav pietiekama.

Clarysec P27 Mākoņpakalpojumu izmantošanas politika tieši sasaista mākoņpakalpojumu izmantošanu ar klasifikāciju un datu rezidenci:

Datu klasifikācija un rezidence 6.6.1 Datus nedrīkst pārvietot uz mākoņplatformu bez klasifikācijas saskaņā ar Datu klasifikācijas un marķēšanas politiku (P13). 6.6.2 Datu rezidences prasības jāpiemēro līgumiski (piemēram, tikai ES glabāšana GDPR regulētiem datiem). 6.6.3 Pārrobežu datu pārsūtīšanai jāatbilst GDPR Chapter V un, ja piemērojams, DORA Article 28.

Tas ir būtiski, jo mākoņrisks bieži rodas ērtības dēļ. Komanda eksportē datu kopu uz jaunu analītikas rīku. Pārdošanas komanda sinhronizē klientu sarakstus ar automatizācijas platformu. Izstrādātājs kopē ražošanas datus testa vidē. Bez klasifikācijas un marķēšanas šīs darbības var neiedarbināt juridisko pārbaudi, drošības apstiprinājumu vai piegādātāja pārbaudi.

Datu klasifikācijas un marķēšanas politika — SME mazākām organizācijām piedāvā vienkāršu ieviešanas modeli:

Koplietotajām mapēm vai mākoņdiskiem jāizmanto mapju nosaukumi vai tagi, kas norāda klasifikāciju (piemēram, “/Clients_Confidential”).

Nobriedušās vidēs mapju nosaukumi jāpapildina ar mašīnlasāmiem marķējumiem, nosacītās piekļuves politikām, ārējās koplietošanas bloķēšanu, šifrēšanu, glabāšanas marķējumiem, DLP noteikumiem un žurnālreģistrēšanu. Mērķis nav tikai marķēt informāciju. Mērķis ir panākt, lai marķējums būtu praktiski piemērojams.

Marķējums “Ierobežota” var iedarbināt ārējās koplietošanas bloķēšanu, šifrēšanu glabāšanā un pārsūtē, MFA, lejupielādes ierobežojumus nepārvaldītās ierīcēs, auditācijas žurnālu glabāšanu, SIEM brīdinājumus, glabāšanas noteikumus, piegādātāja atrašanās vietas ierobežojumus un incidenta smaguma eskalāciju.

P13 Datu klasifikācijas un marķēšanas politika nosaka pamatprasības:

Visai datu apstrādei, pārsūtīšanai, piekļuvei, glabāšanai un informācijas likvidēšanai jāatbilst tās klasifikācijas līmenim. Kā minimums: 6.3.1.1 Publiska: var tikt brīvi izpausta; īpaša apstrāde nav nepieciešama 6.3.1.2 Iekšēja: koplietojama organizācijas ietvaros; glabājama drošās iekšējās sistēmās 6.3.1.3 Konfidenciāla: 6.3.1.3.1 Piekļuve ierobežota tikai autorizētam personālam 6.3.1.3.2 Jāšifrē pārsūtē un glabāšanā 6.3.1.3.3 Ārēji drīkst koplietot tikai saskaņā ar NDA vai līdzvērtīgiem līgumiskiem drošības pasākumiem 6.3.1.4 Ierobežota: 6.3.1.4.1 Piemērojamas augstākās drošības prasības 6.3.1.4.2 Nepieciešami stingri piekļuves kontroles pasākumi, daudzfaktoru autentifikācija (MFA) un auditācijas žurnālu reģistrēšana 6.3.1.4.3 Fiziska un loģiska nodalīšana, ja iespējams 6.3.1.4.4 Ārēja koplietošana ir aizliegta bez informācijas drošības vadītāja apstiprinājuma

Katram marķējumam ir rīcība. Katrai rīcībai ir kontroles pasākums. Katram kontroles pasākumam ir pierādījumi.

Praktisks piemērošanas piemērs

Apsveriet fintech analītiķi, kurš izveido Q3_2026_Customer_Churn_Analysis.xlsx. Izklājlapā ir klientu ID, darījumu apjomi un prognozētais atteikšanās rādītājs.

Analītiķis to klasificē kā Konfidenciālu, jo tā satur klientu datus un stratēģisko analīzi. Izmantojot uzņēmuma informācijas aizsardzības rīku, analītiķis piemēro Konfidenciālu marķējumu. Tā kā marķējums ir noturīgs, redzams un mašīnlasāms, kontroles pasākumi aktivizējas automātiski.

Datne tiek šifrēta glabāšanā ierīcē un mākoņkrātuvē. Redzama galvene norāda, ka tā ir Konfidenciāla. Kad analītiķis mēģina to sinhronizēt ar personīgo mākoņdisku, DLP noteikums bloķē darbību un reģistrē mēģinājumu žurnālā. Kad analītiķis mēģina to nosūtīt e-pastā ārējam domēnam, kas nav partneris, e-pasta vārteja ievieto ziņojumu karantīnā un brīdina drošības operāciju komandu. Ja datne vēlāk tiek pārklasificēta kā Ierobežota, jo tā satur reglamentētus finanšu darījumu datus, ārējā koplietošana tiek atspējota, ja vien informācijas drošības vadītājs vai datu īpašnieks neapstiprina izņēmumu.

Tas ir pierādījums, ko vēlējās izpilddirektors. Tas ir izsekojams, automatizēts un piesaistīts valdes apstiprinātai politikai. Tas arī atbilst P27 Mākoņpakalpojumu izmantošanas politikai, jo datu pārvietošana uz mākoņvidi nav atļauta bez klasifikācijas un pārrobežu pārsūtījumiem jāatbilst GDPR Chapter V un, ja piemērojams, DORA Article 28.

Vienas nedēļas laikā izveidojiet klasifikācijas un kontroles pasākumu matricu

Pilna programma prasa laiku, taču fokusēts sprints var izveidot pierādījumu mugurkaulu pirms audita, klienta pārbaudes vai regulatora izvērtēšanas.

1. diena: apstipriniet klasifikācijas shēmu

Sāciet ar četriem līmeņiem: Publiska, Iekšēja, Konfidenciāla un Ierobežota. Izmantojiet P13 Datu klasifikācijas un marķēšanas politiku kā pamatu. Definējiet kritērijus, izmantojot ietekmi uz organizācijas darbību, juridisko ietekmi, līgumisko sensitivitāti, personas datu risku, pakalpojuma kritiskumu un finansiālo kaitējumu.

2. diena: izvēlieties desmit kritiskus informācijas aktīvus

Izmantojiet Zenith Blueprint 9. soli. Iekļaujiet klientu datubāzi, atbalsta pieteikumu sistēmu, HR platformu, identitātes nodrošinātāju, maksājumu eksporta datni, datu noliktavu, objektkrātuves kopu, valdes pārskatu mapi, pirmkoda repozitoriju un incidentu pierādījumu repozitoriju. Reģistrējiet īpašnieku, atrašanās vietu, klasifikāciju un GDPR nozīmīgumu.

3. diena: kartējiet apstrādes noteikumus

Definējiet apstrādes prasības piekļuvei, glabāšanai, pārsūtīšanai, uzraudzībai un likvidēšanai.

4. diena: konfigurējiet vienu tehniskās piemērošanas ceļu

Izvēlieties vienu platformu, piemēram, mākoņdokumentu repozitoriju, e-pasta sistēmu vai objektkrātuves pakalpojumu. Ieviesiet redzamus un mašīnlasāmus marķējumus. Konfigurējiet vienu noteikumu Konfidenciāliem datiem un vienu noteikumu Ierobežotiem datiem. Piemēram, pieprasiet šifrēšanu Konfidenciāliem ārējiem e-pastiem un bloķējiet Ierobežotu datņu ārēju koplietošanu.

5. diena: atjauniniet risku reģistru un SoA

Izmantojiet Zenith Blueprint 13. soli. Pievienojiet klasifikācijas un marķēšanas kontroles pasākumus Piemērojamības paziņojumam. Sasaistiet tos ar riskiem, piemēram, nesankcionētu izpaušanu, mākoņvides nepareizu konfigurāciju, pārmērīgu piegādātāju ekspozīciju, datu glabāšanas neizpildi un nepietiekamu incidentu ziņošanu.

6. diena: testējiet kontroles pasākumu

Izveidojiet testa datni ar marķējumu Ierobežota. Mēģiniet to koplietot ārēji no nepārvaldītas ierīces. Apstipriniet, vai rīks bloķē, brīdina, reģistrē žurnālā vai eskalē. Fiksējiet ekrānuzņēmumus, žurnālu ierakstus un pieteikuma pierādījumus. Ja kontroles pasākums nedarbojas, reģistrējiet izņēmumu un trūkumu novēršanas plānu.

7. diena: apmāciet pirmās līnijas lietotājus

Apmācībai jābūt lomai specifiskai. Izstrādātājiem jāzina, kad ražošanas datus nedrīkst izmantot testa vidēs. HR jāizprot, kāpēc darbinieku lietas ir Konfidenciālas vai Ierobežotas. Pārdošanas komandai jāzina, kāpēc klientu eksporta datnes nedrīkst augšupielādēt neapstiprinātos SaaS rīkos. Vadošajiem darbiniekiem jāizprot, kāpēc valdes materiāliem, iegādes datnēm un investoru datiem nepieciešama stingrāka apstrāde.

Šis sprints nepabeidz visu programmu, taču izveido pierādījumu mugurkaulu: politiku, uzskaiti, marķējumus, apstrādes noteikumus, tehnisko piemērošanu, risku izsekojamību un apmācību.

Kā auditori testēs klasifikāciju un marķēšanu

Auditori reti testē klasifikāciju izolēti. Viņi seko datiem.

ISO/IEC 27001:2022 auditors sasaistīs klasifikāciju ar IDPS darbības jomu, ieinteresēto pušu prasībām, juridiskajiem un līgumiskajiem pienākumiem, risku izvērtēšanu un Piemērojamības paziņojumu. Viņš sagaidīs pierādījumus par ISO/IEC 27002:2022 kontroles pasākumiem 5.9, 5.12, 5.13, 5.14, 5.15, 5.34 un attiecīgajiem tehniskajiem kontroles pasākumiem. Tipiski pierādījumi ietver apstiprinātas politikas, aktīvu uzskaites ierakstus, risku reģistra ierakstus, marķētus paraugus, apstrādes noteikumus, piekļuves tiesību pārskatīšanu, iekšējā audita konstatējumus un korektīvās darbības.

GDPR izvērtētājs koncentrēsies uz personas datiem. Viņš jautās, vai personas dati ir identificēti, vai īpašu kategoriju dati ir nošķirti, vai glabāšanas noteikumi atbilst nolūkam un vai Article 32 drošības pasākumi ir atbilstoši. Klasifikācija palīdz nošķirt parastu biznesa informāciju no personas datiem, sensitīviem personas datiem, konfidenciāliem klientu datiem un reglamentētiem ierakstiem. Marķēšana palīdz operatīvajām komandām izvairīties no nejaušas izpaušanas, pārmērīgas glabāšanas un nesankcionētas pārsūtīšanas.

NIST CSF 2.0 izvērtētājs, visticamāk, skatīs klasifikāciju GOVERN, IDENTIFY un PROTECT ietvaros. Viņš var jautāt, vai pašreizējie un mērķa profili definē sensitīvu datu atklāšanu, vai marķējumu piemērošana darbojas SaaS un mākoņvides sistēmās, vai piegādātāji apstrādā datus atbilstoši klasifikācijai un vai uzraudzības prioritātes mainās atbilstoši sensitivitātei.

COBIT 2019 vai ISACA stila auditors uzsvērs pārvaldības mērķus, procesu īpašumtiesības, kontroles pasākumu dizainu un darbības efektivitāti. Zenith Controls kartē uzskaites kontroles pasākumu 5.9 uz COBIT 2019 BAI09.01, BAI09.02 un DSS05.04, kā arī atsaucas uz ISACA ITAF 2204 un 2301. Klasifikācijai Zenith Controls kartē kontroles pasākumu 5.12 uz COBIT 2019 DSS06.06 un APO13.01, savukārt marķēšanu — uz DSS06.06. Auditors jautās, kam pieder process, kā tiek apstiprināti izņēmumi, vai veiktspēja tiek uzraudzīta un vai vadība saņem pārskatus.

DORA fokusēts izvērtētājs jautās, kuri informācijas aktīvi atbalsta kritiskas vai svarīgas funkcijas, kuri dati ir Ierobežoti, kuri IKT trešo pušu pakalpojumu sniedzēji glabā vai pārsūta šos datus, vai līgumos ir noteiktas atrašanās vietas un drošības pasākumi, vai testēšanas tvērums ir balstīts uz kritiskiem datiem un vai incidenti tiek klasificēti daļēji pēc datu zuduma pieejamības, autentiskuma, integritātes un konfidencialitātes griezumā.

Ja atbildes nāk no viena klasifikācijā balstīta aktīvu un piegādātāju pierādījumu modeļa, auditi kļūst ātrāki, konsekventāki un aizstāvamāki.

Biežākie kļūdu modeļi

Klasifikācijas kļūdas parasti rodas tāpēc, ka organizācijas uztver marķējumus kā informētības rīkus, nevis kontroles signālus.

Pirmkārt, tās klasificē dokumentus, bet ne datubāzes, lietojumprogrammu saskarnes, žurnālus, rezerves kopijas, eksporta datnes vai SaaS ierakstus. Sensitīvi dati atkļūdošanas žurnālā var būt tikpat kaitīgi kā sensitīvi dati izklājlapā.

Otrkārt, tās marķē informāciju, bet nesaista marķējumus ar piekļuves kontroli. Marķējums Ierobežota ar atvērtu piekļuvi pierāda, ka organizācija zināja sensitivitāti un tomēr nepiemēroja apstrādes noteikumu.

Treškārt, migrācija uz mākoņvidi notiek pirms klasifikācijas. Komandas pārvieto datus uz jauniem SaaS rīkiem, neapstiprinot rezidenci, piegādātāju noteikumus, apakšapstrādātāju piekļuvi, pārrobežu pārsūtīšanas prasības vai dzēšanas tiesības. P27 Mākoņpakalpojumu izmantošanas politika to risina tieši, aizliedzot pārvietošanu uz mākoņplatformām bez klasifikācijas.

Ceturtkārt, incidentu reaģēšanas plāni ignorē klasifikāciju. Ja smaguma pakāpes kritēriji neietver datu sensitivitāti, incidentu komandas krīzes laikā tērē laiku, lai noskaidrotu, kas tika ietekmēts. GDPR pārkāpumu analīze, NIS2 incidentu apstrāde un DORA incidentu klasifikācija iegūst no ātra datu konteksta.

Piektkārt, SoA nepaskaidro, kāpēc klasifikācijas un marķēšanas kontroles pasākumi ir piemērojami. Organizācija, iespējams, ir ieviesusi marķējumus, bet SoA tos nesasaista ar GDPR Article 32, NIS2 Article 21, DORA IKT risku, klientu līgumiem vai konkrētiem riska scenārijiem.

Vadības ziņošana: padariet klasifikāciju redzamu

NIS2 un DORA padara kiberdrošību par vadības pārskatatbildības jautājumu. ISO/IEC 27001:2022 arī prasa vadības apņemšanos, politikas saskaņošanu, resursus, lomas un veiktspējas ziņošanu. Tāpēc klasifikācijas metrikām jānonāk vadības pārskatīšanā.

Noderīgas metrikas ietver:

• Kritisko informācijas aktīvu procentuālo daļu ar piešķirtiem īpašniekiem.
• Aktīvu procentuālo daļu ar apstiprinātu klasifikāciju.
• Ierobežotu aktīvu skaitu bez pastiprinātas žurnālreģistrēšanas.
• Konfidenciālu vai Ierobežotu repozitoriju skaitu ar iespējotu ārējo koplietošanu.
• To piegādātāju procentuālo daļu, kuri apstrādā Konfidenciālus vai Ierobežotus datus un kuriem ir atjauninātas līguma klauzulas.
• Klasifikācijas izņēmumu un nokavētu trūkumu novēršanas pasākumu skaitu.
• DLP incidentus pēc marķējuma.
• Piekļuves tiesību pārskatīšanas pabeigšanu Ierobežotiem aktīviem.
• Mākoņkrātuves atrašanās vietas GDPR regulētiem datiem.
• Incidentu reaģēšanas vingrinājumus, kuros izmantoti klasifikācijā balstīti smaguma kritēriji.

Šīs metrikas atbalsta ISO/IEC 27001:2022 vadības pārskatīšanu, NIS2 vadības pārraudzību, DORA pārvaldības ziņošanu un klientu apliecinājumu. Tās arī padara klasifikāciju saprotamu vadībai. Augstākā vadība var rīkoties ātrāk, redzot, ka vairākiem Ierobežotiem repozitorijiem nav testētas atjaunošanas vai ka kritiski piegādātāji apstrādā klientu datus bez apstiprinātas glabāšanas ES.

No politikas līdz pierādījumiem

Clarysec ieviešanas modelis ir balstīts pierādījumos:

1. Definējiet klasifikācijas shēmu P13 Datu klasifikācijas un marķēšanas politikā vai sāciet ar Datu klasifikācijas un marķēšanas politiku — SME.
2. Pievienojiet klasifikāciju aktīvu uzskaitei, izmantojot P12 Aktīvu pārvaldības politiku.
3. Piemērojiet mākoņvides ierobežojumus un rezidences prasības, izmantojot P27 Mākoņpakalpojumu izmantošanas politiku.
4. Izmantojiet Zenith Blueprint 9. soli, lai identificētu informācijas aktīvus, īpašniekus, atrašanās vietas un sensitivitāti.
5. Izmantojiet Zenith Blueprint 13. soli, lai SoA sasaistītu riskus ar kontroles pasākumiem.
6. Izmantojiet Zenith Blueprint 22. soli, lai ikdienas darbībā ieviestu ISO/IEC 27002:2022 kontroles pasākumus 5.12 un 5.13.
7. Izmantojiet Zenith Controls, lai tos pašus pierādījumus kartētu uz GDPR, NIS2, DORA, NIST CSF, COBIT 2019 un atbalsta standartiem.
8. Testējiet marķējumu piemērošanu, piekļuves ierobežojumus, žurnālreģistrēšanu, DLP un incidentu triāžu.
9. Ziņojiet vadībai par klasifikācijas veiktspēju.
10. Pārskatiet klasifikāciju pēc būtiskām sistēmu, procesu, piegādātāju vai regulējuma izmaiņām.

Tas darbojas, jo klasifikācija kļūst par kopīgu valodu starp biznesa vērtību, juridisko pienākumu, tehnisko kontroles pasākumu un audita pierādījumiem.

Ja jūsu organizācija gatavojas ISO/IEC 27001:2022 sertifikācijai, GDPR apliecinājumam, NIS2 gatavībai, DORA klientu padziļinātajai izpētei vai apvienotam atbilstības auditam, sāciet ar vienu jautājumu:

Vai par katru kritisko informācijas aktīvu varat parādīt, kas tas ir, kam tas pieder, kur tas atrodas, kā tas ir klasificēts, kā tas ir marķēts, kas tam var piekļūt, kā tas tiek aizsargāts, cik ilgi tas tiek glabāts, kurš piegādātājs tam pieskaras un kas notiek, ja tas tiek izpausts?

Ja atbilde vēl ir nē, Clarysec var palīdzēt jums ātri un auditā aizstāvami izveidot pierādījumu ķēdi.

Izmantojiet Datu klasifikācijas un marķēšanas politiku — SME, P13 Datu klasifikācijas un marķēšanas politiku, P12 Aktīvu pārvaldības politiku, P27 Mākoņpakalpojumu izmantošanas politiku, Zenith Blueprint: auditora 30 soļu ceļkarti un Zenith Controls: starpatbilstības ceļvedi, lai pārvērstu klasifikāciju no statiskas politikas par operatīvu kontroles slāni GDPR Article 32, NIS2 kiberrisku pārvaldībai un DORA IKT risku pierādījumiem.

Labākais laiks klasificēt datus bija pirms audita pieprasījuma saņemšanas. Nākamais labākais laiks ir pirms nākamās migrācijas uz mākoņvidi, piegādātāja piesaistes, klienta anketas vai incidenta.