Auditne pripravená ochrana osobne identifikovateľných informácií (PII) pre GDPR, NIS2 a DORA
Upozornenie prišlo do Sarahinej schránky v utorok o 22:00.
Ako riaditeľka informačnej bezpečnosti (CISO) rastúcej SaaS spoločnosti z oblasti fintechu poznala nočné upozornenia veľmi dobre. Toto však bolo iné. Juniorný vývojár počas testovania novej analytickej funkcionality vystavil stagingovú databázu verejnému koncovému bodu. Databáza mala obsahovať testovacie údaje, no nedávna synchronizácia z produkčného do stagingového prostredia ju naplnila skutočnými zákazníckymi PII.
Incident bol rýchlo zadržaný. Potom prišlo druhé zistenie. Migračný tabuľkový súbor s názvom customer_users_final_v7.xlsx bol skopírovaný z rovnakého súboru údajov. Obsahoval mená, e-mailové adresy, oprávnenia podľa rolí, správy o používaní, polia krajiny, poznámky podpory a voľnotextové komentáre, ktoré sa nikdy nemali dostať do testovacieho pracovného toku. Bol skopírovaný na zdieľané úložisko, stiahnutý vývojárom, priložený k tiketu a zabudnutý.
Do polnoci už Sarah neriešila technickú chybnú konfiguráciu. Riešila auditný problém.
Spoločnosť už bola certifikovaná podľa ISO/IEC 27001:2022. Predstavenstvo požadovalo uistenie podľa GDPR pred vstupom na trh EÚ. Zákazníci z finančných služieb posielali dotazníky due diligence podľa DORA. Cloudové vzťahy a vzťahy s poskytovateľmi riadených služieb otvárali otázky dodávateľského reťazca podľa NIS2. Právne oddelenie vedelo vysvetliť povinnosti. Vývojový tím vedel poukázať na šifrovanie. Produktový tím mal zámery ochrany súkromia už od návrhu. Vyhlásenie o aplikovateľnosti spomínalo ochranu súkromia a ochranu PII.
Nikto však nevedel v jednom sledovateľnom reťazci preukázať, aké PII existujú, prečo sa spracúvajú, kto k nim má prístup, kde sú maskované, ktorí dodávatelia s nimi prichádzajú do kontaktu, ako dlho sa uchovávajú a ako by sa incident klasifikoval podľa GDPR, NIS2 alebo DORA.
Práve táto medzera vysvetľuje význam ISO/IEC 27701:2025 a ISO/IEC 29151:2022. Nie sú to iba označenia pre ochranu súkromia. Pomáhajú organizáciám premeniť záväzky v oblasti ochrany súkromia na auditne pripravené kontroly ochrany PII. ISO/IEC 27701:2025 rozširuje systém manažérstva informačnej bezpečnosti podľa ISO/IEC 27001:2022 o manažérstvo informácií o ochrane súkromia. ISO/IEC 29151:2022 dopĺňa praktické usmernenia na ochranu osobne identifikovateľných informácií (PII) počas celého ich životného cyklu.
Prístup Clarysec spočíva vo vybudovaní jedného prevádzkového modelu ochrany súkromia a bezpečnosti založeného na dôkazoch, nie izolovaných oblastí súladu. Tento model spája Zenith Blueprint: 30-krokovú cestovnú mapu audítora Zenith Blueprint, Zenith Controls: sprievodcu súladom naprieč rámcami Zenith Controls a politiky Clarysec do jedného sledovateľného systému pre GDPR, ISO/IEC 27001:2022, ISO/IEC 27701:2025, ISO/IEC 29151:2022, NIS2, DORA, uistenie podľa prístupu NIST a očakávania správy a riadenia podľa COBIT 2019.
Prečo je ochrana PII dnes auditnou témou na úrovni predstavenstva
Ochrana PII sa kedysi považovala za zodpovednosť tímu ochrany súkromia. Dnes je to otázka dôvery, odolnosti a regulácie na úrovni predstavenstva.
GDPR zostáva základným rámcom ochrany osobných údajov v Európe aj mimo nej. Definuje osobné údaje, spracúvanie, prevádzkovateľa, sprostredkovateľa, príjemcu, tretiu stranu, súhlas a porušenie ochrany osobných údajov spôsobmi, ktoré ovplyvňujú SaaS zmluvy, činnosti podpory, analytiku, produktovú telemetriu, riadenie dodávateľov a reakciu na incidenty. Jeho zásady vyžadujú zákonnosť, spravodlivosť, transparentnosť, obmedzenie účelu, minimalizáciu údajov, presnosť, obmedzenie uchovávania, integritu, dôvernosť a zodpovednosť. Z auditného hľadiska sa GDPR nepýta len na to, či sú údaje šifrované. Pýta sa, či organizácia vie preukázať, prečo údaje existujú a ako sa dosahuje súlad.
NIS2 zvyšuje latku správy a riadenia kybernetickej bezpečnosti pre základné a dôležité subjekty. Article 21 vyžaduje opatrenia riadenia kybernetických bezpečnostných rizík vrátane analýzy rizík, politík bezpečnosti informačných systémov, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného vývoja, riadenia zraniteľností, posudzovania účinnosti kontrol, kybernetickej hygieny, kryptografie, bezpečnosti ľudských zdrojov, riadenia prístupu, správy aktív, autentifikácie a bezpečnej komunikácie. Article 23 dopĺňa odstupňované nahlasovanie incidentov vrátane včasného varovania do 24 hodín, oznámenia do 72 hodín a záverečnej správy do jedného mesiaca po oznámení.
DORA mení diskusiu pre finančné subjekty a ich poskytovateľov IKT. Uplatňuje sa od 17. januára 2025 a vytvára harmonizovaný režim digitálnej prevádzkovej odolnosti pokrývajúci riadenie rizík IKT, hlásenie závažných incidentov súvisiacich s IKT, testovanie odolnosti, riziká tretích strán v oblasti IKT, zmluvné požiadavky a dohľad nad kritickými externými poskytovateľmi IKT. Pre mnohé finančné subjekty DORA funguje ako odvetvovo špecifický právny akt Únie tam, kde sa prekrývajú povinnosti ekvivalentné NIS2. Pre SaaS a dodávateľov IKT poskytujúcich služby finančným inštitúciám tlak DORA často prichádza cez zmluvné doložky, zákaznícke audity, požiadavky na plánovanie ukončenia, povinnosti podpory pri incidentoch a testovanie odolnosti.
ISO/IEC 27001:2022 poskytuje chrbticu systému manažérstva. Vyžaduje kontext, zainteresované strany, rozsah, zodpovednosť vedenia, politiky, roly, posúdenie rizík, ošetrenie rizík, Vyhlásenie o aplikovateľnosti, vnútorný audit, preskúmanie manažmentom a neustále zlepšovanie. Príloha A obsahuje kontroly priamo relevantné pre ochranu PII vrátane 5.34 ochrana súkromia a ochrana PII, 5.18 prístupové práva, 8.11 maskovanie údajov, 5.23 informačná bezpečnosť pri využívaní cloudových služieb, 8.15 logovanie, 8.33 testovacie informácie, 8.24 používanie kryptografie a 8.10 vymazanie informácií.
Výzvou nie je to, že organizácie nemajú žiadne kontroly. Výzvou je ich roztrieštenosť. Záznamy o ochrane súkromia sú u právneho oddelenia. Revízia prístupových práv je v IT. Skripty maskovania sú u vývoja. Zmluvy s dodávateľmi sú v obstarávaní. Dôkazy sú v tiketoch, snímkach obrazovky, tabuľkových súboroch a e-mailoch.
ISO/IEC 27701:2025 a ISO/IEC 29151:2022 pomáhajú zjednotiť tieto dôkazy okolo manažérstva informácií o ochrane súkromia a postupov ochrany PII. Clarysec premieňa túto štruktúru na prevádzkový model.
Od ISMS k PIMS: integrovaný reťazec kontrol ochrany súkromia
ISMS podľa ISO/IEC 27001:2022 odpovedá na základnú otázku: je informačná bezpečnosť riadená, založená na rizikách, implementovaná, monitorovaná a zlepšovaná?
Systém manažérstva informácií o ochrane súkromia, teda PIMS, rozširuje túto otázku pre osobné údaje: sú zodpovednosti v oblasti ochrany súkromia, činnosti spracúvania PII, riziká ochrany súkromia, povinnosti prevádzkovateľa a sprostredkovateľa, práva dotknutých osôb a dôkazy o kontrolách ochrany súkromia riadené v tom istom systéme?
ISO/IEC 27701:2025 rozširuje ISMS o správu a riadenie ochrany súkromia. ISO/IEC 29151:2022 ho dopĺňa praktickými usmerneniami na ochranu PII vrátane obmedzenia zberu, riadenia sprístupňovania, uplatňovania maskovania alebo pseudonymizácie, ochrany prenosov, obmedzenia prístupu a zosúladenia kontrol s rizikom ochrany súkromia.
| Vrstva | Primárna otázka | Typické auditné dôkazy |
|---|---|---|
| ISO/IEC 27001:2022 | Existuje riadený ISMS založený na rizikách s vybranými a fungujúcimi kontrolami? | Rozsah, zainteresované strany, posúdenie rizík, plán ošetrenia rizík, SoA, politiky, vnútorný audit, preskúmanie manažmentom |
| ISO/IEC 27701:2025 | Sú zodpovednosti v oblasti ochrany súkromia, riziká ochrany súkromia a činnosti spracúvania PII riadené v rámci systému manažérstva? | Roly v oblasti ochrany súkromia, register spracúvania, postupy prevádzkovateľa a sprostredkovateľa, posúdenia rizík ochrany súkromia, DPIA, proces vybavovania žiadostí dotknutých osôb |
| ISO/IEC 29151:2022 | Sú praktické opatrenia ochrany PII implementované naprieč životným cyklom údajov? | Klasifikácia PII, obmedzenia prístupu, maskovanie, pseudonymizácia, kontroly uchovávania, ochranné opatrenia pri prenosoch, dôkazy o incidente |
| GDPR | Vie organizácia preukázať zákonné, spravodlivé, transparentné, minimalizované, bezpečné a zodpovedné spracúvanie? | Záznamy o právnom základe, oznámenia o ochrane súkromia, DPIA, proces riešenia porušení, zmluvy so sprostredkovateľmi, vybavovanie práv dotknutých osôb |
| NIS2 a DORA | Vie organizácia riadiť kybernetické riziká a riziká odolnosti vrátane incidentov a dodávateľov? | Dohľad manažmentu, rámec rizík IKT, klasifikácia incidentov, playbooky hlásenia, registre dodávateľov, práva na audit, testy kontinuity |
Tento vrstvený model predchádza najčastejšej chybe v súlade ochrany súkromia: považovať PII len za ďalší typ citlivých údajov. PII nesú právne, etické, prevádzkové, zmluvné a reputačné povinnosti. Potrebujú reťazec kontrol, ktorý začína povedomím o údajoch a končí dôkazmi.
Začnite povedomím o údajoch, nie diagramami šifrovania
Najčastejšie zlyhanie ochrany súkromia, ktoré Clarysec vidí, je chýbajúci kontext. Spoločnosť nemôže chrániť PII, ak nevie, aké PII má, kde sa nachádzajú, akému účelu slúžia, ako dlho sa uchovávajú alebo kto sa k nim vie dostať.
Zenith Blueprint začína túto prácu už v počiatočnej fáze riadenia rizík. V kroku 9, Identifikácia aktív, hrozieb a zraniteľností, usmerňuje organizácie, aby inventarizovali informačné aktíva a výslovne označili osobné údaje:
„Pri každom aktíve zaznamenajte kľúčové údaje: názov/opis, vlastník, umiestnenie a klasifikácia (citlivosť). Aktívom môže byť napríklad ‚zákaznícka databáza – vlastnená IT oddelením – hostovaná na AWS – obsahuje osobné a finančné údaje (vysoká citlivosť).‘“
Ďalej dopĺňa: „Zabezpečte, aby boli aktíva obsahujúce osobné údaje označené (pre relevantnosť GDPR) a aby boli kritické aktíva služieb zaznamenané (pre možnú uplatniteľnosť NIS2, ak pôsobíte v regulovanom sektore).“
Toto je základ pre prijatie ISO/IEC 27701:2025 a ISO/IEC 29151:2022. Praktická postupnosť je jednoduchá:
- Identifikujte systémy, súbory údajov, repozitáre, logy, reporty, zálohy, nástroje podpory, vývojové prostredia a dodávateľov, ktorí spracúvajú PII.
- Priraďte vlastníka ku každému aktívu PII.
- Klasifikujte PII podľa citlivosti, účelu organizácie, právneho základu, roly pri spracúvaní a požiadavky na uchovávanie.
- Prepojte každé aktívum PII s hrozbami, zraniteľnosťami, rizikovými scenármi a regulačnými povinnosťami.
- Vyberte kontroly, priraďte dôkazy a priebežne monitorujte ich fungovanie.
Politiky Clarysec robia tento postup vykonateľným. Politika SME Data Protection and Privacy Policy-sme Politika ochrany údajov a súkromia – MSP uvádza:
„Koordinátor ochrany súkromia musí viesť register všetkých činností spracúvania osobných údajov vrátane kategórií údajov, účelu, právneho základu a lehôt uchovávania.“
Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.2.1.
Pre podnikové organizácie Politika ochrany údajov a súkromia Politika ochrany údajov a súkromia stanovuje prísne pravidlo minimalizácie:
„Zhromažďovať a spracúvať sa môžu iba údaje nevyhnutné na konkrétny, oprávnený účel organizácie.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.
Tieto ustanovenia premieňajú zodpovednosť podľa GDPR na každodennú prevádzku. Zároveň podporujú manažérstvo informácií o ochrane súkromia a ochranu PII, pretože nútia organizáciu definovať, aké údaje existujú, prečo existujú a či sú nevyhnutné.
Tri kontroly, ktoré robia ochranu PII skutočnou
Tri kontroly prílohy A ISO/IEC 27001:2022 často rozhodujú o tom, či je ochrana PII obhájiteľná pri audite: 5.34 ochrana súkromia a ochrana PII, 8.11 maskovanie údajov a 5.18 prístupové práva.
5.34 Ochrana súkromia a ochrana PII
Kontrola 5.34 je centrom správy a riadenia. V Zenith Controls sa 5.34 posudzuje ako preventívna kontrola podporujúca dôvernosť, integritu a dostupnosť, s konceptmi kybernetickej bezpečnosti Identify a Protect a s prevádzkovými schopnosťami v ochrane informácií a právnom súlade.
Zenith Controls jasne ukazuje závislosť:
„Inventarizácia informačných aktív (5.9) by mala zahŕňať súbory PII (zákaznícke databázy, HR súbory). Podporuje tým 5.34, pretože zabezpečuje, že organizácia vie, aké PII má a kde sa nachádzajú, čo je prvý krok k ich ochrane.“
Kontrola 5.34 závisí od 5.9 inventarizácia informácií a ďalších súvisiacich aktív, pretože PII nemožno chrániť, ak ich nemožno nájsť. Zároveň sa prepája s 5.23 informačná bezpečnosť pri využívaní cloudových služieb, pretože väčšina PII dnes žije v cloudových platformách, SaaS nástrojoch, analytických prostrediach a riadených službách.
Pri vysokorizikovom spracúvaní podniková Politika ochrany údajov a súkromia vyžaduje:
„Modelovanie hrozieb a posúdenia vplyvu na ochranu údajov (DPIA) sú povinné pre systémy vysokorizikového spracúvania.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.3.4.
Toto ustanovenie je kľúčové. Premieňa ochranu súkromia na aktivitu návrhu a riadenia rizík, nie na právne preskúmanie na poslednú chvíľu.
8.11 Maskovanie údajov
Kontrola 8.11 je priamou odpoveďou na vystavenie Sarahinej stagingovej databázy. Zenith Controls opisuje 8.11 ako preventívnu kontrolu dôvernosti v rámci ochrany informácií. Prepája 8.11 s 5.12 klasifikácia informácií, pretože rozhodnutia o maskovaní závisia od citlivosti, s 5.34, pretože maskovanie podporuje ochranu súkromia, a s 8.33 testovacie informácie, pretože testovacie prostredia nemajú vystavovať skutočné PII.
Politika maskovania údajov a pseudonymizácie Politika maskovania údajov a pseudonymizácie stanovuje pravidlo výslovne:
„Skutočné osobné údaje sa nesmú používať vo vývojových, testovacích ani stagingových prostrediach. Namiesto nich sa musia používať maskované alebo pseudonymizované údaje a musia byť generované z vopred schválených transformačných šablón.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.3.
Pre MSP Politika maskovania údajov a pseudonymizácie-sme Politika maskovania údajov a pseudonymizácie – MSP dopĺňa kľúčovú požiadavku na bezpečnosť a dôkazy:
„Prístup ku kľúčom musí byť šifrovaný, riadený prístupovými právami a logovaný.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.3.
Je to dôležité, pretože pseudonymizácia znižuje riziko iba vtedy, keď sú transformačná logika, kľúče a cesty opätovnej identifikácie riadené.
5.18 Prístupové práva
Kontrola 5.18 je prevádzkovým jadrom zásady minimálnych oprávnení. Zenith Controls ju považuje za preventívnu, prepojenú s dôvernosťou, integritou a dostupnosťou a zaradenú pod správu identít a prístupov. Viaže 5.18 na 5.15 riadenie prístupu, 5.16 správa identít a 8.2 privilegované prístupové práva.
Politika SME Data Classification and Labeling Policy-sme Politika klasifikácie a označovania údajov – MSP uvádza:
„Prístup musí byť obmedzený na konkrétne autorizovaných používateľov so zásadou potreby vedieť.“
Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.2.1.
Podniková Politika klasifikácie a označovania údajov Politika klasifikácie a označovania údajov dopĺňa klasifikačný základ:
„Všetky informačné aktíva musia mať pri vytvorení alebo onboardingu jasne priradenú klasifikáciu. Ak explicitná klasifikácia chýba, aktíva sa musia predvolene považovať za ‚Dôverné‘ až do formálneho preskúmania.“
Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.
Spolu tieto kontroly tvoria praktický reťazec ochrany PII: poznať PII, klasifikovať ich, obmedziť prístup, maskovať ich tam, kde úplná identita nie je potrebná, chrániť kľúče, logovať prístup a uchovávať dôkazy.
Vybudujte sledovateľnosť prostredníctvom Vyhlásenia o aplikovateľnosti
Systém riadenia ochrany súkromia je auditne pripravený vtedy, keď vie preukázať sledovateľnosť. Zenith Blueprint, fáza riadenia rizík, krok 13, plánovanie ošetrenia rizík a Vyhlásenie o aplikovateľnosti, opisuje Vyhlásenie o aplikovateľnosti ako prepájací dokument:
„SoA je v skutočnosti prepájací dokument: spája vaše posúdenie/ošetrenie rizík so skutočnými kontrolami, ktoré máte. Jeho vyplnením zároveň opätovne skontrolujete, či ste nevynechali niektoré kontroly.“
Tento koncept je ústredný pre pripravenosť podľa ISO/IEC 27701:2025, ISO/IEC 29151:2022, GDPR, NIS2 a DORA. Každá kontrola PII má byť sledovateľná od požiadavky k riziku, od rizika ku kontrole, od kontroly k vlastníkovi, od vlastníka k dôkazu a od dôkazu k preskúmaniu.
| Položka sledovateľnosti | Príklad pre PII v zákazníckej podpore | Očakávané dôkazy |
|---|---|---|
| Aktívum PII | Ticketovací systém podpory s menami zákazníkov, e-mailmi, logmi a prílohami | Záznam v registri aktív, vlastník, cloudové umiestnenie, klasifikácia |
| Účel spracúvania | Zákaznícka podpora a diagnostika služieb | Register spracúvania, právny základ, lehota uchovávania |
| Rizikový scenár | Pracovník podpory alebo vývojár pristupuje k nadmernému rozsahu zákazníckych údajov | Záznam v registri rizík, pravdepodobnosť, dopad, vlastník |
| Výber kontrol | 5.34 ochrana PII, 5.18 prístupové práva, 8.11 maskovanie, 8.15 logovanie, 5.23 cloudová správa a riadenie | SoA, politika prístupu, štandard maskovania, konfigurácia logovania |
| Prevádzkové dôkazy | Prístup na základe rolí, maskované exporty, štvrťročná revízia prístupových práv, upozorňovanie na hromadné sťahovania | Záznamy o revízii prístupových práv, upozornenia DLP, logy, dôkazy v tikete |
| Regulačné mapovanie | Zodpovednosť a bezpečnosť podľa GDPR, riadenie rizík podľa NIS2, požiadavky DORA na riziká IKT a dodávateľov | Matica súladu, playbook incidentov, register dodávateľských zmlúv |
| Dôkazy o preskúmaní | Uzatvorené zistenie vnútorného auditu, prijaté opatrenie z preskúmania manažmentom | Správa z auditu, nápravné opatrenie, zápisnica z preskúmania manažmentom |
ISO/IEC 27005:2022 podporuje tento prístup založený na rizikách zdôraznením požiadaviek zainteresovaných strán, spoločných kritérií rizík, zodpovedných vlastníkov rizík, opakovateľného posúdenia rizík, ošetrenia rizík, výberu kontrol, zosúladenia Vyhlásenia o aplikovateľnosti, schválenia zvyškového rizika, monitorovania a neustáleho zlepšovania. Ochrana PII má byť živým cyklom rizík, nie jednorazovým dokumentačným cvičením pre GDPR.
Opravte rizikový tabuľkový súbor a stagingovú databázu
Sarahin incident sa môže zmeniť na opakovateľný balík kontrol, ak sa náprava rieši systematicky.
| Krok | Opatrenie | Výstup dôkazov Clarysec |
|---|---|---|
| 1 | Zaregistrovať stagingovú databázu a tabuľkový súbor ako aktíva PII | Záznamy v inventarizácii aktív s vlastníkom, umiestnením, klasifikáciou, kategóriami PII, účelom a uchovávaním |
| 2 | Aktualizovať činnosť spracúvania | Záznam v registri uvádzajúci kategórie údajov, právny základ, účel a lehotu uchovávania |
| 3 | Klasifikovať súbory a súbory údajov | Predvolene uplatnená klasifikácia Dôverné alebo vyššia až do formálneho preskúmania |
| 4 | Odstrániť skutočné PII z neprodukčného prostredia | Maskovaný alebo pseudonymizovaný súbor údajov vygenerovaný zo schválených transformačných šablón |
| 5 | Obmedziť a preskúmať prístup | Oprávnenia podľa zásady potreby vedieť, odobraný nadmerný prístup, záznam o revízii prístupových práv |
| 6 | Chrániť transformačnú logiku a kľúče | Šifrovaný, prístupovo riadený a logovaný prístup ku kľúčom |
| 7 | Centrálne zachytiť dôkazy | Záznam o aktíve, záznam o riziku, revízia prístupových práv, dôkaz o výmaze, schválenie maskovania a uzatvorenie tiketu |
| 8 | Aktualizovať SoA a plán ošetrenia rizík | Rizikový scenár prepojený s 5.34, 5.18, 8.11, 8.15, 8.10, 5.23 a kontrolami dodávateľov |
| 9 | Rozhodnúť, či je potrebná DPIA | DPIA alebo zdokumentované odôvodnenie rozhodnutí o vysokorizikovom spracúvaní |
| 10 | Zaznamenať získané poučenia | Aktualizované školenie, pravidlá bezpečného vývoja, kontroly exportu, monitorovanie DLP a usmernenia k testovacím údajom |
Politika Audit and Compliance Monitoring Policy-sme Politika monitorovania auditov a súladu – MSP uvádza:
„Všetky dôkazy musia byť uložené v centralizovanom auditnom priečinku.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.
Politika informačnej bezpečnosti Politika informačnej bezpečnosti výslovne stanovuje širšie auditné očakávanie:
„Všetky implementované kontroly musia byť overiteľné auditom, podporené zdokumentovanými postupmi a uchovanými dôkazmi o fungovaní.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.6.1.
Tieto dve ustanovenia predstavujú rozdiel medzi tým, že kontrolu máte, a tým, že ju viete preukázať.
Mapovanie naprieč rámcami súladu pre jeden súbor kontrol PII
Ochrana PII sa ľahšie obhajuje, keď je zmapovaná naprieč rámcami ešte predtým, ako sa na ňu opýta audítor.
| Téma ochrany PII | Relevantnosť pre GDPR | Relevantnosť pre ISO/IEC 27001:2022, ISO/IEC 27701:2025 a ISO/IEC 29151:2022 | Relevantnosť pre NIS2 | Relevantnosť pre DORA | Auditný pohľad NIST a COBIT 2019 |
|---|---|---|---|---|---|
| Inventarizácia PII a register spracúvania | Zodpovednosť, právny základ, obmedzenie účelu, obmedzenie uchovávania | Kontext ISMS, 5.9 inventarizácia aktív, manažérstvo informácií o ochrane súkromia, ochrana PII | Správa aktív a analýza rizík | Povedomie o závislostiach aktív a služieb IKT | Dôkazy pre funkciu Identify a správa a riadenie informačných aktív |
| Prístupové práva a zásada minimálnych oprávnení | Integrita a dôvernosť, prístup obmedzený podľa roly | 5.15 riadenie prístupu, 5.16 správa identít, 5.18 prístupové práva, 8.2 privilegované prístupové práva | Riadenie prístupu, bezpečnosť ľudských zdrojov, autentifikácia | Kontroly rizík IKT a dohľad nad privilegovaným prístupom | Uplatňovanie prístupu, vlastníctvo, zodpovednosť a monitorovanie |
| Maskovanie a pseudonymizácia | Minimalizácia údajov, ochrana údajov už od návrhu, bezpečnosť spracúvania | 5.12 klasifikácia, 5.34 ochrana PII, 8.11 maskovanie údajov, 8.33 testovacie informácie | Kybernetická hygiena a bezpečný vývoj | Bezpečné testovanie, znižovanie straty údajov, prevádzková odolnosť | Testovanie technických ochranných opatrení a spoľahlivé fungovanie kontrol |
| Klasifikácia a nahlasovanie incidentov | Posúdenie a oznámenie porušenia ochrany osobných údajov | Plánovanie incidentov, posúdenie udalostí, reakcia, zber dôkazov | Včasné varovanie do 24 hodín, oznámenie do 72 hodín, záverečná správa | Klasifikácia a hlásenie závažných incidentov súvisiacich s IKT | Kritériá eskalácie, rozhodovacie logy, koreňová príčina, náprava |
| Spracúvanie dodávateľmi a v cloude | Povinnosti sprostredkovateľov, prenosy, zmluvy | 5.21 dodávateľský reťazec IKT, 5.23 cloudové služby, 5.31 právne a zmluvné požiadavky | Bezpečnosť dodávateľského reťazca | Riziko tretích strán v oblasti IKT, práva na audit, ukončenie a prechod | Správa a riadenie tretích strán, uistenie a zodpovednosť manažmentu |
Práve tu je Zenith Controls mimoriadne užitočný. Pri 5.34 mapuje ochranu PII na inventarizáciu aktív, maskovanie údajov a cloudovú správu a riadenie. Pri 8.11 mapuje maskovanie na klasifikáciu, ochranu súkromia a testovacie informácie. Pri 5.18 mapuje prístupové práva na riadenie prístupu, správu identít a privilegovaný prístup. Tieto vzťahy umožňujú tímu vysvetliť nielen to, že kontrola existuje, ale aj prečo existuje a ktoré susedné kontroly musia fungovať spolu s ňou.
Ako rôzni audítori testujú tú istú kontrolu PII
Jedna kontrola, napríklad 8.11 maskovanie údajov, bude skúmaná odlišne podľa auditného pohľadu.
| Typ audítora | Primárne zameranie | Dôkazy, ktoré bude očakávať |
|---|---|---|
| Audítor ISO/IEC 27001:2022 a ISO/IEC 27701:2025 | Integrácia ISMS a PIMS, ošetrenie rizík, presnosť SoA | Posúdenie rizík, záznam SoA, politika maskovania, záznamy o zmenách, výsledky vnútorného auditu |
| Posudzovateľ GDPR alebo orgán ochrany údajov | Ochrana údajov už od návrhu, minimalizácia, zodpovednosť | Register spracúvania, právny základ, DPIA, dôkazy o pseudonymizácii, logika uchovávania |
| Posudzovateľ zameraný na NIS2 | Bezpečný vývoj, prevencia incidentov, správa a riadenie | Postup bezpečného vývoja, školenie vývojárov, dôkazy o náprave incidentu, preskúmanie účinnosti kontrol |
| Zákazník alebo audítor podľa DORA | Digitálna prevádzková odolnosť a riziko tretích strán | Dôkazy o testovaní kritických aplikácií, doložky dodávateľských zmlúv, povinnosti podpory pri incidentoch, plánovanie obnovy a ukončenia |
| Posudzovateľ podľa prístupu NIST alebo COBIT 2019 | Návrh kontroly, fungovanie, vlastníctvo, monitorovanie | Vlastník kontroly, metriky, úložisko dôkazov, reporting manažmentu, nápravné opatrenia |
Audítor ISO/IEC 27001:2022 začína logikou systému manažérstva. Je PII v rozsahu? Sú identifikované požiadavky zainteresovaných strán? Sú riziká ochrany súkromia posudzované podľa definovaných kritérií? Sú kontroly vybrané prostredníctvom ošetrenia rizík? Je SoA presné? Pokrývajú vnútorné audity a preskúmania manažmentom kontroly súvisiace s PII?
Posudzovateľ ochrany súkromia začína zodpovednosťou. Aké osobné údaje sa spracúvajú? Aký je právny základ? Sú dotknuté osoby informované? Je spracúvanie obmedzené na konkrétny účel? Sú vysokorizikové činnosti posúdené? Sú sprostredkovatelia riadení?
Posudzovateľ zameraný na NIS2 začína správou a riadením a riadením kybernetických bezpečnostných rizík. Schvaľuje manažment opatrenia a vykonáva nad nimi dohľad? Sú integrované riešenie incidentov, kontinuita, bezpečnosť dodávateľov, riadenie prístupu, správa aktív, bezpečný vývoj a posudzovanie účinnosti kontrol?
Zákazník alebo audítor podľa DORA sa pýta, či je riadenie rizík IKT zdokumentované, riadené predstavenstvom, primerané a podporené zmluvami. Ak sa PII spracúvajú v službách podporujúcich finančné subjekty, očakávajte otázky k asistencii pri incidentoch, miestam spracúvania údajov, obnove, právam na audit, úrovniam služieb, ukončeniu a výstupu.
Posudzovateľ podľa prístupu COBIT 2019 alebo ISACA testuje zosúladenie správy a riadenia. Kto vlastní riziko PII? Ktorý riadiaci orgán dostáva reporting? Sú pridelené zodpovednosti? Sú dodávatelia monitorovaní? Sledujú sa odchýlky? Používajú sa metriky na rozhodovanie? Je zvyškové riziko formálne akceptované?
Jeden dôkazový model môže uspokojiť všetky tieto pohľady, ale iba vtedy, ak je systém kontrol od začiatku navrhnutý na sledovateľnosť.
Bežné auditné zistenia v programoch ochrany PII
Organizácie, ktoré pristupujú k pripravenosti na ISO/IEC 27701:2025 alebo ISO/IEC 29151:2022 bez integrovaného nástroja, často vidia rovnaké zistenia.
| Zistenie | Prečo je to dôležité | Náprava podľa Clarysec |
|---|---|---|
| Inventarizácia PII nezahŕňa logy, zálohy, analytické exporty alebo prílohy podpory | Skryté PII nemožno spoľahlivo chrániť ani vymazať | Rozšíriť inventarizáciu aktív v kroku 9 a register spracúvania o všetky umiestnenia PII |
| Testovacie prostredia používajú produkčné údaje | Skutočné PII sú vystavené tam, kde to nie je nevyhnutné | Presadiť politiku maskovania a schválené transformačné šablóny |
| Revízia prístupových práv je generická a nezameriava sa na repozitáre PII | Nadmerný prístup zostáva nezistený | Namapovať 5.18 prístupové práva na vlastníkov aktív PII a dôkazy o pravidelnom preskúmaní |
| Právny základ je zdokumentovaný, ale nie je prepojený so systémami ani uchovávaním | Zodpovednosť podľa GDPR nemožno preukázať | Doplniť polia právneho základu a uchovávania do registra spracúvania a inventarizácie aktív |
| Dodávateľské zmluvy neobsahujú miesto spracúvania údajov, asistenciu pri incidentoch, práva na audit alebo ustanovenia o ukončení | Pretrvávajú medzery v uistení dodávateľov podľa DORA, NIS2 a GDPR | Zosúladiť due diligence dodávateľov a zmluvy so správou a riadením tretích strán v oblasti IKT a cloudových služieb |
| Playbooky incidentov nerozlišujú bezpečnostné incidenty od porušení ochrany osobných údajov | Môže dôjsť k zmeškaniu lehôt na hlásenie | Vybudovať klasifikačné stromy pre spúšťače hlásenia podľa GDPR, NIS2 a DORA |
| Dôkazy sú roztrúsené v tiketoch, úložiskách, snímkach obrazovky a e-mailoch | Pripravenosť na audit zlyháva aj tam, kde kontroly fungujú | Používať centralizované auditné priečinky a štandardy pomenúvania dôkazov |
Tieto zistenia nie sú administratívne problémy. Sú to problémy prevádzkového modelu. ISO/IEC 27701:2025 a ISO/IEC 29151:2022 ich nevyriešia, ak správa ochrany súkromia, bezpečnostné kontroly a správa dôkazov nie sú zabudované do bežných pracovných tokov.
Na čo sa má manažment opýtať pred ďalším auditom
Pred tým, ako sa organizácia pustí do pripravenosti na ISO/IEC 27701:2025, implementácie ISO/IEC 29151:2022 alebo zákazníckeho posúdenia podľa GDPR, NIS2 či DORA, si má manažment položiť desať priamych otázok:
- Máme úplný register činností spracúvania PII vrátane kategórií údajov, účelu, právneho základu a uchovávania?
- Sú aktíva PII označené v inventarizácii aktív vrátane logov, záloh, exportov, analytických nástrojov a príloh podpory?
- Sú klasifikácie údajov priradené pri vytvorení alebo onboardingu, pričom nepreskúmané aktíva sú predvolene Dôverné?
- Vieme preukázať, že prístup k PII je obmedzený na autorizovaných používateľov so zásadou potreby vedieť?
- Používajú vývojové, testovacie a stagingové prostredia maskované alebo pseudonymizované údaje namiesto skutočných osobných údajov?
- Sú šablóny maskovania schválené, kľúče chránené, prístupovo riadené a logované?
- Prepája SoA riziká PII s kontrolami a regulačnými povinnosťami?
- Sú cloudové a dodávateľské zmluvy preskúmané z hľadiska miesta spracúvania údajov, bezpečnosti, podpory pri incidentoch, práv na audit, obnovy a ukončenia?
- Vie náš incidentný proces klasifikovať porušenia ochrany osobných údajov podľa GDPR, významné incidenty podľa NIS2 a závažné incidenty súvisiace s IKT podľa DORA?
- Sú dôkazy uložené centrálne a uchovávané spôsobom, ktorý vie audítor sledovať?
Ak je odpoveď na ktorúkoľvek z týchto otázok nejasná, organizácia ešte nie je pripravená na audit.
Urobte ochranu PII preukázateľnou
Sarahin nočný incident sa mohol zmeniť na roztrieštený boj o súlad. Namiesto toho sa môže stať východiskom pre silnejší prevádzkový model: ISMS podľa ISO/IEC 27001:2022 rozšírený o ochranu súkromia prostredníctvom ISO/IEC 27701:2025, posilnený postupmi ISO/IEC 29151:2022 a mapovaný na GDPR, NIS2, DORA, uistenie podľa prístupu NIST a očakávania správy a riadenia podľa COBIT 2019.
To je skutočná hodnota auditne pripravenej ochrany PII. Nezávisí od toho, či sa pred príchodom audítora nájde správny tabuľkový súbor. Závisí od systému, ktorý už vie, kde sa PII nachádzajú, prečo existujú, ako sú chránené, kto nesie zodpovednosť, ktorí dodávatelia sú zapojení a kde sa nachádzajú dôkazy.
Začnite s Zenith Blueprint: 30-krokovou cestovnou mapou audítora Zenith Blueprint, aby ste štruktúrovali svoju implementáciu. Použite Zenith Controls: sprievodcu súladom naprieč rámcami Zenith Controls na mapovanie ochrany PII naprieč ISO/IEC 27001:2022, GDPR, NIS2, DORA, uistením podľa prístupu NIST a očakávaniami správy a riadenia podľa COBIT 2019. Prácu zaveďte do prevádzky pomocou politík Clarysec vrátane Politiky ochrany údajov a súkromia Politika ochrany údajov a súkromia, Politiky maskovania údajov a pseudonymizácie Politika maskovania údajov a pseudonymizácie, Politiky klasifikácie a označovania údajov Politika klasifikácie a označovania údajov, Politiky monitorovania auditov a súladu-sme Politika monitorovania auditov a súladu – MSP a Politiky informačnej bezpečnosti Politika informačnej bezpečnosti.
Ak sa blíži váš ďalší zákaznícky audit, preskúmanie podľa GDPR, projekt pripravenosti na NIS2 alebo posúdenie dodávateľa podľa DORA, nečakajte, kým porušenie odhalí medzery. Stiahnite si nástroje Clarysec, požiadajte o demo alebo si naplánujte posúdenie ochrany PII a vybudujte program ochrany súkromia, ktorý nie je iba v súlade, ale je aj obhájiteľný.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
