Klasifikácia údajov pre ISO 27001, GDPR, NIS2 a DORA

Auditný moment roka 2026: „Ukážte mi dôkazy“

Je február 2026 a štvrťročné zasadnutie predstavenstva v rýchlo rastúcej fintech spoločnosti poskytujúcej SaaS neprebieha tak hladko, ako CISO očakával.

Spoločnosť nedávno získala certifikáciu podľa ISO/IEC 27001:2022. Má zavedenú MFA, ochranu koncových bodov, skenovanie zraniteľností, revízie prístupových práv, postupy reakcie na incidenty a prepracovanú správu o pripravenosti na DORA. Potom generálny riaditeľ položí otázku, ktorá zmení atmosféru v miestnosti.

„Náš hlavný investor sa pýta, ako vieme preukázať, že finančné údaje zákazníkov sú konzistentne chránené naprieč AWS, Azure, našou SaaS platformou podpory a analytickým dátovým skladom. Ak audítor vytiahne jeden súbor z objektového úložiska a druhý z priečinka na spoluprácu, ako vieme, že sa na ne vzťahujú rovnaké pravidlá?“

CISO otvorí register aktív. Obsahuje databázy, cloudové účty, aplikácie, SaaS platformy a úložiská. Pole klasifikácie je však neúplné. Niekoľko priečinkov je pomenovaných podľa oddelenia, nie podľa citlivosti. Exporty zákazníckych údajov ležia vedľa interných reportovacích súborov. Niektoré podporné tabuľky obsahujú identifikátory zákazníkov, platobné referencie a poznámky k prípadom, ale sú označené ako „interné“. Pravidlá DLP existujú, no spúšťajú sa iba pri zrejmých vzoroch. Cloudová politika stanovuje, že osobné údaje z EÚ musia zostať v schválených regiónoch, ale tím nevie preukázať, že pravidlá lokalizácie údajov sú riadené metadátami klasifikácie.

Potom manažér pre súlad doplní regulačný rozmer: „Bude to postačovať pre článok 32 GDPR, článok 21 NIS2 a dôkazy k riadeniu rizík IKT podľa DORA?“

Úprimná odpoveď znie: zatiaľ nie.

Toto je medzera roku 2026, ktorej čelí mnoho organizácií. Majú bezpečnostné kontrolné opatrenia, ale nemajú vrstvu riadenia a správy, ktorá každej kontrole určuje, čo má chrániť, s akou intenzitou a ako to preukázať. Touto vrstvou riadenia a správy je klasifikácia údajov a označovanie informácií.

V terminológii ISO/IEC 27001:2022 nie sú klasifikácia a označovanie kozmetickými postupmi správy dokumentov. Sú praktickým mostom medzi posúdením rizík, riadením prístupu, šifrovaním, uchovávaním, DLP, lokalizáciou údajov v cloude, due diligence dodávateľov, monitorovaním a nahlasovaním incidentov. V implementačnom modeli Clarysec stoja v strede dôkazového reťazca ISMS: zaevidovať aktívum, priradiť vlastníka, klasifikovať ho, označiť ho, uplatniť pravidlá nakladania, monitorovať výnimky a ukázať audítorom sledovateľnosť.

Prečo sú klasifikácia a označovanie kontrolnými opatreniami na úrovni predstavenstva

Regulátori a zákazníci čoraz viac očakávajú, že organizácie preukážu primeranosť bezpečnostných opatrení voči citlivosti údajov, kritickosti služby a dopadu zlyhania na činnosť organizácie.

GDPR to výslovne vyžaduje prostredníctvom zodpovednosti. Článok 5 vyžaduje, aby sa osobné údaje spracúvali zákonne, spravodlivo a transparentne, aby boli obmedzené na nevyhnutný rozsah, uchovávali sa iba tak dlho, ako je potrebné, a boli chránené primeranými technickými a organizačnými opatreniami. Prevádzkovateľ musí byť zároveň schopný preukázať súlad. Článok 32 GDPR sa potom ťažko dokladuje bez znalosti toho, ktoré systémy spracúvajú osobné údaje, ktoré údaje sú vysokorizikové alebo patria do osobitnej kategórie, kde sú uložené a ktoré ochranné opatrenia sa uplatňujú.

NIS2 zvyšuje latku riadenia a správy. Článok 20 vyžaduje, aby riadiace orgány základných a dôležitých subjektov schvaľovali opatrenia riadenia kybernetických rizík, dohliadali na ich implementáciu a absolvovali školenie. Článok 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, bezpečnostných politík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečnosti pri obstarávaní a vývoji, posudzovania účinnosti, kybernetickej hygieny, školenia, kryptografie, bezpečnosti ľudských zdrojov, riadenia prístupu a správy aktív. Klasifikácia nie je v tomto zozname samostatnou formálnou požiadavkou. Je rozhodovacím systémom, ktorý robí tieto opatrenia primeranými.

DORA uplatňuje rovnakú logiku na finančné subjekty a fintech ekosystémy. Od 17. januára 2025 DORA vyžaduje zdokumentovaný rámec riadenia rizík IKT, zodpovednosť riadiaceho orgánu, politiky pre dôvernosť, integritu, dostupnosť a autentickosť, klasifikáciu incidentov, testovanie odolnosti a riadenie rizík tretích strán v oblasti IKT. Pre finančné subjekty regulované podľa DORA môže DORA fungovať ako odvetvovo špecifický právny akt Únie namiesto prekrývajúcich sa povinností riadenia rizík a nahlasovania podľa NIS2, ale očakávanie dôkazov zostáva rovnaké: ukázať, ako sú kritické informácie a IKT aktíva identifikované, chránené, testované, monitorované a riadené.

ISO/IEC 27001:2022 je na tento dôkazový rámec vhodný ako operačný systém. Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia porozumela interným a externým otázkam, požiadavkám zainteresovaných strán, regulačným a zmluvným povinnostiam a rozhraniam s inými organizáciami. Kapitoly 6.1.1 až 6.1.3 vyžadujú posúdenie rizík, ošetrenie rizík, výber kontrolných opatrení, vyhlásenie o aplikovateľnosti a uchovávané dôkazy. ISO/IEC 27001:2022

Ak sa GDPR, NIS2 a DORA pýtajú: „Prečo ste uplatnili tieto opatrenia?“, ISO/IEC 27001:2022 pomáha odpovedať: „Pretože tieto aktíva, typy údajov, riziká, povinnosti a rozhodnutia o ošetrení rizík nás priviedli k týmto opatreniam.“

Klasifikácia je rizikové rozhodnutie. Označovanie je prevádzkový signál.

Clarysec oddeľuje klasifikáciu a označovanie, pretože audítori ich oddeľujú tiež.

Klasifikácia je rozhodnutie o citlivosti, hodnote a kritickosti informácií. Označovanie robí toto rozhodnutie viditeľným, trvalým a vynútiteľným v každodennej prevádzke.

Politika klasifikácie a označovania údajov – MSP od Clarysec jasne stanovuje účel:

Táto politika definuje, ako musia byť všetky informácie spracúvané organizáciou klasifikované a označované, aby bola počas celého ich životného cyklu zachovaná ich dôvernosť, integrita a dostupnosť.

Tá istá Politika klasifikácie a označovania údajov – MSP od organizácií vyžaduje:

Vyžadovať, aby každé dátové aktívum bolo klasifikované podľa svojej citlivosti a zodpovedajúcim spôsobom označené s cieľom usmerniť správne nakladanie, uchovávanie a prístup.

Pre podnikové prostredia P13 Politika klasifikácie a označovania údajov od Clarysec definuje minimálny klasifikačný model:

Organizácia musí udržiavať štandardizovanú klasifikačnú schému s jasne definovanými úrovňami. Minimálne sa musia používať tieto klasifikačné úrovne: 5.1.1 Verejné: Informácie určené na otvorené zverejnenie a neobmedzenú distribúciu 5.1.2 Interné: Neverejné informácie organizácie, ktoré nie sú určené na externé zverejnenie 5.1.3 Dôverné: Citlivé obchodné, zmluvné alebo zákaznícke údaje vyžadujúce prísne riadenie prístupu 5.1.4 Obmedzené (alebo vysoko dôverné): Kritické alebo regulované informácie, pri ktorých by neoprávnené zverejnenie mohlo spôsobiť významnú ujmu alebo právnu zodpovednosť

Na tomto rozlíšení záleží. Klasifikácia „Dôverné“ môže vyžadovať šifrovanie, prístup na základe rolí a zmluvné ochranné opatrenia. Klasifikácia „Obmedzené“ môže spustiť MFA, schválenie externého zdieľania zo strany CISO, rozšírené logovanie, prísnejšiu správu uchovávania, segregáciu a prioritnú eskaláciu incidentov.

Podniková politika výslovne upravuje prevádzkové označovanie:

Všetky informačné aktíva musia byť označené spôsobom, ktorý je: 6.2.1.1 Trvalý: Nie je ľahko odstrániteľný ani prepísateľný 6.2.1.2 Viditeľný: Jasný pre používateľov v mieste použitia 6.2.1.3 Strojovo čitateľný: Kde je to možné, musí byť podporované označovanie založené na metadátach

Strojovo čitateľné označenia sú bodom, v ktorom program dozrieva od povedomia k vynucovaniu. Ak sú označenia založené na metadátach, cloudové platformy, systémy DLP, e-mailové brány, nástroje identity, pravidlá SIEM, platformy CASB a mechanizmy uchovávania na ne môžu reagovať. Ak sú označenia iba v pätičke dokumentu, môžu pomôcť používateľom, ale nedokážu spoľahlivo vynucovať pravidlá vo veľkom rozsahu.

Kde má klasifikácia miesto v cestovnej mape Clarysec

Zenith Blueprint: 30-kroková cestovná mapa audítora od Clarysec umiestňuje klasifikáciu na začiatok životného cyklu riadenia rizík, nie až po nasadení technológií. Vo fáze riadenia rizík, v kroku 9 „Identifikácia aktív, hrozieb a zraniteľností“, cestovná mapa usmerňuje tímy, aby inventarizovali informačné aktíva a zaznamenali vlastníka, umiestnenie a klasifikáciu.

Tým sa predchádza častému zlyhaniu: mať cloudový inventár, ale nie inventár informácií. Databáza, SaaS tenant alebo dátový sklad je technologické aktívum. Záznamy zákazníkov, zamestnanecké spisy, platobné logy, tréningové dátové súbory modelov, prepisy podpory a dôkazy o incidente v nich sú informačné aktíva. Klasifikácia patrí práve na túto informačnú úroveň.

Usmernenie Zenith Blueprint ku kontrolnému opatreniu ISO/IEC 27002:2022 5.12, Klasifikácia informácií, vysvetľuje princíp:

Každé kontrolné opatrenie informačnej bezpečnosti, ktoré kedy bolo napísané, či už obmedzenie prístupu, šifrovanie, zálohovanie, monitorovanie alebo likvidácia, predpokladá jednu vec: že organizácia vie, čo chráni. Kontrolné opatrenie 5.12 vyžaduje, aby informácie boli klasifikované podľa svojej hodnoty, citlivosti a kritickosti, čím vytvára základ pre všetky následné rozhodnutia v rámci ISMS.

Pri kontrolnom opatrení ISO/IEC 27002:2022 5.13, Označovanie informácií, tá istá cestovná mapa premieňa klasifikáciu na každodenné správanie:

Označovanie je spôsob, ako premeniť abstraktnú politiku na prevádzkovú realitu. Je to moment, keď používateľ pri pohľade na dokument, e-mail, databázové pole alebo vytlačenú správu okamžite vie: čo táto informácia je, aká je citlivá a ako sa s ňou má zaobchádzať.

Posledné prepojenie v cestovnej mape sa objavuje v kroku 13 „Plánovanie ošetrenia rizík a vyhlásenie o aplikovateľnosti“. Zenith Blueprint opisuje SoA ako most medzi rizikami, ošetreniami a kontrolnými opatreniami. Tu sa klasifikácia mení na auditnú sledovateľnosť. Rizikový scenár, ako napríklad „neoprávnené zverejnenie finančných údajov zákazníkov zo zdieľaného cloudového úložiska“, možno namapovať na klasifikáciu, označovanie, riadenie prístupu, šifrovanie, logovanie, DLP, používanie cloudu, požiadavky na dodávateľov a reakciu na incidenty.

Vzťahy medzi kontrolnými opatreniami, ktoré audítori očakávajú

V Zenith Controls: príručka krížového súladu od Clarysec je kontrolné opatrenie ISO/IEC 27002:2022 5.12, Klasifikácia informácií, mapované ako preventívne opatrenie podporujúce dôvernosť, integritu a dostupnosť. Je priradené ku kyberbezpečnostnému konceptu Identify, prevádzkovej schopnosti Information Protection a bezpečnostným doménam Protection and Defense.

Pre kontrolné opatrenie ISO/IEC 27002:2022 5.13, Označovanie informácií, Zenith Controls mapuje opatrenie ako preventívne, zamerané na Protect, s rovnakými vlastnosťami informačnej bezpečnosti a prevádzkovou schopnosťou Information Protection.

Kľúčový poznatok je, že klasifikácia a označovanie nie sú izolované. Robia okolité kontrolné opatrenia obhájiteľnými.

Zenith Controls mapuje kontrolné opatrenie 5.12 na článok 32 GDPR a odôvodnenie 83, NIS2 Article 21(2)(a) a 21(2)(f), ISO/IEC 27701 Annex B, NIST SP 800-53 MP-3 a PM-11, FIPS 199 a NIST SP 800-60 a COBIT 2019 DSS06.06 a APO13.01. Kontrolné opatrenie 5.13 mapuje na článok 32 GDPR, NIS2 Article 21(2)(a) a 21(2)(f), DORA Article 9(1) a 9(2), NIST SP 800-53 MP-3 a COBIT 2019 DSS06.06.

To znamená, že jedna sada dôkazov môže odpovedať na viacero otázok uistenia.

Register aktív je miesto, kde sa klasifikácia mení na dôkaz

Mnohé klasifikačné programy zlyhávajú, pretože klasifikačná schéma existuje iba v politike. Prístup Clarysec začína inventarizáciou aktív.

P12 Politika správy aktív od Clarysec vyžaduje, aby inventár aktív obsahoval úroveň klasifikácie ako minimálne pole:

Inventár aktív musí obsahovať minimálne: 5.3.1 ID aktíva, kategóriu a typ 5.3.2 Sériové číslo alebo unikátny štítok (pre fyzické aktíva) 5.3.3 Verziu softvéru alebo licenčný kľúč (pre softvérové aktíva) 5.3.4 Vlastníka aktíva 5.3.5 Úroveň klasifikácie (Verejné, Interné, Dôverné, Obmedzené) 5.3.6 Umiestnenie (fyzické, virtuálne, cloudové) 5.3.7 Stav životného cyklu (aktívne, v údržbe, vyradené)

Toto priamo nadväzuje na plánovanie rizík podľa ISO/IEC 27001:2022. Ak neviete identifikovať informačné aktívum, vlastníka, umiestnenie a klasifikáciu, neviete konzistentne posúdiť pravdepodobnosť, dopad, prioritu ošetrenia ani zostatkové riziko. Rovnako neviete s istotou rozhodnúť, či dodávateľský vzťah, cloudová služba alebo SaaS integrácia ovplyvňuje regulované informácie.

Pre GDPR to podporuje zodpovednosť. Záznamy o spracovateľských činnostiach podľa článku 30 a bezpečnostné opatrenia podľa článku 32 sú dôveryhodnejšie, keď register aktív identifikuje, kde sa osobné údaje spracúvajú a ako sú chránené. Pre DORA ten istý register podporuje kritickosť IKT aktív a služieb, rozsah testovania odolnosti a analýzu závislostí od tretích strán. Pre NIS2 podporuje analýzu rizík, riadenie prístupu a správu aktív.

Takýto záznam mení tón auditu. Namiesto tvrdenia „veríme, že citlivé údaje sú chránené“ môže organizácia ukázať, aké údaje to sú, kto ich vlastní, prečo sú Obmedzené, ktoré kontrolné opatrenia sa uplatňujú a kedy boli tieto opatrenia naposledy preskúmané.

Označenia musia riadiť pravidlá nakladania v cloude a SaaS

Väčšina citlivých údajov dnes prechádza cez cloudové platformy, SaaS aplikácie, analytické pipeline a nástroje na spoluprácu. Politika, ktorá používateľom hovorí, aby „s dôvernými údajmi zaobchádzali opatrne“, nestačí.

P27 Politika používania cloudových služieb od Clarysec priamo prepája používanie cloudu s klasifikáciou a lokalizáciou údajov:

Klasifikácia a lokalizácia údajov 6.6.1 Žiadne údaje sa nesmú presunúť na cloudovú platformu bez klasifikácie v súlade s Politikou klasifikácie a označovania údajov (P13). 6.6.2 Požiadavky na lokalizáciu údajov musia byť zmluvne vynútené (napr. úložisko iba v EÚ pre údaje regulované podľa GDPR). 6.6.3 Cezhraničné prenosy údajov musia byť v súlade s kapitolou V GDPR a, kde je to uplatniteľné, DORA Article 28.

Je to dôležité, pretože cloudové riziko často vzniká z pohodlnosti. Tím exportuje dátový súbor do nového analytického nástroja. Obchod synchronizuje zoznamy zákazníkov do automatizačnej platformy. Vývojár skopíruje produkčné údaje do testovacieho prostredia. Bez klasifikácie a označovania tieto kroky nemusia spustiť právne preskúmanie, bezpečnostné schválenie ani kontroly dodávateľov.

Politika klasifikácie a označovania údajov – MSP dáva menším organizáciám jednoduchý implementačný vzor:

Zdieľané priečinky alebo cloudové úložiská musia používať názvy priečinkov alebo tagy na označenie klasifikácie (napr. „/Clients_Confidential“).

V zrelších prostrediach majú byť názvy priečinkov doplnené strojovo čitateľnými označeniami, politikami podmieneného prístupu, blokovaním externého zdieľania, šifrovaním, označeniami uchovávania, pravidlami DLP a logovaním. Cieľom nie je iba označiť informácie. Cieľom je, aby bolo označenie vykonateľné.

Označenie „Obmedzené“ môže spustiť blokovanie externého zdieľania, šifrovanie v pokoji a pri prenose, MFA, obmedzenia sťahovania na nespravovaných zariadeniach, uchovávanie auditných záznamov, upozornenia SIEM, pravidlá uchovávania, obmedzenia lokality dodávateľa a eskaláciu závažnosti incidentu.

P13 Politika klasifikácie a označovania údajov stanovuje základnú požiadavku:

Všetko nakladanie s údajmi, prenos, prístup, uchovávanie a likvidácia informácií musia byť v súlade s ich úrovňou klasifikácie. Minimálne platí: 6.3.1.1 Verejné: Môžu byť voľne zverejnené; nevyžaduje sa osobitné nakladanie 6.3.1.2 Interné: Zdieľané v rámci organizácie; uložené v bezpečných interných systémoch 6.3.1.3 Dôverné: 6.3.1.3.1 Prístup je obmedzený iba na oprávnený personál 6.3.1.3.2 Musia byť šifrované pri prenose aj v pokoji 6.3.1.3.3 Externe sa smú zdieľať iba na základe NDA alebo rovnocenných zmluvných ochranných opatrení 6.3.1.4 Obmedzené: 6.3.1.4.1 Uplatňujú sa najvyššie bezpečnostné požiadavky 6.3.1.4.2 Vyžadujú sa silné kontroly prístupu, viacfaktorová autentifikácia (MFA) a auditné logovanie 6.3.1.4.3 Fyzická a logická segregácia, kde je uskutočniteľná 6.3.1.4.4 Externé zdieľanie je zakázané bez schválenia CISO

Každé označenie má správanie. Každé správanie má kontrolné opatrenie. Každé kontrolné opatrenie má dôkaz.

Praktický príklad uplatňovania

Predstavte si fintech analytika, ktorý vytvorí Q3_2026_Customer_Churn_Analysis.xlsx. Tabuľka obsahuje ID zákazníkov, objemy transakcií a prediktívne skórovanie odchodu zákazníkov.

Analytik ju klasifikuje ako Dôvernú, pretože obsahuje zákaznícke údaje a strategickú analýzu. Pomocou nástroja organizácie na ochranu informácií analytik aplikuje označenie Dôverné. Keďže označenie je trvalé, viditeľné a strojovo čitateľné, kontrolné opatrenia sa aktivujú automaticky.

Súbor je šifrovaný v pokoji na zariadení aj v cloudovom úložisku. Viditeľná hlavička ho označuje ako Dôverný. Keď sa ho analytik pokúsi synchronizovať do osobného cloudového úložiska, pravidlo DLP akciu zablokuje a zaloguje pokus. Keď sa ho analytik pokúsi odoslať e-mailom na externú doménu, ktorá nepatrí partnerovi, e-mailová brána správu presunie do karantény a upozorní tím bezpečnostnej prevádzky. Ak je súbor neskôr reklasifikovaný ako Obmedzený, pretože obsahuje regulované údaje o finančných transakciách, externé zdieľanie sa deaktivuje, pokiaľ CISO alebo vlastník údajov neschváli výnimku.

Toto je dôkaz, ktorý generálny riaditeľ potreboval. Je sledovateľný, automatizovaný a naviazaný na politiku schválenú predstavenstvom. Je tiež v súlade s P27 Politikou používania cloudových služieb, pretože žiadny presun do cloudu nie je povolený bez klasifikácie a cezhraničné prenosy musia spĺňať kapitolu V GDPR a, kde je to uplatniteľné, DORA Article 28.

Vybudujte maticu klasifikácia–kontrolné opatrenie za jeden týždeň

Úplný program si vyžaduje čas, ale sústredený sprint môže vytvoriť dôkazovú chrbticu pred auditom, zákazníckym preskúmaním alebo regulačným posúdením.

Deň 1: Potvrďte klasifikačnú schému

Začnite so štyrmi úrovňami: Verejné, Interné, Dôverné a Obmedzené. Ako základ použite P13 Politiku klasifikácie a označovania údajov. Definujte kritériá podľa dopadu na činnosť organizácie, právneho dopadu, zmluvnej citlivosti, rizika osobných údajov, kritickosti služby a finančnej ujmy.

Deň 2: Vyberte desať kritických informačných aktív

Použite Zenith Blueprint krok 9. Zahrňte zákaznícku databázu, systém tiketov podpory, platformu ľudských zdrojov, poskytovateľa identity, export platieb, dátový sklad, bucket objektového úložiska, priečinok reportingu pre predstavenstvo, repozitár zdrojového kódu a repozitár dôkazov o incidentoch. Zaznamenajte vlastníka, umiestnenie, klasifikáciu a relevanciu GDPR.

Deň 3: Namapujte pravidlá nakladania

Definujte požiadavky na nakladanie pre prístup, uchovávanie, prenos, monitorovanie a likvidáciu.

Deň 4: Nakonfigurujte jednu cestu technického uplatňovania

Vyberte jednu platformu, napríklad cloudový dokumentový repozitár, e-mailový systém alebo službu objektového úložiska. Implementujte viditeľné a strojovo čitateľné označenia. Nakonfigurujte jedno pravidlo pre Dôverné údaje a jedno pravidlo pre Obmedzené údaje. Napríklad vyžadujte šifrovanie pre Dôverné externé e-maily a blokujte externé zdieľanie Obmedzených súborov.

Deň 5: Aktualizujte register rizík a SoA

Použite Zenith Blueprint krok 13. Pridajte kontrolné opatrenia klasifikácie a označovania do vyhlásenia o aplikovateľnosti. Prepojte ich s rizikami, ako sú neoprávnené zverejnenie, chybná konfigurácia cloudu, nadmerné vystavenie dodávateľom, zlyhanie uchovávania údajov a nedostatočné nahlásenie incidentu.

Deň 6: Otestujte kontrolné opatrenie

Vytvorte testovací súbor označený ako Obmedzený. Pokúste sa ho externe zdieľať z nespravovaného zariadenia. Overte, či nástroj blokuje, upozorňuje, loguje alebo eskaluje. Zachyťte snímky obrazovky, záznamy logov a dôkazy z ticketov. Ak kontrolné opatrenie zlyhá, zaznamenajte výnimku a plán nápravy.

Deň 7: Vyškolte používateľov prvej línie

Školenie má byť špecifické pre rolu. Vývojári musia vedieť, kedy sa produkčné údaje nesmú používať v testovacích prostrediach. Ľudské zdroje musia rozumieť, prečo sú zamestnanecké spisy Dôverné alebo Obmedzené. Obchod musí vedieť, prečo exporty zákazníkov nemožno nahrávať do neschválených SaaS nástrojov. Vrcholový manažment musí rozumieť, prečo materiály pre predstavenstvo, akvizičné spisy a údaje investorov vyžadujú prísnejšie nakladanie.

Tento sprint nedokončí celý program, ale vytvorí dôkazovú chrbticu: politiku, inventár, označenia, pravidlá nakladania, technické uplatňovanie, rizikovú sledovateľnosť a školenie.

Ako budú audítori testovať klasifikáciu a označovanie

Audítori zriedka testujú klasifikáciu izolovane. Sledujú údaje.

Audítor ISO/IEC 27001:2022 prepojí klasifikáciu s rozsahom ISMS, požiadavkami zainteresovaných strán, právnymi a zmluvnými povinnosťami, posúdením rizík a vyhlásením o aplikovateľnosti. Bude očakávať dôkazy pre kontrolné opatrenia ISO/IEC 27002:2022 5.9, 5.12, 5.13, 5.14, 5.15, 5.34 a relevantné technické opatrenia. Typické dôkazy zahŕňajú schválené politiky, záznamy inventára aktív, položky registra rizík, označené vzorky, pravidlá nakladania, revízie prístupových práv, zistenia interného auditu a nápravné opatrenia.

Preskúmavateľ GDPR sa zameria na osobné údaje. Bude sa pýtať, či sú osobné údaje identifikované, či sú odlíšené údaje osobitnej kategórie, či pravidlá uchovávania zodpovedajú účelu a či sú bezpečnostné opatrenia podľa článku 32 primerané. Klasifikácia pomáha oddeliť bežné informácie organizácie od osobných údajov, citlivých osobných údajov, dôverných zákazníckych údajov a regulovaných záznamov. Označovanie pomáha prevádzkovým tímom predchádzať náhodnému zverejneniu, nadmernému uchovávaniu a neoprávnenému prenosu.

Posudzovateľ NIST CSF 2.0 pravdepodobne zaradí klasifikáciu pod GOVERN, IDENTIFY a PROTECT. Môže sa pýtať, či aktuálne a cieľové profily definujú vyhľadávanie citlivých údajov, či uplatňovanie označení funguje naprieč SaaS a cloudovými systémami, či dodávatelia nakladajú s údajmi podľa klasifikácie a či sa priority monitorovania upravujú podľa citlivosti.

Audítor podľa COBIT 2019 alebo v štýle ISACA bude zdôrazňovať ciele riadenia a správy, vlastníctvo procesov, návrh kontrol a prevádzkovú účinnosť. Zenith Controls mapuje kontrolné opatrenie inventára 5.9 na COBIT 2019 BAI09.01, BAI09.02 a DSS05.04 a odkazuje na ISACA ITAF 2204 a 2301. Pri klasifikácii Zenith Controls mapuje kontrolné opatrenie 5.12 na COBIT 2019 DSS06.06 a APO13.01, zatiaľ čo označovanie mapuje na DSS06.06. Audítor sa bude pýtať, kto vlastní proces, ako sa schvaľujú výnimky, či sa monitoruje výkonnosť a či manažment dostáva reporting.

Preskúmavateľ zameraný na DORA sa bude pýtať, ktoré informačné aktíva podporujú kritické alebo dôležité funkcie, ktoré údaje sú Obmedzené, ktorí externí poskytovatelia IKT tieto údaje ukladajú alebo prenášajú, či zmluvy definujú lokality a bezpečnostné opatrenia, či je testovanie zacielené na kritické údaje a či sa incidenty klasifikujú čiastočne podľa straty údajov naprieč dostupnosťou, autentickosťou, integritou a dôvernosťou.

Ak odpovede vychádzajú z jedného modelu dôkazov o aktívach a dodávateľoch riadeného klasifikáciou, audity sú rýchlejšie, konzistentnejšie a obhájiteľnejšie.

Bežné vzorce zlyhania

Zlyhania klasifikácie zvyčajne vznikajú preto, že organizácie považujú označenia za nástroje povedomia namiesto kontrolných signálov.

Po prvé, klasifikujú dokumenty, ale nie databázy, rozhrania API, logy, zálohy, exporty alebo SaaS záznamy. Citlivé údaje v debugovacom logu môžu byť rovnako škodlivé ako citlivé údaje v tabuľke.

Po druhé, označia informácie, ale neprepoja označenia s riadením prístupu. Označenie Obmedzené pri otvorenom prístupe dokazuje, že organizácia poznala citlivosť a nezabezpečila uplatnenie pravidla nakladania.

Po tretie, migrácie do cloudového prostredia prebiehajú pred klasifikáciou. Tímy presúvajú údaje do nových SaaS nástrojov bez potvrdenia lokalizácie údajov, podmienok dodávateľa, prístupu ďalšieho sprostredkovateľa, požiadaviek na cezhraničný prenos alebo práv na výmaz. P27 Politika používania cloudových služieb to rieši priamo tým, že zakazuje presun na cloudové platformy bez klasifikácie.

Po štvrté, plány reakcie na incidenty ignorujú klasifikáciu. Ak kritériá závažnosti nezahŕňajú citlivosť údajov, incidentné tímy počas krízy strácajú čas zisťovaním, čo bolo dotknuté. Analýza porušenia podľa GDPR, riešenie incidentov podľa NIS2 a klasifikácia incidentov podľa DORA profitujú z rýchleho kontextu údajov.

Po piate, SoA nevysvetľuje, prečo sú kontrolné opatrenia klasifikácie a označovania aplikovateľné. Organizácia možno označenia implementovala, ale SoA ich neprepája s článkom 32 GDPR, článkom 21 NIS2, rizikom IKT podľa DORA, zákazníckymi zmluvami alebo konkrétnymi rizikovými scenármi.

Reporting manažmentu: zviditeľnite klasifikáciu

NIS2 a DORA robia z kybernetickej bezpečnosti otázku zodpovednosti manažmentu. ISO/IEC 27001:2022 zároveň vyžaduje záväzok vedenia, zosúladenie politík, zdroje, roly a reporting výkonnosti. Metriky klasifikácie sa preto musia dostať do preskúmania manažmentom.

Užitočné metriky zahŕňajú:

• Percento kritických informačných aktív s priradenými vlastníkmi.
• Percento aktív so schválenou klasifikáciou.
• Počet aktív s klasifikáciou Obmedzené bez rozšíreného logovania.
• Počet Dôverných alebo Obmedzených repozitárov so zapnutým externým zdieľaním.
• Percento dodávateľov spracúvajúcich Dôverné alebo Obmedzené údaje s aktualizovanými zmluvnými doložkami.
• Počet výnimiek z klasifikácie a oneskorených nápravných opatrení.
• Incidenty DLP podľa označenia.
• Dokončenie revízie prístupových práv pre aktíva s klasifikáciou Obmedzené.
• Umiestnenia cloudového úložiska pre údaje regulované podľa GDPR.
• Cvičenia reakcie na incidenty, ktoré použili kritériá závažnosti založené na klasifikácii.

Tieto metriky podporujú preskúmanie manažmentom podľa ISO/IEC 27001:2022, dohľad manažmentu podľa NIS2, reporting riadenia a správy podľa DORA a uistenie zákazníkov. Zároveň robia klasifikáciu zrozumiteľnou pre vrcholový manažment. Vedenie môže konať rýchlejšie, keď vidí, že viacerým Obmedzeným repozitárom chýba otestovaná obnova alebo že kritickí dodávatelia spracúvajú zákaznícke údaje bez potvrdeného úložiska v EÚ.

Od politiky k dôkazu

Implementačný vzor Clarysec je vedený dôkazmi:

1. Definujte klasifikačnú schému v P13 Politike klasifikácie a označovania údajov alebo začnite s Politikou klasifikácie a označovania údajov – MSP.
2. Pridajte klasifikáciu do inventára aktív pomocou P12 Politiky správy aktív.
3. Uplatnite cloudové obmedzenia a požiadavky na lokalizáciu údajov prostredníctvom P27 Politiky používania cloudových služieb.
4. Použite Zenith Blueprint krok 9 na identifikáciu informačných aktív, vlastníkov, umiestnení a citlivosti.
5. Použite Zenith Blueprint krok 13 na mapovanie rizík na kontrolné opatrenia v SoA.
6. Použite Zenith Blueprint krok 22 na implementáciu kontrolných opatrení ISO/IEC 27002:2022 5.12 a 5.13 v každodennej prevádzke.
7. Použite Zenith Controls na mapovanie tých istých dôkazov na GDPR, NIS2, DORA, NIST CSF, COBIT 2019 a podporné normy.
8. Otestujte uplatňovanie označení, obmedzenia prístupu, logovanie, DLP a triedenie incidentov.
9. Reportujte výkonnosť klasifikácie manažmentu.
10. Preskúmajte klasifikáciu po významných zmenách systému, procesu, dodávateľa alebo predpisov.

Funguje to preto, že klasifikácia sa stáva spoločným jazykom medzi obchodnou hodnotou, zákonnou povinnosťou, technickým kontrolným opatrením a auditným dôkazom.

Ak sa vaša organizácia pripravuje na certifikáciu podľa ISO/IEC 27001:2022, uistenie podľa GDPR, pripravenosť na NIS2, zákaznícku due diligence podľa DORA alebo kombinovaný audit súladu, začnite jednou otázkou:

Viete pri každom kritickom informačnom aktíve ukázať, čo to je, kto ho vlastní, kde sa nachádza, ako je klasifikované, ako je označené, kto k nemu môže pristupovať, ako je chránené, ako dlho sa uchováva, ktorý dodávateľ s ním prichádza do kontaktu a čo sa stane, ak dôjde k jeho sprístupneniu?

Ak odpoveď znie zatiaľ nie, Clarysec vám môže pomôcť vybudovať dôkazový reťazec rýchlo a obhájiteľne.

Použite Politiku klasifikácie a označovania údajov – MSP, P13 Politiku klasifikácie a označovania údajov, P12 Politiku správy aktív, P27 Politiku používania cloudových služieb, Zenith Blueprint: 30-krokovú cestovnú mapu audítora a Zenith Controls: príručku krížového súladu na premenu klasifikácie zo statickej politiky na prevádzkovú vrstvu kontrolných opatrení pre článok 32 GDPR, riadenie kybernetických rizík podľa NIS2 a dôkazy o rizikách IKT podľa DORA.

Najlepší čas na klasifikáciu údajov bol pred doručením požiadavky audítora. Druhý najlepší čas je pred ďalšou migráciou do cloudu, zavedením dodávateľa, zákazníckym dotazníkom alebo incidentom.