Čo je kompenzačné opatrenie pri šifrovaní uložených údajov?

Kompenzačné opatrenie je alternatívne bezpečnostné opatrenie používané vtedy, keď primárne opatrenie, napríklad šifrovanie uložených údajov, nie je uskutočniteľné. Musí poskytovať porovnateľnú úroveň ochrany tým, že rieši rovnaké riziká, napríklad dôvernosť údajov pri strate alebo odcudzení úložného zariadenia. Príkladmi sú prevencia úniku údajov (DLP), prísne riadenie prístupu a maskovanie údajov.

Akceptujú audítori kompenzačné opatrenia v rámcoch, ako je ISO/IEC 27001:2022?

Áno, audítori akceptujú dobre zdokumentované a účinné kompenzačné opatrenia. Budú očakávať formálne posúdenie rizík odôvodňujúce potrebu opatrenia, dôkazy o jeho konzistentnom uplatňovaní (napr. logy, reporty) a preukázanie, že účinne zmierňuje pôvodné riziko. Kľúčom je preukázať vyspelý prístup založený na riziku, nie iba ospravedlniť medzeru v opatreniach.

Ako kompenzačné opatrenia súvisia so súladom s GDPR?

Článok 32 GDPR vyžaduje „primerané technické a organizačné opatrenia“ na ochranu osobných údajov. Hoci šifrovanie je odporúčané opatrenie, nie je vo všetkých prípadoch striktne povinné. Ak šifrovanie uložených údajov nie je možné, robustný súbor kompenzačných opatrení, ako je pseudonymizácia, maskovanie údajov a prísne monitorovanie prístupu, môže pomôcť preukázať náležitú starostlivosť a splniť požiadavku na zabezpečenie primeranej úrovne bezpečnosti.

Aké sú najčastejšie chyby pri implementácii kompenzačných opatrení?

Medzi časté chyby patrí nedostatočná dokumentácia, chýbajúca formálna akceptácia rizika zo strany vedenia organizácie, implementácia opatrení, ktoré nepokrývajú všetky vektory hrozieb (napr. opomenutie služieb cloudovej synchronizácie), a zanedbanie pravidelného testovania ich účinnosti. Opatrenie, ktoré existuje iba na papieri, neposkytuje reálnu ochranu a audítora neuspokojí.

Môže prevencia úniku údajov (DLP) skutočne nahradiť šifrovanie uložených údajov?

DLP šifrovanie nenahrádza, ale môže byť silným kompenzačným opatrením. Šifrovanie zabezpečí, že odcudzené údaje sú nečitateľné. Cieľom DLP je zabrániť odcudzeniu údajov už na začiatku tým, že monitoruje a blokuje neoprávnené prenosy údajov. V kombinácii s ďalšími vrstvami, ako sú prísne riadenie prístupu a fyzická bezpečnosť, vytvára účinnú obranu, ktorá môže pre konkrétne zdokumentované prípady použitia poskytnúť úroveň ochrany porovnateľnú so šifrovaním.

NIS2 DORA GDPR NIST COBIT 2019

Šifrovanie uložených údajov nie je možné? Sprievodca pre CISO ku robustným kompenzačným opatreniam

Redakcia Clarysec

November 25, 2025

18 min read

#Riadenie rizík #Audit #ISMS #Ochrana údajov #Kompenzačné opatrenia

Vývojový diagram znázorňujúci trojfázový proces CISO pri implementácii kompenzačných opatrení pre šifrovanie uložených údajov vrátane posúdenia rizík, vrstvených ochranných opatrení (DLP, maskovanie údajov, riadenie prístupu) a auditnej dokumentácie naprieč rámcami ISO 27001, GDPR a NIST.

Auditné zistenie pristálo na stole riaditeľky informačnej bezpečnosti Sarah Chen s dôverne známou váhou. Kritická zastaraná databáza generujúca tržby, prevádzkové jadro výrobnej linky spoločnosti, nepodporovala moderné šifrovanie uložených údajov. Jej základná architektúra mala už desať rokov a dodávateľ už dávno prestal poskytovať bezpečnostné aktualizácie. Audítor ju oprávnene označil za významné riziko. Odporúčanie znelo: „Šifrovať všetky citlivé uložené údaje pomocou odvetvovo uznávaných algoritmov.“

Pre Sarah nešlo iba o technický problém; išlo o krízu kontinuity činností. Upgrade systému by znamenal mesiace odstávky a miliónové náklady, čo bolo pre predstavenstvo neprijateľné. Ponechať však veľký objem citlivého duševného vlastníctva bez šifrovania predstavovalo neakceptovateľné riziko a jasnú odchýlku od systému manažérstva informačnej bezpečnosti (ISMS).

Toto je realita kybernetickej bezpečnosti, v ktorej sú dokonalé riešenia zriedkavé a súlad nemožno pozastaviť. Stáva sa to pri kritických zálohovacích súboroch uložených na zastaraných systémoch, keď kľúčový poskytovateľ SaaS uvádza „technické obmedzenia“ alebo keď vysokovýkonné aplikácie nezvládajú réžiu šifrovania. Učebnicová odpoveď „jednoducho to zašifrujte“ často narazí na neprehľadnú prevádzkovú realitu.

Čo teda robiť, keď primárne, predpísané opatrenie nie je dostupné? Riziko jednoducho neakceptujete bez ďalšieho. Vybudujete inteligentnejšiu a odolnejšiu obranu pomocou kompenzačných opatrení. Nejde o hľadanie výhovoriek; ide o preukázanie vyspelého, rizikovo orientovaného riadenia bezpečnosti, ktoré obstojí aj pri najprísnejšom auditnom preskúmaní.

Prečo je šifrovanie uložených údajov požiadavkou s vysokou váhou

Šifrovanie uložených údajov je základným opatrením vo všetkých moderných bezpečnostných rámcoch vrátane ISO/IEC 27001:2022, článku 32 GDPR, NIS2, DORA a NIST SP 800-53 SC-28. Jeho účel je jednoduchý, ale kritický: zabezpečiť, aby uložené údaje boli nečitateľné, ak zlyhajú fyzické alebo logické ochranné opatrenia. Stratená zálohovacia páska alebo odcudzený server obsahujúci nezašifrované údaje nie je iba technické pochybenie; často ide o porušenie ochrany údajov podliehajúce zákonnej oznamovacej povinnosti.

Riziká sú jasné a významné:

Krádež alebo strata prenosných médií, ako sú USB disky a zálohovacie pásky.
Sprístupnenie údajov z nespravovaných, zabudnutých alebo zastaraných zariadení.
Nemožnosť použiť natívne šifrovanie diskov alebo databáz v špecifických kontextoch SaaS, cloudu, OT alebo zastaraných prostredí.
Riziká obnovy údajov pri strate alebo nesprávnej správe šifrovacích kľúčov.

Tieto požiadavky nie sú iba technické; sú to aj zákonné povinnosti. Článok 32 GDPR a články 5 a 10 DORA výslovne uznávajú šifrovanie ako „primerané technické opatrenie“. NIS2 ho vníma ako základ na zabezpečenie integrity systémov a informácií. Ak táto primárna obrana nie je uskutočniteľná, dôkazné bremeno sa presúva na organizáciu, ktorá musí preukázať, že jej alternatívne opatrenia sú rovnako účinné.

Od jedného zaškrtávacieho políčka k vrstvenej obrane

Reflexnou reakciou na auditné zistenie, akému čelila Sarah, býva panika. Dobre štruktúrovaný ISMS však s takýmito situáciami počíta. Prvým krokom Sarah nebolo zavolať tím infraštruktúry; otvorila Politiku kryptografických opatrení svojej organizácie, dokument vytvorený na základe podnikových šablón Clarysec. Prešla priamo na ustanovenie, ktoré tvorilo základ jej stratégie.

Podľa Politiky kryptografických opatrení časť 7.2.3 výslovne opisuje proces definovania:

„Konkrétnych kompenzačných opatrení, ktoré sa majú uplatniť“

Toto ustanovenie je pre CISO mimoriadne dôležité. Uznáva, že univerzálny prístup k bezpečnosti je chybný, a poskytuje schválený postup na riešenie rizika. Politika nefunguje izolovane. Ako sa uvádza v bode 10.5, je priamo prepojená s Politikou klasifikácie a označovania údajov, ktorá „definuje úrovne klasifikácie (napr. Dôverné, regulované), ktoré spúšťajú konkrétne požiadavky na šifrovanie.“

Toto prepojenie je kľúčové. Údaje v zastaranej databáze boli klasifikované ako „Dôverné“, a práve preto bol nedostatok šifrovania označený ako problém. Úloha Sarah bola teraz jasná: vybudovať takú robustnú vrstvu kompenzačných opatrení, aby znížila riziko sprístupnenia údajov na akceptovateľnú úroveň.

Návrh obhájiteľnej stratégie pomocou Zenith Blueprint

Šifrovanie je základným kameňom modernej bezpečnosti, ale ako vysvetľuje Clarysec Zenith Blueprint: 30-kroková cestovná mapa audítora v kroku 21, opatrenie 8.24 Použitie kryptografie nie je iba o „zapnutí šifrovania“. Ide o „zabudovanie kryptografie do návrhu, politiky a riadenia životného cyklu organizácie“.

Keď jedna časť návrhu (zastaraná databáza) zlyhá, musia ju kompenzovať aspekty politiky a životného cyklu. Tím Sarah použil tento rámec na návrh viacvrstvovej obrany založenej na zabránení tomu, aby údaje vôbec opustili svoje bezpečné, hoci nezašifrované, prostredie.

Kompenzačné opatrenie 1: prevencia úniku údajov (DLP)

Ak nemôžete zašifrovať údaje tam, kde sa nachádzajú, musíte zabezpečiť, aby ho nemohli opustiť. Tím Sarah nasadil riešenie prevencie úniku údajov (DLP), ktoré fungovalo ako digitálna stráž. Nešlo o jednoduché sieťové pravidlo; bola to sofistikovaná kontrola schopná vyhodnocovať obsah.

Pomocou Clarysec Zenith Controls: sprievodca krížovým súladom nakonfigurovali systém DLP podľa usmernenia pre opatrenie ISO/IEC 27001:2022 8.12 Prevencia úniku údajov. Pravidlá priamo vychádzali z 5.12 Classification of information. Akékoľvek údaje zodpovedajúce schémam „Dôverných“ informácií v zastaranej databáze boli automaticky blokované pri prenose e-mailom, nahrávaní na web alebo dokonca pri kopírovaní a vkladaní do iných aplikácií.

Ako vysvetľuje Zenith Controls:

„Prevencia úniku údajov (DLP) zásadne závisí od presnej klasifikácie údajov. Opatrenie 5.12 zabezpečuje, že údaje sú označené podľa citlivosti… DLP je špecializovanou formou priebežného monitorovania zameranou na pohyb údajov… 8.12 môže presadzovať politiky šifrovania pre údaje opúšťajúce organizáciu, aby aj v prípade exfiltrácie údajov zostali nečitateľné pre neoprávnené osoby.“

Toto opatrenie je uznávané naprieč viacerými rámcami a mapuje sa na článok 32 GDPR, článok 21 NIS2, článok 10 DORA a NIST SP 800-53 SI-4. Jeho implementáciou tím Sarah vytvoril silnú ochrannú zónu, ktorá zabezpečila izoláciu nezašifrovaných údajov.

Kompenzačné opatrenie 2: maskovanie údajov na neprodukčné použitie

Jedným z najväčších rizík pri údajoch v zastaraných systémoch je ich používanie v iných prostrediach. Vývojový tím často potreboval údaje z produkčného systému na testovanie nových funkcií aplikácie. Poskytnúť mu nezašifrované dôverné údaje neprichádzalo do úvahy.

Sarah sa preto obrátila na krok 20 dokumentu Zenith Blueprint, ktorý pokrýva 8.11 Data masking. Sprievodca upozorňuje, že audítori sa priamo opýtajú: „Používate niekedy v testovacích systémoch skutočné osobné údaje? Ak áno, ako sú chránené?“

Na základe tohto usmernenia tím Sarah zaviedol prísny postup maskovania údajov. Každý výpis údajov požadovaný vývojovým tímom musel prejsť automatizovaným procesom, ktorý pseudonymizoval alebo anonymizoval citlivé polia. Mená zákazníkov, vlastnícke vzorce a výrobné metriky boli nahradené realistickými, ale fiktívnymi údajmi. Toto jediné opatrenie odstránilo rozsiahlu plochu rizika a zabezpečilo, že citlivé údaje nikdy neopustili vysoko kontrolované produkčné prostredie vo svojej pôvodnej podobe.

Kompenzačné opatrenie 3: sprísnené fyzické a logické opatrenia

Po vyriešení úniku údajov a neprodukčného použitia sa posledná vrstva obrany zamerala na samotný systém. Tím Sarah vychádzal z princípov 7.10 Storage media v Zenith Controls a zaobchádzal s fyzickým serverom ako s aktívom s vysokou úrovňou zabezpečenia. Hoci 7.10 sa často spája s prenosnými médiami, jeho princípy riadenia životného cyklu a fyzickej bezpečnosti sú plne použiteľné aj tu.

Ako Zenith Controls k tejto téme uvádza:

„ISO/IEC 27002:2022 poskytuje v rámci bodu 7.10 komplexné usmernenie na bezpečnú správu úložných médií počas celého ich životného cyklu. Norma organizáciám odporúča viesť register všetkých prenosných médií…“

Na základe tejto logiky bol server presunutý do vyhradeného uzamknutého racku v dátovom centre, prístupného iba dvom menovite určeným seniorným inžinierom. Fyzický prístup vyžadoval zápis pri vstupe a bol monitorovaný kamerovým systémom CCTV. Zo sieťového hľadiska bol server umiestnený do segmentovanej VLAN pre zastarané systémy. Pravidlá firewallu boli nakonfigurované tak, aby predvolene zamietali všetku prevádzku, pričom jediné výslovné pravidlo povoľovalo komunikáciu iba z určeného aplikačného servera na konkrétnom porte. Táto vysoká miera izolácie výrazne znížila útokovú plochu a urobila nezašifrované údaje neviditeľnými a neprístupnými.

Pred auditom: prezentácia obhájiteľnej stratégie z viacerých pohľadov

Keď sa audítor vrátil na následné overenie, Sarah nepredkladala výhovorky. Predložila komplexný plán ošetrenia rizík vrátane dokumentácie, logov a živých ukážok kompenzačných opatrení svojho tímu. Audit nie je jednorazová udalosť; je to odborný dialóg posudzovaný z rôznych uhlov, na ktoré musí byť CISO pripravený.

Pohľad audítora ISO/IEC 27001: Audítor chcel vidieť prevádzkovú účinnosť. Tím Sarah predviedol, ako systém DLP blokuje neoprávnený e-mail, ukázal spustený skript maskovania údajov a poskytol logy fyzického prístupu krížovo overené voči pracovným ticketom.

Pohľad GDPR a ochrany súkromia: Audítor sa pýtal, ako sa uplatňuje minimalizácia údajov. Sarah ukázala automatizované skripty na bezpečné vymazanie údajov vo vyrovnávacej pamäti a proces pseudonymizácie pre akékoľvek údaje opúšťajúce produkčný systém, čím preukázala súlad s článkom 25 GDPR (ochrana údajov už od návrhu a štandardne). Politika kryptografických opatrení pre MSP výslovne prideľuje DPO zodpovednosť „zabezpečiť, aby boli šifrovacie opatrenia zosúladené s povinnosťami ochrany údajov podľa článku 32 GDPR.“

Pohľad NIS2/DORA: Tento pohľad sa zameriava na prevádzkovú odolnosť. Sarah predložila výsledky testov zálohovania a obnovy pre izolovaný systém a bezpečnostné dodatky dodávateľa k zastaranému softvéru, čím preukázala proaktívne riadenie rizík vyžadované podľa článku 21 NIS2 a článku 9 DORA.

Pohľad NIST/COBIT: Audítor používajúci tieto rámce hľadá správu a riadenie a metriky. Sarah predložila aktualizovaný register rizík s formálnou akceptáciou reziduálneho rizika (COBIT APO13). Namapovala DLP na NIST SP 800-53 SI-4 (System Monitoring), segmentáciu siete na SC-7 (Boundary Protection) a riadenie prístupu na AC-3 a AC-4, čím preukázala, že hoci SC-28 (Protection of Information at Rest) nebola splnená priamo, bola zavedená rovnocenná sada opatrení.

Kľúčové auditné dôkazy pre kompenzačné opatrenia

Aby tím Sarah účinne komunikoval svoju stratégiu, pripravil dôkazy prispôsobené tomu, čo audítori očakávajú.

Auditný pohľad	Požadované dôkazy	Bežný auditný test
ISO/IEC 27001	Záznamy v registri rizík, záznamy o výnimkách z politík, pravidlá DLP, inventáre úložných médií	Preskúmať logy rizík/výnimiek, vyžiadať logy akcií DLP; sledovať životný cyklus médií.
GDPR	Postupy maskovania údajov, pripravenosť na oznámenie porušenia ochrany údajov, záznamy o vymazaní údajov	Preskúmať vzorové súbory údajov (maskované vs. nemaskované), otestovať spúšťače DLP, simulovať scenár porušenia ochrany údajov.
NIS2/DORA	Výsledky testovania zálohovania/obnovy, bezpečnostné posúdenia dodávateľov, cvičenia reakcie na incidenty	Simulovať pokus o export údajov; preskúmať procesy nakladania so zálohami; otestovať opatrenia DLP na kritických údajoch.
NIST/COBIT	Logy technického monitorovania, dokumentácia integrácie politík, rozhovory so zamestnancami	Simulovať exfiltráciu údajov, porovnať politiku s postupom, viesť rozhovory s kľúčovými správcami údajov a vlastníkmi systémov.

Predvídaním týchto odlišných pohľadov Sarah premenila potenciálnu nezhodu na dôkaz zrelosti bezpečnosti.

Praktické zhrnutie pre váš ďalší audit

Aby bola stratégia jasná a obhájiteľná, tím Sarah vytvoril v pláne ošetrenia rizík súhrnnú tabuľku. Rovnaký prístup môže použiť každá organizácia.

Riziko	Primárne opatrenie (neuskutočniteľné)	Stratégia kompenzačných opatrení	Zdroj Clarysec	Dôkazy pre audítora
Neoprávnené sprístupnenie uložených údajov	Celodiskové šifrovanie (AES-256)	1. Prevencia úniku údajov (DLP): Monitorovať a blokovať všetky neoprávnené pokusy o exfiltráciu údajov na základe obsahu a kontextu.	Zenith Controls (8.12)	Konfigurácia politiky DLP, logy upozornení, postupy reakcie na incidenty.
		2. Prísne riadenie logického prístupu: Izolovať server v segmentovanej sieti s pravidlami firewallu typu „predvolene všetko zamietnuť“ a veľmi obmedzeným prístupom servisných účtov.	Zenith Controls (8.3)	Sieťové diagramy, súbory pravidiel firewallov, revízie prístupových práv používateľov, politika poverení servisných účtov.
		3. Posilnená fyzická bezpečnosť: Umiestniť server do vyhradeného uzamknutého racku s evidovaným a monitorovaným fyzickým prístupom.	Zenith Controls (7.10)	Logy prístupu do dátového centra, záznamy z kamerového systému CCTV, evidenčné hárky výdaja kľúčov od racku.
Používanie citlivých údajov v neprodukčných prostrediach	Šifrovanie kópií testovacích údajov	Maskovanie údajov: Zaviesť formálny postup na pseudonymizáciu alebo anonymizáciu všetkých výpisov údajov pred ich použitím v testovaní alebo vývoji.	Zenith Blueprint (krok 20)	Formálny dokument postupu maskovania údajov, ukážka skriptov maskovania, vzorový maskovaný súbor údajov.

Krížový súlad v skratke

Silná stratégia kompenzačných opatrení je obhájiteľná naprieč všetkými hlavnými rámcami. Zenith Controls od Clarysec poskytuje mapovanie medzi rámcami, ktoré zabezpečí, že vaše ochranné opatrenia budú všeobecne zrozumiteľné a akceptovateľné.

Rámec	Kľúčová kapitola/referencia	Ako sú kompenzačné opatrenia uznávané
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	Prístup založený na riziku umožňuje pri odôvodnení použiť alternatívne opatrenia, ako sú DLP, správa úložných médií a maskovanie údajov.
GDPR	čl. 5(1)(f), 25, 32	Vyžaduje „primerané“ technické opatrenia; pseudonymizácia, riadenie prístupu a DLP môžu túto požiadavku splniť, ak šifrovanie nie je uskutočniteľné.
NIS2	čl. 21, 23	Vyžaduje prístup založený na riziku; vrstvené opatrenia, ako sú DLP, ochrana záloh a kontroly dodávateľov, sú platnými opatreniami na ošetrenie rizík.
DORA	čl. 5, 9, 10, 28	Zdôrazňuje prevádzkovú odolnosť; DLP, riadenie prístupu a robustné logovanie sú kľúčové na ochranu finančných údajov, so šifrovaním aj bez neho.
NIST SP 800-53	SC-28, MP-2 až MP-7, AC-3/4, SI-4	Umožňuje kompenzačné opatrenia; DLP (SI-4), obmedzenia prístupu (AC-3) a sledovanie médií (séria MP) môžu riešiť riziká nezašifrovaných údajov.
COBIT	DSS05, APO13, MEA03	Zameriava sa na správu a riadenie a meranie; zdokumentovaná akceptácia rizika (APO13) a monitorovanie kompenzačných opatrení (MEA03) preukazujú náležitú starostlivosť.

Záver: premeňte najslabší článok na silnú stránku

Príbeh zastaranej databázy, ktorú nebolo možné zašifrovať, nie je príbehom zlyhania. Je to príbeh vyspelého a rozumného riadenia rizík. Tým, že tím Sarah neakceptoval jednoduchú odpoveď „nedá sa to“, premenil významnú zraniteľnosť na ukážku schopností obrany do hĺbky. Dokázali, že bezpečnosť nie je o zaškrtnutí jedného políčka s názvom „šifrovanie“. Ide o pochopenie rizika a vybudovanie premyslenej, vrstvenej a auditovateľnej obrany na jeho zmiernenie.

Vaša organizácia nevyhnutne narazí na svoju vlastnú verziu takejto zastaranej databázy. Keď ju nájdete, nevnímajte ju ako prekážku. Vnímajte ju ako príležitosť vybudovať odolnejší a obhájiteľnejší bezpečnostný program.

Ste pripravení vybudovať vlastný robustný rámec opatrení pripravený na audit? Začnite správnym základom.

Preskúmajte svoj ekosystém politík pomocou komplexných sád politík Clarysec.
Preskúmajte The Zenith Blueprint: An Auditor’s 30-Step Roadmap, ktorý vás prevedie implementáciou.
Využite Zenith Controls: The Cross-Compliance Guide, aby vaše ochranné opatrenia obstáli pri preskúmaní z každého uhla.

Kontaktujte Clarysec pre workshop prispôsobený vašim potrebám alebo pre úplné posúdenie krížového súladu. Pretože v dnešnom regulačnom prostredí je pripravenosť jediným opatrením, na ktorom záleží.

Referencie:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council