Klasifikacija podatkov za ISO 27001, GDPR, NIS2 in DORA

Revizijski trenutek leta 2026: »Pokažite mi dokazila«

Februar je 2026, četrtletna seja upravnega odbora v hitro rastočem fintech SaaS podjetju pa ne poteka tako gladko, kot je pričakoval vodja informacijske varnosti (CISO).

Podjetje je nedavno pridobilo certifikat ISO/IEC 27001:2022. Ima večfaktorsko avtentikacijo (MFA), zaščito končnih točk, pregledovanje ranljivosti, preglede pravic dostopa, postopke odzivanja na incidente in izpiljeno poročilo o pripravljenosti na DORA. Nato generalni direktor postavi vprašanje, ki spremeni potek razprave.

»Naš glavni vlagatelj sprašuje, kako lahko dokažemo, da so finančni podatki strank dosledno zaščiteni v AWS, Azure, naši podporni platformi SaaS in analitičnem skladišču. Če presojevalec vzame eno datoteko iz objektne shrambe in drugo iz mape za sodelovanje, kako vemo, da zanju veljajo ista pravila upravljanja?«

CISO odpre register sredstev. V njem so navedene podatkovne baze, računi v oblaku, aplikacije, platforme SaaS in lokacije hrambe. Vendar je polje za klasifikacijo nepopolno. Nekatere mape so poimenovane po oddelku, ne po občutljivosti. Izvozi podatkov o strankah so shranjeni poleg internih poročil. Nekatere podporne preglednice vsebujejo identifikatorje strank, sklice na plačila in zapiske primerov, vendar so označene kot »interno«. Pravila DLP obstajajo, vendar se sprožijo le ob očitnih vzorcih. Politika za oblak določa, da morajo osebni podatki iz EU ostati v odobrenih regijah, vendar ekipa ne more dokazati, da pravila o lokaciji hrambe podatkov izhajajo iz klasifikacijskih metapodatkov.

Nato vodja skladnosti doda regulativni vidik: »Ali bo to zadostilo GDPR člen 32, NIS2 člen 21 in dokazilom o IKT-tveganjih po DORA?«

Iskren odgovor je: še ne.

To je vrzel leta 2026, s katero se soočajo številne organizacije. Imajo varnostne kontrole, nimajo pa upravljavskega sloja, ki vsaki kontroli pove, kaj mora varovati, kako strogo mora to varovati in kako naj to dokaže. Ta upravljavski sloj sta klasifikacija podatkov in označevanje informacij.

V izrazoslovju ISO/IEC 27001:2022 klasifikacija in označevanje nista kozmetični praksi upravljanja dokumentov. Sta praktični most med oceno tveganj, nadzorom dostopa, šifriranjem, hrambo, DLP, lokacijo hrambe v oblaku, skrbnim pregledom dobaviteljev, spremljanjem in poročanjem o incidentih. V Clarysecovem modelu uvedbe sta v središču verige dokazil ISMS: popišite sredstvo, dodelite lastnika, razvrstite ga, označite ga, uporabite pravila ravnanja, spremljajte izjeme in presojevalcem pokažite sledljivost.

Zakaj sta klasifikacija in označevanje zdaj kontroli na ravni upravnega odbora

Regulatorji in stranke vse pogosteje pričakujejo, da organizacije pokažejo, da so varnostni ukrepi ustrezni glede na občutljivost podatkov, kritičnost storitve in poslovni vpliv odpovedi.

GDPR to izrecno določa z načelom odgovornosti. Člen 5 zahteva, da se osebni podatki obdelujejo zakonito, pošteno in pregledno, da so omejeni na tisto, kar je potrebno, hranjeni le toliko časa, kolikor je potrebno, ter zaščiteni z ustreznimi tehničnimi in organizacijskimi ukrepi. Upravljavec mora biti tudi zmožen dokazati skladnost. GDPR člen 32 je nato težko dokazovati, če organizacija ne ve, kateri sistemi obdelujejo osebne podatke, kateri podatki so visoko tvegani ali posebne vrste, kje so shranjeni in kateri zaščitni ukrepi se uporabljajo.

NIS2 dviguje raven upravljanja. Člen 20 zahteva, da organi upravljanja bistvenih in pomembnih subjektov odobrijo ukrepe za upravljanje kibernetskih tveganj, nadzirajo njihovo izvajanje in se usposabljajo. Člen 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe, vključno z analizo tveganj, varnostnimi politikami, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, varnostjo pri nabavi in razvoju, ocenjevanjem učinkovitosti, kibernetsko higieno, usposabljanjem, kriptografijo, kadrovsko varnostjo, nadzorom dostopa in upravljanjem sredstev. Klasifikacija na tem seznamu ni ločena kontrolna točka. Je sistem odločanja, zaradi katerega so ti ukrepi sorazmerni.

DORA enako logiko uporablja za finančne subjekte in fintech ekosisteme. Od 17. januarja 2025 DORA zahteva dokumentiran okvir upravljanja IKT-tveganj, odgovornost organa upravljanja, politike za zaupnost, celovitost, razpoložljivost in avtentičnost, razvrščanje incidentov, testiranje odpornosti in upravljanje tveganj tretjih oseb na področju IKT. Za finančne subjekte, ki jih ureja DORA, lahko DORA deluje kot sektorsko specifičen pravni akt Unije namesto prekrivajočih se obveznosti NIS2 glede upravljanja tveganj in poročanja, vendar pričakovanje glede dokazil ostaja enako: pokažite, kako so kritične informacije in sredstva IKT identificirani, zaščiteni, testirani, spremljani in upravljani.

ISO/IEC 27001:2022 je zelo primeren kot operacijski model za ta dokazila. Točke 4.1 do 4.4 zahtevajo, da organizacija razume notranje in zunanje dejavnike, zahteve zainteresiranih strani, regulativne in pogodbene obveznosti ter vmesnike z drugimi organizacijami. Točke 6.1.1 do 6.1.3 zahtevajo oceno tveganj, obravnavo tveganj, izbiro kontrol, Izjavo o uporabnosti in ohranjena dokazila. ISO/IEC 27001:2022

Če GDPR, NIS2 in DORA vprašajo: »Zakaj ste uporabili te ukrepe?«, vam ISO/IEC 27001:2022 pomaga odgovoriti: »Ker so nas ta sredstva, vrste podatkov, tveganja, obveznosti in odločitve o obravnavi pripeljali sem.«

Klasifikacija je odločitev o tveganju. Označevanje je operativni signal.

Clarysec ločuje klasifikacijo in označevanje, ker to počnejo tudi presojevalci.

Klasifikacija je odločitev o občutljivosti, vrednosti in kritičnosti informacij. Označevanje je dejanje, s katerim ta odločitev postane vidna, trajna in izvršljiva v vsakodnevnem poslovanju.

Clarysecova Politika klasifikacije in označevanja podatkov za MSP namen opredeljuje jasno:

Ta politika določa, kako morajo biti vse informacije, s katerimi ravna organizacija, klasificirane in označene, da se zagotovi ohranjanje njihove zaupnosti, celovitosti in razpoložljivosti v celotnem življenjskem ciklu.

Ista Politika klasifikacije in označevanja podatkov za MSP od organizacij zahteva, da:

Zahtevajo, da je vsako podatkovno sredstvo klasificirano glede na svojo občutljivost in ustrezno označeno, da usmerja pravilno ravnanje, hrambo in dostop.

Za podjetniška okolja Clarysecova P13 Politika klasifikacije in označevanja podatkov opredeljuje minimalni klasifikacijski model:

Organizacija mora vzdrževati standardizirano klasifikacijsko shemo z jasno opredeljenimi ravnmi. Uporabljati je treba najmanj naslednje klasifikacijske razrede: 5.1.1 Javno: informacije, namenjene odprti objavi in neomejeni distribuciji 5.1.2 Interno: nejavne poslovne informacije, ki niso namenjene zunanji objavi 5.1.3 Zaupno: občutljivi poslovni, pogodbeni ali podatki o strankah, ki zahtevajo strog nadzor dostopa 5.1.4 Omejeno (ali visoko zaupno): kritične ali regulirane informacije, pri katerih bi nepooblaščeno razkritje lahko povzročilo znatno škodo ali pravno odgovornost

Ta razlika je pomembna. Klasifikacija »Zaupno« lahko zahteva šifriranje, dostop na podlagi vlog in pogodbene zaščitne ukrepe. Klasifikacija »Omejeno« lahko sproži MFA, odobritev CISO za zunanje deljenje, okrepljeno beleženje, strožje upravljanje hrambe, ločevanje in prednostno eskalacijo incidenta.

Podjetniška politika je izrecna glede operativnega označevanja:

Vsa informacijska sredstva morajo biti označena na način, ki je: 6.2.1.1 Trajen: oznake ni mogoče zlahka odstraniti ali preglasiti 6.2.1.2 Viden: uporabnikom je jasna na mestu uporabe 6.2.1.3 Strojno berljiv: kjer je mogoče, mora biti podprto označevanje na podlagi metapodatkov

Strojno berljive oznake so točka, kjer program dozori iz ozaveščanja v uveljavljanje. Če oznake temeljijo na metapodatkih, lahko nanje delujejo oblačne platforme, sistemi DLP, e-poštni prehodi, orodja za identitete, pravila SIEM, platforme CASB in mehanizmi za hrambo. Če so oznake le noga v dokumentu, lahko pomagajo uporabnikom, vendar ne morejo zanesljivo uveljavljati pravil v velikem obsegu.

Kje klasifikacija sodi v Clarysecov časovni načrt

Clarysecov Zenith Blueprint: 30-koračni časovni načrt za presojevalce klasifikacijo umešča zgodaj v življenjski cikel upravljanja tveganj, ne šele po uvedbi tehnologije. V fazi upravljanja tveganj, korak 9, »Identifikacija sredstev, groženj in ranljivosti«, časovni načrt ekipe usmerja, naj popišejo informacijska sredstva ter zabeležijo lastnika, lokacijo in klasifikacijo.

To prepreči pogosto napako: imeti popis oblaka, ne pa popisa informacij. Podatkovna baza, najemnik SaaS ali podatkovno skladišče je tehnološko sredstvo. Evidence o strankah, kadrovske datoteke, plačilni dnevniki, podatkovni nizi za učenje modelov, prepisi podpore in dokazila o incidentih znotraj njih so informacijska sredstva. Klasifikacija poteka na tej informacijski ravni.

Usmeritev Zenith Blueprint za ISO/IEC 27002:2022 kontrolo 5.12, Razvrščanje informacij, pojasnjuje načelo:

Vsaka kadarkoli zapisana kontrola informacijske varnosti, naj gre za omejitev dostopa, šifriranje, varnostno kopiranje, spremljanje ali odstranjevanje, predpostavlja eno stvar: da organizacija ve, kaj varuje. Kontrola 5.12 zahteva, da so informacije razvrščene glede na svojo vrednost, občutljivost in kritičnost, kar tvori temelj za vse nadaljnje odločitve v ISMS.

Za ISO/IEC 27002:2022 kontrolo 5.13, Označevanje informacij, isti časovni načrt klasifikacijo prevede v vsakodnevno ravnanje:

Označevanje je način, kako abstraktno politiko pretvorite v operativno resničnost. To je trenutek, ko lahko uporabnik ob pogledu na dokument, e-pošto, polje v podatkovni bazi ali natisnjeno poročilo na prvi pogled razbere: kaj ta informacija je, kako občutljiva je in kako je treba z njo ravnati.

Končna povezava v časovnem načrtu se pojavi v koraku 13, »Načrtovanje obravnave tveganj in Izjava o uporabnosti«. Zenith Blueprint opisuje Izjavo o uporabnosti (SoA) kot most med tveganji, obravnavami in kontrolami. Tu klasifikacija postane revizijska sledljivost. Scenarij tveganja, kot je »nepooblaščeno razkritje finančnih podatkov strank iz deljene hrambe v oblaku«, je mogoče preslikati na klasifikacijo, označevanje, nadzor dostopa, šifriranje, beleženje, DLP, uporabo oblaka, zahteve za dobavitelje in odziv na incidente.

Razmerja med kontrolami, ki jih pričakujejo presojevalci

V Clarysecovem Zenith Controls: vodnik za navzkrižno skladnost je ISO/IEC 27002:2022 kontrola 5.12, Razvrščanje informacij, preslikana kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost. Povezana je s konceptom kibernetske varnosti Identify, operativno zmožnostjo zaščite informacij ter varnostnima domenama zaščite in obrambe.

Za ISO/IEC 27002:2022 kontrolo 5.13, Označevanje informacij, Zenith Controls kontrolo preslika kot preventivno, osredotočeno na Protect, z enakimi lastnostmi informacijske varnosti in operativno zmožnostjo zaščite informacij.

Ključni uvid je, da klasifikacija in označevanje nista izolirana. Okoliške kontrole naredita dokazljive.

Zenith Controls preslika kontrolo 5.12 na GDPR člen 32 in uvodno izjavo 83, NIS2 člen 21(2)(a) in 21(2)(f), ISO/IEC 27701 Annex B, NIST SP 800-53 MP-3 in PM-11, FIPS 199 ter NIST SP 800-60, pa tudi COBIT 2019 DSS06.06 in APO13.01. Kontrolo 5.13 preslika na GDPR člen 32, NIS2 člen 21(2)(a) in 21(2)(f), DORA člen 9(1) in 9(2), NIST SP 800-53 MP-3 in COBIT 2019 DSS06.06.

To pomeni, da lahko en sklop dokazil odgovori na več vprašanj zagotavljanja zaupanja.

Register sredstev je mesto, kjer klasifikacija postane dokazilo

Številni programi klasifikacije ne uspejo, ker klasifikacijska shema obstaja samo v politiki. Clarysecov pristop se začne s popisom sredstev.

Clarysecova P12 Politika upravljanja sredstev zahteva, da evidenca sredstev kot minimalno polje vključuje raven klasifikacije:

Evidenca sredstev mora vsebovati najmanj: 5.3.1 ID sredstva, kategorijo in vrsto 5.3.2 Serijsko številko ali enolično oznako (za fizična sredstva) 5.3.3 Različico programske opreme ali licenčni ključ (za programska sredstva) 5.3.4 Lastnika sredstva 5.3.5 Raven klasifikacije (javno, interno, zaupno, omejeno) 5.3.6 Lokacijo (fizično, virtualno, oblak) 5.3.7 Status življenjskega cikla (aktivno, v vzdrževanju, umaknjeno)

To je neposredno usklajeno z načrtovanjem tveganj po ISO/IEC 27001:2022. Če ne morete identificirati informacijskega sredstva, lastnika, lokacije in klasifikacije, ne morete dosledno oceniti verjetnosti, vpliva, prednostne obravnave in preostalega tveganja. Prav tako ne morete zanesljivo odločiti, ali dobaviteljska ureditev, storitev v oblaku ali integracija SaaS vpliva na regulirane informacije.

Za GDPR to podpira odgovornost. Evidence dejavnosti obdelave iz člena 30 in varnostni ukrepi iz člena 32 so bolj verodostojni, ko register sredstev opredeli, kje se osebni podatki obdelujejo in kako so zaščiteni. Za DORA isti register podpira kritičnost sredstev in storitev IKT, obseg testiranja odpornosti ter analizo odvisnosti od tretjih oseb. Za NIS2 podpira analizo tveganj, nadzor dostopa in upravljanje sredstev.

Tak zapis spremeni ton presoje. Namesto izjave »Verjamemo, da so občutljivi podatki zaščiteni« lahko organizacija pokaže, kaj so podatki, kdo je njihov lastnik, zakaj so klasificirani kot Omejeno, katere kontrole se uporabljajo in kdaj so bile nazadnje pregledane.

Oznake morajo usmerjati pravila ravnanja v oblaku in SaaS

Večina občutljivih podatkov se zdaj premika skozi oblačne platforme, aplikacije SaaS, analitične cevovode in orodja za sodelovanje. Politika, ki uporabnikom naroča, naj »previdno ravnajo z zaupnimi podatki«, ni dovolj.

Clarysecova P27 Politika uporabe storitev v oblaku uporabo oblaka neposredno povezuje s klasifikacijo in lokacijo hrambe podatkov:

Klasifikacija podatkov in lokacija hrambe 6.6.1 Nobenih podatkov ni dovoljeno premakniti na oblačno platformo brez klasifikacije v skladu s Politiko klasifikacije in označevanja podatkov (P13). 6.6.2 Zahteve glede lokacije hrambe podatkov morajo biti pogodbeno uveljavljene (npr. hramba izključno v EU za podatke, regulirane z GDPR). 6.6.3 Čezmejni prenosi podatkov morajo biti skladni z GDPR Chapter V in, kjer je primerno, DORA člen 28.

To je pomembno, ker tveganje v oblaku pogosto nastane zaradi priročnosti. Ekipa izvozi podatkovni niz v novo analitično orodje. Prodaja sinhronizira sezname strank v platformo za avtomatizacijo. Razvijalec kopira produkcijske podatke v testno okolje. Brez klasifikacije in označevanja ta dejanja morda ne sprožijo pravnega pregleda, varnostne odobritve ali preverjanja dobaviteljev.

Politika klasifikacije in označevanja podatkov za MSP manjšim organizacijam daje preprost vzorec uvedbe:

Deljene mape ali pogoni v oblaku morajo uporabljati imena map ali oznake, ki označujejo klasifikacijo (npr. »/Clients_Confidential«).

V zrelih okoljih je treba imena map dopolniti s strojno berljivimi oznakami, politikami pogojnega dostopa, blokadami zunanjega deljenja, šifriranjem, oznakami hrambe, pravili DLP in beleženjem. Cilj ni zgolj označiti informacije. Cilj je, da je oznaka izvršljiva.

Oznaka »Omejeno« lahko sproži blokade zunanjega deljenja, šifriranje podatkov v mirovanju in med prenosom, MFA, omejitve prenosa na neupravljane naprave, hrambo revizijskih dnevnikov, opozorila SIEM, pravila hrambe, omejitve lokacij dobaviteljev in eskalacijo resnosti incidenta.

P13 Politika klasifikacije in označevanja podatkov določa izhodišče:

Vse ravnanje s podatki, prenos, dostop, hramba in odstranjevanje informacij morajo biti usklajeni z ravnjo klasifikacije. Najmanj: 6.3.1.1 Javno: lahko se prosto razkrije; posebna obravnava ni potrebna 6.3.1.2 Interno: deli se znotraj organizacije; hrani se v varnih internih sistemih 6.3.1.3 Zaupno: 6.3.1.3.1 Dostop je omejen samo na pooblaščeno osebje 6.3.1.3.2 Med prenosom in v mirovanju mora biti šifrirano 6.3.1.3.3 Zunaj organizacije se lahko deli samo na podlagi NDA ali enakovrednih pogodbenih zaščitnih ukrepov 6.3.1.4 Omejeno: 6.3.1.4.1 Veljajo najvišje varnostne zahteve 6.3.1.4.2 Zahtevani so močni nadzori dostopa, večfaktorska avtentikacija (MFA) in revizijsko beleženje 6.3.1.4.3 Fizično in logično ločevanje, kjer je izvedljivo 6.3.1.4.4 Zunanje deljenje je prepovedano brez odobritve CISO

Vsaka oznaka ima pravilo ravnanja. Vsako pravilo ravnanja ima kontrolo. Vsaka kontrola ima dokazila.

Praktičen primer uveljavljanja

Predstavljajte si fintech analitika, ki ustvari Q3_2026_Customer_Churn_Analysis.xlsx. Preglednica vključuje ID-je strank, obsege transakcij in napovedno točkovanje odhodov strank.

Analitik jo klasificira kot Zaupno, ker vsebuje podatke o strankah in strateško analizo. Z uporabo orodja podjetja za zaščito informacij analitik uporabi oznako Zaupno. Ker je oznaka trajna, vidna in strojno berljiva, se kontrole samodejno aktivirajo.

Datoteka je šifrirana v mirovanju na napravi in v shrambi v oblaku. Vidna glava jo označuje kot Zaupno. Ko jo analitik poskuša sinhronizirati z osebnim pogonom v oblaku, pravilo DLP blokira dejanje in zabeleži poskus. Ko jo analitik poskuša poslati po e-pošti na zunanjo domeno, ki ni partnerska, e-poštni prehod sporočilo postavi v karanteno in opozori center za varnostne operacije. Če je datoteka kasneje ponovno klasificirana kot Omejeno, ker vsebuje regulirane podatke o finančnih transakcijah, je zunanje deljenje onemogočeno, razen če CISO ali lastnik podatkov odobri izjemo.

To je dokaz, ki ga je želel generalni direktor. Je sledljiv, avtomatiziran in vezan na politiko, ki jo je odobril upravni odbor. Prav tako je usklajen s P27 Politiko uporabe storitev v oblaku, ker premik v oblak ni dovoljen brez klasifikacije, čezmejni prenosi pa morajo izpolnjevati GDPR Chapter V in, kjer je primerno, DORA člen 28.

V enem tednu vzpostavite matriko od klasifikacije do kontrol

Celovit program zahteva čas, vendar lahko osredotočen sprint pred presojo, pregledom stranke ali regulativno oceno ustvari hrbtenico dokazil.

1. dan: Potrdite klasifikacijsko shemo

Začnite s štirimi ravnmi: Javno, Interno, Zaupno in Omejeno. Kot izhodišče uporabite P13 Politiko klasifikacije in označevanja podatkov. Merila opredelite na podlagi poslovnega vpliva, pravnega vpliva, pogodbene občutljivosti, tveganja osebnih podatkov, kritičnosti storitve in finančne škode.

2. dan: Izberite deset kritičnih informacijskih sredstev

Uporabite Zenith Blueprint korak 9. Vključite podatkovno bazo strank, sistem za podporne zahtevke, kadrovsko platformo, ponudnika identitet, izvoz plačil, podatkovno skladišče, vedro za shranjevanje v oblaku, mapo za poročila upravnega odbora, repozitorij izvorne kode in repozitorij dokazil o incidentih. Zabeležite lastnika, lokacijo, klasifikacijo in relevantnost za GDPR.

3. dan: Preslikajte pravila ravnanja

Opredelite zahteve za ravnanje glede dostopa, hrambe, prenosa, spremljanja in odstranjevanja.

4. dan: Konfigurirajte eno pot tehničnega uveljavljanja

Izberite eno platformo, na primer repozitorij dokumentov v oblaku, e-poštni sistem ali storitev objektne hrambe. Uvedite vidne in strojno berljive oznake. Konfigurirajte eno pravilo za podatke z oznako Zaupno in eno pravilo za podatke z oznako Omejeno. Na primer, zahtevajte šifriranje za zunanja e-poštna sporočila z oznako Zaupno in blokirajte zunanje deljenje datotek z oznako Omejeno.

5. dan: Posodobite register tveganj in SoA

Uporabite Zenith Blueprint korak 13. V Izjavo o uporabnosti dodajte kontrole klasifikacije in označevanja. Povežite jih s tveganji, kot so nepooblaščeno razkritje, napačna varnostna konfiguracija oblaka, prekomerna izpostavljenost dobaviteljem, odpoved hrambe podatkov in nezadostno poročanje o incidentih.

6. dan: Preizkusite kontrolo

Ustvarite testno datoteko z oznako Omejeno. Poskusite jo deliti navzven z neupravljane naprave. Potrdite, ali orodje blokira, opozori, beleži ali eskalira. Zajemite posnetke zaslona, vnose v dnevnik in dokazila v zahtevkih. Če kontrola odpove, zabeležite izjemo in načrt sanacije.

7. dan: Usposobite uporabnike prve linije

Usposabljanje mora biti prilagojeno vlogam. Razvijalci morajo vedeti, kdaj se produkcijski podatki ne smejo uporabljati v testnih okoljih. Kadrovska služba mora razumeti, zakaj so datoteke zaposlenih Zaupne ali Omejene. Prodaja mora vedeti, zakaj izvozov strank ni dovoljeno naložiti v neodobrena orodja SaaS. Izvršno vodstvo mora razumeti, zakaj gradiva za upravni odbor, dokumenti o prevzemih in podatki vlagateljev zahtevajo strožje ravnanje.

Ta sprint ne dokonča celotnega programa, vendar ustvari hrbtenico dokazil: politiko, evidenco, oznake, pravila ravnanja, tehnično uveljavljanje, sledljivost tveganj in usposabljanje.

Kako bodo presojevalci testirali klasifikacijo in označevanje

Presojevalci klasifikacije redko testirajo ločeno. Sledijo podatkom.

Presojevalec ISO/IEC 27001:2022 bo klasifikacijo povezal z obsegom ISMS, zahtevami zainteresiranih strani, zakonskimi in pogodbenimi obveznostmi, oceno tveganj in Izjavo o uporabnosti. Pričakoval bo dokazila za ISO/IEC 27002:2022 kontrole 5.9, 5.12, 5.13, 5.14, 5.15, 5.34 in relevantne tehnične kontrole. Tipična dokazila vključujejo odobrene politike, zapise evidence sredstev, vnose v register tveganj, označene vzorce, pravila ravnanja, preglede pravic dostopa, ugotovitve notranje revizije in korektivne ukrepe.

Pregledovalec za GDPR se bo osredotočil na osebne podatke. Vprašal bo, ali so osebni podatki identificirani, ali so posebne vrste podatkov ločene, ali so pravila hrambe usklajena z namenom in ali so varnostni ukrepi iz člena 32 ustrezni. Klasifikacija pomaga ločiti običajne poslovne informacije od osebnih podatkov, občutljivih osebnih podatkov, zaupnih podatkov o strankah in reguliranih zapisov. Označevanje operativnim ekipam pomaga preprečiti nenamerno razkritje, predolgo hrambo in nepooblaščen prenos.

Presojevalec NIST CSF 2.0 bo klasifikacijo verjetno obravnaval v okviru GOVERN, IDENTIFY in PROTECT. Vprašal bo lahko, ali trenutni in ciljni profili opredeljujejo odkrivanje občutljivih podatkov, ali uveljavljanje oznak deluje v sistemih SaaS in oblaku, ali dobavitelji ravnajo s podatki glede na klasifikacijo in ali se prioritete spremljanja prilagajajo glede na občutljivost.

Presojevalec po COBIT 2019 ali v slogu ISACA bo poudaril cilje upravljanja, lastništvo procesov, zasnovo kontrol in operativno učinkovitost. Zenith Controls preslika kontrolo popisa 5.9 na COBIT 2019 BAI09.01, BAI09.02 in DSS05.04 ter navaja ISACA ITAF 2204 in 2301. Za klasifikacijo Zenith Controls preslika kontrolo 5.12 na COBIT 2019 DSS06.06 in APO13.01, medtem ko označevanje preslika na DSS06.06. Presojevalec bo vprašal, kdo je lastnik procesa, kako so izjeme odobrene, ali se uspešnost spremlja in ali vodstvo prejema poročila.

Pregledovalec, osredotočen na DORA, bo vprašal, katera informacijska sredstva podpirajo kritične ali pomembne funkcije, kateri podatki so klasificirani kot Omejeno, kateri zunanji ponudniki IKT te podatke hranijo ali prenašajo, ali pogodbe opredeljujejo lokacije in varnostne ukrepe, ali je obseg testiranja vezan na kritične podatke in ali se incidenti delno razvrščajo glede na izgubo podatkov po razpoložljivosti, avtentičnosti, celovitosti in zaupnosti.

Če odgovori izhajajo iz enega modela dokazil za sredstva in dobavitelje, ki ga usmerja klasifikacija, postanejo presoje hitrejše, doslednejše in bolj dokazljive.

Pogosti vzorci neuspeha

Neuspehi klasifikacije se običajno zgodijo, ker organizacije oznake obravnavajo kot orodja ozaveščanja namesto kot kontrolne signale.

Prvič, klasificirajo dokumente, ne pa podatkovnih baz, programskih vmesnikov (API), dnevnikov, varnostnih kopij, izvozov ali zapisov SaaS. Občutljivi podatki v izpisu za odpravljanje napak so lahko enako škodljivi kot občutljivi podatki v preglednici.

Drugič, informacije označijo, vendar oznak ne povežejo z nadzorom dostopa. Oznaka Omejeno ob odprtem dostopu dokazuje, da je organizacija poznala občutljivost in ni uveljavila pravila ravnanja.

Tretjič, migracije v oblak se zgodijo pred klasifikacijo. Ekipe premaknejo podatke v nova orodja SaaS, ne da bi potrdile lokacijo hrambe podatkov, dobaviteljska določila, dostop podobdelovalcev, zahteve za čezmejni prenos ali pravice do izbrisa. P27 Politika uporabe storitev v oblaku to neposredno naslavlja s prepovedjo premika na oblačne platforme brez klasifikacije.

Četrtič, načrti odzivanja na incidente ignorirajo klasifikacijo. Če merila resnosti ne vključujejo občutljivosti podatkov, ekipe za incidente med krizo izgubljajo čas z ugotavljanjem, kaj je bilo prizadeto. Analiza kršitev po GDPR, obravnavanje incidentov po NIS2 in razvrščanje incidentov po DORA imajo vsi koristi od hitrega podatkovnega konteksta.

Petič, SoA ne pojasni, zakaj so kontrole klasifikacije in označevanja uporabne. Organizacija je oznake morda uvedla, vendar jih SoA ne poveže z GDPR člen 32, NIS2 člen 21, IKT-tveganjem po DORA, pogodbami s strankami ali specifičnimi scenariji tveganj.

Poročanje vodstvu: klasifikacija naj bo vidna

NIS2 in DORA kibernetsko varnost postavljata kot vprašanje odgovornosti vodstva. ISO/IEC 27001:2022 prav tako zahteva zavezanost vodstva, usklajenost politik, vire, vloge in poročanje o uspešnosti. Kazalniki klasifikacije morajo zato doseči pregled vodstva.

Koristni kazalniki vključujejo:

• Delež kritičnih informacijskih sredstev z dodeljenimi lastniki.
• Delež sredstev z odobreno klasifikacijo.
• Število sredstev z oznako Omejeno brez okrepljenega beleženja.
• Število repozitorijev z oznako Zaupno ali Omejeno, pri katerih je omogočeno zunanje deljenje.
• Delež dobaviteljev, ki obdelujejo podatke z oznako Zaupno ali Omejeno in imajo posodobljene pogodbene klavzule.
• Število izjem pri klasifikaciji in zapadlih sanacijskih ukrepov.
• Incidenti DLP po oznaki.
• Dokončanje pregledov pravic dostopa za sredstva z oznako Omejeno.
• Lokacije hrambe v oblaku za podatke, regulirane z GDPR.
• Vaje odzivanja na incidente, ki so uporabile merila resnosti na podlagi klasifikacije.

Ti kazalniki podpirajo pregled vodstva po ISO/IEC 27001:2022, nadzor vodstva po NIS2, poročanje o upravljanju po DORA in programe zagotavljanja zaupanja naročnikov. Klasifikacijo naredijo razumljivo tudi izvršnemu vodstvu. Vodstvo lahko ukrepa hitreje, ko vidi, da več repozitorijev z oznako Omejeno nima preizkušene obnovitve ali da kritični dobavitelji obdelujejo podatke o strankah brez potrjene hrambe v EU.

Od politike do dokazila

Clarysecov vzorec uvedbe temelji na dokazilih:

1. Opredelite klasifikacijsko shemo v P13 Politiki klasifikacije in označevanja podatkov ali začnite s Politiko klasifikacije in označevanja podatkov za MSP.
2. Dodajte klasifikacijo v evidenco sredstev z uporabo P12 Politike upravljanja sredstev.
3. Omejitve uporabe oblaka in zahteve glede lokacije hrambe uveljavite prek P27 Politike uporabe storitev v oblaku.
4. Uporabite Zenith Blueprint korak 9 za identifikacijo informacijskih sredstev, lastnikov, lokacij in občutljivosti.
5. Uporabite Zenith Blueprint korak 13 za preslikavo tveganj na kontrole v SoA.
6. Uporabite Zenith Blueprint korak 22 za implementacijo ISO/IEC 27002:2022 kontrol 5.12 in 5.13 v vsakodnevnem poslovanju.
7. Uporabite Zenith Controls za preslikavo istih dokazil na GDPR, NIS2, DORA, NIST CSF, COBIT 2019 in podporne standarde.
8. Testirajte uveljavljanje oznak, omejitve dostopa, beleženje, DLP in triažo incidentov.
9. Vodstvu poročajte o uspešnosti klasifikacije.
10. Klasifikacijo preglejte po večjih spremembah sistema, procesa, dobavitelja ali regulative.

To deluje, ker klasifikacija postane skupni jezik med poslovno vrednostjo, zakonsko obveznostjo, tehnično kontrolo in revizijskimi dokazili.

Če se vaša organizacija pripravlja na certifikacijo ISO/IEC 27001:2022, zagotavljanje skladnosti z GDPR, pripravljenost na NIS2, skrbni pregled strank po DORA ali kombinirano presojo skladnosti, začnite z enim vprašanjem:

Ali lahko za vsako kritično informacijsko sredstvo pokažete, kaj je, kdo je njegov lastnik, kje je, kako je klasificirano, kako je označeno, kdo lahko dostopa do njega, kako je zaščiteno, kako dolgo se hrani, kateri dobavitelj se ga dotika in kaj se zgodi, če je izpostavljeno?

Če odgovor še ni pritrdilen, vam lahko Clarysec pomaga hitro in dokazljivo vzpostaviti verigo dokazil.

Uporabite Politiko klasifikacije in označevanja podatkov za MSP, P13 Politiko klasifikacije in označevanja podatkov, P12 Politiko upravljanja sredstev, P27 Politiko uporabe storitev v oblaku, Zenith Blueprint: 30-koračni časovni načrt za presojevalce in Zenith Controls: vodnik za navzkrižno skladnost, da klasifikacijo iz statične politike pretvorite v operativni kontrolni sloj za GDPR člen 32, upravljanje kibernetskih tveganj po NIS2 in dokazila o IKT-tveganjih po DORA.

Najboljši čas za klasifikacijo podatkov je bil pred prejemom revizijske zahteve. Naslednji najboljši čas je pred naslednjo migracijo v oblak, uvajanjem dobavitelja, varnostnim vprašalnikom stranke ali incidentom.