DLP v letu 2026: ISO 27001 za GDPR, NIS2 in DORA
Začne se s preglednico.
V ponedeljek ob 08:17 vodja uspeha strank iz CRM izvozi 14.000 poslovnih kontaktov za pripravo kampanje podaljšanja pogodb. Ob 08:24 je preglednica priložena e-poštnemu sporočilu. Ob 08:26 je sporočilo poslano na osebni račun Gmail, ker želi zaposleni delati med vožnjo z vlakom. Ob 08:31 je ista datoteka naložena v neodobreno orodje umetne inteligence za zapiske, da bi »očistili podvojene zapise«.
Na prvi pogled to še ni kršitev. Ni obvestila o izsiljevalski programski opremi, ni signala zlonamerne programske opreme, ni kompromitiranega skrbniškega računa in ni javnega uhajanja podatkov. Toda za vodjo informacijske varnosti, vodjo skladnosti in pooblaščeno osebo za varstvo podatkov se je ključno vprašanje že pojavilo: ali lahko organizacija dokaže, da je bil ta premik dovoljen, razvrščen, zabeležen, šifriran, utemeljen in obvladljiv?
Enak scenarij se v finančnih storitvah dogaja vsak teden. Razvijalec poskuša naložiti Q1_Investor_Projections_DRAFT.xlsx na osebni pogon v oblaku, ker je VPN počasen. Vodja prodaje izvozi seznam strank v potrošniško aplikacijo za sodelovanje. Analitik podpore prilepi evidence o strankah v neodobreno orodje umetne inteligence. V vsakem primeru je lahko namen priročnost in ne zlonamernost, vendar je tveganje enako. Občutljivi podatki so prečkali ali skoraj prečkali mejo, ki je organizacija ne nadzoruje.
To je sodobni problem preprečevanja uhajanja podatkov. DLP ni več samo pravilo na e-poštnem prehodu ali agent na končni točki. Leta 2026 je učinkovito preprečevanje uhajanja podatkov upravljan kontrolni sistem, podprt z dokazili, ki zajema SaaS, shrambo v oblaku, končne točke, mobilne naprave, dobavitelje, API-je, razvojna okolja, izvoze varnostnih kopij, orodja za sodelovanje in človeške bližnjice.
GDPR Article 32 pričakuje ustrezne tehnične in organizacijske ukrepe za varnost obdelave. NIS2 Article 21 pričakuje ukrepe kibernetske varnosti na podlagi tveganj, vključno s kibernetsko higieno, nadzorom dostopa, upravljanjem sredstev, varnostjo dobavne verige, obravnavanjem incidentov, šifriranjem in testiranjem učinkovitosti. DORA od finančnih subjektov pričakuje upravljanje tveganj IKT prek upravljanja, zaznavanja, odzivanja, obnovitve, testiranja, nadzora tretjih oseb in preverljivosti. ISO/IEC 27001:2022 zagotavlja hrbtenico sistema upravljanja, ki te obveznosti naredi operativne, merljive in primerne za presojo.
Napaka številnih organizacij je, da kupijo orodje DLP, še preden opredelijo, kaj pomeni »uhajanje«. Pristop Clarysec se začne prej: razvrstiti podatke, določiti dovoljene prenose, uveljaviti politiko, spremljati izjeme, pripraviti dokazila za odzivanje in vse povezati s sistemom upravljanja varovanja informacij (ISMS).
Kot navaja Zenith Blueprint: An Auditor’s 30-Step Roadmap v fazi Controls in Action, korak 19, Technological Controls I:
Preprečevanje uhajanja podatkov pomeni preprečevanje nepooblaščene ali nenamerne objave občutljivih informacij, ne glede na to, ali iztečejo prek e-pošte, nalaganja v oblak, prenosnih medijev ali celo pozabljenega izpisa. Kontrola 8.12 obravnava potrebo po spremljanju, omejevanju in odzivanju na vse podatke, ki zapustijo zaupanja vredne meje organizacije, ne glede na to, ali je premik digitalen, fizičen ali posledica ravnanja ljudi. Zenith Blueprint
Ta stavek je bistvo DLP v letu 2026: spremljati, omejevati in se odzivati.
Zakaj je DLP zdaj vprašanje skladnosti na ravni organa upravljanja
Organ upravljanja običajno ne sprašuje, ali regularni izraz DLP zazna nacionalne identifikacijske številke. Sprašuje, ali lahko organizacija zaščiti zaupanje strank, zagotovi neprekinjenost poslovanja, se izogne regulativni izpostavljenosti in dokaže razumno varnost, ko gre kaj narobe.
Tu se GDPR, NIS2 in DORA združijo.
GDPR se široko uporablja za avtomatizirano obdelavo osebnih podatkov, vključno z upravljavci in obdelovalci s sedežem v EU ter organizacijami zunaj EU, ki ponujajo blago ali storitve posameznikom v EU ali spremljajo njihovo vedenje. Osebne podatke opredeljuje široko in zajema operacije, kot so zbiranje, hramba, uporaba, razkritje, izbris in uničenje. Nepooblaščeno razkritje osebnih podatkov ali dostop do njih je lahko kršitev varnosti osebnih podatkov. GDPR Article 5 izrecno določa tudi odgovornost: organizacije ne smejo le upoštevati načel, kot so najmanjši obseg podatkov, omejitev hrambe, celovitost in zaupnost, temveč morajo biti sposobne dokazati skladnost.
NIS2 pritisk razširja onkraj zasebnosti. Uporablja se za številne bistvene in pomembne subjekte, vključno s sektorji, kot so bančništvo, infrastrukture finančnih trgov, ponudniki storitev računalništva v oblaku, ponudniki podatkovnih centrov, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, spletne tržnice, iskalniki in platforme družbenih omrežij. Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe, vključno z analizo tveganja, politikami varnosti informacijskih sistemov, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, varnim razvojem, testiranjem učinkovitosti, kibernetsko higieno, usposabljanjem, kriptografijo, nadzorom dostopa, upravljanjem sredstev in avtentikacijo.
DORA se uporablja od 17. januarja 2025 in deluje kot namenski predpis finančnega sektorja za digitalno operativno odpornost IKT. Za finančne subjekte v obsegu uporabe se obravnava kot sektorsko specifičen pravni akt Unije za namene prekrivanja z NIS2. DORA vključuje DLP v upravljanje tveganj IKT, razvrščanje incidentov, izgubo podatkov, ki vpliva na razpoložljivost, avtentičnost, celovitost ali zaupnost, testiranje digitalne operativne odpornosti, upravljanje tretjih ponudnikov IKT in pogodbene kontrole.
Vprašanje DLP v letu 2026 ni »Ali imamo orodje?« Temveč:
- Ali vemo, katere informacije so občutljive?
- Ali vemo, kje se hranijo, obdelujejo in prenašajo?
- Ali so dovoljene in prepovedane poti prenosa opredeljene?
- Ali so uporabniki usposobljeni in tehnično omejeni?
- Ali so poti prek oblaka in SaaS upravljane?
- Ali so dnevniki zadostni za preiskavo?
- Ali se opozorila hitro triažirajo in incidenti hitro razvrstijo?
- Ali so dobavitelji in zunanje izvajane storitve IKT pogodbeno zavezani?
- Ali lahko dokažemo, da kontrole delujejo?
ISO/IEC 27001:2022 je zelo primeren za odgovarjanje na ta vprašanja, ker zahteva kontekst, zahteve zainteresiranih strani, oceno tveganja, obravnavo tveganja, merljive cilje, operativni nadzor, dokumentirana dokazila, nadzor dobaviteljev, notranjo presojo, vodstveni pregled in nenehno izboljševanje. Ni standard za DLP, vendar DLP iz izolirane tehnološke konfiguracije pretvori v nadzorovan proces sistema upravljanja.
Veriga kontrol ISO 27001 za učinkovitim DLP
Verodostojen program DLP ne temelji na eni sami kontroli. Temelji na verigi.
Clarysecov Zenith Controls: The Cross-Compliance Guide preslika kontrolo ISO/IEC 27002:2022 8.12, preprečevanje uhajanja podatkov, kot preventivno in odkrivalno kontrolo, osredotočeno na zaupnost, usklajeno s konceptoma kibernetske varnosti Protect in Detect, z zaščito informacij kot operativno zmogljivostjo ter zaščito/obrambo kot varnostnim področjem. Zenith Controls
To je pomembno, ker presojevalci pričakujejo tako blokiranje kot vidnost. Preventivno pravilo DLP brez pregleda opozoril je nepopolno. Pristop, ki temelji samo na beleženju in nima uveljavljanja za visoko tvegane prenose, je prav tako šibek.
Isti vodnik preslika kontrolo ISO/IEC 27002:2022 5.12, razvrščanje informacij, kot preventivno kontrolo, ki podpira zaupnost, celovitost in razpoložljivost ter je usklajena z Identify. Kontrolo 5.14, prenos informacij, preslika kot preventivno kontrolo, ki podpira zaupnost, celovitost in razpoložljivost ter je usklajena s Protect, upravljanjem sredstev in zaščito informacij.
V praksi je veriga kontrol DLP videti tako:
| Področje kontrole ISO/IEC 27002:2022 | Vloga DLP | Kaj gre narobe, če manjka |
|---|---|---|
| 5.9 Popis informacij in drugih povezanih sredstev | Opredeli sredstva, lastnike in lokacije podatkov | Občutljivi repozitoriji ostanejo zunaj obsega DLP |
| 5.12 Razvrščanje informacij | Določi občutljivost in zahteve glede ravnanja | Pravila DLP blokirajo naključno ali spregledajo kritične podatke |
| 5.13 Označevanje informacij | Razvrstitev naredi vidno in strojno uporabno | Uporabniki in orodja ne morejo razlikovati javnih podatkov od zaupnih |
| 5.14 Prenos informacij | Določi odobrene poti prenosa in pogoje | Osebje uporablja osebno e-pošto, potrošniške pogone v oblaku ali neupravljano sporočanje |
| 5.15 do 5.18 Nadzor dostopa, identiteta, avtentikacija in pravice dostopa | Omeji, kdo lahko dostopa do podatkov in jih izvozi | Prekomerna dovoljenja omogočajo notranja tveganja in množično pridobivanje podatkov |
| 5.19 do 5.23 Kontrole dobaviteljev in oblaka | Upravlja SaaS, oblak in zunanje izvajano obdelavo | Podatki uhajajo prek neocenjenih dobaviteljev ali nenadzorovane IT |
| 5.24 do 5.28 Upravljanje incidentov | Pretvori opozorila DLP v odzivne ukrepe in dokazila | Opozorila so prezrta, brez triaže ali niso pravočasno prijavljiva |
| 5.31 in 5.34 Pravne, regulativne, pogodbene kontrole in kontrole zasebnosti | Poveže DLP z GDPR, pogodbami in sektorskimi pravili | Kontrole se ne ujemajo z dejanskimi obveznostmi |
| 8.12 Preprečevanje uhajanja podatkov | Spremlja, omejuje in omogoča odziv na odhodne premike podatkov | Občutljive informacije zapustijo organizacijo brez zaznave ali nadzora |
| 8.15 Beleženje in 8.16 Spremljanje dejavnosti | Zagotavlja dokazila in forenzično vidnost | Organizacija ne more dokazati, kaj se je zgodilo |
| 8.24 Uporaba kriptografije | Varuje podatke med prenosom in podatke v mirovanju | Odobreni prenosi še vedno razkrijejo berljive podatke |
Zenith Blueprint, korak 22, pojasnjuje odvisnost med evidenco sredstev, razvrščanjem in DLP:
Preglejte trenutno evidenco sredstev (5.9), da zagotovite, da vključuje fizična in logična sredstva, lastnike in razvrstitve. Povežite to evidenco s shemo razvrščanja (5.12) ter zagotovite, da so občutljiva sredstva ustrezno označena in zaščitena. Kjer je potrebno, določite hrambo, varnostno kopiranje ali izolacijo glede na razvrstitev.
Zato Clarysec projekte DLP redko začne z nastavljanjem pravil. Začnemo z usklajevanjem sredstev, lastnikov, vrst podatkov, oznak razvrstitve, poti prenosa in dokaznih zapisov. Če organizacija ne more povedati, kateri podatkovni nizi so zaupni, regulirani, v lasti strank, povezani s plačili ali poslovno kritični, lahko orodje DLP samo ugiba.
Trije stebri sodobnega programa DLP
Sodoben program DLP temelji na treh medsebojno krepilnih stebrih: poznati podatke, upravljati tok in braniti mejo. Ti stebri naredijo ISO/IEC 27001:2022 praktičen za skladnost z GDPR, NIS2 in DORA.
Steber 1: Poznajte svoje podatke z razvrščanjem in označevanjem
Ne morete zaščititi tega, česar ne razumete. Kontroli ISO/IEC 27002:2022 5.12 in 5.13 zahtevata, da organizacije razvrstijo informacije in jih označijo glede na občutljivost in zahteve glede ravnanja. To ni papirnata vaja. Je temelj za avtomatizirano uveljavljanje.
Za MSP Politika razvrščanja in označevanja podatkov določa:
Zaupno: Zahteva šifriranje med prenosom in v mirovanju, omejen dostop, izrecno odobritev za deljenje in varno uničenje ob odstranitvi. Politika razvrščanja in označevanja podatkov - MSP
Ta navedek iz razdelka »Zahteve za izvajanje politike«, klavzula 6.3.3, daje programu DLP štiri izvršljive pogoje: šifriranje, omejen dostop, odobritev deljenja in varno odstranjevanje.
V podjetniških okoljih je Politika razvrščanja in označevanja podatkov še bolj neposredna. Iz razdelka »Zahteve za izvajanje politike«, klavzula 6.2.6.2:
Blokiranje prenosa (npr. zunanje e-pošte) za neustrezno označene občutljive podatke Politika razvrščanja in označevanja podatkov
In iz razdelka »Uveljavljanje in skladnost«, klavzula 8.3.2:
Samodejno preverjanje razvrstitve z uporabo preprečevanja uhajanja podatkov (DLP) in orodij za odkrivanje
Te klavzule razvrščanje pretvorijo v kontrolo. Datoteka z oznako zaupno lahko sproži šifriranje, blokira zunanji prenos, zahteva odobritev ali ustvari varnostno opozorilo. DLP nato postane sloj uveljavljanja politike, ki jo uporabniki, sistemi in presojevalci razumejo.
Steber 2: Upravljajte tok z varnim prenosom informacij
Ko so podatki razvrščeni, mora organizacija upravljati, kako se premikajo. Kontrola ISO/IEC 27002:2022 5.14, prenos informacij, je pogosto spregledana, vendar se prav tam začne veliko odpovedi DLP.
Zenith Blueprint kontrolo 5.14 umešča kot potrebo po upravljanju pretoka informacij tako, da je prenos varen, nameren in skladen z razvrstitvijo ter poslovnim namenom. To velja za e-pošto, varno deljenje datotek, API-je, integracije SaaS, izmenljive medije, tiskana poročila in portale dobaviteljev.
Delo na daljavo je zato še posebej pomembno. Politika dela na daljavo, razdelek »Zahteve za izvajanje politike«, klavzula 6.3.1.3, od zaposlenih zahteva, da:
Uporabljajo samo odobrene rešitve za deljenje datotek (npr. M365, Google Workspace s kontrolami preprečevanja uhajanja podatkov (DLP)) Politika dela na daljavo
Za mobilne naprave in BYOD Politika mobilnih naprav in BYOD, razdelek »Zahteve za izvajanje politike«, klavzula 6.6.4, zagotavlja konkretno uveljavljanje na končnih točkah:
Politike preprečevanja uhajanja podatkov (DLP) morajo blokirati nepooblaščena nalaganja, zajeme zaslona, dostop do odložišča ali deljenje podatkov iz upravljanih aplikacij v osebne prostore. Politika mobilnih naprav in BYOD
To je pomembno, ker podatki ne zapuščajo organizacije samo prek e-pošte. Odhajajo prek posnetkov zaslona, sinhronizacije odložišča, neupravljanih profilov brskalnika, osebnih pogonov, mobilnih menijev za deljenje, vtičnikov za sodelovanje in orodij umetne inteligence.
Enako pomembno je upravljanje oblaka. V MSP Politika uporabe storitev v oblaku - MSP, razdelek »Zahteve upravljanja«, klavzula 5.5:
Nenadzorovana IT (shadow IT), opredeljena kot uporaba neodobrenih orodij v oblaku, mora biti obravnavana kot kršitev politike ter pregledana s strani direktorja in ponudnika IT, da se določita tveganje in potrebna odprava. Politika uporabe storitev v oblaku - MSP
Za podjetniške organizacije Politika uporabe storitev v oblaku, razdelek »Zahteve upravljanja«, klavzula 5.5, zvišuje zahteve glede spremljanja:
Ekipa za informacijsko varnost mora redno ocenjevati omrežni promet, dejavnost DNS in dnevnike za zaznavanje nepooblaščene uporabe storitev v oblaku (shadow IT). Zaznane kršitve je treba nemudoma preiskati. Politika uporabe storitev v oblaku
Nenadzorovana IT ni samo informacijsko-tehnološka nevšečnost. Po GDPR lahko postane nezakonito razkritje ali nenadzorovana obdelava. Po NIS2 je slabost kibernetske higiene in dobavne verige. Po DORA lahko postane tveganje tretjih ponudnikov IKT in vprašanje razvrščanja incidentov.
Steber 3: Branite mejo s tehnologijo DLP, politiko in ozaveščenostjo
Kontrola ISO/IEC 27002:2022 8.12, preprečevanje uhajanja podatkov, je kontrola, ki jo večina povezuje z DLP. V zrelem programu pa je zadnja obrambna linija, ne prva.
Zenith Blueprint pojasnjuje, da DLP zahteva tridelni pristop: tehnologijo, politiko in ozaveščenost. Tehnologija vključuje DLP na končnih točkah, varnost e-pošte, pregled vsebine, varnost dostopa do oblaka, kontrole SaaS, kontrole brskalnika, filtriranje izhodnega omrežnega prometa in usmerjanje opozoril. Politika določa, kaj orodja uveljavljajo. Ozaveščenost zagotavlja, da zaposleni razumejo, zakaj osebna e-pošta, potrošniška shramba v oblaku in neodobrena orodja umetne inteligence niso sprejemljivi načini ravnanja z reguliranimi ali zaupnimi informacijami.
Komponenta odzivanja je enako pomembna kot preprečevanje. Zenith Blueprint, korak 19, navaja:
DLP pa ni samo preprečevanje, temveč tudi odzivanje. Če je zaznano morebitno uhajanje:
✓ opozorila je treba hitro triažirati, ✓ beleženje mora podpirati forenzično analizo, ✓ načrt odzivanja na incidente je treba sprožiti brez odlašanja.
Program DLP, ki dogodke blokira, vendar jih ne triažira, preiskuje in iz njih ne pridobi izkušenj, ni pripravljen na presojo. Je le delno uveden.
Od uhajanja preglednice do odziva, pripravljenega na presojo
Vrnimo se k ponedeljkovi jutranji preglednici.
V šibkem programu organizacija nalaganje odkrije tri tedne pozneje med pregledom zasebnosti. Nihče ne ve, kdo je odobril izvoz, ali so bili podatki osebni podatki, ali so bile vključene posebne vrste podatkov, ali je orodje umetne inteligence datoteko obdržalo in ali je treba obvestiti stranke.
V programu, zasnovanem po pristopu Clarysec, je zaporedje drugačno.
Prvič, izvoz iz CRM je označen kot zaupen, ker vsebuje osebne podatke in komercialne informacije strank. Drugič, dogodek izvoza je zabeležen. Tretjič, e-poštni prehod zazna zaupno priponko, poslano na osebno e-poštno domeno, in jo blokira, razen če obstaja odobrena izjema. Četrtič, poskus nalaganja v neodobreno storitev v oblaku sproži opozorilo o uporabi oblaka. Petič, opozorilo se triažira v skladu s postopkom odzivanja na incidente. Šestič, varnostna ekipa ugotovi, ali je prišlo do dejanskega razkritja, ali so bili podatki šifrirani, ali jih je ponudnik obdelal ali obdržal, ali so izpolnjena merila za kršitev po GDPR ter ali se uporabljajo pragovi incidentov po NIS2 ali DORA.
MSP Politika beleženja in spremljanja, razdelek »Zahteve upravljanja«, klavzula 5.4.3, ekipi natančno pove, kaj mora biti vidno:
Dnevniki dostopa: dostop do datotek (zlasti za občutljive ali osebne podatke), spremembe dovoljenj, uporaba deljenih virov Politika beleženja in spremljanja - MSP
Ta klavzula je kratka, vendar odločilna. Če dostop do datotek, spremembe dovoljenj in uporaba deljenih virov niso zabeleženi, preiskava DLP postane ugibanje.
Po NIS2 Article 23 pomembni incidenti zahtevajo fazno poročanje: zgodnje opozorilo v 24 urah od seznanitve, obvestilo o incidentu v 72 urah in končno poročilo najpozneje en mesec po obvestilu o incidentu. Po DORA Articles 17 to 19 morajo finančni subjekti odkrivati, upravljati, razvrščati, evidentirati, eskalirati in poročati večje incidente, povezane z IKT. Razvrščanje vključuje izgubo podatkov, ki vpliva na razpoložljivost, avtentičnost, celovitost ali zaupnost, skupaj s prizadetimi strankami, trajanjem, geografsko razširjenostjo, kritičnostjo in ekonomskim vplivom. Po GDPR lahko nepooblaščeno razkritje osebnih podatkov zahteva presojo kršitve in, kadar so pragovi doseženi, obvestilo.
Opozorilo DLP zato ni zgolj varnostni dogodek. Lahko postane presoja kršitve zasebnosti, delovni tok incidenta po NIS2, razvrstitev incidenta IKT po DORA, sprožilec obveščanja strank in paket revizijskih dokazil.
Kontrole DLP za GDPR Article 32
GDPR Article 32 se pogosto prevede v seznam ukrepov: šifriranje, zaupnost, celovitost, razpoložljivost, odpornost, testiranje in obnovitev. Za DLP je ključno varstvo skozi življenjski cikel.
Osebni podatki se premikajo skozi zbiranje, hrambo, uporabo, prenos, razkritje, nadaljnjo hrambo in izbris. GDPR Article 5 zahteva najmanjši obseg podatkov, omejitev namena, omejitev hrambe, celovitost, zaupnost in odgovornost. GDPR Article 6 zahteva pravno podlago in združljivost namena. GDPR Article 9 zahteva strožje zaščitne ukrepe za posebne vrste osebnih podatkov.
DLP podpira te obveznosti, ko je povezan z razvrščanjem podatkov, evidencami zakonite obdelave in odobrenimi potmi prenosa.
| Vprašanje po GDPR | Izvedba DLP | Dokazila za hrambo |
|---|---|---|
| Najmanjši obseg osebnih podatkov | Zaznava množičnih izvozov ali nepotrebne replikacije | Opozorila o izvozu in utemeljitve izjem |
| Celovitost in zaupnost | Blokiranje zunanjega deljenja nešifriranih zaupnih podatkov | Pravilo DLP, zahteva šifriranja in dnevnik blokiranega dogodka |
| Omejitev namena | Omejitev prenosov v neodobrena analitična orodja ali orodja umetne inteligence | Seznam dovoljenih SaaS, DPIA ali zapis pregleda tveganja |
| Posebne vrste podatkov | Uporaba strožjih oznak in pravil blokiranja | Pravila razvrščanja, pregled dostopov in odobritveni delovni tok |
| Odgovornost | Hraniti dokazila o opozorilih, odločitvah in odpravi | Zahtevki za incidente, revizijska sled in zapisi vodstvenih pregledov |
Clarysecova Politika maskiranja podatkov in psevdonimizacije - MSP, razdelek »Namen«, klavzula 1.2, podpira ta pristop skozi življenjski cikel:
Te tehnike so obvezne, kadar živi podatki niso potrebni, tudi v razvoju, analitiki in scenarijih storitev tretjih oseb, da se zmanjša tveganje izpostavljenosti, neprimerne uporabe ali kršitve. Politika maskiranja podatkov in psevdonimizacije - MSP
To je praktična kontrola za GDPR Article 32. Če razvijalci, analitiki ali dobavitelji ne potrebujejo živih osebnih podatkov, DLP ne sme biti edina ovira. Maskiranje in psevdonimizacija zmanjšata obseg škode, še preden se podatki premaknejo.
Močna matrika DLP, usklajena z zasebnostjo, mora preslikati vrste osebnih podatkov v oznake razvrstitve, pravno podlago, odobrene sisteme, odobrene metode izvoza, zahteve šifriranja, pravila DLP, pravila hrambe in sprožilce incidentov. Ta matrika postane most med upravljanjem zasebnosti in varnostnimi operacijami.
Kibernetska higiena NIS2 in DLP onkraj ekipe za zasebnost
NIS2 spremeni pogovor o DLP, ker uhajanje postavi v okvir kibernetske higiene in odpornosti, ne samo zasebnosti.
Article 20 zahteva, da organi upravljanja bistvenih in pomembnih subjektov odobrijo ukrepe upravljanja tveganj kibernetske varnosti, nadzirajo implementacijo in prejmejo usposabljanje za kibernetsko varnost. Article 21 zahteva ustrezne in sorazmerne ukrepe na področjih politike, obravnavanja incidentov, neprekinjenega poslovanja, dobavne verige, varnega razvoja, testiranja učinkovitosti, kibernetske higiene, usposabljanja, kriptografije, kadrovske varnosti, nadzora dostopa in upravljanja sredstev. Article 25 spodbuja uporabo ustreznih evropskih in mednarodnih standardov ter tehničnih specifikacij.
DLP neposredno prispeva k tem področjem:
| Področje NIS2 Article 21 | Prispevek DLP |
|---|---|
| Analiza tveganja in politike varnosti informacijskih sistemov | Opredeli scenarije uhajanja podatkov in zahteve glede ravnanja |
| Obravnavanje incidentov | Usmeri sum iznosa podatkov v delovne tokove triaže, eskalacije in obveščanja |
| Neprekinjeno poslovanje | Varuje kritične operativne informacije in informacije strank |
| Varnost dobavne verige | Upravlja prenose podatkov tretjim osebam in dostop dobaviteljev |
| Varen razvoj | Preprečuje uhajanje izvorne kode, skrivnosti in živih testnih podatkov |
| Testiranje učinkovitosti | Omogoča simulacije DLP, namizne vaje in sledenje odpravi |
| Kibernetska higiena in usposabljanje | Uporabnike uči varnih praks prenosa in tveganj nenadzorovane IT |
| Kriptografija | Uveljavlja šifriranje za zaupne prenose |
| Nadzor dostopa in upravljanje sredstev | Omejuje, kdo lahko izvozi občutljiva sredstva, in beleži dejavnost |
Politika varnosti omrežja - MSP, razdelek »Cilji«, klavzula 3.4, izrecno določa cilj glede iznosa podatkov:
Preprečiti širjenje zlonamerne programske opreme in iznos podatkov prek omrežnih kanalov Politika varnosti omrežja - MSP
Za NIS2 tak cilj presojevalcem omogoča neposredno testno pot: prikazati filtriranje izhodnega prometa, spremljanje DNS, dnevnike posredniških strežnikov, opozorila končnih točk, blokirane poskuse nalaganja in zahtevke za preiskavo.
Zenith Blueprint, korak 23, dodaja ukrep, specifičen za oblak, ki je zdaj bistven za digitalne in IKT ponudnike, zajete z NIS2:
Navedite vse storitve v oblaku, ki so trenutno v uporabi (5.23), vključno z nenadzorovano IT, kjer je znana. Ugotovite, kdo jih je odobril in ali je bil opravljen skrbni pregled. Razvijte enostaven kontrolni seznam za ocenjevanje, ki zajema lokacijo podatkov, model dostopa, beleženje in šifriranje. Za prihodnje storitve zagotovite, da je kontrolni seznam vključen v postopek nabave ali IT uvajanja.
Številne organizacije tukaj odpovejo. Imajo obseg ISMS in evidenco dobaviteljev, nimajo pa dejanskega seznama orodij SaaS, kamor zaposleni premikajo regulirane podatke ali podatke strank. DLP brez odkrivanja oblaka je slep.
Tveganje IKT po DORA: DLP za finančne subjekte in ponudnike
Za finančne subjekte se mora DLP vključiti v okvir upravljanja tveganj IKT po DORA.
DORA Article 5 zahteva notranji okvir upravljanja in kontrol za upravljanje tveganj IKT. Organ upravljanja ostaja odgovoren za tveganje IKT, politike za ohranjanje razpoložljivosti, avtentičnosti, celovitosti in zaupnosti podatkov, jasne vloge na področju IKT, strategijo digitalne operativne odpornosti, toleranco do tveganj IKT, načrte neprekinjenega poslovanja ter odzivanja in obnovitve, načrte presoj, vire, politiko tretjih oseb in kanale poročanja.
Article 6 zahteva dokumentiran okvir upravljanja tveganj IKT, ki zajema strategije, politike, postopke, protokole IKT in orodja za zaščito informacij in sredstev IKT. Article 9 obravnava zaščito in preprečevanje. Articles 11 to 14 dodajajo neprekinjeno poslovanje, odzivanje, obnovitev, varnostno kopiranje, obnovo, preverjanja celovitosti podatkov, pridobljene izkušnje, usposabljanje za ozaveščanje in krizno komuniciranje.
DLP se v ta okvir umešča kot zmogljivost za zaščito, zaznavanje, odzivanje in testiranje.
DORA prav tako naredi tveganje tretjih oseb neizogibno. Articles 28 to 30 zahtevajo upravljanje tveganj tretjih ponudnikov IKT, registre pogodb o storitvah IKT, predpogodbeni skrbni pregled, pogodbene zahteve, pravice do revizije in inšpekcijskega pregleda, pravice do prekinitve, izhodne strategije, opise storitev, lokacije obdelave in hrambe podatkov, dostop do podatkov, obnovitev in vračilo, pomoč pri incidentih, sodelovanje z organi, varnostne ukrepe in pogoje za podizvajanje.
Za fintech ali banko se DLP ne more ustaviti na meji Microsoft 365 ali Google Workspace. Zajeti mora plačilne procesorje, ponudnike preverjanja identitete, platforme CRM, podatkovna skladišča, infrastrukturo v oblaku, zunanje izvajane službe podpore, ponudnike upravljanih storitev in kritične integracije SaaS.
| Pričakovanje DORA | Dokazila DLP |
|---|---|
| Upravljanje IKT v lasti organa upravljanja | Tveganje DLP, ki ga sprejme vodstvo, dodeljene vloge in odobren proračun |
| Razpoložljivost, avtentičnost, celovitost in zaupnost podatkov | Razvrščanje, šifriranje, pravila DLP in omejitve dostopa |
| Življenjski cikel incidenta | Triaža opozoril DLP, razvrščanje, analiza temeljnega vzroka in eskalacija |
| Testiranje odpornosti | Simulacije DLP, scenariji iznosa podatkov in sledenje odpravi |
| Tveganje tretjih oseb IKT | Skrbni pregled dobaviteljev, pogodbene klavzule DLP in dokazila o lokaciji podatkov |
| Preverljivost | Dnevniki, zgodovina sprememb pravil, odobritve izjem in vodstveni pregled |
To je še posebej pomembno tam, kjer DORA deluje kot sektorsko specifičen pravni akt Unije za prekrivajoče se obveznosti NIS2. Kontrole morajo še vedno obstajati. Pot poročanja in nadzora se lahko razlikuje.
90-minutni sprint za pravilo DLP
Clarysec s strankami uporablja praktičen sprint, ko potrebujejo hiter napredek, ne da bi se pretvarjali, da je mogoče celoten program DLP zgraditi na enem sestanku. Cilj je implementirati eno visoko vredno kontrolo DLP od politike do dokazil.
Korak 1: Izberite eno vrsto podatkov in eno pot prenosa
Izberite »osebni podatki strank, izvoženi iz CRM in poslani navzven po e-pošti«. Ne začnite z vsakim repozitorijem, državo in vrsto podatkov.
Korak 2: Potrdite razvrstitev in oznako
Uporabite politiko razvrščanja, da potrdite, da je ta izvoz zaupen. V MSP klavzula 6.3.3 zahteva šifriranje, omejen dostop, izrecno odobritev za deljenje in varno uničenje. V podjetju Politika razvrščanja in označevanja podatkov podpira blokiranje prenosa za neustrezno označene občutljive podatke in samodejno preverjanje z uporabo DLP in orodij za odkrivanje.
Korak 3: Določite dovoljeni vzorec prenosa
Dovoljeno: izvoz iz CRM, poslan na odobreno domeno stranke z uporabo šifrirane e-pošte ali odobrene platforme za varno deljenje datotek, s poslovno utemeljitvijo.
Ni dovoljeno: osebna e-pošta, javne povezave za deljenje datotek, neodobrena orodja umetne inteligence in neupravljani pogoni v oblaku.
To je usklajeno z Zenith Blueprint, korak 22, ki navaja:
Če informacijam z oznako »zaupno« ni dovoljeno zapustiti podjetja brez šifriranja, morajo e-poštni sistemi uveljaviti politike šifriranja ali blokirati zunanji prenos.
Korak 4: Konfigurirajte minimalno pravilo DLP
Konfigurirajte e-poštno platformo ali platformo za sodelovanje, da zazna oznako zaupno, vzorec osebnih podatkov ali konvencijo poimenovanja izvozne datoteke. Če se pričakujejo lažno pozitivni rezultati, začnite s spremljanjem, nato preidite na blokiranje za osebne domene in neodobrene prejemnike.
Korak 5: Omogočite beleženje in usmerjanje opozoril
Zagotovite, da dnevniki zajemajo dostop do datotek, spremembe dovoljenj in uporabo deljenih virov, kot zahteva Politika beleženja in spremljanja - MSP. Opozorila usmerite v čakalno vrsto sistema za upravljanje zahtevkov z resnostjo, vrsto podatkov, pošiljateljem, prejemnikom, imenom datoteke, izvedenim ukrepom in pregledovalcem.
Korak 6: Preizkusite tri scenarije
Preizkusite odobren šifriran prenos stranki, blokiran prenos na osebno e-pošto in poskus nalaganja v neodobreno domeno v oblaku, ki sproži samo opozorilo.
Korak 7: Ohranite dokazila
Shranite sklic na klavzulo politike, posnetek zaslona pravila DLP, rezultate testiranja, zahtevek z opozorilom, odločitev pregledovalca in odobritev vodstva. Kontrolo dodajte v načrt obravnave tveganja in izjavo o uporabnosti.
V izrazih ISO/IEC 27001:2022 ta vaja povezuje Clause 6.1.2 oceno tveganja, Clause 6.1.3 obravnavo tveganja, Clause 8 operativno načrtovanje in nadzor, Annex A prenos informacij, preprečevanje uhajanja podatkov, beleženje, spremljanje, kontrole dobaviteljev in oblaka ter Clause 9 vrednotenje uspešnosti.
Preslikava med okviri skladnosti: en program DLP, več obveznosti
Prednost pristopa Clarysec je, da se izogne gradnji ločenih kontrolnih skladov za GDPR, NIS2, DORA, NIST in COBIT. En dobro zasnovan program DLP lahko izpolni več pričakovanj, če so dokazila pravilno strukturirana.
| Okvir | Kaj pričakuje od DLP | Vzorec dokazil Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Kontrole na podlagi tveganj, SoA, lastništvo, operativna dokazila in nenehno izboljševanje | Register tveganj, SoA, preslikava politik, pravila DLP, dnevniki in vodstveni pregled |
| GDPR Article 32 | Ustrezni tehnični in organizacijski ukrepi za varnost osebnih podatkov | Razvrščanje, šifriranje, nadzor dostopa, maskiranje, opozorila DLP in presoja kršitve |
| NIS2 | Kibernetska higiena, nadzor dostopa, upravljanje sredstev, šifriranje, obravnavanje incidentov in varnost dobavne verige | Odobrene politike, usposabljanje, pregledi dobaviteljev, delovni tok incidentov in pripravljenost na poročanje v 24/72 urah |
| DORA | Upravljanje tveganj IKT, upravljanje incidentov, testiranje odpornosti in nadzor tretjih oseb | Okvir tveganj IKT, testiranje DLP, razvrščanje incidentov, pogodbe z dobavitelji in revizijska sled |
| NIST CSF 2.0 | Upravljanje, profili, tveganje dobavne verige, rezultati odzivanja in obnovitve | Trenutni in ciljni profil, načrt vrzeli, kritičnost dobaviteljev in zapisi odzivanja |
| COBIT 2019 | Cilji upravljanja, lastništvo kontrol, zmožnost procesov in dokazila zagotavljanja zaupanja | RACI, procesni kazalniki, poročanje o uspešnosti kontrol in ugotovitve notranje presoje |
NIST CSF 2.0 je uporaben kot komunikacijska plast. Njegova funkcija GOVERN podpira spremljanje pravnih, regulativnih in pogodbenih zahtev, apetit po tveganju, uveljavljanje politik, vloge in nadzor. Metoda Profiles organizacijam pomaga opredeliti trenutni in ciljni profil tveganja, dokumentirati vrzeli in izvesti akcijski načrt. Funkciji RESPOND in RECOVER podpirata zajezitev incidentov DLP, analizo temeljnega vzroka, ohranitev dokazil in obnovitev.
COBIT 2019 dodaja upravljavski pogled. Presojevalec, usmerjen v COBIT, bo vprašal, ali so cilji DLP usklajeni s cilji podjetja, ali je lastništvo jasno, ali obstajajo kazalniki uspešnosti, ali je apetit po tveganju opredeljen in ali vodstvo prejema smiselna poročila.
Kako bodo presojevalci testirali vaš program DLP
Presoje DLP redko temeljijo na enem posnetku zaslona. Različna revizijska ozadja prinašajo različna pričakovanja glede dokazil.
| Pogled presojevalca | Verjetno revizijsko vprašanje | Ustrezna dokazila |
|---|---|---|
| Presojevalec ISO/IEC 27001:2022 | Ali je tveganje DLP identificirano, obravnavano, implementirano in dokazano skozi ISMS? | Ocena tveganja, SoA, načrt obravnave tveganja, politike, konfiguracija DLP in operativni zapisi |
| GDPR ali presojevalec zasebnosti | Ali lahko dokažete, da so osebni podatki zaščiteni, minimizirani, zakonito preneseni in presojeni glede kršitve? | Evidenca podatkov, uskladitev z RoPA, razvrščanje, dnevniki prenosov, rezultati DPIA in zapis odločitve o kršitvi |
| Ocenjevalec NIS2 | Ali so ukrepi DLP, povezani s kibernetsko higieno, dostopom, incidenti, dobavitelji in šifriranjem, odobreni in testirani? | Odobritev vodstva, zapisi o usposabljanju, operativni priročniki za incidente, preverjanja dobaviteljev in vaja časovnice poročanja |
| Nadzornik DORA ali notranja revizija | Ali DLP podpira tveganje IKT, zaupnost podatkov, razvrščanje incidentov, testiranje odpornosti in nadzor tretjih oseb? | Okvir tveganj IKT, program testiranja, zapisi razvrščanja incidentov, pogodbe s ponudniki in izhodni načrti |
| Ocenjevalec NIST | Ali so rezultati DLP upravljani, profilirani, prioritetizirani, spremljani in izboljševani? | Trenutni in ciljni profil, POA&M, zapisi upravljanja in dokazila odzivanja |
| Presojevalec COBIT 2019 ali ISACA | Ali je DLP upravljan kot proces z odgovornimi lastniki, metrikami in zagotovilom? | RACI, KPI, KRI, opisi procesov, testiranje kontrol in sledenje odpravi |
Močan revizijski paket DLP vključuje izjavo o obsegu in tveganju, shemo razvrščanja, odobrene metode prenosa, pravila DLP, odobritve izjem, zasnovo beleženja, postopek triaže opozoril, odločitveno drevo za poročanje o incidentih, evidenco dobaviteljev in oblaka, rezultate testiranja in zapise o odpravi.
Pogoste odpovedi DLP v letu 2026
Najpogostejše odpovedi DLP so operativne, ne eksotične.
Prvič, razvrščanje je neobvezno ali nedosledno. Oznake obstajajo v politiki, vendar jih uporabniki ne uporabljajo, sistemi jih ne uveljavljajo, repozitoriji pa vsebujejo leta neoznačenih občutljivih datotek.
Drugič, DLP je trajno uveden samo v načinu opozarjanja. Način samo opozarjanja je koristen med nastavljanjem, vendar mora biti visoko tvegan prenos zaupnih podatkov strank na osebno e-pošto sčasoma blokiran, razen če obstaja odobrena izjema.
Tretjič, nenadzorovana IT se obravnava kot informacijsko-tehnološka nevšečnost in ne kot tveganje za varstvo podatkov. Politika uporabe storitev v oblaku in Politika uporabe storitev v oblaku - MSP sta zasnovani tako, da neodobrena orodja v oblaku postanejo vidna, pregledljiva in odpravljiva.
Četrtič, dnevniki niso zadostni za preiskavo. Če varnostna ekipa ne more rekonstruirati, kdo je dostopal, delil, prenesel, naložil ali spremenil dovoljenja, organizacija ne more zanesljivo oceniti obveznosti poročanja po GDPR, NIS2 ali DORA.
Petič, dobavitelji so zunaj modela DLP. DORA Articles 28 to 30 to naredijo posebej nevarno za finančne subjekte, vendar problem zadeva vsak sektor. Pogodbe morajo določiti lokacije podatkov, dostop, obnovitev, vračilo, pomoč pri incidentih, varnostne ukrepe, podizvajanje in pravice do revizije.
Šestič, odziv na incidente ne vključuje scenarijev DLP. Napačno naslovljena e-pošta, nepooblaščen prenos v SaaS ali množični izvoz iz CRM morajo imeti odzivni priročnik, merila resnosti in pot odločanja o obveščanju.
Nazadnje organizacije pozabljajo na fizične in človeške kanale. Zenith Blueprint nas opominja, da DLP vključuje prakso čiste mize, varno uničevanje dokumentov, zaklenjene tiskalne vrste, revizijske dnevnike tiskalnikov in ozaveščanje zaposlenih. Program DLP, ki prezre papir, posnetke zaslona in pogovore, je nepopoln.
Zgradite program DLP, ki mu presojevalci lahko zaupajo
Če je vaš program DLP trenutno konfiguracija orodja, je leto 2026 čas, da ga pretvorite v upravljan kontrolni sistem, podprt z dokazili.
Začnite s tremi praktičnimi ukrepi:
- Izberite svoje tri najpomembnejše vrste občutljivih podatkov, kot so osebni podatki strank, podatki o plačilih in izvorna koda.
- Preslikajte, kam se premikajo, vključno z e-pošto, SaaS, shrambo v oblaku, končnimi točkami, API-ji, dobavitelji in razvojnimi okolji.
- Za vsako vrsto podatkov zgradite eno izvršljivo pravilo DLP, povezano s politiko, beleženjem, odzivom na incidente in hrambo dokazil.
Clarysec vam lahko pomaga to pospešiti z Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls in politikami, pripravljenimi za prilagoditev, kot so Politika razvrščanja in označevanja podatkov Politika razvrščanja in označevanja podatkov, Politika dela na daljavo Politika dela na daljavo, Politika uporabe storitev v oblaku Politika uporabe storitev v oblaku, Politika beleženja in spremljanja - MSP Politika beleženja in spremljanja - MSP in Politika mobilnih naprav in BYOD Politika mobilnih naprav in BYOD.
Cilj ni ustaviti vsake datoteke pred premikom. Cilj je, da varen premik postane privzeto stanje, tvegan premik viden, prepovedan premik blokiran in vsaka izjema odgovorno obravnavana.
Prenesite orodja Clarysec, preglejte svoj paket dokazil DLP in rezervirajte presojo pripravljenosti, da preverite, ali vaše trenutne kontrole zdržijo presojo po GDPR Article 32, pričakovanja kibernetske higiene NIS2 in pregled tveganj IKT po DORA.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
