ISO 27001/27002

Co jsou tito standardy a jak s nimi pracovat.

 

ISO 27001

Název

Obrázek

Popis

Úvod

Tato mezinárodní norma byla připravena proto, aby poskytla podporu pro ustavení, zavedení, provozování, monitorování, udržování a zlepšování systému řízení bezpečnosti informací(Information Security Management Systems nebo ISMS). Přijetí ISMS by mělo být strategickýmrozhodnutím organizace.

Normativní odkazy

Pro použití tohoto dokumentu jsou nezbytné odkazy na následující dokumenty. U datovaných odkazů připadají v úvahu pouze uvedená vydání. U nedatovaných odkazů je myšleno jejichposlední vydání.

Termíny a definice

Pro účely tohoto dokumentu jsou platné následující definice.

Systém řízení bezpečnosti informací

Organizace musí ustavit, zavést, provozovat, monitorovat, přezkoumávat, udržovat a soustavnězlepšovat dokumentovaný ISMS organizace, a to v kontextu všech činností a rizik. Použitýproces je, pro účely této normy, založen na modelu PDCA znázorněném na obrázku č.1.

Odpovědnost vedení

Vedení organizace musí deklarovat svoji vůli k ustavení, zavedení, provozu, monitorování,přezkoumání, udržování a zlepšování ISMS.

Interní audity ISMS

Organizace musí provádět interní audity ISMS v naplánovaných intervalech, aby zjistila, zdacíle opatření, jednotlivá bezpečnostní opatření, procesy a postupy ISMS:
a) vyhovují požadavkům této normy a odpovídající legislativě nebo regulatornímpožadavkům

Přezkoumání ISMS vedení organizace

Vedení organizace musí provádět přezkoumání ISMS organizace v naplánovaných intervalech(alespoň jednou za rok), aby zajistilo jeho permanentní účelnost,adekvátnost a efektivnost.

Zlepšování ISMS

Organizace musí neustále zvyšovat efektivnost ISMS s využitím politiky bezpečnosti informací,cílů bezpečnosti, výsledků auditu, analýz monitorovaných událostí,nápravných a preventivníchakcí a přezkoumání prováděných vedením organizace

Bezpečnost lidských zdrojů

Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svýmipovinnostmi, aby projednotlivé role byli vybráni vhodní kandidáti a snížit rizikolidské chyby, krádeže, podvodu nebo zneužitíprostředků organizace.

Fyzická bezpečnost a bezpečnost prostředí

Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům doprovozních budov a informací organizace.

Řízení komunikace a řízení provozu

Cíl: Zajistit správný a bezpečný provoz zařízení pro zpracování informací.

Řízení přístupu

Cíl: Řídit přístup k informacím.

Nákup, vývoj a údržba informačního systému

Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů.

Zvládání bezpečnostních incidentů

Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který umožnívčasné zahájení kroků vedoucích k nápravě.

Řízení kontinuity činností organizace z hlediska bezpečnosti informací

Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky závažnýchselhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu.

Soulad s požadavky

Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo smluvníchpovinností a bezpečnostních požadavků.

 

 

ISO 27002

Název

Obrázek

Popis

Úvod

Informace jsou aktiva, která mají pro organizaci hodnotu. Je tedy nutné je vhodným způsobemchránit. Obzvláště se vzrůstající propojeností prostředí jednotlivých organizací je tato potřebastále více aktuální.

Termíny a definice

Pro účely tohoto dokumentu jsou platné následující definice.

Struktura normy

Norma obsahuje celkem 11 základních oddílů, které jsou dále rozděleny do 39 kategorií
bezpečnosti. Mimo to jsou v kapitole 4 uvedeny základní informace o procesechhodnocení azvládání rizik.

Hodnocení a zvládání rizik

V rámci hodnocení rizik by měla být identifikována a kvantifikována rizika, měla by být určena důležitost jednotlivých rizik s ohledem na kritéria pro jejich akceptaci a cíle organizace. Výstupem z hodnocení rizik by měla být doporučení a priority řízení jednotlivých rizik a priority implementace vybraných opatření na ochranu proti těmto rizikům. Celý proces hodnocení rizik,01 a výběru vhodných opatření může být nutné opakovat pro různé části organizace nebojednotlivé informační systémy.

Bezpečnostní politiky

Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky organice, příslušnými zákony a regulatorními požadavky.
Vedení organizace by mělo stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci.

Organizace bezpečnosti

Cíl: Řídit bezpečnost informací v organizaci.
Měl by být vytvořen řídící rámec pro zahájení a řízení implementace bezpečnosti informací v organizaci.

Klasifikace a řízení aktiv

Cíl: Udržovat přiměřenou ochranu aktiv organizace.
U všech důležitých informačních aktiv by měla být stanovena odpovědnost a určen jejich vlastník.

Bezpečnost lidských zdrojů

Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace.

Fyzická bezpečnost a bezpečnost prostředí

Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace. Zařízení zpracovávající kritické nebo citlivé informace organizace, by měla být umístěny v zabezpečených zónách chráněných definovaným bezpečnostním perimetrem s odpovídajícími bezpečnostními bariérami a vstupními kontrolami. Tato zařízení by měla být fyzicky chráněna proti neautorizovanému přístupu, poškození a narušení.

Řízení komunikace a řízení provozu

Cíl: Zajistit správný a bezpečný provoz prostředků pro zpracování informací.
Měly by být stanoveny odpovědnosti a postupy pro řízení a správu prostředků zpracovávajících
informace. Zahrnuje to vytváření vhodných provozních instrukcí a postupů.

Řízení přístupu

Cíl: Řídit přístup k informacím.
Přístup k informacím, zařízením pro zpracování informací a procesům organizace by měl být řízen
na základě provozních a bezpečnostních požadavků.

Nákup, vývoj a údržba informačního systému

Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů.
To zahrnuje provozní systémy, infrastrukturu, interní aplikace organizace, zakoupené produkty,
služby a uživatelsky vyvinuté aplikace. Návrh a implementace informačního systému na
podporu procesů organizace může být z hlediska bezpečnosti kritický.

Zvládání bezpečnostních incidentů

Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který
umožní včasné zahájení kroků vedoucích k nápravě.

Řízení kontinuity činností organizace z hlediska bezpečnosti informací

Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky
závažných selhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu.
Pro minimalizaci následků a zotavení se ze ztráty informačních aktiv (které může být např.
výsledkem přírodních pohrom, nehod, chyb zařízení a úmyslného jednání) na přijatelnou
úroveň, za pomoci preventivních a zotavovacích opatření, by měl být zaveden proces řízení
kontinuity činností organizace.

Soulad s požadavky

Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo
smluvních povinností a bezpečnostních požadavků.
Návrh, provoz a používání informačních systémů může být předmětem zákonných,
podzákonných nebo smluvních bezpečnostních požadavků.