ČESKÁ TECHNICKÁ NORMA
ICS 03.100.70; 35.030 Červen 2017
Informační technologie – Bezpečnostní techniky – |
ČSN 36 9710 |
Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services
Technologies de l’information – Techniques de sécurité – Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage
Tato norma je českou verzí mezinárodní normy ISO/IEC 27017:2015. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.
This standard is the Czech version of the International Standard ISO/IEC 27017:2015. It was translated by the Czech Office for Standards, Metrology and Testing. It has the same status as the official version.
Národní předmluva
Informace o citovaných dokumentech
Recommendation ITU-T Y.3500 | ISO/IEC 17788 zavedena v ČSN ISO/IEC 17788 (36 9865) Informační technologie – Cloud computing – Přehled a slovník
Recommendation ITU-T Y.3502 | ISO/IEC 17789 zavedena v ČSN ISO/IEC 17789 (36 9866) Informační technologie – Cloud computing – Referenční architektura
ISO/IEC 27000 zavedena v ČSN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ISO/IEC 27002:2013 zavedena v ČSN ISO/IEC 27002:2014 (36 9798) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací
Souvisící ČSN
ČSN ISO/IEC 27001:2014 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
ČSN ISO/IEC 27005:2013 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací
ČSN ISO/IEC 27018:2017 (36 9709) Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII
ČSN EN ISO/IEC 27040:2017 (36 9849) Informační technologie – Bezpečnostní techniky – Zabezpečení úložišť dat
ČSN EN ISO 19440:2008 (97 4105) Podniková integrace – Jazykové konstrukty pro podnikové modelování
ČSN ISO 31000:2010 (01 0351) Management rizik – Principy a směrnice
Vysvětlivky k textu převzaté normy
Pro účely této normy byly použity následující anglické termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné komunitě a/nebo absenci českého ekvivalentu:
cloud, cloud computing, malware, snapshot, peer
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČ 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Miroslav Škop
Informační
technologie – Bezpečnostní techniky – ISO/IEC 27017
Soubor postupů pro opatření bezpečnosti informací První vydání
pro cloudové služby založený na ISO/IEC 27002 2015-12-15
ICS 03.100.70; 35.030
Obsah
Strana
1......... Předmět normy................................................................................................................................................................................ 8
2......... Citované dokumenty....................................................................................................................................................................... 8
2.1...... Identická doporučení | mezinárodní normy................................................................................................................................ 8
2.2...... Další odkazy..................................................................................................................................................................................... 8
3......... Definice a zkratky............................................................................................................................................................................ 8
3.1...... Termíny definované jinde.............................................................................................................................................................. 8
3.2...... Zkratky................................................................................................................................................................................................ 9
4......... Pojmy specifické pro cloudový sektor......................................................................................................................................... 9
4.1...... Přehled.............................................................................................................................................................................................. 9
4.2...... Dodavatelské vztahy v cloudových službách............................................................................................................................. 9
4.3...... Vztahy mezi zákazníky cloudových služeb a poskytovateli cloudových služeb................................................................ 10
4.4...... Řízení rizik bezpečnosti informací u cloudových služeb....................................................................................................... 10
4.5...... Struktura této normy...................................................................................................................................................................... 10
5......... Politiky bezpečnosti informací.................................................................................................................................................... 11
5.1...... Pokyny vedení organizace k bezpečnosti informací.............................................................................................................. 11
6......... Organizace bezpečnosti informací............................................................................................................................................ 12
6.1...... Interní organizace.......................................................................................................................................................................... 12
6.2...... Mobilní zařízení a práce na dálku.............................................................................................................................................. 13
7......... Bezpečnost lidských zdrojů......................................................................................................................................................... 13
7.1...... Před vznikem pracovního poměru............................................................................................................................................. 13
7.2...... Během pracovního poměru........................................................................................................................................................ 13
7.3...... Ukončení a změna pracovního poměru................................................................................................................................... 14
8......... Řízení aktiv...................................................................................................................................................................................... 14
8.1...... Odpovědnost za aktiva................................................................................................................................................................. 14
8.2...... Klasifikace informací.................................................................................................................................................................... 15
8.3...... Manipulace s médii....................................................................................................................................................................... 15
9......... Řízení přístupu............................................................................................................................................................................... 15
9.1...... Požadavky organizace na řízení přístupu................................................................................................................................. 15
9.2...... Správa a řízení přístupu uživatelů.............................................................................................................................................. 16
9.3...... Odpovědnosti uživatelů................................................................................................................................................................ 17
9.4...... Řízení přístupu k systémům a aplikacím.................................................................................................................................. 17
Strana
10....... Kryptografie.................................................................................................................................................................................... 18
10.1.... Kryptografická opatření................................................................................................................................................................ 18
11....... Fyzická bezpečnost a bezpečnost prostředí............................................................................................................................ 19
11.1.... Zabezpečené oblasti.................................................................................................................................................................... 19
11.2.... Zařízení............................................................................................................................................................................................ 20
12....... Bezpečnost provozu..................................................................................................................................................................... 20
12.1.... Provozní postupy a odpovědnosti.............................................................................................................................................. 20
12.2.... Ochrana před malwarem............................................................................................................................................................. 22
12.3.... Zálohování...................................................................................................................................................................................... 22
12.4.... Zaznamenávání formou logů a monitorování......................................................................................................................... 22
12.5.... Řízení a kontrola provozního softwaru...................................................................................................................................... 23
12.6.... Správa a řízení technických zranitelností.................................................................................................................................. 24
12.7.... Hlediska auditu informačních systémů..................................................................................................................................... 24
13....... Bezpečnost komunikací............................................................................................................................................................... 24
13.1.... Správa bezpečnosti sítě............................................................................................................................................................... 24
13.2.... Přenos informací........................................................................................................................................................................... 25
14....... Akvizice, vývoj a údržba systému............................................................................................................................................... 25
14.1.... Bezpečnostní požadavky informačních systémů.................................................................................................................... 25
14.2.... Bezpečnost v procesech vývoje a podpory.............................................................................................................................. 25
14.3.... Data pro testování......................................................................................................................................................................... 26
15....... Vztahy s dodavateli....................................................................................................................................................................... 26
15.1.... Bezpečnost informací ve vztazích s dodavateli....................................................................................................................... 26
15.2.... Řízení dodávky služeb dodavatelem......................................................................................................................................... 28
16....... Řízení incidentů bezpečnosti informací.................................................................................................................................... 28
16.1.... Řízení incidentů bezpečnosti informací a zlepšování............................................................................................................ 28
17....... Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací.............................................................. 29
17.1.... Kontinuita bezpečnosti informací............................................................................................................................................... 29
17.2.... Redundance................................................................................................................................................................................... 29
18....... Soulad s požadavky...................................................................................................................................................................... 29
18.1.... Soulad se zákonnými a smluvními požadavky....................................................................................................................... 29
18.2.... Přezkoumání bezpečnosti informací......................................................................................................................................... 31
Příloha A Rozšířený soubor opatření cloudových služeb................................................................................................................... 32
Příloha B Odkazy na rizika bezpečnosti informací souvisící s cloud computingem.................................................................... 36
Bibliografie.................................................................................................................................................................................................. 37
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM |
© ISO/IEC 2015, Published in Switzerland Veškerá
práva vyhrazena. Není-li specifikováno jinak, nesmí být žádná část této
publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv
způsobem, elektronickým ani mechanickým, včetně pořizování fotokopií nebo
zveřejnění na internetu nebo intranetu, bez předchozího písemného svolení. O
písemné svolení lze požádat buď přímo ISO na níže uvedené adrese, nebo
členskou organizaci ISO ISO copyright office CH. de Blandonnet 8 · CP 401 CH-1214 Vernier, Geneva, Switzerland Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47 |
ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní a nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.
Návrhy mezinárodních norem jsou vypracovávány v souladu s pravidly danými směrnicemi ISO/IEC, část 2.
Hlavním úkolem společné technické komise je vypracování mezinárodních norem. Návrhy mezinárodních norem přijaté technickými komisemi se rozesílají národním orgánům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících národních orgánů.
Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv.
ISO/IEC 27017 vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 IT Bezpečnostní techniky ve spolupráci s ITU-T. Identický text je publikován jako doporučení ITU-T.X.1631 (07/2015).
Pokyny obsažené v tomto doporučení | mezinárodní normě jsou pokyny navíc k pokynům uvedeným v ISO/IEC 27002 a tyto pokyny doplňují.
Konkrétně toto doporučení | mezinárodní norma poskytuje pokyny podporující implementaci kontrolních opatření bezpečnosti informací pro zákazníky cloudových služeb a poskytovatele cloudových služeb. Některé pokyny jsou určeny zákazníkům cloudových služeb, kteří implementují kontrolní opatření, a jiné jsou určeny poskytovatelům cloudových služeb na podporu implementace těchto kontrolních opatření. Výběr vhodných kontrolních opatření bezpečnosti informací a uplatnění poskytnutých pokynů k implementaci bude záviset na posouzení rizik a případných právních, smluvních, regulatorních nebo jiných požadavcích bezpečnosti informací specifických pro sektor cloudových služeb.
Toto doporučení | mezinárodní norma uvádí pokyny pro kontrolní opatření bezpečnosti informací použitelné na poskytování a používání cloudových služeb poskytnutím:
– dodatečných pokynů k implementaci příslušných kontrolních opatření specifikovaných v ISO/IEC 27002;
– dodatečných kontrolních opatření s pokyny k implementaci, které se specificky vztahují ke cloudovým službám.
Toto doporučení | mezinárodní norma poskytuje kontrolní opatření a pokyny k implementaci jak pro poskytovatele cloudových služeb, tak pro zákazníky cloudových služeb.
Konec náhledu - text dále pokračuje v placené verzi ČSN.