PŘEDBĚŽNÁ ČESKÁ TECHNICKÁ NORMA

ICS 35.030                                                                                                                                   Listopad 2021

Informační technologie – Kybernetická bezpečnost – Přehled a pojmy

ČSN P
ISO/IEC TS 27100

36 9771

 

Information technology – Cybersecurity – Overview and concepts

Tato předběžná norma je českou verzí technické specifikace ISO/IEC TS 27100:2020. Překlad byl zajištěn
Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This prestandard is the Czech version of the Technical Specification ISO/IEC TS 27100:2020. It was translated by the Czech Standardization Agency. It has the same status as the official version.

 


Národní předmluva

Upozornění na používání této normy

Tato předběžná česká technická norma přejímá technickou specifikaci ISO/IEC TS 27100:2020 vydanou v souladu se směrnicemi ISO/IEC, část 1 a je určena k ověření. Případné připomínky k obsahu normy přijímá Česká agentura pro standardizaci.

Informace o citovaných dokumentech

ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

Souvisící ČSN

ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ČSN ISO/IEC 27005 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací

ČSN EN ISO/IEC 27019 (36 9719) Informační technologie – Bezpečnostní techniky – Opatření bezpečnosti
informací pro energetický průmysl

ČSN ISO/IEC 27035-1 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 1: Principy řízení incidentů

ČSN ISO/IEC 27035-2 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 2: Směrnice pro plánování a přípravu odezvy na incidenty

ČSN ISO 31000 (01 0351) Management rizik – Směrnice

Vysvětlivky k textu této normy

V případě nedatovaných odkazů na evropské/mezinárodní normy jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními, platnými v době schválení této normy. Při používání této normy je třeba vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných evropských/mezinárodních norem (včetně všech změn).

Vypracování normy

Zpracovatel: Ing. Vladimír Pračke, IČO 40654419

Technická normalizační komise: TNK 20 Informační technologie

Pracovník České agentury pro standardizaci: Ing. Miroslav Škop

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

TECHNICKÁ SPECIFIKACE

Informační technologie – Kybernetická bezpečnost –                              ISO/IEC TS 27100
Přehled a pojmy                                                                                                   První vydání
                                                                                                                                  2020-12

ICS 35.030

Obsah

Strana

Předmluva..................................................................................................................................................................................................... 5

Úvod................................................................................................................................................................................................................ 6

1......... Předmět normy................................................................................................................................................................................ 7

2......... Citované dokumenty....................................................................................................................................................................... 7

3......... Termíny a definice........................................................................................................................................................................... 7

4......... Pojmy................................................................................................................................................................................................. 8

4.1...... Kybernetický prostor........................................................................................................................................................................ 8

4.2...... Kybernetická bezpečnost............................................................................................................................................................... 8

5......... Vztah mezi kybernetickou bezpečností a relevantními pojmy................................................................................................ 9

5.1...... Vztah mezi bezpečností informací a kybernetickou bezpečností.......................................................................................... 9

5.2...... Vztah mezi ISMS a kybernetickou bezpečností......................................................................................................................... 9

5.2.1... Kybernetický prostor jako oblast zdrojů rizik pro ISMS............................................................................................................. 9

5.2.2... ISMS na podporu kybernetické bezpečnosti............................................................................................................................ 10

5.3...... Rámec kybernetické bezpečnosti.............................................................................................................................................. 10

5.4...... Kybernetická bezpečnost a ochrana......................................................................................................................................... 10

5.5...... Pojištění kybernetických rizik...................................................................................................................................................... 10

6......... Přístup k řízení rizik v kontextu kybernetické bezpečnosti..................................................................................................... 11

6.1...... Obecně............................................................................................................................................................................................ 11

6.2...... Identifikace hrozeb........................................................................................................................................................................ 11

6.3...... Identifikace rizik............................................................................................................................................................................. 12

7......... Kybernetické hrozby..................................................................................................................................................................... 12

7.1...... Obecně............................................................................................................................................................................................ 12

7.2...... Obecná obchodní organizace..................................................................................................................................................... 12

7.2...... Průmyslová organizace a průmyslové automatizační a řídicí systémy.............................................................................. 12

7.4...... Produkty, služby a dodavatelské vztahy................................................................................................................................... 13

7.5...... Poskytovatelé telekomunikačních/internetových služeb....................................................................................................... 13

7.6...... Orgány veřejné moci.................................................................................................................................................................... 14

7.7...... Kritická infrastruktura.................................................................................................................................................................... 14

7.8...... Jednotlivá osoba........................................................................................................................................................................... 14

8......... Správa a řízení incidentů v kybernetické bezpečnosti........................................................................................................... 14

8.1...... Obecně............................................................................................................................................................................................ 14

8.2...... Řízení incidentů v rámci organizace.......................................................................................................................................... 15

8.3...... Koordinace mezi organizacemi................................................................................................................................................. 15

Strana

8.4...... Technická podpora ze strany dodavatele produktů a služeb............................................................................................... 15

Příloha A (informativní) Vrstvený model představující kybernetický prostor.................................................................................. 17

Bibliografie.................................................................................................................................................................................................. 21

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2020

Veškerá práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401 · Ch. de Blandonnet 8 

CH-1214 Vernier, Geneva

Tel.: + 41 22 749 01 11

E-mail: copyright@iso.org

Web: www.iso.org

Publikováno ve Švýcarsku

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se
zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents) nebo v seznamu patentových prohlášení obdržených IEC (viz patents.iec.ch).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), viz www.iso.org/iso/foreword.html.

Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí.

Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na adrese www.iso.org/members.html.

Úvod

Kybernetická bezpečnost představuje široký pojem používaný ve světě odlišným způsobem.

Kybernetická bezpečnost se týká řízení rizik bezpečnosti informací, pokud se informace vyskytují v digitální
podobě v počítačích, úložištích a sítích. Mnoho opatření bezpečnosti informací, metod a technik může být použito pro řízení kybernetických rizik.

ISO/IEC 27001 poskytuje požadavky na systémy řízení bezpečnosti informací. ISO/IEC 27001 je zaměřena
na bezpečnost informací a souvisící rizika, v prostředí převážně pod kontrolou určité organizace. Kybernetická bezpečnost se zaměřuje na rizika v kybernetickém prostoru, vzájemně propojeném digitálním prostředí, které se může rozšířit napříč organizačními hranicemi a v němž entity sdílejí informace, interagují digitálně a jsou odpovědné za reagování na incidenty kybernetické bezpečnosti.

1 Předmět normy

Tento dokument poskytuje přehled kybernetické bezpečnosti.

Tento dokument:

    popisuje kybernetickou bezpečnost a relevantní pojmy, včetně toho, jak se vztahuje k bezpečnosti informací a jak se od ní liší;

    ustanovuje kontext kybernetické bezpečnosti;

    nezahrnuje všechny termíny a definice použitelné pro kybernetickou bezpečnost; a

    neomezuje jiné normy v definování nových termínů souvisících s kybernetickou bezpečností.

Tento dokument platí pro všechny typy a velikosti organizace (např. obchodní společnosti, vládní agentury,
neziskové organizace).

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.