PŘEDBĚŽNÁ ČESKÁ TECHNICKÁ NORMA
ICS 35.030 Listopad 2021
Informační technologie – Kybernetická bezpečnost – Přehled a pojmy |
ČSN P 36 9771 |
Information technology – Cybersecurity – Overview and concepts
Tato předběžná norma je českou verzí technické specifikace
ISO/IEC TS 27100:2020. Překlad byl zajištěn
Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.
This prestandard is the Czech version of the Technical Specification ISO/IEC TS 27100:2020. It was translated by the Czech Standardization Agency. It has the same status as the official version.
Národní předmluva
Upozornění na používání této normy
Tato předběžná česká technická norma přejímá technickou specifikaci ISO/IEC TS 27100:2020 vydanou v souladu se směrnicemi ISO/IEC, část 1 a je určena k ověření. Případné připomínky k obsahu normy přijímá Česká agentura pro standardizaci.
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
Souvisící ČSN
ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
ČSN ISO/IEC 27005 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací
ČSN EN ISO/IEC 27019 (36 9719) Informační
technologie – Bezpečnostní techniky – Opatření bezpečnosti
informací pro energetický průmysl
ČSN ISO/IEC 27035-1 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 1: Principy řízení incidentů
ČSN ISO/IEC 27035-2 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 2: Směrnice pro plánování a přípravu odezvy na incidenty
ČSN ISO 31000 (01 0351) Management rizik – Směrnice
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní normy
jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními,
platnými v době schválení této normy. Při používání této normy je třeba
vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných
evropských/mezinárodních norem (včetně všech změn).
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav Škop
Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.
Informační technologie –
Kybernetická bezpečnost – ISO/IEC TS 27100
Přehled a pojmy První vydání
2020-12
ICS 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 5
Úvod................................................................................................................................................................................................................ 6
1......... Předmět normy................................................................................................................................................................................ 7
2......... Citované dokumenty....................................................................................................................................................................... 7
3......... Termíny a definice........................................................................................................................................................................... 7
4......... Pojmy................................................................................................................................................................................................. 8
4.1...... Kybernetický prostor........................................................................................................................................................................ 8
4.2...... Kybernetická bezpečnost............................................................................................................................................................... 8
5......... Vztah mezi kybernetickou bezpečností a relevantními pojmy................................................................................................ 9
5.1...... Vztah mezi bezpečností informací a kybernetickou bezpečností.......................................................................................... 9
5.2...... Vztah mezi ISMS a kybernetickou bezpečností......................................................................................................................... 9
5.2.1... Kybernetický prostor jako oblast zdrojů rizik pro ISMS............................................................................................................. 9
5.2.2... ISMS na podporu kybernetické bezpečnosti............................................................................................................................ 10
5.3...... Rámec kybernetické bezpečnosti.............................................................................................................................................. 10
5.4...... Kybernetická bezpečnost a ochrana......................................................................................................................................... 10
5.5...... Pojištění kybernetických rizik...................................................................................................................................................... 10
6......... Přístup k řízení rizik v kontextu kybernetické bezpečnosti..................................................................................................... 11
6.1...... Obecně............................................................................................................................................................................................ 11
6.2...... Identifikace hrozeb........................................................................................................................................................................ 11
6.3...... Identifikace rizik............................................................................................................................................................................. 12
7......... Kybernetické hrozby..................................................................................................................................................................... 12
7.1...... Obecně............................................................................................................................................................................................ 12
7.2...... Obecná obchodní organizace..................................................................................................................................................... 12
7.2...... Průmyslová organizace a průmyslové automatizační a řídicí systémy.............................................................................. 12
7.4...... Produkty, služby a dodavatelské vztahy................................................................................................................................... 13
7.5...... Poskytovatelé telekomunikačních/internetových služeb....................................................................................................... 13
7.6...... Orgány veřejné moci.................................................................................................................................................................... 14
7.7...... Kritická infrastruktura.................................................................................................................................................................... 14
7.8...... Jednotlivá osoba........................................................................................................................................................................... 14
8......... Správa a řízení incidentů v kybernetické bezpečnosti........................................................................................................... 14
8.1...... Obecně............................................................................................................................................................................................ 14
8.2...... Řízení incidentů v rámci organizace.......................................................................................................................................... 15
8.3...... Koordinace mezi organizacemi................................................................................................................................................. 15
Strana
8.4...... Technická podpora ze strany dodavatele produktů a služeb............................................................................................... 15
Příloha A (informativní) Vrstvený model představující kybernetický prostor.................................................................................. 17
Bibliografie.................................................................................................................................................................................................. 21
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM |
© ISO/IEC 2020 Veškerá
práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno
jinak nebo nepožaduje-li se to v souvislosti s její ISO copyright office CP 401 · Ch. de Blandonnet 8 CH-1214 Vernier, Geneva Tel.: + 41 22 749 01 11 E-mail: copyright@iso.org Web: www.iso.org Publikováno ve Švýcarsku |
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na
vypracování mezinárodních norem prostřednictvím technických komisí ustavených
příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické
komise ISO a IEC spolupracují v oborech společného zájmu. Práce se
zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž
ISO a IEC navázaly pracovní styk.
Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents) nebo v seznamu patentových prohlášení obdržených IEC (viz patents.iec.ch).
Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), viz www.iso.org/iso/foreword.html.
Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí.
Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na adrese www.iso.org/members.html.
Kybernetická bezpečnost představuje široký pojem používaný ve světě odlišným způsobem.
Kybernetická bezpečnost se týká řízení rizik bezpečnosti
informací, pokud se informace vyskytují v digitální
podobě v počítačích, úložištích a sítích. Mnoho opatření bezpečnosti
informací, metod a technik může být použito pro řízení kybernetických
rizik.
ISO/IEC 27001 poskytuje požadavky na systémy řízení
bezpečnosti informací. ISO/IEC 27001 je zaměřena
na bezpečnost informací a souvisící rizika, v prostředí převážně pod
kontrolou určité organizace. Kybernetická bezpečnost se zaměřuje na rizika v kybernetickém
prostoru, vzájemně propojeném digitálním prostředí, které se může rozšířit
napříč organizačními hranicemi a v němž entity sdílejí informace,
interagují digitálně a jsou odpovědné za reagování na incidenty
kybernetické bezpečnosti.
Tento dokument poskytuje přehled kybernetické bezpečnosti.
Tento dokument:
– popisuje kybernetickou bezpečnost a relevantní pojmy, včetně toho, jak se vztahuje k bezpečnosti informací a jak se od ní liší;
– ustanovuje kontext kybernetické bezpečnosti;
– nezahrnuje všechny termíny a definice použitelné pro kybernetickou bezpečnost; a
– neomezuje jiné normy v definování nových termínů souvisících s kybernetickou bezpečností.
Tento dokument platí pro všechny
typy a velikosti organizace (např. obchodní společnosti, vládní agentury,
neziskové organizace).
Konec náhledu - text dále pokračuje v placené verzi ČSN.