Národní předmluva
Informace o citovaných dokumentech
Recommendation ITU-T Y.3500 | ISO/IEC 17788 zavedena
v ČSN ISO/IEC 17788 (36 9865) Informační technologie –
Cloud computing – Přehled a slovník
Recommendation ITU-T Y.3502 | ISO/IEC 17789 zavedena
v ČSN ISO/IEC 17789 (36 9866) Informační technologie –
Cloud computing – Referenční architektura
ISO/IEC 27000 zavedena v ČSN ISO/IEC 27000 (36 9790)
Informační technologie – Bezpečnostní techniky – Systémy řízení
bezpečnosti informací – Přehled a slovník
ISO/IEC 27002:2013 zavedena v ČSN ISO/IEC 27002:2014 (36 9798)
Informační technologie – Bezpečnostní techniky – Soubor postupů pro
opatření bezpečnosti informací
Souvisící ČSN
ČSN ISO/IEC 27001:2014 (36 9797) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Požadavky
ČSN ISO/IEC 27005:2013 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací
ČSN ISO/IEC 27018:2017 (36 9709) Informační
technologie – Bezpečnostní techniky – Soubor postupů na ochranu
osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících
jako zpracovatelé PII
ČSN EN ISO/IEC 27040:2017 (36 9849) Informační
technologie – Bezpečnostní techniky – Zabezpečení úložišť dat
ČSN EN ISO 19440:2008 (97 4105) Podniková
integrace – Jazykové konstrukty pro podnikové modelování
ČSN ISO 31000:2010 (01 0351) Management
rizik – Principy a směrnice
Vysvětlivky k textu převzaté normy
Pro účely této normy byly použity následující anglické
termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné
komunitě a/nebo absenci českého ekvivalentu:
cloud, cloud computing, malware, snapshot,
peer
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČ 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník Úřadu pro technickou normalizaci, metrologii
a státní zkušebnictví: Ing. Miroslav Škop
MEZINÁRODNÍ NORMA
Informační
technologie – Bezpečnostní techniky – ISO/IEC 27017
Soubor postupů pro opatření bezpečnosti informací První vydání
pro cloudové služby založený na ISO/IEC 27002 2015-12-15
ICS 03.100.70; 35.030
Obsah
Strana
1......... Předmět normy................................................................................................................................................................................ 8
2......... Citované dokumenty....................................................................................................................................................................... 8
2.1...... Identická doporučení | mezinárodní normy................................................................................................................................ 8
2.2...... Další odkazy..................................................................................................................................................................................... 8
3......... Definice a zkratky............................................................................................................................................................................ 8
3.1...... Termíny definované jinde.............................................................................................................................................................. 8
3.2...... Zkratky................................................................................................................................................................................................ 9
4......... Pojmy specifické pro cloudový sektor......................................................................................................................................... 9
4.1...... Přehled.............................................................................................................................................................................................. 9
4.2...... Dodavatelské vztahy v cloudových
službách............................................................................................................................. 9
4.3...... Vztahy mezi zákazníky cloudových služeb
a poskytovateli cloudových služeb................................................................ 10
4.4...... Řízení rizik bezpečnosti informací u cloudových
služeb....................................................................................................... 10
4.5...... Struktura této normy...................................................................................................................................................................... 10
5......... Politiky bezpečnosti informací.................................................................................................................................................... 11
5.1...... Pokyny vedení organizace k bezpečnosti
informací.............................................................................................................. 11
6......... Organizace bezpečnosti informací............................................................................................................................................ 12
6.1...... Interní organizace.......................................................................................................................................................................... 12
6.2...... Mobilní zařízení a práce na dálku.............................................................................................................................................. 13
7......... Bezpečnost lidských zdrojů......................................................................................................................................................... 13
7.1...... Před vznikem pracovního poměru............................................................................................................................................. 13
7.2...... Během pracovního poměru........................................................................................................................................................ 13
7.3...... Ukončení a změna pracovního poměru................................................................................................................................... 14
8......... Řízení aktiv...................................................................................................................................................................................... 14
8.1...... Odpovědnost za aktiva................................................................................................................................................................. 14
8.2...... Klasifikace informací.................................................................................................................................................................... 15
8.3...... Manipulace s médii....................................................................................................................................................................... 15
9......... Řízení přístupu............................................................................................................................................................................... 15
9.1...... Požadavky organizace na řízení přístupu................................................................................................................................. 15
9.2...... Správa a řízení přístupu uživatelů.............................................................................................................................................. 16
9.3...... Odpovědnosti uživatelů................................................................................................................................................................ 17
9.4...... Řízení přístupu k systémům a aplikacím.................................................................................................................................. 17
Strana
10....... Kryptografie.................................................................................................................................................................................... 18
10.1.... Kryptografická opatření................................................................................................................................................................ 18
11....... Fyzická bezpečnost a bezpečnost
prostředí............................................................................................................................ 19
11.1.... Zabezpečené oblasti.................................................................................................................................................................... 19
11.2.... Zařízení............................................................................................................................................................................................ 20
12....... Bezpečnost provozu..................................................................................................................................................................... 20
12.1.... Provozní postupy a odpovědnosti.............................................................................................................................................. 20
12.2.... Ochrana před malwarem............................................................................................................................................................. 22
12.3.... Zálohování...................................................................................................................................................................................... 22
12.4.... Zaznamenávání formou logů a monitorování......................................................................................................................... 22
12.5.... Řízení a kontrola provozního softwaru...................................................................................................................................... 23
12.6.... Správa a řízení technických zranitelností.................................................................................................................................. 24
12.7.... Hlediska auditu informačních systémů..................................................................................................................................... 24
13....... Bezpečnost komunikací............................................................................................................................................................... 24
13.1.... Správa bezpečnosti sítě............................................................................................................................................................... 24
13.2.... Přenos informací........................................................................................................................................................................... 25
14....... Akvizice, vývoj a údržba systému............................................................................................................................................... 25
14.1.... Bezpečnostní požadavky informačních systémů.................................................................................................................... 25
14.2.... Bezpečnost v procesech vývoje a podpory.............................................................................................................................. 25
14.3.... Data pro testování......................................................................................................................................................................... 26
15....... Vztahy s dodavateli....................................................................................................................................................................... 26
15.1.... Bezpečnost informací ve vztazích s dodavateli....................................................................................................................... 26
15.2.... Řízení dodávky služeb dodavatelem......................................................................................................................................... 28
16....... Řízení incidentů bezpečnosti informací.................................................................................................................................... 28
16.1.... Řízení incidentů bezpečnosti informací a zlepšování............................................................................................................ 28
17....... Aspekty řízení kontinuity činností organizace
z hlediska bezpečnosti informací.............................................................. 29
17.1.... Kontinuita bezpečnosti informací............................................................................................................................................... 29
17.2.... Redundance................................................................................................................................................................................... 29
18....... Soulad s požadavky...................................................................................................................................................................... 29
18.1.... Soulad se zákonnými a smluvními požadavky....................................................................................................................... 29
18.2.... Přezkoumání bezpečnosti informací......................................................................................................................................... 31
Příloha A Rozšířený soubor opatření cloudových služeb................................................................................................................... 32
Příloha B Odkazy na rizika bezpečnosti informací
souvisící s cloud computingem.................................................................... 36
Bibliografie.................................................................................................................................................................................................. 37
|
|
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM
|
|
©
ISO/IEC 2015, Published in Switzerland
Veškerá
práva vyhrazena. Není-li specifikováno jinak, nesmí být žádná část této
publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv
způsobem, elektronickým ani mechanickým, včetně pořizování fotokopií nebo
zveřejnění na internetu nebo intranetu, bez předchozího písemného svolení. O
písemné svolení lze požádat buď přímo ISO na níže uvedené adrese, nebo
členskou organizaci ISO
v zemi žadatele.
ISO
copyright office
CH.
de Blandonnet 8 · CP 401
CH-1214
Vernier, Geneva, Switzerland
Tel.
+ 41 22 749 01 11
Fax
+ 41 22 749 09 47
copyright@iso.org
www.iso.org
|
Předmluva
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na
vypracování mezinárodních norem prostřednictvím svých technických komisí
ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti.
Technické komise ISO a IEC spolupracují v oborech společného zájmu.
Práce se zúčastňují také další vládní a nevládní mezinárodní organizace,
s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační
technologie zřídily ISO a IEC společnou technickou komisi
ISO/IEC JTC 1.
Návrhy mezinárodních norem jsou vypracovávány v souladu
s pravidly danými směrnicemi ISO/IEC, část 2.
Hlavním úkolem společné technické komise je vypracování
mezinárodních norem. Návrhy mezinárodních norem přijaté technickými komisemi se
rozesílají národním orgánům k hlasování. Vydání mezinárodní normy vyžaduje
souhlas alespoň 75 % hlasujících národních orgánů.
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za
identifikaci jakéhokoliv nebo všech patentových práv.
ISO/IEC 27017
vypracovala společná technická komise ISO/IEC JTC 1 Informační
technologie, subkomise SC 27 IT Bezpečnostní techniky
ve spolupráci s ITU-T. Identický text je publikován jako doporučení
ITU-T.X.1631 (07/2015).
Úvod
Pokyny obsažené v tomto
doporučení | mezinárodní normě jsou pokyny navíc k pokynům uvedeným
v ISO/IEC 27002 a tyto pokyny doplňují.
Konkrétně toto doporučení | mezinárodní norma poskytuje
pokyny podporující implementaci kontrolních opatření bezpečnosti informací pro
zákazníky cloudových služeb a poskytovatele cloudových služeb. Některé
pokyny jsou určeny zákazníkům cloudových služeb, kteří implementují kontrolní
opatření, a jiné jsou určeny poskytovatelům cloudových služeb na podporu
implementace těchto kontrolních opatření. Výběr vhodných kontrolních opatření
bezpečnosti informací a uplatnění poskytnutých pokynů k implementaci
bude záviset na posouzení rizik a případných právních, smluvních,
regulatorních nebo jiných požadavcích bezpečnosti informací specifických pro
sektor cloudových služeb.
Toto doporučení | mezinárodní
norma uvádí pokyny pro kontrolní opatření bezpečnosti informací použitelné na
poskytování a používání cloudových služeb poskytnutím:
–
dodatečných pokynů k implementaci příslušných kontrolních opatření
specifikovaných v ISO/IEC 27002;
– dodatečných kontrolních opatření s pokyny
k implementaci, které se specificky vztahují ke cloudovým službám.
Toto doporučení | mezinárodní
norma poskytuje kontrolní opatření a pokyny k implementaci jak pro
poskytovatele cloudových služeb, tak pro zákazníky cloudových služeb.
Konec
náhledu - text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA