ČESKÁ TECHNICKÁ NORMA

ICS 35.030                                                                                                                                       Srpen 2018

Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací

ČSN
ISO/IEC 29151

36 9711

 

Information Technology – Security techniques – Code of practice for personally identifiable information protection

Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour la protection des données à caractère personnel

Tato norma je českou verzí mezinárodní normy ISO/IEC 29151:2017. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 29151:2017. It was translated by the Czech Standardization Agency. It has the same status as the official version.

 


Národní předmluva

Informace o citovaných dokumentech

ISO/IEC 27002:2013 zavedena v ČSN ISO/IEC 27002:2014 (36 9798) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací

ISO/IEC 29100:2011 zavedena v ČSN ISO/IEC 29100:2015 (36 9705) Informační technologie – Bezpečnostní techniky – Rámec soukromí

Souvisící ČSN

ČSN EN ISO/IEC 27000:2017 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

ČSN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ČSN ISO/IEC 27005 (36 9797) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací

ČSN ISO/IEC 27018 (36 9709) Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII

Vysvětlivky k textu převzaté normy

Pro účely této normy byly použity následující anglické termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné komunitě a/nebo absenci českého ekvivalentu:

firewall, malware

Vypracování normy

Zpracovatel: Ing. Vladimír Pračke, IČO 40654419

Technická normalizační komise: TNK 20 Informační technologie

Pracovník České agentury pro standardizaci: Ing. Miroslav Škop

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

MEZINÁRODNÍ NORMA

Informační technologie – Bezpečnostní techniky –                                          ISO/IEC 29151
Soubor postupů na ochranu osobně identifikovatelných informací            První vydání
                                                                                                                                         2017-08

ICS 35.030

Obsah

Strana

1......... Předmět normy................................................................................................................................................................................ 9

2......... Citované dokumenty....................................................................................................................................................................... 9

3......... Definice a zkrácené termíny.......................................................................................................................................................... 9

3.1...... Definice............................................................................................................................................................................................. 9

3.2...... Zkrácené termíny............................................................................................................................................................................. 9

4......... Přehled............................................................................................................................................................................................ 10

4.1...... Cíl ochrany PII................................................................................................................................................................................ 10

4.2...... Požadavek na ochranu PII........................................................................................................................................................... 10

4.3...... Opatření........................................................................................................................................................................................... 10

4.4...... Výběr opatření................................................................................................................................................................................ 10

4.5...... Vypracování specifických směrnic organizace....................................................................................................................... 11

4.6...... Zvážení životního cyklu................................................................................................................................................................ 11

4.7...... Struktura této specifikace............................................................................................................................................................. 11

5......... Politiky bezpečnosti informací.................................................................................................................................................... 11

5.1...... Pokyny managementu organizace k bezpečnosti informací............................................................................................... 11

6......... Organizace bezpečnosti informací............................................................................................................................................ 12

6.1...... Interní organizace.......................................................................................................................................................................... 12

6.2...... Mobilní zařízení a práce na dálku.............................................................................................................................................. 13

7......... Bezpečnost lidských zdrojů......................................................................................................................................................... 13

7.1...... Před vznikem pracovního poměru............................................................................................................................................. 13

7.2...... Během pracovního poměru........................................................................................................................................................ 14

7.3...... Ukončení a změna pracovního poměru................................................................................................................................... 14

8......... Řízení aktiv...................................................................................................................................................................................... 14

8.1...... Odpovědnost za aktiva................................................................................................................................................................. 14

8.2...... Klasifikace informací.................................................................................................................................................................... 15

8.3...... Manipulace s médii....................................................................................................................................................................... 16

9......... Řízení přístupu............................................................................................................................................................................... 17

9.1...... Požadavky organizace na řízení přístupu................................................................................................................................. 17

9.2...... Správa a řízení přístupu uživatelů.............................................................................................................................................. 17

9.3...... Odpovědnosti uživatelů................................................................................................................................................................ 18

9.4...... Řízení přístupu k systémům a aplikacím.................................................................................................................................. 18

10....... Kryptografie.................................................................................................................................................................................... 19

10.1.... Kryptografická opatření................................................................................................................................................................ 19

Strana

11....... Fyzická bezpečnost a bezpečnost prostředí............................................................................................................................ 19

11.1.... Zabezpečené oblasti.................................................................................................................................................................... 19

11.2.... Zařízení............................................................................................................................................................................................ 19

12....... Bezpečnost provozu..................................................................................................................................................................... 20

12.1.... Provozní postupy a odpovědnosti.............................................................................................................................................. 20

12.2.... Ochrana před malwarem............................................................................................................................................................. 21

12.3.... Zálohování...................................................................................................................................................................................... 21

12.4.... Zaznamenávání formou logů a monitorování......................................................................................................................... 21

12.5.... Řízení a kontrola provozního softwaru...................................................................................................................................... 22

12.6.... Správa a řízení technických zranitelností.................................................................................................................................. 22

12.7.... Hlediska auditu informačních systémů..................................................................................................................................... 22

13....... Bezpečnost komunikací............................................................................................................................................................... 22

13.1.... Správa bezpečnosti sítě............................................................................................................................................................... 22

13.2.... Přenos informací........................................................................................................................................................................... 23

14....... Akvizice, vývoj a údržba systému............................................................................................................................................... 23

14.1.... Bezpečnostní požadavky informačních systémů.................................................................................................................... 23

14.2.... Bezpečnost v procesech vývoje a podpory.............................................................................................................................. 23

14.3.... Data pro testování......................................................................................................................................................................... 24

15....... Vztahy s dodavateli....................................................................................................................................................................... 24

15.1.... Bezpečnost informací ve vztazích s dodavateli....................................................................................................................... 24

15.2.... Řízení dodávky služeb dodavatelem......................................................................................................................................... 25

16....... Řízení incidentů bezpečnosti informací.................................................................................................................................... 25

16.1.... Řízení incidentů bezpečnosti informací a zlepšování............................................................................................................ 25

17....... Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací.............................................................. 27

17.1.... Kontinuita bezpečnosti informací............................................................................................................................................... 27

17.2.... Redundance................................................................................................................................................................................... 27

18....... Soulad s požadavky...................................................................................................................................................................... 27

18.1.... Soulad se zákonnými a smluvními požadavky....................................................................................................................... 27

18.2.... Přezkoumání bezpečnosti informací......................................................................................................................................... 28

Příloha A Rozšířená sada opatření pro ochranu PII............................................................................................................................ 29

A.1...... Obecně............................................................................................................................................................................................ 29

A.2...... Obecné politiky pro používání a ochranu PII............................................................................................................................ 29

A.3...... Souhlas a volba............................................................................................................................................................................. 29

A.4...... Legitimita a specifikace účelu.................................................................................................................................................... 32

A.5...... Omezení shromažďování............................................................................................................................................................ 33

A.6...... Minimalizace dat........................................................................................................................................................................... 33

A.7...... Omezení používání, uchovávání a zveřejňování.................................................................................................................... 35

A.8...... Přesnost a kvalita.......................................................................................................................................................................... 37

A.9...... Otevřenost, transparentnost a oznamování............................................................................................................................. 38

A.10... Participace a přístup subjektu PII............................................................................................................................................... 40

A.11... Odpovědnost.................................................................................................................................................................................. 41

A.12... Bezpečnost informací................................................................................................................................................................... 44

A.13... Soulad v oblasti soukromí........................................................................................................................................................... 44

Bibliografie.................................................................................................................................................................................................. 46

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2017, Published in Switzerland

Veškerá práva vyhrazena. Není-li specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně pořizování fotokopií nebo zveřejnění na internetu nebo intranetu, bez předchozího písemného svolení. O písemné svolení lze požádat buď přímo ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CH. de Blandonnet 8 · CP 401

CH-1214 Vernier, Geneva, Switzerland

Tel. + 41 22 749 01 11

Fax + 41 22 749 09 47

copyright@iso.org

www.iso.org


 

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou uvedeny na tomto odkazu URL:       www.iso.org/iso/foreword.html.

Za tento dokument je odpovědná komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 IT Bezpečnostní techniky, ve spolupráci s ITU-T. Identický text byl vydán jako ITU-T Doporučení X.1058.

Úvod

Počet organizací zpracovávajících osobně identifikovatelné informace (PII) se zvyšuje, stejně jako množství PII, s nimiž se tyto organizace zabývají. Zároveň také narůstá očekávání společnosti ohledně ochrany PII a bezpečnosti dat týkajících se jednotlivců. Řada zemí rozšiřuje své zákony, aby řešila zvýšený počet narušení dat přitahující pozornost.

Vzhledem k narůstajícímu počtu narušení PII budou organizace, které shromažďují nebo zpracovávají PII, stále více potřebovat návod, jak by měly chránit PII, aby se snížilo riziko narušení soukromí a aby se snížil dopad narušení na organizaci a dotčené jednotlivce. Tato specifikace poskytuje takový návod.

Tato specifikace nabízí pokyny pro správce PII v širokém rozsahu bezpečnosti informací a opatření ochrany PII, které se běžně používají v mnoha různých organizacích, které se zabývají ochranou PII. Zbývající části norem ISO/IEC, které jsou zde uvedeny, poskytují pokyny nebo požadavky týkající se dalších aspektů celkového procesu ochrany PII:

    ISO/IEC 27001 specifikuje proces řízení bezpečnosti informací a souvisící požadavky, které mohou být použity jako základ pro ochranu PII.

    ISO/IEC 27002 poskytuje směrnici pro organizační standardy bezpečnosti informací a postupy řízení bezpečnosti informací, včetně výběru, implementace a řízení opatření, přičemž bere v úvahu prostředí rizik bezpečnosti informací organizace.

    ISO/IEC 27009 specifikuje požadavky na použití ISO/IEC 27001 v jakémkoli konkrétním odvětví (oboru, oblasti použití nebo segmentu trhu). Vysvětluje, jak zahrnout požadavky dodatečné k požadavkům ISO/IEC 27001, jak upřesnit jakýkoliv z požadavků ISO/IEC 27001 a jak zahrnout opatření nebo sady opatření nad rámec přílohy A normy ISO/IEC 27001.

    ISO/IEC 27018 poskytuje pokyny organizacím, které působí jako zpracovatelé PII, když nabízejí možnosti zpracování jako cloudové služby.

    ISO/IEC 29134 poskytuje směrnice pro identifikaci, analýzu a posouzení rizik v oblasti soukromí, zatímco ISO/IEC 27001 společně s ISO/IEC 27005 poskytuje metodiku pro identifikaci, analýzu a posouzení rizik
bezpečnosti.

Opatření by měla být vybrána na základě rizik identifikovaných jako výsledek analýzy rizik za účelem vytvoření komplexního a konzistentního systému opatření. Opatření by měla být přizpůsobena kontextu konkrétního zpracování PII.

Tato specifikace obsahuje dvě části: 1) hlavní část sestávající z článků 1 až 18 a 2) normativní přílohu. Tato struktura odráží běžné postupy pro vývoj odvětvově specifických rozšíření normy ISO/IEC 27002.

Struktura hlavní části této specifikace, včetně názvů kapitol, odráží hlavní část ISO/IEC 27002. Úvod a kapitoly 1 až 4 jsou základem pro používání této specifikace. Názvy kapitol 5 až 18 odpovídají názvům kapitol ISO/IEC 27002, což odráží skutečnost, že tato specifikace vychází z pokynů v ISO/IEC 27002 a přidává nová opatření specifická pro ochranu PII. Mnoho opatření v ISO/IEC 27002 nevyžaduje žádné posílení v kontextu správců PII. V některých případech jsou však třeba dodatečné pokyny k implementaci, a ty jsou uvedeny pod příslušným názvem (a číslem kapitoly) z ISO/IEC 27002.

Normativní příloha obsahuje rozšířenou sadu opatření specifických pro ochranu PII, která doplňují opatření uvedená v ISO/IEC 27002. Tato nová opatření ochrany PII, a s nimi souvisící pokyny, jsou rozdělena do 12 kategorií odpo-
vídajících politice ochrany soukromí a 11 zásadám ochrany soukromí v ISO/IEC 29100:

    souhlas a volba;

    účel, legitimita a specifikace;

    omezení shromáždění;

    minimalizace dat;

    omezení používání, uchovávání a zveřejňování;

    přesnost a kvalita;

    otevřenost, transparentnost a oznámení;

    individuální účast a přístup;

    odpovědnost;

    bezpečnost informací; a

    soulad s požadavky na soukromí.

Obrázek 1 popisuje vztah mezi touto specifikací a souborem norem ISO/IEC.

Obrázek 1 – Vztah této specifikace a souboru norem ISO/IEC

Tato specifikace obsahuje směrnice založené na ISO/IEC 27002 a upravuje je podle potřeby tak, aby byly řešeny požadavky na ochranu soukromí, které vyplývají ze zpracování PII:

a)   V různých oblastech zpracování, jako jsou:

    veřejné cloudové služby,

    aplikace sociálních sítí,

    zařízení připojená k internetu v domácnosti,

    vyhledávání, analýza,

    cílení PII pro reklamní a podobné účely,

    programy pro analýzu dat velkého objemu,

    zpracování zaměstnanosti,

    řízení podnikání v oblasti prodeje a poskytování služeb (plánování podnikových zdrojů, řízení vztahů se zákazníky);

b)   V různých místech, jako jsou:

    osobní platforma zpracování poskytovaná jednotlivci (například chytré karty, chytré telefony a jejich aplikace, inteligentní měřiče, nositelná zařízení),

    sítě pro přenos a shromažďování dat (například když jsou údaje o poloze mobilního telefonu provozně vytvářeny síťovým zpracováním, což může být v některých jurisdikcích považováno za PII),

    v rámci vlastní infrastruktury zpracování organizace,

    na zpracovatelské platformě třetí strany;

c)   Pro charakteristiky shromažďování, jako je:

    jednorázové shromáždění dat (například při registraci ke službě),

    průběžné shromažďování dat (například časté sledování parametrů zdravotního stavu pomocí snímačů na těle jednotlivce nebo v jeho těle, vícenásobné shromažďování dat pomocí bezkontaktních platebních karet za účelem platby, systémy shromažďování dat z inteligentních měřičů atd.).

POZNÁMKA Průběžné shromažďování dat může obsahovat nebo přinášet behaviorální, lokalizační a další typy PII. V takových případech je třeba zvážit použití opatření na ochranu PII, které umožňují řídit přístup a shromažďování na základě souhlasu a které umožňují subjektu PII vykonávat odpovídající kontrolu nad tímto přístupem a shromažďováním.

1 Předmět normy

Toto doporučení | mezinárodní norma stanovuje cíle opatření, opatření a směrnice pro implementaci opatření, aby splňovaly požadavky stanovené během posouzení rizik a dopadu souvisících s ochranou osobně identifikovatelných informací (PII).

Toto doporučení | mezinárodní norma specifikuje směrnice založené na ISO/IEC 27002, přičemž bere v úvahu požadavky na zpracování PII, které mohou být použitelné v kontextu prostředí rizik bezpečnosti informací organizace.

Toto doporučení | mezinárodní norma platí pro všechny typy a velikosti organizací působících jako správci PII (podle definice v ISO/IEC 29100), včetně veřejných a soukromých společností, vládních subjektů a neziskových organizací, které zpracovávají PII.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz