ČESKÁ TECHNICKÁ NORMA

ICS 35.210                                                                                                                                         Únor 2020

Cloud computing – Rámec dohody
o úrovni služeb (SLA) –
Část 4: Komponenty bezpečnosti a ochrany PII

ČSN
ISO/IEC 19086- 4

36 9867

 

Cloud computing – Service level agreement (SLA) framework –
Part 4: Components of security and of protection of PII

Informatique en nuage – Cadre de travail de l’accord du niveau de service –
Partie 4: Eléments de sécurité et de protection des PII

Tato norma je českou verzí mezinárodní normy ISO/IEC 19086- 4:2019. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 19086- 4:2019. It was translated by the Czech Standardization Agency. It has the same status as the official version.

 

Národní předmluva

Informace o citovaných dokumentech

ISO/IEC 17788 zavedena v ČSN ISO/IEC 17788 (36 9865) Informační technologie – Cloud computing – Přehled a slovník

ISO/IEC 19086-1 zavedena v ČSN ISO/IEC 19086-1 (36 9867) Informační technologie – Cloud computing – Rámec dohody o úrovni služeb (SLA) – Část 1: Přehled a pojmy

ISO/IEC 27017 zavedena v ČSN ISO/IEC 27017 (36 9710) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací pro cloudové služby založený na ISO/IEC 27002

ISO/IEC 27018 zavedena v ČSN ISO/IEC 27018 (36 9709) Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII

ISO/IEC 29100 zavedena v ČSN ISO/IEC 29100 (36 9705) Informační technologie – Bezpečnostní techniky – Rámec soukromí

Souvisící ČSN

ČSN ISO/IEC 17789 (36 9866) Informační technologie – Cloud computing – Referenční architektura

ČSN ISO/IEC 19086-3 (36 9867) Informační technologie – Cloud computing – Rámec dohody o úrovni služeb (SLA) – Část 3: Základní požadavky pro shodu

ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ČSN EN ISO/IEC 27002 (36 9798) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací

ČSN ISO/IEC 27031 (36 9801) Informační technologie – Bezpečnostní techniky – Směrnice pro připravenost informačních a komunikačních technologií pro kontinuitu činnosti organizace

ČSN ISO/IEC 27033-1 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 1: Přehled a pojmy

ČSN ISO/IEC 27035-1 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 1: Principy řízení incidentů

ČSN ISO/IEC 27035-2 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 2: Směrnice pro plánování a přípravu odezvy na incidenty

ČSN EN ISO/IEC 27040 (36 9849) Informační technologie – Bezpečnostní techniky – Zabezpečení úložišť dat

ČSN ISO/IEC 30111 (36 9706) Informační technologie – Bezpečnostní techniky – Postupy zacházení se zranitelnostmi

ČSN ISO 31000 (01 0351) Management rizik – Směrnice

Vysvětlivky k textu převzaté normy

Pro účely této normy je anglický termín „guidance“ přeložen jako „pokyny“ vzhledem k jeho používání v oblasti IT a v návaznosti na vydané normy z oblasti IT, zejména normy řady ISO/IEC 27XXX. Český ekvivalent „návod“ je vzhledem ke kontextu nevhodný a v praxi se v souvislosti s řadou norem ISO/IEC 27XXX nepoužívá.

Pro účely této normy byly použity následující anglické termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné komunitě a/nebo absenci českého ekvivalentu:

cloud, cloud computing, malware

Vypracování normy

Zpracovatel: Ing. Vladimír Pračke, IČO 40654419

Technická normalizační komise: TNK 20 Informační technologie

Pracovník České agentury pro standardizaci: Ing. Miroslav Škop

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

MEZINÁRODNÍ NORMA

Cloud computing –                                                                                                   ISO/IEC 19086-4
Rámec dohody o úrovni služeb (SLA) –                                                             První vydání
Část 4: Komponenty bezpečnosti a ochrany PII                                              2019-01

ICS 35.210

Obsah

Strana

Předmluva..................................................................................................................................................................................................... 6

Úvod................................................................................................................................................................................................................ 7

1......... Předmět normy................................................................................................................................................................................ 8

2......... Citované dokumenty....................................................................................................................................................................... 8

3......... Termíny a definice........................................................................................................................................................................... 8

4......... Symboly a zkrácené termíny......................................................................................................................................................... 8

5......... Vztah k jiným částem rámce SLA pro cloud computing.......................................................................................................... 9

5.1...... Obecně.............................................................................................................................................................................................. 9

5.2...... Shoda................................................................................................................................................................................................. 9

6......... Přehled.............................................................................................................................................................................................. 9

6.1...... Obecně.............................................................................................................................................................................................. 9

6.2...... Struktura tohoto dokumentu........................................................................................................................................................ 10

7......... Komponenty bezpečnosti informací.......................................................................................................................................... 10

7.1...... Komponenta politiky bezpečnosti informací............................................................................................................................ 10

7.1.1... Popis................................................................................................................................................................................................ 10

7.1.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 10

7.1.3... Pokyny............................................................................................................................................................................................. 10

7.2...... Organizace komponenty bezpečnosti informací.................................................................................................................... 10

7.2.1... Popis................................................................................................................................................................................................ 10

7.2.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 11

7.2.3... Pokyny............................................................................................................................................................................................. 11

7.3...... Komponenta správy aktiv............................................................................................................................................................ 11

7.3.1... Popis................................................................................................................................................................................................ 11

7.3.2... Cíle úrovně cloudové služby....................................................................................................................................................... 11

7.3.3... Kvalitativní cíle cloudové služby................................................................................................................................................. 11

7.3.4... Pokyny............................................................................................................................................................................................. 11

7.4...... Komponenta řízení přístupu........................................................................................................................................................ 11

7.4.1... Popis................................................................................................................................................................................................ 11

7.4.2... Cíle úrovně cloudové služby....................................................................................................................................................... 11

7.4.3... Kvalitativní cíle cloudové služby................................................................................................................................................. 12

7.4.4... Pokyny............................................................................................................................................................................................. 12

7.5...... Komponenta kryptografie............................................................................................................................................................ 12

7.5.1... Popis................................................................................................................................................................................................ 12

7.5.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 13

7.5.3... Pokyny............................................................................................................................................................................................. 13

Strana

7.6...... Komponenta fyzické a environmentální bezpečnosti............................................................................................................ 13

7.6.1... Popis................................................................................................................................................................................................ 13

7.6.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 13

7.6.3... Pokyny............................................................................................................................................................................................. 14

7.7...... Komponenta bezpečnosti provozu............................................................................................................................................ 14

7.7.1... Popis................................................................................................................................................................................................ 14

7.7.2... Cíle úrovně cloudové služby....................................................................................................................................................... 14

7.7.3... Kvalitativní cíle cloudové služby................................................................................................................................................. 14

7.7.4... Pokyny............................................................................................................................................................................................. 15

7.8...... Komponenta bezpečnosti komunikací...................................................................................................................................... 15

7.8.1... Popis................................................................................................................................................................................................ 15

7.8.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 15

7.8.3... Pokyny............................................................................................................................................................................................. 15

7.9...... Komponenta akvizice, vývoje a údržby systémů.................................................................................................................... 15

7.9.1... Popis................................................................................................................................................................................................ 15

7.9.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 16

7.9.3... Pokyny............................................................................................................................................................................................. 16

7.10.... Komponenta vztahů s dodavateli............................................................................................................................................... 16

7.10.1 Popis................................................................................................................................................................................................ 16

7.10.2 Kvalitativní cíle cloudové služby................................................................................................................................................. 16

7.10.3 Pokyny............................................................................................................................................................................................. 16

7.11.... Komponenta řízení incidentů bezpečnosti informací............................................................................................................. 16

7.11.1 Popis................................................................................................................................................................................................ 16

7.11.2 Cíle úrovně cloudové služby....................................................................................................................................................... 17

7.11.3 Kvalitativní cíle cloudové služby................................................................................................................................................. 17

7.11.4 Pokyny............................................................................................................................................................................................. 17

7.12.... Komponenta řízení kontinuity činnosti organizace................................................................................................................. 17

7.12.1 Popis................................................................................................................................................................................................ 17

7.12.2 Kvalitativní cíle cloudové služby................................................................................................................................................. 17

7.12.3 Pokyny............................................................................................................................................................................................. 17

7.13.... Komponenta souladu................................................................................................................................................................... 17

7.13.1 Popis................................................................................................................................................................................................ 17

7.13.2 Kvalitativní cíle cloudové služby................................................................................................................................................. 17

7.13.3 Pokyny............................................................................................................................................................................................. 17

8......... Komponenta ochrany osobně identifikovatelných informací............................................................................................... 18

8.1...... Komponenta souhlasu a volby................................................................................................................................................... 18

8.1.1... Popis................................................................................................................................................................................................ 18

8.1.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 18

8.1.3... Pokyny............................................................................................................................................................................................. 18

8.2...... Komponenta legitimity a specifikace účelu............................................................................................................................. 18

8.2.1... Popis................................................................................................................................................................................................ 18

8.2.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 18

8.2.3... Pokyny............................................................................................................................................................................................. 18

8.3...... Komponenta minimalizace dat.................................................................................................................................................. 19

8.3.1... Popis................................................................................................................................................................................................ 19

8.3.2... Cíle úrovně cloudové služby....................................................................................................................................................... 19

Strana

8.3.3... Kvalitativní cíle cloudové služby................................................................................................................................................. 19

8.3.4... Pokyny............................................................................................................................................................................................. 19

8.4...... Komponenta omezení používání, uchovávání a zpřístupňování......................................................................................... 19

8.4.1... Popis................................................................................................................................................................................................ 19

8.4.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 19

8.4.3... Pokyny............................................................................................................................................................................................. 19

8.5...... Komponenta přesnosti a kvality................................................................................................................................................. 20

8.5.1... Popis................................................................................................................................................................................................ 20

8.5.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 20

8.5.3... Pokyny............................................................................................................................................................................................. 20

8.6...... Komponenta otevřenosti, transparentnosti a oznámení........................................................................................................ 20

8.6.1... Popis................................................................................................................................................................................................ 20

8.6.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 20

8.6.3... Pokyny............................................................................................................................................................................................. 20

8.7...... Komponenta participace a přístupu jednotlivých osob.......................................................................................................... 21

8.7.1... Popis................................................................................................................................................................................................ 21

8.7.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 21

8.7.3... Pokyny............................................................................................................................................................................................. 21

8.8...... Komponenta odpovědnosti......................................................................................................................................................... 21

8.8.1... Popis................................................................................................................................................................................................ 21

8.8.2... Cíle úrovně cloudové služby....................................................................................................................................................... 21

8.8.3... Kvalitativní cíle cloudové služby................................................................................................................................................. 21

8.8.4... Pokyny............................................................................................................................................................................................. 22

8.9...... Komponenta souladu ochrany PII.............................................................................................................................................. 22

8.9.1... Popis................................................................................................................................................................................................ 22

8.9.2... Kvalitativní cíle cloudové služby................................................................................................................................................. 22

8.9.3... Pokyny............................................................................................................................................................................................. 22

Bibliografie.................................................................................................................................................................................................. 23

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2019

Veškerá práva vyhrazena. Není-li specifikováno jinak, nebo není-li vyžadováno v kontextu její implementace, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně pořizování fotokopií nebo zveřejnění na internetu nebo intranetu, bez předchozího písemného svolení. O svolení lze požádat buď přímo ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401 · CH. de Blandonnet 8

CH-1214 Vernier, Geneva

Tel. + 41 22 749 01 11

Fax + 41 22 749 09 47

Email: copyright@iso.org

Website: www.iso.org

Publikováno ve Švýcarsku

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents) nebo v seznamu patentových prohlášení obdržených IEC (viz http://patents.iec.ch).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT) viz www.iso.org/iso/foreword.html.

Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 IT Bezpečnostní techniky.

Seznam všech částí souboru ISO/IEC 19086 lze nalézt na webových stránkách ISO.

Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu by měly být směrovány na národní normalizační orgán uživatele. Úplný seznam těchto orgánů lze nalézt na www.iso.org/members.html.

Úvod

Tento dokument může použít jakákoli organizace nebo jednotlivec podílející se na tvorbě, úpravě nebo porozumění dohodě o úrovni cloudových služeb, která je v souladu s ISO/IEC 19086 (soubor). SLA pro cloudové prostředí zodpovídá za klíčové vlastnosti cloudové služby a jejím cílem je usnadnit společné porozumění mezi poskytovateli cloudových služeb (CSP) a zákazníky cloudových služeb (CSC).

Tento dokument vychází ze základních pojmů a definic popsaných v ISO/IEC 19086-1.

Komponenty bezpečnosti

Obrázek 1 – Vztah částí ISO/IEC 19086 (soubor) a dalších norem v oblasti cloud computingu

Obrázek 1 představuje přehled obsahu řady ISO/IEC 19086 a vztahy mezi částmi ISO/IEC 19086 a dalšími klíčovými mezinárodními normami týkajícími se cloud computingu.

1 Předmět normy

Tento dokument specifikuje bezpečnost a ochranu komponent osobně identifikovatelných informací, SLO a SQO pro dohody o úrovni cloudových služeb (SLA pro cloudové prostředí) včetně požadavků a pokynů.

Tento dokument je výhodou pro CSP i CSC a je určen pro použití CSP i CSC.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz