Národní předmluva
Upozornění na používání této normy
Tato předběžná česká technická norma přejímá technickou
specifikaci ISO/IEC TS 27100:2020 vydanou v souladu se
směrnicemi ISO/IEC, část 1 a je určena k ověření. Případné
připomínky k obsahu normy přijímá Česká agentura pro standardizaci.
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790)
Informační technologie – Bezpečnostní techniky – Systémy řízení
bezpečnosti informací – Přehled a slovník
Souvisící ČSN
ČSN EN ISO/IEC 27001 (36 9797) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Požadavky
ČSN ISO/IEC 27005 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací
ČSN EN ISO/IEC 27019 (36 9719) Informační
technologie – Bezpečnostní techniky – Opatření bezpečnosti
informací pro energetický průmysl
ČSN ISO/IEC 27035-1 (36 9799) Informační
technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti
informací – Část 1: Principy řízení incidentů
ČSN ISO/IEC 27035-2 (36 9799) Informační
technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti
informací – Část 2: Směrnice pro plánování a přípravu odezvy na
incidenty
ČSN ISO 31000 (01 0351) Management
rizik – Směrnice
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní normy
jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními,
platnými v době schválení této normy. Při používání této normy je třeba
vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných
evropských/mezinárodních norem (včetně všech změn).
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav
Škop
Česká agentura pro standardizaci je státní příspěvková
organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní
zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb.,
o technických požadavcích na výrobky a o změně a doplnění
některých zákonů, ve znění pozdějších předpisů.
TECHNICKÁ
SPECIFIKACE
Informační technologie –
Kybernetická bezpečnost – ISO/IEC TS 27100
Přehled a pojmy První vydání
2020-12
ICS 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 5
Úvod................................................................................................................................................................................................................ 6
1......... Předmět normy................................................................................................................................................................................ 7
2......... Citované dokumenty....................................................................................................................................................................... 7
3......... Termíny a definice........................................................................................................................................................................... 7
4......... Pojmy................................................................................................................................................................................................. 8
4.1...... Kybernetický prostor........................................................................................................................................................................ 8
4.2...... Kybernetická bezpečnost............................................................................................................................................................... 8
5......... Vztah mezi kybernetickou bezpečností a relevantními
pojmy................................................................................................ 9
5.1...... Vztah mezi bezpečností informací a kybernetickou
bezpečností.......................................................................................... 9
5.2...... Vztah mezi ISMS a kybernetickou
bezpečností......................................................................................................................... 9
5.2.1... Kybernetický prostor jako oblast zdrojů rizik
pro ISMS............................................................................................................. 9
5.2.2... ISMS na podporu kybernetické bezpečnosti............................................................................................................................ 10
5.3...... Rámec kybernetické bezpečnosti.............................................................................................................................................. 10
5.4...... Kybernetická bezpečnost a ochrana......................................................................................................................................... 10
5.5...... Pojištění kybernetických rizik...................................................................................................................................................... 10
6......... Přístup k řízení rizik v kontextu
kybernetické bezpečnosti..................................................................................................... 11
6.1...... Obecně............................................................................................................................................................................................ 11
6.2...... Identifikace hrozeb........................................................................................................................................................................ 11
6.3...... Identifikace rizik............................................................................................................................................................................. 12
7......... Kybernetické hrozby..................................................................................................................................................................... 12
7.1...... Obecně............................................................................................................................................................................................ 12
7.2...... Obecná obchodní organizace..................................................................................................................................................... 12
7.2...... Průmyslová organizace a průmyslové
automatizační a řídicí systémy.............................................................................. 12
7.4...... Produkty, služby a dodavatelské vztahy................................................................................................................................... 13
7.5...... Poskytovatelé telekomunikačních/internetových
služeb....................................................................................................... 13
7.6...... Orgány veřejné moci.................................................................................................................................................................... 14
7.7...... Kritická infrastruktura.................................................................................................................................................................... 14
7.8...... Jednotlivá osoba........................................................................................................................................................................... 14
8......... Správa a řízení incidentů v kybernetické
bezpečnosti........................................................................................................... 14
8.1...... Obecně............................................................................................................................................................................................ 14
8.2...... Řízení incidentů v rámci organizace.......................................................................................................................................... 15
8.3...... Koordinace mezi organizacemi................................................................................................................................................. 15
Strana
8.4...... Technická podpora ze strany dodavatele produktů
a služeb............................................................................................... 15
Příloha A (informativní) Vrstvený model
představující kybernetický prostor.................................................................................. 17
Bibliografie.................................................................................................................................................................................................. 21
|
|
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM
|
|
©
ISO/IEC 2020
Veškerá
práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno
jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo
jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez
předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže
uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.
ISO
copyright office
CP
401 · Ch. de Blandonnet 8
CH-1214
Vernier, Geneva
Tel.:
+ 41 22 749 01 11
E-mail:
copyright@iso.org
Web: www.iso.org
Publikováno
ve Švýcarsku
|
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na
vypracování mezinárodních norem prostřednictvím technických komisí ustavených
příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické
komise ISO a IEC spolupracují v oborech společného zájmu. Práce se
zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž
ISO a IEC navázaly pracovní styk.
Postupy použité při tvorbě tohoto dokumentu a postupy
určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC,
část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím
potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu
s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz
www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za
identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv
patentových právech identifikovaných během přípravy tohoto dokumentu budou
uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených
ISO (viz www.iso.org/patents) nebo v seznamu
patentových prohlášení obdržených IEC (viz patents.iec.ch).
Jakýkoliv obchodní název použitý v tomto dokumentu se
uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru
technických norem, významu specifických termínů
a výrazů ISO které se vztahují k posuzování
shody, jakož i informace o tom, jak ISO
dodržuje principy Světové obchodní organizace (WTO) týkající se technických
překážek obchodu (TBT), viz www.iso.org/iso/foreword.html.
Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační
technologie, subkomise SC 27 Bezpečnost informací,
kybernetická bezpečnost a ochrana soukromí.
Jakákoli zpětná vazba nebo otázky
týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu
uživatele. Úplný seznam těchto orgánů lze nalézt na adrese www.iso.org/members.html.
Kybernetická bezpečnost představuje široký pojem používaný
ve světě odlišným způsobem.
Kybernetická bezpečnost se týká řízení rizik bezpečnosti
informací, pokud se informace vyskytují v digitální
podobě v počítačích, úložištích a sítích. Mnoho opatření bezpečnosti
informací, metod a technik může být použito pro řízení kybernetických
rizik.
ISO/IEC 27001 poskytuje požadavky na systémy řízení
bezpečnosti informací. ISO/IEC 27001 je zaměřena
na bezpečnost informací a souvisící rizika, v prostředí převážně pod
kontrolou určité organizace. Kybernetická bezpečnost se zaměřuje na rizika v kybernetickém
prostoru, vzájemně propojeném digitálním prostředí, které se může rozšířit
napříč organizačními hranicemi a v němž entity sdílejí informace,
interagují digitálně a jsou odpovědné za reagování na incidenty
kybernetické bezpečnosti.
Tento dokument poskytuje přehled
kybernetické bezpečnosti.
Tento dokument:
–
popisuje kybernetickou bezpečnost a relevantní pojmy, včetně toho,
jak se vztahuje k bezpečnosti informací a jak se od ní liší;
–
ustanovuje kontext kybernetické bezpečnosti;
–
nezahrnuje všechny termíny a definice použitelné pro kybernetickou
bezpečnost; a
–
neomezuje jiné normy v definování nových termínů souvisících s kybernetickou
bezpečností.
Tento dokument platí pro všechny
typy a velikosti organizace (např. obchodní společnosti, vládní agentury,
neziskové organizace).
Konec náhledu -
text dále pokračuje v placené verzi ČSN.
PŘEDBĚŽNÁ ČESKÁ TECHNICKÁ NORMA