ČESKÁ TECHNICKÁ NORMA

ICS 35.040 Leden 2011

Information technology – Security techniques – Information security management – Measurement

Technologies de l’information – Techniques de sécurité – Management de la sécurité de l’information – Mesurage

Tato norma je českou verzí mezinárodní normy ISO/IEC 27004:2009. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 27004:2009. It was translated by Czech Office for Standards, Metrology and Testing. It has the same status as the official version.

Národní předmluva

Informace o citovaných normativních dokumentech

ISO/IEC 27000:2009 zavedena v ČSN ISO/IEC 27000:2010 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

ISO/IEC 27001:2005 zavedena v ČSN ISO/IEC 27001:2006 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky

Souvisící ČSN

ČSN EN ISO 9000:2005 (01 0300) Systémy managementu kvality – Základní principy a slovník

ČSN ISO/IEC 15504-3:2004 (36 9027) Informační technologie – Posuzování procesu – Část 3: Návod na realizaci posouzení

ČSN ISO/IEC 17799:2006 (36 9790) Informační technologie – Bezpečnostní techniky – Soubor postupů pro management bezpečnosti informací

ČSN ISO/IEC 27005:2009 (36 3790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací

ČSN ISO/TR 10017:2004 (01 0336) Návod k aplikaci statistických metod v ISO 9001:2000

Vysvětlivky k textu převzaté normy

Vzhledem k vývoji terminologie v oblasti IT, se slovo management přeládá podle kontextu, ve kterém bylo použito. V tomto případě bylo slovo management v názvu této normy nahrazeno slovem řízení, což je v souladu s procesem vytváření názvů pro normy řady ČSN ISO/IEC 27000. U norem ČSN ISO/IEC 27001 a ČSN ISO/IEC 17799 (ISO/IEC 27002) bube úprava provedena při jejich revizi.

Termín byznys (e-byznys) je v prostředí tvorby norem a normalizačních dokumentů chápán jako série procesů, z nichž každý má zřejmý a srozumitelný účel; je realizovaná pomocí výměny informací, směrovaná ke vzájemně odsouhlasenému cíli, probíhá po určitý časový úsek a zahrnuje více než jednu stranu.

Vypracování normy

Zpracovatel: Risk Analysis Consultants, s. r. o., IČ 63672774

Technická normalizační komise: TNK 20 Informační technologie

Zaměstnanec Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Petr Wallenfels

MEZINÁRODNÍ NORMA

Informační technologie – Bezpečnostní techniky – ISO/IEC 27004
Řízení bezpečnosti informací – Měření První vydání
2009-12

ICS 35.040

Obsah

Strana

0 Úvod 7

0.1 Všeobecně 7

0.2 Manažerský přehled 7

1 Předmět normy 9

2 Citované normativní dokumenty 9

3 Termíny a definice 9

4 Struktura této mezinárodní normy 11

5 Přehled měření bezpečnosti informací 11

5.1 Cíle měření bezpečnosti informací 11

5.2 Program měření bezpečnosti informací 12

5.3 Faktory úspěchu 13

5.4 Model měření bezpečnosti informací 13

5.4.1 Přehled 13

5.4.2 Základní metrika a metoda měření 14

5.4.3 Odvozená metrika a funkce měření 16

5.4.4 Indikátory a analytický model 17

5.4.5 Výsledky měření a rozhodovací kritéria 18

6 Odpovědnosti vedení organizace 19

6.1 Přehled 19

6.2 Řízení zdrojů 20

6.3 Školení, informovanost a odborná způsobilost týkající se měření 20

7 Vývoj metrik a měření 20

7.1 Přehled 20

7.2 Definování rozsahu měření 20

7.3 Identifikování informační potřeby 21

7.4 Výběr objektu a atributů 21

7.5 Vývoj konceptu měření 22

7.5.1 Přehled 22

7.5.2 Výběr metriky 22

7.5.3 Metoda měření 22

7.5.4 Funkce měření 23

7.5.5 Analytický model 23

7.5.6 Indikátory 23

Strana

7.5.7 Rozhodovací kritéria 23

7.5.8 Zainteresované strany 23

7.6 Koncept měření 24

7.7 Sběr dat, analýza a hlášení 24

7.8 Implementace a dokumentace měření 25

8 Provádění měření 25

8.1 Přehled 25

8.2 Integrace postupu 25

8.3 Sběr, ukládání a ověřování dat 25

9 Analýza dat a hlášení výsledků měření 26

9.1 Přehled 26

9.2 Analýza dat a získání výsledků měření 26

9.3 Sdělení výsledků měření 26

10 Vyhodnocení a zlepšování programu měření bezpečnosti informací 27

10.1 Přehled 27

10.2 Identifikace kritérií hodnocení pro program měření bezpečnosti informací 27

10.3 Monitorovat, přezkoumávat a hodnotit program měření bezpečnosti informací 28

10.4 Zavést zlepšení 28

Příloha A (informativní) 29

Příloha B (informativní) 31

Bibliografie 59 

© ISO/IEC 2009

Veškerá práva vyhrazena. Pokud není specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně fotokopií a mikrofilmů, bez písemného svolení buď od organizace ISO na níže uvedené adrese nebo od členské organizace ISO v zemi žadatele.

ISO copyright office

Case postale 56 · CH-1211 Geneva 20

Tel. + 41 22 749 01 11

Fax + 41 22 749 09 47

E-mail copyright@iso.org

Web www.iso.org

Published in Switzerland 

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí zřízených příslušnou organizací k tomu, aby se zabývaly určitou oblastí technické činnosti. V oblastech společného zájmu technické komise ISO a IEC spolupracují. Práce se zúčastňují i jiné mezinárodní organizace, vládní i nevládní, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informačních technologií zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.

Návrhy mezinárodních norem jsou zpracovány v souladu s pravidly uvedenými v Části 2 Směrnic ISO/IEC.

Hlavním úkolem společné technické komise je připravovat mezinárodní normy. Návrhy mezinárodních norem přijaté společnou technickou komisí se rozesílají národním orgánům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících členů.

Upozorňuje se na možnost, že některé prvky tohoto dokumentu, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědné za identifikaci libovolného patentového práva nebo všech takových patentových práv.

Mezinárodní norma ISO/IEC 27004 byla připravena společnou technickou komisí ISO/IEC JTC 1, Informační technologie, subkomise SC 27, IT Bezpečnostní techniky.

0 Úvod

0.1 Všeobecně

Tato mezinárodní norma poskytuje doporučení zaměřená na vývoj a používání metrik a měření za účelem hodnocení účinnosti zavedeného systému řízení bezpečnosti informací (ISMS) a účinnosti opatření nebo skupin opatření, jak je uvedeno v ISO/IEC 27001.

Doporučení se týkají politiky, řízení rizik bezpečnosti informací, cílů opatření, opatření, procesů a postupů a podporují proces revize, který napomáhá určit, zda některé procesy nebo opatření ISMS vyžadují změnu nebo zlepšení. Vždy je nutné mít na paměti, že měření účinnosti opatření samo o sobě nemůže zaručit úplnou bezpečnost.

Implementace těchto doporučení je předmětem programu měření bezpečnosti informací. Program měření bezpečnosti informací napomáhá vedení organizace při identifikaci a vyhodnocení nevyhovujících a neúčinných procesů a opatření ISMS a při stanovení priorit činností spojených se zlepšováním nebo změnou těchto procesů a/nebo opatření. Může rovněž pomáhat organizaci při demonstrování shody s ISO/IEC 27001 a poskytovat další důkazy pro procesy přezkoumání vedením organizace a pro řízení rizik bezpečnosti informací.

Tato mezinárodní norma předpokládá, že výchozím bodem pro rozvoj metrik a měření je dobré porozumění rizikům bezpečnosti informací, kterým organizace čelí, a že činnosti hodnocení rizik organizace byly provedeny správně (tj. na základě ISO/IEC 27005), jak to vyžaduje ISO/IEC 27001. Program měření bezpečnosti informací napomáhá organizaci poskytovat příslušným zainteresovaným stranám spolehlivé informace týkající se svých rizik bezpečnosti informací a stavu zavedeného ISMS k řízení těchto rizik.

Účinně zavedený program měření bezpečnosti informací zvyšuje důvěru zainteresovaných stran ve výsledky měření a umožňuje zainteresovaným stranám využívat tyto metriky k uskutečňování neustálého zlepšování bezpečnosti informací a ISMS.

Po určitou dobu získávané výsledky měření umožní srovnávání pokroku při dosahování cílů bezpečnosti informací jako součásti procesu neustálého zlepšování ISMS organizace.

0.2 Manažerský přehled

ISO/IEC 27001 vyžaduje, aby organizace „prováděla pravidelná přezkoumání účinnosti ISMS a brala přitom v úvahu výsledky měření účinnosti” a „měřila účinnost opatření, aby si ověřila, že požadavky na bezpečnost byly splněny”. ISO/IEC 27001 rovněž vyžaduje, aby organizace „definovala, jakým způsobem bude měřit účinnost vybraných opatření nebo skupin opatření, a specifikovala, jak mají být tyto metriky použity k vyhodnocení účinnosti opatření, aby závěry hodnocení byly porovnatelné a opakovatelné”.

Přístup přijatý organizací ke splnění požadavků na měření, které jsou specifikovány v ISO/IEC 27001, se bude lišit v závislosti na počtu významných faktorů, včetně rizik bezpečnosti informací, kterým organizace čelí, její organizační velikosti, dostupných zdrojích a platných právních, regulačních a smluvních požadavcích. Pečlivý výběr a zdůvodnění použité metody ke splnění požadavků na měření jsou důležité pro zajištění toho, aby těmto činnostem ISMS nebyly, na úkor jiných, věnovány nadměrné zdroje. V ideálním případě mají být probíhající činnosti měření zahrnuty do běžných činností organizace s minimálními dodatečnými požadavky na zdroje.

Tato mezinárodní norma poskytuje základní doporučení pro naplnění požadavků měření, jak je specifikuje ISO/IEC 27001 a týkají se následujících činností:

1. vývoje metrik (tj. základních metrik, odvozených metrik a indikátorů);

2. zavedení a provozování programu měření bezpečnosti informací;

3. sběru a analýzy dat;

4. získání výsledků měření;

5. sdělení získaných výsledků měření příslušným zainteresovaným stranám;

6. použití výsledků měření jako faktorů přispívajících k rozhodnutím souvisejících s ISMS;

7. použití výsledků měření k identifikaci potřeb pro zlepšování zavedeného ISMS, včetně jeho rozsahu, politik, cílů, opatření, procesů a postupů; a

8. napomáhání neustálému zlepšování programu měření bezpečnosti informací.

Jedním z faktorů, který bude mít vliv na schopnost organizace provádět měření, je její velikost. Obecně řečeno, velikost a složitost podnikání v kombinaci s důležitostí bezpečnosti informací ovlivňují rozsah potřebného měření, jak z hlediska počtu metrik, které mají být vybrány, tak z hlediska četnosti sběru a analyzování dat. U malých a středních organizací bude dostačující méně komplexní program měření bezpečnosti informací, zatímco velké organizace budou zavádět a provozovat četné programy pro měření bezpečnosti informací.

Pro malé organizace může stačit jeden program měření bezpečnosti informací, zatímco pro velké organizace může existovat potřeba několika programů pro měření bezpečnosti informací.

Doporučení, která poskytuje tato mezinárodní norma, povedou k vytvoření dokumentace, která přispěje k prokázání toho, že účinnost opatření je měřena a hodnocena.

1 Předmět normy

Tato mezinárodní norma poskytuje doporučení pro vývoj a použití metrik a měření za účelem hodnocení účinnosti zavedeného systému řízení bezpečnosti informací (ISMS) a opatření nebo skupin opatření, jak je uvedeno v ISO/IEC 27001.

Tato mezinárodní norma je aplikovatelná na všechny typy a velikosti organizací.

POZNÁMKA Tento dokument používá slovesné tvary pro vyjádření ustanovení (například „musí”, „nesmí ”, „měl by”, „neměl by”, „smí”, „nemusí”, „může” a „nemůže”), které jsou specifikovány ve směrnicích ISO/IEC, Část 2, 2004, příloha H. Viz také ISO/IEC 27000:2009, příloha A.

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz