ČSN ISO/IEC 27005 (369790)

ČESKÁ TECHNICKÁ NORMA

ICS 35.040 Červenec 2013

Informační technologie – Bezpečnostní techniky –
Řízení rizik bezpečnosti informací

ČSN
ISO/IEC 27005

36 9790

Information technology – Security techniques – Information security risk management

Technologies de l’information – Techniques de sécurité – Gestion du risque en sécurité de l’information

Tato norma je českou verzí mezinárodní normy ISO/IEC 27005:2011. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 27005:2011. It was translated by the Czech Office for Standards, Metrology and Testing. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN ISO/IEC 27005 (36 9790) z července 2009.

Národní předmluva

Změny proti předchozí normě

Toto druhé vydání zrušuje a nahrazuje první vydání (ISO/IEC 27005:2009), které bylo technicky revidováno. Základní změnou je změna termínů a definic a jejich použití v normě viz Příloha G.

Informace o citovaných dokumentech

ISO/IEC 27000 zavedena v ČSN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky –
Systémy řízení bezpečnosti informací – Přehled a slovník

ISO/IEC 27001:2005 zavedena v ČSN ISO/IEC 27001:2006 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky

Souvisící ČSN

TNI 01 0350:2010 Management rizik – Slovník (Pokyn 73)

ČSN ISO/IEC 17799:2006 (36 9790) Informační technologie – Bezpečnostní techniky – Soubor postupů pro management bezpečnosti informací (ISO/IEC 27002:2005)

ČSN ISO 31000:2010 (01 0351) Management rizik – Principy a směrnice

Vypracování normy

Zpracovatel: Risk Analysis Consultants, s. r. o., IČ 63672774

Technická normalizační komise: TNK 20 Informační technologie

Zaměstnanec Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Petr Wallenfels

MEZINÁRODNÍ NORMA

Informační technologie – Bezpečnostní techniky – ISO/IEC 27005
Řízení rizik bezpečnosti informací Druhé vydání
2011-06

ICS 35.040

Obsah

Strana

Úvod 7

1 Předmět normy 8

2 Citované dokumenty 8

3 Termíny a definice 8

4 Struktura této mezinárodní normy 11

5 Podklady 12

6 Přehled procesu řízení rizik bezpečnosti informací 13

7 Stanovení kontextu 15

7.1 Obecná hlediska 15

7.2 Základní kritéria 16

7.2.1 Přístup k řízení rizik 16

7.2.2 Kritéria hodnocení rizik 16

7.2.3 Kritéria dopadu 16

7.2.4 Kritéria akceptace rizik 17

7.3 Rozsah a hranice 17

7.4 Organizace řízení rizik bezpečnosti informací 18

8 Posouzení rizik bezpečnosti informací 18

8.1 Obecný popis posouzení rizik bezpečnosti informací 18

8.2 Identifikace rizik 19

8.2.1 Úvod do identifikace rizik 19

8.2.2 Identifikace aktiv 19

8.2.3 Identifikace hrozeb 19

8.2.4 Identifikace stávajících opatření 20

8.2.5 Identifikace zranitelností 20

8.2.6 Identifikace následků 21

8.3 Analýza rizik 22

8.3.1 Metodiky analýzy rizik 22

8.3.2 Posouzení následků 22

8.3.3 Určení pravděpodobnosti incidentu 23

8.3.4 Určení úrovně rizik 23

8.4 Hodnocení rizik 24

9 Ošetření rizik bezpečnosti informací 24

9.1 Obecný popis ošetření rizik 24

Strana

9.2 Modifikace rizik 26

9.3 Podstoupení rizik 27

9.4 Vyhnutí se riziku 27

9.5 Sdílení rizik 27

10 Akceptace rizik bezpečnosti informací 27

11 Komunikace a konzultace rizik bezpečnosti informací 28

12 Monitorování a přezkoumávání rizik bezpečnosti informací 28

12.1 Monitorování a přezkoumávání rizikových faktorů 28

12.2 Monitorování, přezkoumávání a zlepšování řízení rizik 29

Příloha A (informativní) Definování rozsahu a hranic procesu řízení rizik bezpečnosti informací 31

Příloha B (informativní) Identifikace a ohodnocení aktiv a zjišťování dopadu 35

Příloha C (informativní) Příklady typických hrozeb 43

Příloha D (informativní) Zranitelnosti a metody pro posouzení zranitelností 46

Příloha E (informativní) Přístupy k posouzení rizik bezpečnosti informací 50

Příloha F (informativní) Omezení pro modifikaci rizik 55

Příloha G (informativní) Rozdíly v definicích mezi ISO/IEC 27005:2008 a ISO/IEC 27005:2011 57

Bibliografie 63

[image]

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

Veškerá práva vyhrazena. Pokud není specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně fotokopií a mikrofilmů, bez písemného svolení buď od organizace ISO na níže uvedené adrese, nebo od členské organizace ISO v zemi žadatele.

ISO copyright office

Case postale 56 · CH-1211 Geneva 20

Tel. + 41 22 749 01 11

Fax + 41 22 749 09 47

E-mail copyright@iso.org

Web www.iso.org

Published in Switzerland

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní a nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.

Návrhy mezinárodních norem jsou vypracovávány v souladu s pravidly danými směrnicemi ISO/IEC, část 2.

Hlavním úkolem společné technické komise je vypracování mezinárodních norem. Návrhy mezinárodních norem přijaté společnou technickou komisí jsou rozesílány národním členům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících národních orgánů.

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnou za identifikaci jakéhokoliv nebo všech patentových práv.

ISO/IEC 27005 vypracovala společná technická komise ISO/IEC JTC 1, Informační technologie, subkomise SC 27, IT bezpečnostní techniky.

Toto druhé vydání zrušuje a nahrazuje první vydání (ISO/IEC 27005:2009), které bylo revidováno.

1 Předmět normy

Tato mezinárodní norma poskytuje doporučení pro řízení rizik bezpečnosti informací.

Tato mezinárodní norma podporuje obecný koncept specifikovaný v ISO/IEC 27001 a je strukturována, aby dostatečně podporovala implementaci informační bezpečnosti založené na přístupu řízení rizik.

Znalost konceptu, modelů, procesu a terminologie popsané v ISO/IEC 27001 a ISO/IEC 27002 je důležitá pro celkové pochopení této mezinárodní normy.

Tato mezinárodní norma je aplikovatelná na všechny typy organizací (např. komerční společnosti, vládní organizace, neziskové organizace), které mají v úmyslu řídit rizika, která mohou narušit bezpečnost informací organizace.

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz