Již třetím pokračováním navazujeme na revizi norem pro informační bezpečnost. Tentokrát se trochu blíže podíváme na nový obsah ČSN EN ISO/IEC 27002:2023 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Opatření informační bezpečnosti.
K nejvýznamnější změně patří doplnění pěti atributů kekaždému opatření, podle kterých je lze třídit, a to „Typ opatření“, „Vlastnosti informační bezpečnosti“, „Koncepty kybernetické bezpečnosti“, „Provozní schopnosti“ a „Domény bezpečnosti“.
Informace ke každému opatření (rozuměj z přílohy A normy ISO/IEC 27001:2022) obsahují nyní 6 položek:
1. Název | | Typ opatření |
2. Tabulka atributů | | Vlastnosti informační bezpečnosti |
3. Popis opatření
| ======> | Koncepty kybernetické bezpečnosti |
4. Účel | | Provozní schopnosti |
5. Pokyny | | Domény bezpečnosti |
6. Další informace | | |
ČSN EN ISO/IEC 27002:2023 je dále členěna v souladu s přílohou A normy ISO/IEC 27001:2022 a pro jednotlivá opatření informační bezpečnosti doplňuje vysvětlení účelu, atributy, pokyny k implementaci případně další doplňující informace.
Jak to celé vypadá znázorňuje krátký příklad, pro který využijeme hned první část, a to Organizační opatření:
Organizační opatření
1. Název: Politiky pro informační bezpečnost
2. Tabulka atributů: Takto vypadá přiřazení atributů politikám pro informační bezpečnost:
Typ opatření | Vlastnosti informační bezpečnosti | Koncepty kybernetické bezpečnosti | Provozní schopnosti | Domény bezpečnosti |
Preventivní | Důvěrnost Integrita dostupnost | Identifikace | Správa a řízení | Správa a řízení a ekosystém Odolnost |
3. Popis opatření: Politiky by měly být definovány a schváleny vedením, zveřejněny, sděleny a potvrzeny příslušnými pracovníky a příslušnými zainteresovanými stranami, přezkoumány v plánovaných intervalech a v případě, že dojde k významným změnám. (Pozn.: Popis opatření je vždy převzat z příslušné části přílohy A normy ISO/IEC 27001:2022.)
4. Účel: upřesňuje, k čemu je dané opatření dobré; v tomto případě k zajištění vhodnosti, přiměřenosti, podpoře informační bezpečnosti včetně souladu s požadavky (obecný cíl na úrovni systému managementu).
5. Pokyny: dále doplňují podrobný návod k danému opatření; v tomto případě jde např. o následující:
„Politika informační bezpečnosti“ (PIB) má:
být co nejobecnější (jedná se o prohlášení, závazek) a schválená vrcholovým vedením
zohledňovat strategii organizace, právní a normativní požadavky
obsahovat prohlášení týkající se zásad, cílů, závazků neustálého zlepšování (viz také požadavky na politiku dle čl. 5.2 normy ISO/IEC 27001:2022)
být podpořena na nižší úrovni konkrétními tematicky specifickými politikami (TSP)
„Tematicky specifické politiky“ (TSP) mají například zahrnovat témata, jako je:
kontrola přístupu
fyzická bezpečnost
správa aktiv
přenos informací
bezpečná konfigurace a manipulace s koncovými zařízeními uživatele
bezpečnost sítí
řízení incidentů bezpečnosti informací
zálohování
šifrování a správa klíčů
klasifikace informací a nakládání s nimi
řízení technických zranitelností apod.
6. Další informace: doplnění nějakého komentáře. V tomto případě je zde uvedeno, že se politiky v různých organizacích mohou lišit. (My dodáváme, že se velice pravděpodobně lišit BUDOU).
Tak co, pomohl vám tento krátký příklad? Nebo se v tom stále nevyznáte? Přihlaste se na náš bezplatný webinář, kde se dozvíte víc.
Link na přihlášku, termín: 20. 6. 2023 10:00–11:00
Comments