top of page

Od PIB k TSP aneb: Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí

Již třetím pokračováním navazujeme na revizi norem pro informační bezpečnost. Tentokrát se trochu blíže podíváme na nový obsah ČSN EN ISO/IEC 27002:2023 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Opatření informační bezpečnosti.


K nejvýznamnější změně patří doplnění pěti atributů kekaždému opatření, podle kterých je lze třídit, a to „Typ opatření“, „Vlastnosti informační bezpečnosti“, „Koncepty kybernetické bezpečnosti“, „Provozní schopnosti“ a „Domény bezpečnosti“.


Informace ke každému opatření (rozuměj z přílohy A normy ISO/IEC 27001:2022) obsahují nyní 6 položek:

​1. Název

Typ opatření

2. Tabulka atributů

Vlastnosti informační bezpečnosti

3. Popis opatření

​======>

Koncepty kybernetické bezpečnosti

4. Účel

Provozní schopnosti

5. Pokyny

Domény bezpečnosti

​6. Další informace

ČSN EN ISO/IEC 27002:2023 je dále členěna v souladu s přílohou A normy ISO/IEC 27001:2022 a pro jednotlivá opatření informační bezpečnosti doplňuje vysvětlení účelu, atributy, pokyny k implementaci případně další doplňující informace.


Jak to celé vypadá znázorňuje krátký příklad, pro který využijeme hned první část, a to Organizační opatření:


Organizační opatření


1. Název: Politiky pro informační bezpečnost

2. Tabulka atributů: Takto vypadá přiřazení atributů politikám pro informační bezpečnost:

Typ opatření

Vlastnosti informační bezpečnosti

Koncepty kybernetické bezpečnosti

Provozní schopnosti

Domény bezpečnosti

Preventivní

Důvěrnost

Integrita

dostupnost

Identifikace

Správa a řízení

Správa a řízení a ekosystém

Odolnost

3. Popis opatření: Politiky by měly být definovány a schváleny vedením, zveřejněny, sděleny a potvrzeny příslušnými pracovníky a příslušnými zainteresovanými stranami, přezkoumány v plánovaných intervalech a v případě, že dojde k významným změnám. (Pozn.: Popis opatření je vždy převzat z příslušné části přílohy A normy ISO/IEC 27001:2022.)


4. Účel: upřesňuje, k čemu je dané opatření dobré; v tomto případě k zajištění vhodnosti, přiměřenosti, podpoře informační bezpečnosti včetně souladu s požadavky (obecný cíl na úrovni systému managementu).


5. Pokyny: dále doplňují podrobný návod k danému opatření; v tomto případě jde např. o následující:

  • „Politika informační bezpečnosti“ (PIB) má:

    • být co nejobecnější (jedná se o prohlášení, závazek) a schválená vrcholovým vedením

    • zohledňovat strategii organizace, právní a normativní požadavky

    • obsahovat prohlášení týkající se zásad, cílů, závazků neustálého zlepšování (viz také požadavky na politiku dle čl. 5.2 normy ISO/IEC 27001:2022)

    • být podpořena na nižší úrovni konkrétními tematicky specifickými politikami (TSP)

  • „Tematicky specifické politiky“ (TSP) mají například zahrnovat témata, jako je:

    • kontrola přístupu

    • fyzická bezpečnost

    • správa aktiv

    • přenos informací

    • bezpečná konfigurace a manipulace s koncovými zařízeními uživatele

    • bezpečnost sítí

    • řízení incidentů bezpečnosti informací

    • zálohování

    • šifrování a správa klíčů

    • klasifikace informací a nakládání s nimi

    • řízení technických zranitelností apod.

6. Další informace: doplnění nějakého komentáře. V tomto případě je zde uvedeno, že se politiky v různých organizacích mohou lišit. (My dodáváme, že se velice pravděpodobně lišit BUDOU).


Tak co, pomohl vám tento krátký příklad? Nebo se v tom stále nevyznáte? Přihlaste se na náš bezplatný webinář, kde se dozvíte víc.


Link na přihlášku, termín: 20. 6. 2023 10:00–11:00

38 zobrazení0 komentářů
bottom of page