Rozhodnete-li se pokrýt zjištěná rizika opatřeními, což je koneckonců nejčastější varianta, musíte někde ona opatření vzít.
Nejčastěji se používají různé katalogy opatření, které jsou součástí mezinárodních norem. Pro oblast bezpečnosti informací je používán zejména katalog opatření obsažený v normě ČSN ISO/IEC 27002. Jedná se o základní katalog z většiny myslitelných oblastí bezpečnosti informací. Tento katalog je však možné doplnit a zejména konkretizovat o opatření uvedená v dalších normách řady 27000. Jedná se zejména o normy číslované 27011 a výše. Tyto normy je možné rozdělit do několika oblastí.
Sepsali jsme tedy pro vás přehled doposud vydaných norem řady ISO/IEC 27000. Vzhledem k tomu, že normy jsou vydávány v anglickém a francouzském jazyce, jsou zde uvedeny anglické názvy norem. V případě, že je norma již vydána v českém jazyce, je za anglickým názvem uveden český ekvivalent a norma je označena ČSN.
Terminologie:
• ISO/IEC 27000:2018 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
ČSN ISO/IEC 27000:2017 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník (starší verze normy)
Norma definuje pojmy a terminologický slovník pro všechny ostatní normy z této série
Obecné požadavky:
• ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements
ČSN ISO/IEC 27001:2014 Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky
• ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security controls (Cor 1:2014 a Cor 2:2015)
ČSN ISO/IEC 27002:2014 Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací (včetně oprav 1 a 2)
• ISO/IEC 27003:2017 Information technology – Security techniques – Information security management systems – Guidance
ČSN ISO/IEC 27003:2018 - Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Pokyny
Obecné postupy:
• ISO/IEC 27004:2016 Information technology – Security techniques – Information security management -- Monitoring, measurement, analysis and evaluation
ČSN ISO/IEC 27004:2018 - Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Monitorování, měření, analýza a hodnocení
• ISO/IEC 27005:2018 Information technology – Security techniques – Information security risk management
ČSN ISO/IEC 27005:2019 Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací
• ISO/IEC 27006:2015 - Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems
ČSN ISO/IEC 27006:2016 Informační technologie – Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací
• ISO/IEC 27007:2017 - Information technology – Security techniques – Guidelines for information security management systems auditing
ČSN ISO/IEC 27007:2018 - Informační technologie – Bezpečnostní techniky – Směrnice pro audit systémů řízení bezpečnosti informací
• ISO/IEC TR 27008:2011 - Information technology – Security techniques – Guidelines for auditors on information security controls
• ISO/IEC TS 27008:2019 - Information technology – Security techniques – Guidelines for auditors on information security controls
• ISO/IEC 27009:2016 - Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 - Requirements
• ISO/IEC 27010:2015 - Information technology – Security techniques – Information security management for inter-sector and inter – organizational communications
Specifické postupy:
• ISO/IEC 27011:2016 - Information technology – Security techniques – Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations (Cor 1:2018)
• ISO/IEC 27013:2015 - Information technology – Security techniques --Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
• ISO/IEC 27014:2013 - Information technology -- Security techniques -- Governance of information security
• ISO/IEC TR 27016:2014 Information technology -- Security techniques -- Information security management -- Organizational economics
• ISO/IEC 27017:2015 Information technology -- Security techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ČSN ISO/IEC 27017:2017 - Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací pro cloudové služby založený na ISO/IEC 27002
• ISO/IEC 27018:2014 - Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
• ISO/IEC 27018:2019 - Information technology -- Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
ČSN ISO/IEC 27018:2017 - Informační technologie – Bezpečnostní techniky – Soubor postupů na ochranu osobně identifikovatelných informací (PII) ve veřejných cloudech vystupujících jako zpracovatelé PII
• ISO/IEC 27019:2017 – Information technology -- Security techniques -- Information security controls for the energy utility industry
• ISO/IEC 27021:2017 – Information technology -- Security techniques -- Competence requirements for information security management systems professionals
• ISO/IEC TR 27023:2015 - Information technology -- Security techniques -- Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002
• TNI ISO/IEC TR 27023:2017 - Informační technologie – Bezpečnostní techniky – Mapování revidovaných vydání ISO/IEC 27001 a ISO/IEC 27002
• ISO/IEC 27031:2011 - Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity
ČSN ISO/IEC 27031 – Informační technologie – Bezpečnostní techniky – Směrnice pro připravenost informačních a komunikačních technologií pro kontinuitu činnosti organizace
• ISO/IEC 27032:2012 – Information technology – Security techniques – Guidelines for cybersecurity
ČSN ISO/IEC 27032 – Informační technologie – Bezpečnostní techniky – Směrnice pro kybernetickou bezpečnost
• ISO/IEC 27033-1:2015 - Information technology -- Security techniques -- Network security -- Part 1: Overview and concepts
• ISO/IEC 27033-2:2012 - Information technology -- Security techniques -- Network security -- Part 2: Guidelines for the design and implementation of network security
ČSN ISO/IEC 27033-2 - Informační technologie – Bezpečnostní techniky – Bezpečnost sítě - Část 2: Směrnice pro návrh a implementaci bezpečnosti sítě
• ISO/IEC 27033-3:2010 - Information technology -- Security techniques -- Network security -- Part 3: Reference networking scenarios -- Threats, design techniques and control issues
• ISO/IEC 27033-4:2014 - Information technology -- Security techniques -- Network security -- Part 4: Securing communications between networks using security gateways
• ISO/IEC 27033-5:2013 - Information technology -- Security techniques -- Network security -- Part 5: Securing communications across networks using Virtual Private Networks (VPNs)
• ISO/IEC 27033-6:2016 - Information technology -- Security techniques -- Network security -- Part 6: Securing wireless IP network access
ČSN ISO/IEC 27033-6:2019 - Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 6: Zabezpečení přístupu k bezdrátové IP síti
• ISO/IEC 27034-1:2011 - Information technology -- Security techniques -- Application security -- Part 1: Overview and concepts (Cor 1:2014)
ČSN ISO/IEC 27034-1 - Informační technologie – Bezpečnostní techniky – Bezpečnost aplikací – Část 1: Přehled a pojmy
• ISO/IEC 27034-2:2015 - Information technology -- Security techniques – Application security -- Part 2: Organization normative framework
• ISO/IEC 27034-3:2018 - Information technology -- Application security -- Part 3: Application security management process
• ISO/IEC 27034-5:2017 - Information technology -- Security techniques -- Application security -- Part 5: Protocols and application security controls data structure
• ISO/IEC TS 27034-5-1:2018 - Information technology -- Application security -- Part 5-1: Protocols and application security controls data structure, XML schemas
• ISO/IEC 27034-6:2016 - Information technology -- Security techniques -- Application security -- Part 6: Case studies
• ISO/IEC 27034-7:2018 - Information technology -- Application security -- Part 7: Assurance prediction framework
• ISO/IEC 27035-1:2016 - Information technology -- Security techniques -- Information security incident management -- Part 1: Principles of incident management
ČSN ISO/IEC 27035-1:2018 - Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací - Část 1: Principy řízení incidentů
• ISO/IEC 27035-2:2016 - Information technology -- Security techniques -- Information security incident management -- Part 2: Guidelines to plan and prepare for incident response
ČSN ISO/IEC 27035-2:2018 - Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací - Část 2: Směrnice pro plánování a přípravu odezvy na incidenty
• ISO/IEC 27036-1:2014 - Information technology -- Security techniques -- Information security for supplier relationships -- Part 1: Overview and concepts
• ISO/IEC 27036-2:2014 - Information technology -- Security techniques -- Information security for supplier relationships -- Part 2: Requirements
• ISO/IEC 27036-3:2013 - Information technology -- Security techniques -- Information security for supplier relationships -- Part 3: Guidelines for information and communication technology supply chain security
• ISO/IEC 27036-4:2016 - Information technology -- Security techniques -- Information security for supplier relationships -- Part 4: Guidelines for security of cloud services
• ISO/IEC 27037:2012 - Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence
• ISO/IEC 27038:2014 - Information technology -- Security techniques -- Specification for digital redaction
• ISO/IEC 27039:2015 - Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection and prevention systems (IDPS)
• ISO/IEC 27040:2015 - Information technology -- Security techniques -- Storage security
• ISO/IEC 27041:2015 - Information technology -- Security techniques -- Guidance on assuring suitability and adequacy of incident investigative method
• ISO/IEC 27042:2015 - Information technology -- Security techniques -- Guidelines for the analysis and interpretation of digital evidence
• ISO/IEC 27043:2015 - Information technology -- Security techniques -- Incident investigation principles and processes
• ISO/IEC 27050-1:2016 - Information technology -- Security techniques -- Electronic discovery -- Part 1: Overview and concepts
• ISI/IEC 27050-2:2018 – Information technology – Electronic Discovery – Part 2: Guidance for governance and management of electronic discovery
• ISO/IEC 27050-3:2017 - Information technology -- Security techniques -- Electronic discovery -- Part 3: Code of practice for electronic Discovery
• ISO/IEC 27102:2019 – Information Security management – Guidelines for cyber-insurance
• ISO/IEC TR 27103:2018 - Information technology -- Security techniques -- Cybersecurity and ISO and IEC Standards
• ISO/IEC TR 27550:2019 - Information technology -- Security techniques – Privacy engineering for system life cycle processes
• ISO/IEC 27701:2019 – Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy Information management – Requirements and guidelines
• ISO 27799:2016 - Health informatics -- Information security management in health using ISO/IEC 27002
ČSN EN ISO 27799 - Zdravotnická informatika – Systémy řízení bezpečnosti informací ve zdravotnictví využívající ISO/IEC 27002
Zde uvedený výčet norem je uveden k počátku září 2019. Každé čtvrtletí přibývají nové normy řady ISO/IEC 27001.
Mimo výše uvedené řady pro bezpečnost informací existují další řady pro další oblasti bezpečnosti či odvětví. Mimo norem ISO pak existují další normalizační instituty, které vydávají další řady norem. Velmi rozšířené jsou americké normy NIST (National Institute of Standards and Technology), které jsou k dispozici k volnému využití.
Závěrem lze doporučit, že potřebuji-li najít vhodná opatření k pokrytí zjištěných rizik, mám nepřeberné možnosti a před vlastním zahájením hodnocení rizik je vhodné vybrat a sestavit co nejkonkrétnější katalog opatření.
Autoři článku: Antonín Šefčík, Barbora Kvasnicová
