Aktualności

ISO-IEC-27000

Przegląd norm bezpieczeństwa informacji z rodziny ISO/IEC 27000

W niniejszym artykule prezentujemy przegląd norm ISO/IEC 27000, które odpowiadają za skuteczne wdrożenie Systemu Zarządzania Bezpieczeństwem w organizacji.

Normy, w których opisano przegląd i terminologię

ISO/IEC 27000 – Technologia informacyjna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i słownictwo
Zakres normy: Norma umożliwia organizacjom i osobom zapoznanie się z:
a) przeglądem rodziny norm SZBI;
b) wprowadzeniem do systemów zarządzania bezpieczeństwem informacji;
c) terminami i definicjami stosowanymi w całej rodzinie norm SZBL
Cel: W tej normie opisano podstawy systemów zarządzania bezpieczeństwem informacji, które tworzą przedmiot rodziny norm SZBI i zdefiniowano terminy związane.

Normy techniczne

ISO/IEC 27001 – Technologia informacyjna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania

Zakres normy: W tej normie opisano wymagania odnoszące się do ustanawiania, wdrażania, eksploatacji, monitorowania, przeglądania, utrzymywania i doskonalenia sformalizowanych systemów zarządzania bezpieczeństwem informacji (SZBI) w kontekście wszystkich rodzajów ryzyka biznesowego danej organizacji. Określono wymagania odnoszące się do wdrożenia zabezpieczeń związanych z bezpieczeństwem informacji dostosowanych do potrzeb konkretnych organizacji lub ich części. Niniejsza Norma Międzynarodowa może być stosowana przez wszystkie organizacje bez względu na ich typ, wielkość i naturę.

Cel: W ISO/IEC 27001 podano wymagania normatywne dotyczące opracowania i eksploatacji SZBI, zawierające zbiór zabezpieczeń umożliwiających kontrolę i ograniczenie ryzyk związanych z aktywami informacyjnymi, które organizacja chce chronić poprzez eksploatację SZBI. Organizacje eksploatujące SZBI mogą poddać go audytowi i certyfikować na zgodność z normą. Cele zabezpieczeń i zabezpieczenia należy wybierać z ISO/IEC 27001, Załącznik A, jako cześć procesów objętych SZBI, odpowiednio pokrywając zidentyfikowane wymagania. Cele zabezpieczeń i zabezpieczenia wymienione w ISO/IEC 27001, Tablica A.1 bezpośrednio pochodzą z tych, które wymieniono w ISO/IEC 27002 Rozdziały od 5 do 18 i są zgodnie z nimi uporządkowane.

ISO/IEC 27006 – Technologia informacyjna – Techniki bezpieczeństwa – Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji

Zakres normy: W normie opisano wymagania i podano zalecenia dla jednostek zapewniających audyt i certyfikację SZBI na zgodność z ISO/IEC 27001, dodatkowe do wymagań wg ISO/IEC 17021. Głównym zamiarem jest wsparcie akredytacji jednostek certyfikujących, zapewniających certyfikację SZBI na zgodność z ISO/IEC 27001.

Cel: ISO/IEC 27006 jest uzupełnieniem ISO/IEC 17021: podano wymagania dotyczące akredytacji organizacji certyfikujących, pozwolono tym organizacjom dostarczać certyfikację zgodności spójną z wymaganiami przedstawionymi w ISO/IEC 27001.

Normy, w których opisano ogólne wytyczne

ISO/IEC 27002 – Technologia informacyjna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji

Zakres normy: W tej Normie Międzynarodowej podano listę ogólnie akceptowanych celów zabezpieczeń i zabezpieczeń zgodnych z najlepszymi praktykami, do wyboru i wdrożenia w celu osiągnięcia bezpieczeństwa informacji.

Cel: W ISO/IEC 27002 podano wytyczne w zakresie wdrażania zabezpieczeń związanych z bezpieczeństwem informacji. W szczególności, w Rozdziałach od 5 do 18, zamieszczono specyficzne porady i wytyczne wdrożeniowe.

ISO/IEC 27003 – Information technology – Security techniques – Information security management system implementation guidance

Zakres normy: Podano praktyczne wytyczne wdrożeniowe i inne informacje dotyczące ustanawiania, wdrażania, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia SZBI zgodnie z ISO/IEC 27001.

Cel: W ISO/IEC 27003 podano procesowe zorientowane podejście do udanego wdrożenia SZBI, zgodnego z ISO/IEC 27001.

ISO/IEC 27004 – Technologia informacyjna – Techniki bezpieczeństwa – Zarządzanie bezpieczeństwem informacji – Pomiar

Zakres normy: Podano wytyczne i porady w zakresie opracowywania i stosowania pomiarów umożliwiających oszacowanie skuteczności SZBI, celów zabezpieczeń i zabezpieczeń używanych do wdrożenia i zarządzania bezpieczeństwem informacji, tak jak to określono w ISO/IEC 27001.

Cel: W ISO/IEC 27004 podano strukturę pomiarów, pozwalających oszacować skuteczność SZBI, która powinna być mierzona zgodnie z zaleceniami ISO/IEC 27001.

ISO/IEC 27005 – Technologia informacyjna – Techniki bezpieczeństwa – Zarządzanie ryzykiem związanym z bezpieczeństwem informacji

Zakres normy: Podano wytyczne w zakresie zarządzania ryzykiem w bezpieczeństwie informacji. Podejście opisane w tej Normie Międzynarodowej stanowi rozwinięcie ogólnych koncepcji określonych w ISO/IEC 27001.

Cel: W ISO/IEC 27005 podano wytyczne w zakresie wyboru podejścia do wdrożenia procesu zarządzania ryzykiem, w celu wsparcia satysfakcjonującego wdrożenia i spełnienia wymagań ISO/IEC 27001, odnoszących się do zarządzaniem ryzykiem w bezpieczeństwie informacji.

ISO/IEC 27007 – Technologia informacyjna – Techniki bezpieczeństwa – Wytyczne dotyczące audytu systemów zarządzania bezpieczeństwem informacji

Zakres normy: Podano wytyczne w zakresie przeprowadzania audytów SZBI, jak również wytyczne w zakresie kompetencji audytorów systemów zarządzania bezpieczeństwem informacji, jako rozszerzenie wytycznych wg ISO 19011, które mogą być ogólnie stosowane do systemów zarządzania.

Cel: W ISO/IEC 27007 zostaną podane wytyczne dla organizacji, w których wymagane jest przeprowadzenie audytów wewnętrznych i zewnętrznych SZBI lub zarządzanie programem audytów SZBI, w odniesieniu do wymagań określonych w ISO/IEC 27001.

ISO/IEC TR 27008 – Technologia informacyjna – Techniki bezpieczeństwa – Wytyczne dla audytorów dotyczące kontroli bezpieczeństwa informacji

Zakres normy: W tym Raporcie Technicznym podano wytyczne w zakresie przeglądu wdrażania i eksploatacji zabezpieczeń, w tym sprawdzania zgodności technicznej zabezpieczeń systemów informacyjnych, zgodnie z obowiązującymi w organizacji standardami bezpieczeństwa informacji.

Cel: W Raporcie Technicznym skoncentrowano się na przeglądach zabezpieczeń związanych – bezpieczeństwem informacji, w tym sprawdzeniu zgodności technicznej, na zgodność z obowiązującymi w organizacjami standardami bezpieczeństwa informacji. Nie było intencją podawanie żadnych konkretnych wytycznych w zakresie sprawdzania zgodności, jak pomiar, szacowanie ryzyka lub audyt SZBI, zamieszczonych odpowiednio w ISO/IEC 27004, ISO/IEC 27005 i ISO/IEC 27007. Raport techniczny nie jest przeznaczony do audytów systemów zarządzania.

ISO/IEC 27013 – Technologia informacyjna – Techniki bezpieczeństwa – Wytyczne dotyczące zintegrowanego wdrażania ISO/IEC 27001 i ISO/IEC 20000-1

Zakres normy: Podano w normie wytyczne w zakresie zintegrowanego wdrażania ISO/IEC 27001 i ISO/IEC 20000-1 dla organizacji zamierzających, albo:

  1. a) wdrożyć ISO/IEC 27001, gdy ISO/IEC 20000-1 już została przyjęta, albo odwrotnie;
  2. b) jednocześnie wdrożyć zarówno ISO/IEC 27001, jak i ISO/IEC 20000-1;
  3. c) zintegrować istniejące wdrożenia systemów zarządzania ISO/IEC 27001 i ISO/IEC 20000-1.

Norma ta koncentruje się wyłącznie na zintegrowanym wdrożeniu systemu zarządzania bezpieczeństwem informacji (SZBI) opisanym w ISO/IEC 27001 oraz systemie zarządzania usługami (SMS), opisanym w ISO/IEC 20000-1.

Cel: Zapewnienie organizacjom lepszego zrozumienia cech, podobieństw i różnic pomiędzy ISO/IEC 27001 i ISO/IEC 20000-1, aby pomóc w zaplanowaniu zintegrowanego systemu zarządzania, który jest zgodny z obu Normami Międzynarodowymi.

ISO/IEC 27014 – Technologia informacyjna – Techniki bezpieczeństwa – Zarządzanie bezpieczeństwem informacji

Zakres normy: Podano wytyczne dotyczące zasad i procesów zapewnienia nadzoru wzakresie bezpieczeństwa informacji, dzięki którym organizacje mogą ocenić, prowadzić i monitorować zarządzanie bezpieczeństwem informacji.

Cel: Ochrona informacji stała się kluczowym zagadnieniem dla organizacji. Nie tylko zwiększyły się wymagania regulatorów, ale również brak zabezpieczeń informacji w organizacji może mieć bezpośredni wpływ na reputację organizacji. W związku z tym, od organów nadzorczych, w ramach ich obowiązków nadzoru, coraz częściej wymaga się nadzoru nad bezpieczeństwem informacji, aby zapewnić osiągnięcie celów organizacji.

ISO/IEC TR 27016 –  Technologia informacyjna – Techniki bezpieczeństwa – Zarządzanie bezpieczeństwem informacji – Ekonomia organizacji

Zakres normy: W Raporcie Technicznym zostanie podana metodyka, dzięki której organizacje lepiej zrozumieją, od strony ekonomicznego spojrzenia na zagadnienie, jak precyzyjnie wartościować ich zidentyfikowane aktywa informacyjne, wartościować potencjalne ryzyka dla tych aktywów informacyjnych, docenić wartość zabezpieczeń informacji przeznaczonych do ochrony tych aktywów informacyjnych, a także określić optymalny poziom środków, które należy zastosować w celu zabezpieczenia tych aktywów informacyjnych.

Cel: Raport Techniczny uzupełni rodzinę norm SZBI, poprzez pokazanie ekonomicznej perspektywy wpływającej na ochronę aktywów informacyjnych organizacji w kontekście szerszego społecznego środowiska, w którym organizacja działa, i poda wytyczne na temat stosowania podejścia ekonomicznego w organizacji w zakresie bezpieczeństwa informacji z zastosowaniem modeli i przykładów.

Normy, w których opisano wytyczne dla specyficznych sektorów

ISO/IEC 27010 – Technologia informacyjna – Techniki bezpieczeństwa – Zarządzanie bezpieczeństwem informacji w komunikacji międzysektorowej i międzyorganizacyjnej

Zakres normy: W normie podano dodatkowe wytyczne dotyczące wdrażania zarządzania bezpieczeństwem informacji, jako uzupełnienie tych, które podano w normach rodziny ISO/IEC 27000 w zakresie społeczności współużytkujących informacje. Dodatkowo podano zabezpieczenia i wytyczne odnoszące się zwłaszcza do inicjowania, wdrażania, utrzymania i doskonalenia bezpieczeństwa informacji w zakresie komunikacji między organizacjami i między sektorami.

Cel: Niniejsza norma ma zastosowanie do wszystkich form wymiany i wspólnego użytkowania informacji wrażliwych, zarówno publicznych, jak i prywatnych, w kraju i za granicą, w ramach tego samego sektora przemysłu lub rynku, lub pomiędzy sektorami. Może być stosowana przede wszystkim do wymiany i współużytkowania informacji dotyczących świadczenia, utrzymania i ochrony infrastruktury krytycznej organizacji lub państwa.

ISO/IEC 27011 – Technologia informacyjna – Techniki bezpieczeństwa – Wytyczne zarządzania bezpieczeństwem informacji dla organizacji telekomunikacyjnych oparte na normie ISO/IEC 27002

Zakres normy: W tej normie podano wytyczne wspierające wdrożenie zabezpieczeń związanych z bezpieczeństwem informacji w firmach telekomunikacyjnych.

Cel: ISO/IEC 27011 pozwala firmom telekomunikacyjnym spełnić podstawowe wymagania zarządzania bezpieczeństwem informacji dotyczące poufności, integralności i dostępności oraz innych mających zastosowanie właściwości bezpieczeństwa.

ISO/IEC TR 27015 – Technologia informacyjna – Techniki bezpieczeństwa – Wytyczne dotyczące zarządzania bezpieczeństwem informacji w usługach finansowych

Zakres normy: W Raporcie Technicznym podano dodatkowe wytyczne, uzupełniające te, które podano w rodzinie norm ISO/IEC 27000, w zakresie inicjowania, wdrażania, utrzymania i doskonalenia bezpieczeństwa informacji w organizacjach świadczących usługi finansowe.

Cel: Raport Techniczny jest specjalistycznym uzupełnieniem ISO/IEC 27001 i ISO/IEC 27002 do wykorzystania przez organizacje świadczące usługi finansowe w celu ich wsparcia w:

  • inicjowaniu, wdrażaniu, utrzymywaniu i doskonaleniu systemu zarządzania bezpieczeństwem informacji w oparciu o ISO/IEC 27001.
  • projektowaniu i wdrażaniu zabezpieczeń określonych w ISO/IEC 27002 lub w niniejszej Normie Międzynarodowej.

ISO/IEC 27017 –  Technologia informacyjna – Techniki bezpieczeństwa – Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 dla usług w chmurze

Zakres normy: W ISO/IEC 27017 podano wytyczne dotyczące zabezpieczeń związanych z bezpieczeństwem informacji, mających zastosowanie we wdrożeniu i w usługach w chmurze, poprzez zapewnienie:

  • dodatkowych wytycznych do wdrażania właściwych zabezpieczeń określonych w ISO/IEC 27002;
  • dodatkowych zabezpieczeń, wraz z wytycznymi do wdrożenia, zarówno dla dostawców usług w chmurze, jak i klientów usług w chmurze.

Cel: Niniejsza norma zapewnia zabezpieczenia oraz wytyczne dotyczące ich wdrażania, zarówno dla dostawców usług w chmurze, jak i klientów usług w chmurze.

ISO/IEC 27018 – Technologia informacyjna – Techniki bezpieczeństwa – Kodeks postępowania w zakresie ochrony danych osobowych (PII) w chmurach publicznych działających jako podmioty przetwarzające PII

Zakres normy: W ISO/IEC 27018 określono powszechnie akceptowane cele stosowania zabezpieczeń, zabezpieczenia oraz wytyczne dotyczące wdrażania środków w celu ochrony informacji identyfikujących osobę (PIl) zgodnie z zasadami prywatności wskazanymi w ISO/IEC 29100 dla środowiska przetwarzania w publicznej chmurze obliczeniowej.

Cel: Norma ma zastosowanie do organizacji, wtym do przedsiębiorstw publicznych i prywatnych, instytucji rządowych, organizacji non-profit, świadczących usługi przetwarzania informacji innym organizacjom jako przetwarzający Pil, za pośrednictwem chmury obliczeniowej. Wytyczne zamieszczone w niniejszej Normie Międzynarodowej mogą odnosić się także do organizacji działających jako administratorzy Pil; jednak, administratorzy Pil mogą podlegać dodatkowym regulacjom i obowiązkom w odniesieniu do Pil, które nie odnoszą się do przetwarzających Pil, i jako takie nie znajdują się w niniejszej Normie Międzynarodowej.

ISO/IEC TR 27019 – Technologia informacyjna – Techniki bezpieczeństwa – Wytyczne dotyczące zarządzania bezpieczeństwem informacji oparte na normie ISO/IEC 27002 dla systemów sterowania procesami specyficznych dla przemysłu energetycznego

Zakres normy: W ISO/IEC TR 27019 podano wytyczne dotyczące zabezpieczeń związanych z bezpieczeństwem informacji, które mają być wdrażane w systemach sterowania procesami wykorzystywanych w przemyśle elektroenergetycznym w celu sterowania i monitorowania generowaniem, przesyłaniem, gromadzeniem i dystrybucją energii elektrycznej, gazu i energii cieplnej, łącznie ze sterowaniem procesami wspierającymi. Obejmuje to w szczególności następujące systemy, aplikacje i komponenty:

  • całościowe sterowanie, monitorowanie i automatyzację centralnego i rozproszonego procesu ze wsparciem IT, jak również systemy IT używane do realizacji tych działań, takie jak urządzenia programujące i parametryzujące;
  • kontrolery cyfrowe i zautomatyzowane komponenty, takie jak sterowniki oraz urządzenia montowane w instalacjach w terenie lub programowalne kontrolery logiczne (PLC), w tym cyfrowe sensory i elementy aparatury;
  • wszystkie inne wspierające systemy IT wykorzystywane w dziedzinie sterowania procesami, na przykład realizujące dodatkową wizualizację danych dla celów sterowania, monitorowania, archwizowania danych i dokumentowania;
  • całościową technologię komunikacji wykorzystywaną w dziedzinie sterowania procesami, na przykład sieci, telemetria, aplikacje do zdalnego sterowania oraz technologie zdalnego sterowania;
  • cyfrowe liczniki i urządzenia pomiarowe, służące na przykład do pomiaru poboru energii, generowania energii lub wartości emisji;
  • cyfrowe systemy bezpieczeństwa, na przykład obwody ochronne lub PLC służące do zapewnienia bezpieczeństwa;
  • rozproszone komponenty dla przyszłych środowisk sieci inteligentnych;
  • całość oprogramowania, oprogramowania wbudowanego oraz aplikacji instalowanych w wymienionych powyżej systemach.

Cel: Oprócz celów stosowania zabezpieczeń oraz środków określonych w ISO/IEC 27002, w niniejszym Raporcie Technicznym podano także wytyczne dotyczące systemów stosowanych przez systemy dostarczające energię elektryczną oraz dostawców energii, odnoszące się do zabezpieczeń związanych z bezpieczeństwem informacji, dotyczące dodatkowych, specjalnych wymagań.

ISO 27799 – Informatyka medyczna – Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002

Zakres normy: W tej normie podano wytyczne wspierające wdrożenie zarządzania bezpieczeństwem informacji w organizacjach ochrony zdrowia.

Cel: ISO 27799 pozwala organizacjom ochrony zdrowia zapoznać się z unikatową dla tego sektora adaptacją zaleceń ISO/IEC 27002, które są uzupełnieniem wytycznych umożliwiających spełnienie wymagań wg ISO/IEC 27001, Załącznik A.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM