STN EN ISO/IEC 27002
| Označenie: | STN EN ISO/IEC 27002 |
| Platnosť: | Platná |
| Počet strán: | 256 |
| Jazyk: |
SK/EN
|
| Listinná verzia: | 36,30€ |
| Elektronická verzia: |
a) Bez možnosti tlače, prenosu textu a obrázkov:
32,67€ b) Bez možnosti tlače, s prenosom textu a obrázkov: 36,30€ c) S možnosťou tlače, prenosu textu a obrázkov: 47,19€ |
| Slovenský názov: | Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Riadenie informačnej bezpečnosti (ISO/IEC 27002: 2022) |
| Anglický názov: | Information security, cybersecurity and privacy protection. Information security controls |
| Dátum vydania: | 01. 05. 2023 |
| Dátum zrušenia: | |
| ICS: | 35.020, 35.040 |
| Triediaci znak: | 97 4172 |
| Úroveň zapracovania: | idt ISO/IEC 27002:2022, idt EN ISO/IEC 27002:2022 |
| Vestník: | 04/23 |
| Zmeny: | |
| Nahradzujúce normy: | |
| Nahradené normy: | STN EN ISO/IEC 27002:2019-02 (36 9784) |
| Poznámka vo Vestníku: | |
| Predmet normy: | Tento dokument poskytuje referenčný súbor všeobecných opatrení informačnej bezpečnosti vrátane návodu na implementáciu. Tento dokument je určený na použitie organizáciami: a) v kontexte systému riadenia informačnej bezpečnosti (ISMS) založeného na norme ISO/IEC 27001; b) na implementáciu opatrení informačnej bezpečnosti na základe medzinárodne uznávaných osvedčených postupov; c) na vypracovanie návodov pre riadenie informačnej bezpečnosti špecifických pre danú organizáciu. |
| Náhľad normy: | Náhľad normy (PDF) |
| Obsah: |
Európsky predhovor 8 Úvod 9 1 Predmet 13 2 Normatívne odkazy 13 3 Termíny, definície a skrátené termíny 13 3.1 Termíny a definície 13 3.2 Skrátené termíny 20 4 Štruktúra tohto dokumentu 22 4.1 Kapitoly 22 4.2 Témy a atribúty 22 4.3 Štruktúra opatrení 24 5 Organizačné opatrenia 24 5.1 Politiky informačnej bezpečnosti 24 5.2 Úlohy a zodpovednosti v oblasti informačnej bezpečnosti 27 5.3 Oddelenie právomoci 29 5.4 Povinnosti manažnmentu 30 5.5 Kontakt s orgánmi moci 32 5.6 Kontakt so špeciálnymi záujmovými skupinami 33 5.7 Analýza hrozieb 34 5.8 Informačná bezpečnosť v projektovom riadení 36 5.9 Inventárny zoznam informácií a iných súvisiacich aktív 38 5.10 Prijateľné používanie informácií a iných súvisiacich aktív 41 5.11 Vrátenie aktív 42 5.12 Klasifikácia informácií 44 5.13 Označovanie informácií 46 5.14 Prenos informácií 48 5.15 Riadenie prístupov 51 5.16 Správa identít 54 5.17 Autentizačné údaje 56 5.18 Prístupové práva 59 5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi 61 5.20 Riešenie informačnej bezpečnosti v rámci dodávateľských dohôd 65 5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT 68 5.22 Monitorovanie, preskúmanie a riadenie zmien dodávateľských služieb 71 5.23 Informačná bezpečnosť pri používaní cloudových služieb 73 5.24 Plánovanie a príprava riadenia incidentov informačnej bezpečnosti 77 5.25 Posudzovanie a rozhodovanie o udalostiach informačnej bezpečnosti 79 5.26 Reakcia na incidenty informačnej bezpečnosti 80 5.27 Poučenie z incidentov informačnej bezpečnosti 82 5.28 Zhromažďovanie dôkazov 83 5.29 Informačná bezpečnosť počas narušenia 84 5.30 Pripravenosť IKT na kontinuitu podnikania 85 5.31 Právne, zákonné, regulačné a zmluvné požiadavky 87 5.32 Práva duševného vlastníctva 89 5.33 Ochrana záznamov 91 5.34 Ochrana súkromia a osobných údajov 93 5.35 Nezávislé preskúmanie informačnej bezpečnosti 95 5.36 Súlad so zásadami, pravidlami a normami pre informačnú bezpečnosť 98 5.37 Zdokumentované prevádzkové postupy 98 6 Personálne opatrenia 100 6.1 Preverovanie 100 6.2 Podmienky zamestnania 102 6.3 Povedomie o informačnej bezpečnosti, vzdelávanie a školenie 103 6.4 Disciplinárny proce 106 6.5 Zodpovednosť pri ukončení alebo zmene zamestnania 107 6.6 Dohody o mlčanlivosti alebo zachovaní mlčanlivosti 108 6.7 Práca na diaľku 110 6.8 Hlásenie udalostí informačnej bezpečnosti 113 7 Fyzické opatrenia 114 7.1 Perimetre fyzickej bezpečnosti 114 7.2 Fyzický vstup 115 7.3 Zabezpečenie kancelárií, miestností a zariadení 118 7.4 Monitorovanie fyzickej bezpečnosti 119 7.5 Ochrana pred fyzickými a environmentálnymi hrozbami 121 7.6 Práca v zabezpečených oblastiach 123 7.7 Čistý stôl a čistá obrazovka 124 7.8 Umiestnenie a ochrana zariadení 125 7.9 Bezpečnosť aktív mimo organizácie 126 7.10 Pamäťové médiá 128 7.11 Podporné služby 130 7.12 Bezpečnosť kabeláže 132 7.13 Údržba zariadení 133 7.14 Bezpečná likvidácia alebo opätovné použitie zariadenia 135 8 Technologické opatrenia 136 8.1 Koncové zariadenia používateľa 136 8.2 Privilegované prístupové práva 140 8.3 Obmedzenie prístupu k informáciám 142 8.4 Prístup k zdrojovému kódu 145 8.5 Bezpečná autentizácia 147 8.6 Riadenie kapacít 149 8.7 Ochrana pred škodlivým softvérom 151 8.8 Riadenie technickej zraniteľnosti 154 8.9 Riadenie konfigurácie 159 8.10 Vymazanie informácií 161 8.11 Maskovanie údajov 163 8.12 Prevencia úniku dát 166 8.13 Zálohovanie informácií 168 8.14 Redundancia zariadení na spracovanie informácií 170 8.15 Logovanie 172 8.16 Monitorovacie činnosti 176 8.17 Synchronizácia času 179 8.18 Používanie privilegovaných systémových obslužných programov 181 8.19 Inštalácia softvéru na prevádzkové systémy 182 8.20 Sieťová bezpečnosť 184 8.21 Bezpečnosť sieťových služieb 186 8.22 Oddeľovanie sietí 187 8.23 Filtrovanie webových stránok 189 8.24 Používanie kryptografie 190 8.25 Životný cyklus bezpečného vývoja 194 8.26 Požiadavky na bezpečnosť aplikácií 195 8.27 Bezpečná architektúra systému a zásady vývoja 198 8.28 Bezpečné kódovanie 201 8.29 Testovanie bezpečnosti pri vývoji a akceptačné testy 205 8.30 Vývoj prostredníctvom outsourcingu 207 8.31 Oddelenie vývojových, testovacích a produkčných prostredí 209 8.32 Riadenie zmien 211 8.33 Testovacie informácie 213 8.34 Ochrana informačných systémov počas auditného testovania 214 Príloha A (informatívna) – Používanie atribútov 216 Príloha B (informatívna) – Súlad normy ISO/IEC 270002: 2022 (tento dokument) s normou ISO/IEC 270002: 2013 237 Literatúra 253 |