Standardizace informační bezpečnosti


Orange book

Jako první dokument popisující standarty informační bezpečnosti byla vydána norma ministerstva obrany Spojených států amerických TCSEC (Trusted computer system evaluation criteria). Tato norma (zvaná téže jako Orange book) stanoví základní požadavky pro hodnocení, klasifikaci a výběr počítačových systémů vhodných pro ukládání citlivých informací. Byla vydána v roce 1983, a v roce 1985 doplněna. Původně vznikla k vojenským účelům.

ITSEC

Evropským ekvivalentem TCSEC je ITSEC (Information Technology Security Evaluation Criteria). Byla vydána v roce 1990 ve Velké Británii, Nizozemsku, Francii a Německu. K této dohodě se posléze přidaly i další evropské země.

CTCPEC

CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) je ekvivalent pro TCSEC a CTCPEC kanadské provenience.

Common criteria

Common criteria (celým názvem Common criteria for information technology security evaluation, zkracováno jako "CC") je mezinárodní standard (ISO/IEC 15408) určující certifikaci informační bezpečnosti. Vznikl jako výsledek harmonizace TCSEC, ITSEC a CTCPEC. Cílem CC je provádění bezpečnostních hodnocení informačních technologií, produktů a ochranných profilů na jednotné a vysoké úrovni. Princip hodnocení probíhá na přidělování úrovně bezpečnosti EAL (Evaluation Assurance Level). [1]

Normy ISO/IEC 27000[2]

ISO normy upravující požadavky, návody a doporučení týkající se informační bezpečnosti jsou uspořádány v řadě 27000. Základní normy jsou č.1 a 2. Norma ISO 27001 ( Information technology - Security techniques - Information security management systems - Requirements) poskytuje model pro zavedení efektivního systému řízení bezpečnosti informací (ISMS) v organizaci a norma ISO 27002 (Information technology - Security techniques - Code of practice for information security management) ji doplňuje. Obě normy jsou úzce propojeny, každá z nich však plní jinou roli. Zatímco norma ISO 27002 poskytuje podrobný přehled (katalog) bezpečnostních opatření, které mohou být vybrány při budování ISMS, norma ISO 27001 specifikuje požadavky na to jak ISMS v organizaci správně zavést. Případná certifikace ISMS pak probíhá podle ISO 27001.[3]


  1. NATIONAL INFORMATION ASSURANCE PARTNERSHIP. Common Criteria [online]. 2015 [cit. 2015-06-09]. Dostupné z: https://www.commoncriteriaportal.org/
  2. BUDÍN, Emil. Využití automatizovaných nástrojů pro řízení bezpečnosti informací dle norem řady ČSN ISO/IEC 27000. Brno, 2014. Diplomová práce. Masarykova univerzita, Filozofická fakulta, Ústav české literatury a knihovnictví, Kabinet informačních studií a knihovnictví. Vedoucí práce PhDr. Petr Škyřík, Ph.D
  3. Řada norem ISO/IEC 27000. Řada norem ISO/IEC 27000 [online]. 2015 [cit. 2015-06-09]. Dostupné z: http://www.iso27000.cz/