ISO 27010: 2015

Hvad er ISO 27010?

ISO/IEC 27010:2015 præsenterer strategier for metoder, modeller, processer, politikker, kontroller, protokoller og andre rammer for informationsdeling med betroede modparter, samtidig med at de grundlæggende koncepter for informationssikkerhed opretholdes.

Den Internationale Elektrotekniske Kommission (IEC) og Den Internationale Standardiseringsorganisation (ISO) udstedte i fællesskab ISO 27010. Ud over instruktionerne i ISO 27000 familie, guider standarden indarbejdelsen af ​​informationssikkerhedsstyring på tværs af informationsdelingsgrupper.

ISO 27010 har til formål at sikre delt viden om følsomme infrastrukturer. Det foreslår standardregler for at forhindre sikkerhedsproblemer ved overførsel af fortrolige oplysninger såvel som:

• Udveksling af information mellem organisationer
• Risikoen ved at dele viden
• Indførelse af kontroller for at mindske sådanne risici
• Potentielle hændelser, der kan opstå

ISO 27010 tilbyder retningslinjer for samspil mellem informationssikkerhed og samarbejde mellem organisationer i de samme sektorer, i separate industrisektorer og med regeringer.

Standarden angiver også vejledning til deling af information i krisetider og beskyttelse af vital infrastruktur samt for gensidig forståelse under normale forretningsforhold for at opfylde juridiske, regulatoriske og kontraktlige forpligtelser.

Historien om ISO/IEC 27010:2015

ISO 2012 blev først udgivet i 27010 og modtog mindre redaktionelle ændringer i 2015. Denne revision blev foretaget for bedre at overholde 2013-versionerne af ISO / IEC 27001 , ISO 27002. I december 2015 blev den anden udgave af ISO 27010 udgivet.

Hvorfor er ISO 27010 vigtigt?

Informationsdeling, som trussel intelligens, kommer med sine egne unikke ulemper og udgør flere problemer. For eksempel kan organisationer ende med at have rå, uevalueret information, der tilføjer en ekstra byrde til organisationers sikkerhed team ved at hæve antallet af hændelser og advarsler i stedet for at minimere dem. Nogle sikkerhedsleverandører foragter også deling af data for at undgå at skade deres konkurrencefordel.

ISO/IEC 27000-serien af ​​standarder diskuterer nogle af disse problemer. Alle organisationer opfordres til at vurdere deres risici og derefter håndtere dem i overensstemmelse med deres behov ved hjælp af råd og støtte, hvor det er relevant, og bruge informationssikkerhedskontrol. ISO/IEC 27010 giver kontroller og instruktioner om vedtagelse, implementering og vedligeholdelse af informationssikkerhed i kommunikation mellem organisationer og sektorer. Den tilbyder også vejledning og generelle principper for, hvordan man opfylder definerede krav ved hjælp af eksisterende meddelelser og andre tekniske metoder.

Standarden henviser til alle former for udveksling og deling af følsomme oplysninger, offentlige og private, nationalt og globalt, ikke kun inden for eller mellem industrien eller erhvervssektorerne. Det kan især henvise til informationsudveksling og -deling i forbindelse med tilvejebringelse, opretholdelse og beskyttelse af væsentlige infrastrukturer i en enhed eller nationalstat. ISO 27010 er bygget til at fremme tillidsskabelse, mens der udveksles og deles fortrolig information, og letter den internationale vækst af informationsdelingskulturer.

Forholdet til andre standarder

Standardserien ISO/IEC 27000 tilbyder bedste praksis retningslinjer for informationssikkerhedsstyring. ISO/IEC 27010:2015 er et sektorspecifikt supplement til ISO/IEC 27001:2013 og ISO/IEC 27002:2013 for informationsdelingsfællesskaber. Ud over og komplementerer den generiske vejledning i andre medlemmer af ISO/IEC 27000-familien af ​​standarder, retningslinjerne i denne internationale standard. Hvis det er relevant, kan ISO 27006-certificeringsorganer henvise til ISO 27010, når de udsteder certificeringen.

Et aspekt, hvor ISO 27010 definerer generelle tilgange til datasikkerhedselementer i processen med at udarbejde og håndhæve politikker og procedurer. Sammen med træning og bevidsthed initiativer for dem, der deltager i processen, og sandsynligvis uafhængige evalueringer eller revisioner for at bekræfte overholdelse af ISO/IEC 27010 og andre relevante ISO27k-standarder.

ISO 27010, ISO 27001 og ISO 27002

ISO/IEC 27010:2015 supplerer ISO/IEC 27001:2013 og ISO/IEC 27002:2013 godt. ISO 27010 tilbyder rådgivning om forståelse af ISO 27001's kriterier ved udveksling af information mellem organisationer. Det giver også yderligere sikkerhedsforanstaltninger og instruktioner til videndeling ud over dem, der findes i ISO 27002.

ISO/IEC 27001:2013 og ISO/IEC 27002:2013 omhandler informationsudveksling mellem organisationer, men kun bredt. Antag, at organisationer ønsker at overføre fortrolige oplysninger til flere andre organisationer. I så fald skal de øvrige organisationer forsikre den oprindelige ejer om, at deres brug af oplysninger vil være underlagt passende sikkerhedskontrol af de modtagende grupper.

Organisationer kan opnå denne fortrolighed ved at skabe et informationsdelingsfællesskab, hvor hver deltager stoler på, at de andre beskytter de delte oplysninger, selv når organisationer ellers kan være konkurrenter.

ISO 27010 introducerer en ny kontrol i sin klausul syv, der håndterer en række problemer, som ISO 27002 ikke behandler eksplicit, næsten i modsætning til standardbetingelser for ikke-afvisning. Denne kontrol omfatter beskyttelse af kildeanonymitet ved udveksling af oplysninger. Selvom ISO 27002 er velegnet til standard "leverandør"-scenarier, giver 27010 nogle nye ressourcer til at håndtere mere komplicerede situationer.

Hvem kan implementere ISO 27010?

Denne internationale standard er relevant for alle virksomheder og organisationer der udveksler fortrolige oplysninger, offentligt og privat, i alle brancher. Dette kan især gælde informationsudveksling og -deling i forbindelse med tilvejebringelse, opretholdelse og beskyttelse af en enheds eller nationalstats væsentlige infrastruktur. Dette skyldes standarderne for fremme af opbygning af tillid under udveksling og deling af private oplysninger.

Det vil være nødvendigt for enhver virksomhed, der leverer eller bruger informationsdelingsværktøjer beskyttet af en informationssikkerhedsstyringssystem (ISMS). Det kan også være en fordel for store organisationer med geografisk spredte funktioner, der udveksler information på tværs af afdelinger eller lokationer.

Kom godt i gang med informationsdeling

Uden tillid kan et informationsdelingsfællesskab ikke fungere. De, der afgiver oplysninger, skal stole på, at modtagerne ikke afslører eller mishandler dataene. De, der modtager data, skal stole på, at nøjagtigheden af ​​dataene er underlagt eventuelle krav, der er meddelt af ophavsmanden. Begge aspekter er kritiske. ISO 27010 kræver informationsdelingsfællesskaber for at demonstrere succesfulde sikkerhedspolitikker, og god praksis skal understøttes. For at gøre dette skal alle gruppemedlemmer vedtage et samarbejde ledelsessystem, der dækker den delte informations sikkerhed. Dette system skal helst være et ISMS.

Informationsdeling kan finde sted mellem grupper, hvor deleren ikke er opmærksom på alle modtagere. At dele information på denne måde vil kun fungere, hvis fællesskaberne har tilstrækkelig tillid og aftaler om informationsdeling. Det er især relevant for deling af følsomme oplysninger mellem forskellige samfund, såsom forskellige industrier eller markedssektorer.

Et scenarie, hvor oplysninger deles, er i tilfælde af et databrud. Dele potentiale informationssårbarheder og sikkerhedsproblemer eksemplificere den brede vifte af problemer og fordele, der omgiver deling af information. Disse informationsudvekslinger sker normalt under ekstremt tidspres i en kaotisk atmosfære - ikke det mest gunstige miljø til at udvikle tillidsfulde arbejdsforhold og blive enige om passende sikkerhedskontrol. Risikoen ved at dele oplysninger om sikkerhedshændelser mellem forskellige enheder vil afhænge af detaljerne i den aktuelle situation. Men når det gøres sikkert, kan deling af disse oplysninger forhindre andre organisationer i at støde på de samme problemer.