ISO 27010: 2015

Vad är ISO 27010?

ISO/IEC 27010:2015 presenterar strategier för metoder, modeller, processer, policyer, kontroller, protokoll och andra ramverk för informationsdelning med betrodda motparter samtidigt som grundläggande koncept för informationssäkerhet upprätthålls.

International Electrotechnical Commission (IEC) och International Organization for Standardization (ISO) utfärdade tillsammans ISO 27010. Utöver instruktionerna i ISO 27000 familj, vägleder standarden införlivandet av informationssäkerhetshantering över informationsdelningsgrupper.

ISO 27010 syftar till att säkerställa delad kunskap om känslig infrastruktur. Det föreslår standardregler för att förhindra säkerhetsproblem vid överföring av konfidentiell information såväl som:

• Utbyte av information mellan organisationer
• Riskerna med att dela kunskap
• Införande av kontroller för att minska sådana risker
• Potentiella incidenter som kan inträffa

ISO 27010 erbjuder riktlinjer för samverkan mellan informationssäkerhet och samarbete mellan organisationer inom samma sektorer, inom olika industrisektorer och med myndigheter.

Standarden ger också vägledning för att dela information i kristider och för att skydda vital infrastruktur samt för ömsesidig förståelse under normala affärsförhållanden för att uppfylla juridiska, regulatoriska och kontraktuella förpliktelser.

Historien om ISO/IEC 27010:2015

ISO 2012 släpptes först 27010 och fick mindre redaktionella ändringar 2015. Denna revidering gjordes för att bättre överensstämma med 2013 års versioner av ISO / IEC 27001 och ISO 27002 . I december 2015 släpptes den andra upplagan av ISO 27010.

Varför är ISO 27010 viktigt?

Informationsdelning, som hot intelligence, kommer med sina egna unika nackdelar och ställer till flera problem. Till exempel kan organisationer hamna med råa, outvärderade information som lägger till en extra börda för organisationers säkerhet team genom att öka antalet incidenter och varningar snarare än att minimera dem. Vissa säkerhetsleverantörer föraktar också att dela data för att undvika att skada deras konkurrensfördelar.

ISO/IEC 27000-serien av standarder diskuterar några av dessa problem. Alla organisationer uppmuntras att utvärdera sina risker och sedan hantera dem efter deras behov, med hjälp av råd och stöd där så är lämpligt och med hjälp av informationssäkerhetskontroller. ISO/IEC 27010 tillhandahåller kontroller och instruktioner om antagande, implementering, upprätthållande av informationssäkerhet i kommunikation mellan organisationer och sektorer. Den erbjuder också vägledning och allmänna principer om hur man uppfyller definierade krav med hjälp av befintliga meddelanden och andra tekniska metoder.

Standarden avser alla former av utbyte och delning av känslig information, offentlig och privat, nationellt och globalt, inte bara inom eller mellan industrin eller näringslivet. I synnerhet kan det hänvisa till informationsutbyte och delning relaterat till tillhandahållande, upprätthållande och skydd av väsentlig infrastruktur i en enhet eller nationalstat. Byggd för att främja förtroendeskapande samtidigt som konfidentiell information utbyts och delas, underlättar ISO 27010 den internationella tillväxten av informationsdelningskulturer.

Förhållande till andra standarder

Standardserien ISO/IEC 27000 erbjuder bästa praxis-riktlinjer för informationssäkerhetshantering. ISO/IEC 27010:2015 är ett sektorspecifikt komplement till ISO/IEC 27001:2013 och ISO/IEC 27002:2013 för informationsdelningsgemenskaper. Utöver och kompletterar den allmänna vägledningen som tillhandahålls inom andra medlemmar av ISO/IEC 27000-familjen av standarder, riktlinjerna som finns i denna internationella standard. Om tillämpligt kan ISO 27006-certifieringsorgan hänvisa till ISO 27010 när de utfärdar certifieringen.

En aspekt där ISO 27010 definierar allmänna tillvägagångssätt för datasäkerhetselement i processen att utarbeta och tillämpa policyer och procedurer. Tillsammans med utbildning och medvetenhet initiativ för de som deltar i processen, och sannolikt oberoende utvärderingar eller revisioner för att bekräfta överensstämmelse med ISO/IEC 27010 och andra relevanta ISO27k-standarder.

ISO 27010, ISO 27001 och ISO 27002

ISO/IEC 27010:2015 kompletterar ISO/IEC 27001:2013 och ISO/IEC 27002:2013 väl. ISO 27010 ger råd om att förstå ISO 27001:s kriterier vid utbyte av information mellan organisationer. Den tillhandahåller också ytterligare säkerhetsåtgärder och instruktioner för kunskapsdelning utöver de som finns i ISO 27002.

ISO/IEC 27001:2013 och ISO/IEC 27002:2013 behandlar informationsutbyte mellan organisationer, men bara i stort sett. Anta att organisationer vill överföra konfidentiell information till flera andra organisationer. I så fall måste de andra organisationerna försäkra den ursprungliga ägaren att deras användning av information skulle bli föremål för lämpliga säkerhetskontroller av de mottagande grupperna.

Organisationer kan uppnå denna konfidentialitet genom att skapa en informationsdelningsgemenskap där varje deltagare litar på att de andra skyddar den delade informationen, även när organisationer annars kan vara konkurrenter.

ISO 27010 introducerar en ny kontroll i sin klausul sju som tar itu med en rad frågor som ISO 27002 inte tar upp explicit, nästan i motsats till standardvillkor för icke-avvisande. Denna kontroll inkluderar att skydda källans anonymitet vid informationsutbyte. Även om ISO 27002 är lämplig för standardscenarier för "leverantörer", ger 27010 några nya resurser för att hantera mer komplicerade situationer.

Vem kan implementera ISO 27010?

Denna internationella standard är relevant för alla företag och organisationer som utbyter konfidentiell information, offentligt och privat, i alla branscher. I synnerhet kan detta gälla informationsutbyte och informationsutbyte relaterat till att tillhandahålla, upprätthålla och skydda en enhets eller nationalstats väsentliga infrastruktur. Detta beror på standarderna för att bygga förtroende samtidigt som privat information utbyts och delas.

Det kommer att vara nödvändigt för alla företag som tillhandahåller eller använder verktyg för informationsdelning som skyddas av en ledningssystem för informationssäkerhet (ISMS). Det kan också vara fördelaktigt för stora organisationer med geografiskt spridda funktioner som utbyter information mellan avdelningar eller platser.

Komma igång med informationsdelning

Utan förtroende kan en informationsdelningsgemenskap inte fungera. De som tillhandahåller information måste lita på att mottagarna inte avslöjar eller misshandlar uppgifterna. De som tar emot uppgifter måste lita på att uppgifternas riktighet, med förbehåll för eventuella krav som meddelas av upphovsmannen. Båda aspekterna är kritiska. ISO 27010 kräver informationsdelningsgemenskaper för att visa framgångsrika säkerhetspolicyer och god praxis måste stödjas. För att göra detta måste alla gruppmedlemmar anta ett samarbete ledningssystem som täcker den delade informationens säkerhet. Detta system bör helst vara ett ISMS.

Informationsdelning kan ske mellan grupper där deltagaren inte känner till alla mottagare. Att dela information på detta sätt fungerar bara om samhällena har tillräckligt med förtroende och avtal om informationsdelning. Det är särskilt relevant för att dela känslig information mellan olika samhällen, såsom olika branscher eller marknadssektorer.

Ett scenario där information delas är i händelse av ett dataintrång. Dela potential informationssårbarheter och säkerhetsproblem exemplifiera det stora utbudet av problem och fördelar som omger informationsdelning. Dessa informationsutbyten sker vanligtvis under extrem tidspress i en kaotisk atmosfär - inte den mest gynnsamma miljön för att utveckla förtroendefulla arbetsrelationer och komma överens om adekvata säkerhetskontroller. Risken att dela information om säkerhetsincidenter mellan olika enheter kommer att bero på detaljerna i den aktuella situationen. Men när den görs på ett säkert sätt, kan delning av denna information förhindra att andra organisationer stöter på samma problem.