ISO 27010: 2015

Hva er ISO 27010?

ISO/IEC 27010:2015 presenterer strategier for metoder, modeller, prosesser, policyer, kontroller, protokoller og andre rammeverk for informasjonsdeling med pålitelige motparter samtidig som grunnleggende konsepter for informasjonssikkerhet opprettholdes.

Den internasjonale elektrotekniske kommisjonen (IEC) og den internasjonale standardiseringsorganisasjonen (ISO) utstedte sammen ISO 27010. I tillegg til instruksjonene i ISO 27000 familie, veileder standarden inkorporeringen av informasjonssikkerhetsstyring på tvers av informasjonsdelingsgrupper.

ISO 27010 tar sikte på å sikre delt kunnskap om sensitiv infrastruktur. Det foreslår standardregler for å forhindre sikkerhetsproblemer ved overføring av konfidensiell informasjon i tillegg til:

• Utveksling av informasjon mellom organisasjoner
• Risikoen ved å dele kunnskap
• Innføre kontroller for å redusere slike risikoer
• Potensielle hendelser som kan oppstå

ISO 27010 gir retningslinjer for informasjonssikkerhetssamarbeid og samarbeid mellom organisasjoner i samme sektorer, i separate industrisektorer og med myndigheter.

Standarden gir også veiledning for deling av informasjon i krisetider og beskyttelse av vital infrastruktur, samt for gjensidig forståelse under normale forretningsforhold for å tilfredsstille juridiske, regulatoriske og kontraktsmessige forpliktelser.

Historien til ISO/IEC 27010:2015

ISO 2012 ble først utgitt i 27010, og mottok mindre redaksjonelle endringer i 2015. Denne revisjonen ble gjort for å samsvare bedre med 2013-versjonene av ISO / IEC 27001 og ISO 27002. I desember 2015 ble den andre utgaven av ISO 27010 utgitt.

Hvorfor er ISO 27010 viktig?

Informasjonsdeling, som trussel etterretning, kommer med sine egne unike ulemper og byr på flere problemer. For eksempel kan organisasjoner ende opp med å ha rå, uevaluert informasjon som legger en ekstra belastning på organisasjoners sikkerhet team ved å øke antallet hendelser og advarsler i stedet for å minimere dem. Noen sikkerhetsleverandører forakter også deling av data for å unngå å skade deres konkurransefortrinn.

ISO/IEC 27000-serien av standarder diskuterer noen av disse problemene. Alle organisasjoner oppfordres til å vurdere risikoene sine, og deretter håndtere dem i henhold til deres behov, ved å bruke råd og støtte der det er hensiktsmessig og ved hjelp av informasjonssikkerhetskontroller. ISO/IEC 27010 gir kontroller og instruksjoner for å ta i bruk, implementere, vedlikeholde informasjonssikkerhet i kommunikasjon mellom organisasjoner og sektorer. Den tilbyr også veiledning og generelle prinsipper for hvordan man oppfyller definerte krav ved bruk av eksisterende meldingstjenester og andre tekniske metoder.

Standarden refererer til alle former for utveksling og deling av sensitiv informasjon, offentlig og privat, nasjonalt og globalt, ikke bare innenfor eller mellom industrien eller næringslivet. Spesielt kan det referere til informasjonsutveksling og deling knyttet til å tilby, opprettholde og beskytte viktige infrastrukturer til en enhet eller nasjonalstat. Bygget for å fremme tillitsbygging mens konfidensiell informasjon utveksles og deles, letter ISO 27010 den internasjonale veksten av informasjonsdelingskulturer.

Forholdet til andre standarder

Standardserien ISO/IEC 27000 tilbyr retningslinjer for beste praksis for informasjonssikkerhetsstyring. ISO/IEC 27010:2015 er et sektorspesifikt komplement til ISO/IEC 27001:2013 og ISO/IEC 27002:2013 for informasjonsdelingssamfunn. I tillegg til og utfyller den generelle veiledningen som er gitt i andre medlemmer av ISO/IEC 27000-familien av standarder, retningslinjene som finnes i denne internasjonale standarden. Hvis det er aktuelt, kan ISO 27006-sertifiseringsorganer henvise til ISO 27010 når de utsteder sertifiseringen.

Et aspekt der ISO 27010 definerer generelle tilnærminger til datasikkerhetselementer i prosessen med å utarbeide og håndheve retningslinjer og prosedyrer. Sammen med opplæring og bevisstgjøring initiativer for de som deltar i prosessen, og sannsynligvis uavhengige evalueringer eller revisjoner for å bekrefte samsvar med ISO/IEC 27010 og andre relevante ISO27k-standarder.

ISO 27010, ISO 27001 og ISO 27002

ISO/IEC 27010:2015 utfyller ISO/IEC 27001:2013 og ISO/IEC 27002:2013 godt. ISO 27010 gir råd om å forstå ISO 27001s kriterier ved utveksling av informasjon mellom organisasjoner. Den gir også ytterligere sikkerhetstiltak og instruksjoner for kunnskapsdeling utover de som finnes i ISO 27002.

ISO/IEC 27001:2013 og ISO/IEC 27002:2013 tar for seg informasjonsutveksling mellom organisasjoner, men bare bredt. Anta at organisasjoner ønsker å overføre konfidensiell informasjon til flere andre organisasjoner. I så fall må de andre organisasjonene forsikre den opprinnelige eieren om at deres bruk av informasjon vil være underlagt passende sikkerhetskontroller av mottaksgruppene.

Organisasjoner kan oppnå denne konfidensialiteten ved å opprette et informasjonsdelingsfellesskap der hver deltaker stoler på de andre for å beskytte den delte informasjonen, selv når organisasjoner ellers kan være konkurrenter.

ISO 27010 introduserer en ny kontroll i klausul sju som takler en rekke problemer som ISO 27002 ikke tar opp eksplisitt, nesten i strid med standard ikke-avvisningsbetingelser. Denne kontrollen inkluderer beskyttelse av kildeanonymitet ved utveksling av informasjon. Selv om ISO 27002 er egnet for standard "leverandør"-scenarier, gir 27010 noen nye ressurser for å håndtere mer kompliserte situasjoner.

Hvem kan implementere ISO 27010?

Denne internasjonale standarden er relevant for alle virksomheter og organisasjoner som utveksler konfidensiell informasjon, offentlig og privat, i alle bransjer. Spesielt kan dette gjelde informasjonsutveksling og deling knyttet til å tilby, opprettholde og beskytte den essensielle infrastrukturen til en enhet eller nasjonalstat. Dette er på grunn av standarder for å bygge tillit mens du utveksler og deler privat informasjon.

Det vil være nødvendig for ethvert selskap som leverer eller bruker informasjonsdelingsverktøy beskyttet av en styringssystem for informasjonssikkerhet (ISMS). Det kan også være gunstig for store organisasjoner med geografisk spredte funksjoner som utveksler informasjon på tvers av avdelinger eller lokasjoner.

Komme i gang med informasjonsdeling

Uten tillit kan ikke et fellesskap for informasjonsdeling fungere. De som gir informasjon må stole på at mottakerne ikke avslører eller mishandler dataene. De som mottar data må stole på at dataenes nøyaktighet, underlagt eventuelle krav som opphavsmannen har gitt beskjed om. Begge aspektene er kritiske. ISO 27010 krever informasjonsdelingssamfunn for å demonstrere vellykkede sikkerhetspolicyer, og god praksis må støttes. For å gjøre dette må alle gruppemedlemmer vedta et samarbeid styringssystem som dekker den delte informasjonens sikkerhet. Dette systemet bør fortrinnsvis være et ISMS.

Informasjonsdeling kan finne sted mellom grupper der deleren ikke er klar over alle mottakerne. Å dele informasjon på denne måten vil bare fungere dersom samfunnene har tilstrekkelig tillit og avtaler om informasjonsdeling. Det er spesielt relevant for deling av sensitiv informasjon mellom ulike samfunn, for eksempel ulike bransjer eller markedssektorer.

Et scenario der informasjon deles er i tilfelle et datainnbrudd. Delingspotensial informasjonssårbarheter og sikkerhetsproblemer eksemplifisere det store utvalget av problemer og fordeler som omgir deling av informasjon. Disse informasjonsutvekslingene skjer vanligvis under ekstremt tidspress i en kaotisk atmosfære - ikke det mest gunstige miljøet for å utvikle tillitsfulle arbeidsforhold og bli enige om tilstrekkelige sikkerhetskontroller. Risikoen ved å dele informasjon om sikkerhetshendelser mellom ulike enheter vil avhenge av detaljene i den aktuelle situasjonen. Men når det gjøres sikkert, kan deling av denne informasjonen forhindre at andre organisasjoner møter de samme problemene.