ISO/IEC 27010:2015 מציג אסטרטגיות על שיטות, מודלים, תהליכים, מדיניות, בקרות, פרוטוקולים ומסגרות אחרות לשיתוף מידע עם צדדים נגדיים מהימנים תוך שמירה על מושגים בסיסיים של אבטחת מידע.
הנציבות האלקטרוטכנית הבינלאומית (IEC) וארגון התקינה הבינלאומי (ISO) הנפיקו ביחד את ISO 27010. בנוסף להוראה הניתנת ב- משפחת ISO 27000, התקן מנחה את השילוב של ניהול אבטחת מידע על פני קבוצות שיתוף מידע.
תקן ISO 27010 נועד להבטיח ידע משותף על תשתיות רגישות. זה מציע כללים סטנדרטיים למניעת בעיות אבטחה בעת העברת מידע סודי בנוסף ל:
תקן ISO 27010 מציע הנחיות בנושא עבודה הדדית של אבטחת מידע ושיתוף פעולה בין ארגונים באותם מגזרים, במגזרים נפרדים בתעשייה ועם ממשלות.
התקן גם קובע הנחיות לשיתוף מידע בעתות משבר והגנה על תשתיות חיוניות וכן להבנה הדדית בנסיבות עסקיות רגילות כדי לעמוד בהתחייבויות משפטיות, רגולטוריות וחוזיות.
תקן ISO 2012, שפורסם לראשונה ב-27010, זכה לשינויי עריכה קלים ב-2015. עדכון זה נעשה כדי להתאים טוב יותר לגרסאות 2013 של ISO / IEC 27001 ו ISO 27002. בדצמבר 2015 יצאה המהדורה השנייה של ISO 27010.
שיתוף מידע, כמו איום מודיעיני, מגיע עם חסרונות ייחודיים משלו ומציב מספר בעיות. לדוגמה, ארגונים עשויים בסופו של דבר לקבל גולמי, לא מוערך מידע שמוסיף עומס נוסף על אבטחת הארגונים צוות על ידי העלאת מספר התקריות והאזהרות במקום לצמצם אותם. כמו כן, ספקי אבטחה מסוימים בזים לשיתוף נתונים כדי להימנע מפגיעה ביתרון התחרותי שלהם.
סדרת התקנים של ISO/IEC 27000 דנה בכמה מהבעיות הללו. כל הארגונים מוזמנים להעריך את הסיכונים שלהם, ואז לטפל בהם בהתאם לצרכיהם, תוך שימוש בייעוץ ו תמיכה במידת הצורך ושימוש בבקרות אבטחת מידע. ISO/IEC 27010 מספק בקרות והנחיות לגבי אימוץ, יישום, שמירה על אבטחת מידע בתקשורת בין ארגונית ובין מגזרית. הוא גם מציע הנחיות ועקרונות כלליים כיצד לעמוד בדרישות מוגדרות באמצעות העברת הודעות קיימות ושיטות טכניות אחרות.
התקן מתייחס לכל צורות ההחלפה והשיתוף של מידע רגיש, ציבורי ופרטי, לאומי וגלובלי, לא רק בתוך או בין התעשייה או המגזרים העסקיים. בפרט, זה יכול להתייחס לחילופי מידע ושיתוף הקשורים לאספקה, שמירה והגנה על תשתיות חיוניות של ישות או מדינת לאום. נבנה כדי לקדם בניית אמון תוך החלפה ושיתוף של מידע סודי, ISO 27010 מקל על הצמיחה הבינלאומית של תרבויות שיתוף מידע.
הרגשנו כאילו יש לנו
הטוב משני העולמות. היינו
מסוגל להשתמש שלנו
תהליכים קיימים,
והאמץ, הסתגל
התוכן נתן לנו חדש
עומק ל-ISMS שלנו.
התחלנו להשתמש בגיליונות אלקטרוניים וזה היה סיוט. עם פתרון ISMS.online, כל העבודה הקשה הייתה קלה.
סדרת התקן ISO/IEC 27000 מציעה הנחיות שיטות עבודה מומלצות לניהול אבטחת מידע. ISO/IEC 27010:2015 הוא השלמה ספציפית למגזר ל-ISO/IEC 27001:2013 ו-ISO/IEC 27002:2013 עבור קהילות שיתוף מידע. בנוסף והשלמה להנחיות הגנריות הניתנות בתוך חברים אחרים במשפחת התקנים ISO/IEC 27000, ההנחיות המצויות בתקן בינלאומי זה. אם רלוונטי, גופי הסמכה של ISO 27006 יכולים להתייחס ל-ISO 27010 בעת הנפקת ההסמכה.
היבט אחד שבו ISO 27010 מגדיר גישות כלליות למרכיבי אבטחת מידע בתהליך של ניסוח ואכיפת מדיניות ונהלים. ביחד עם הכשרה ומודעות יוזמות עבור אלה המשתתפים בתהליך, וסביר להניח שהערכות או ביקורות עצמאיות לאישוש עמידה בתקן ISO/IEC 27010 ותקני ISO27k רלוונטיים אחרים.
ISO/IEC 27010:2015 משלים היטב את ISO/IEC 27001:2013 ו-ISO/IEC 27002:2013. ISO 27010 מציע עצות להבנת הקריטריונים של ISO 27001 בעת החלפת מידע בין ארגונים. הוא גם מספק אמצעי אבטחה נוספים והוראות שיתוף ידע מעבר לאלו המצויות ב-ISO 27002.
ISO/IEC 27001:2013 ו-ISO/IEC 27002:2013 מתייחסים לחילופי מידע בין ארגונים, אך רק באופן רחב. נניח שארגונים רוצים להעביר מידע סודי למספר ארגונים אחרים. במקרה כזה, הארגונים האחרים חייבים להבטיח לבעלים המקורי שהשימוש שלהם ב המידע יהיה כפוף לבקרות אבטחה מתאימות על ידי הקבוצות הקולטות.
ארגונים יכולים להשיג סודיות זו על ידי יצירת קהילת שיתוף מידע שבה כל משתתף סומך על האחרים שישמרו על המידע המשותף, גם כאשר ארגונים עשויים להיות מתחרים.
ISO 27010 מציג בקרה חדשה בסעיף 27002 שלו, שמתמודד עם מגוון בעיות ש-ISO 27002 אינו מתייחס אליהן במפורש, כמעט בניגוד לתנאים הסטנדרטיים של אי-דחה. בקרה זו כוללת הגנה על אנונימיות המקור בהחלפת מידע. למרות ש-ISO 27010 מתאים לתרחישי "ספק" סטנדרטיים, XNUMX מספק כמה משאבים חדשים לטיפול במצבים מורכבים יותר.
תקן בינלאומי זה הוא רלוונטי לכל העסקים והארגונים המחליפים מידע סודי, באופן ציבורי ופרטי, בכל הענפים. בפרט, זה יכול לחול על חילופי מידע ושיתוף הקשורים לאספקה, שמירה והגנה על התשתית החיונית של ישות או מדינת לאום. זאת בשל קידום הסטנדרטים של בניית אמון תוך החלפה ושיתוף מידע פרטי.
זה יהיה הכרחי עבור כל חברה המספקת או משתמשת בכלי שיתוף מידע המוגנים על ידי א מערכת ניהול אבטחת מידע (ISMS). זה עשוי להיות מועיל גם עבור ארגונים גדולים עם פונקציות מפוזרות גיאוגרפית המחליפים מידע בין מחלקות או מיקומים.
ללא אמון, קהילת שיתוף מידע לא יכולה לתפקד. על המספקים מידע לסמוך על הנמענים שלא יחשפו או יטפלו בנתונים. אלה המקבלים נתונים חייבים לסמוך על דיוק הנתונים, בכפוף לכל דרישה שתודיע על ידי המקור. שני ההיבטים הם קריטיים. תקן ISO 27010 דורש מקהילות שיתוף מידע להפגין מדיניות אבטחה מוצלחת ויש לתמוך בפרקטיקה טובה. לשם כך, כל חברי הקבוצה חייבים לאמץ שיתוף פעולה מערכת ניהול המכסה את אבטחת המידע המשותף. רצוי שמערכת זו תהיה ISMS.
שיתוף מידע עשוי להתבצע בין קבוצות שבהן המשתף אינו מודע לכל הנמענים. שיתוף מידע בדרך זה יעבוד רק אם לקהילות יהיו מספיק הסכמי אמון ושיתוף מידע. זה רלוונטי במיוחד לשיתוף מידע רגיש בין קהילות מגוונות, כגון תעשיות או מגזרי שוק שונים.
תרחיש אחד שבו מידע משותף הוא במקרה של פרצת נתונים. שיתוף פוטנציאל פרצות מידע ודאגות אבטחה להמחיש את המגוון הרחב של בעיות ויתרונות המקיפים שיתוף מידע. חילופי מידע אלה מתרחשים בדרך כלל תחת לחץ זמן קיצוני באווירה כאוטית - לא הסביבה המועדפת ביותר לפיתוח יחסי עבודה אמינים ולהסכמה על בקרות אבטחה נאותות. הסיכון בשיתוף מידע על אירועי אבטחה בין ישויות שונות יהיה תלוי בפרטי המצב הספציפי שעל הפרק. עם זאת, כאשר נעשה בצורה מאובטחת, שיתוף מידע זה יכול למנוע מארגונים אחרים להיתקל באותן בעיות.
ISO 27010 מורכב מ-18 סעיפים ו-4 נספחים.
סעיף 1: היקף
סעיף 2: הפניות נורמטיביות
סעיף 3: מונחים והגדרות
סעיף 4: מושגים והצדקה
סעיף 5: מדיניות אבטחת מידע
סעיף 6: ארגון אבטחת מידע
סעיף 7: אבטחת משאבי אנוש
סעיף 8: ניהול נכסים
סעיף 9: בקרת גישה
סעיף 10: קריפטוגרפיה
סעיף 11: ביטחון פיזי וסביבתי
סעיף 12: אבטחת תפעול
סעיף 13: אבטחת תקשורת
סעיף 14: רכישת מערכות, פיתוח ותחזוקה
סעיף 15: יחסי ספקים
סעיף 16: ניהול אירועי אבטחת מידע
סעיף 17: היבטי אבטחת מידע של ניהול המשכיות עסקית
סעיף 18: ציות
נספח א': שיתוף מידע רגיש
נספח ב': ביסוס אמון בחילופי מידע
נספח ג': פרוטוקול הרמזורים
נספח ד': מודלים לארגון קהילת שיתוף מידע
