ISO 27010: 2015

Mikä on ISO 27010?

ISO/IEC 27010:2015 esittelee strategioita menetelmille, malleille, prosesseille, politiikoille, ohjauksille, protokollille ja muille kehyksille tiedon jakamiseen luotettavien vastapuolten kanssa samalla kun tietoturvan peruskäsitteet vaalitaan.

Kansainvälinen sähkötekninen komissio (IEC) ja Kansainvälinen standardointijärjestö (ISO) antoivat yhdessä ISO 27010 -standardin. ISO 27000 -perhe, standardi ohjaa tietoturvan hallinnan sisällyttämistä tiedonjakoryhmiin.

ISO 27010 pyrkii turvaamaan jaettua tietoa herkistä infrastruktuureista. Se ehdottaa vakiosäännöt turvallisuusongelmien estämiseksi luottamuksellisia tietoja siirrettäessä yhtä hyvin kuin:

• Tietojen vaihto organisaatioiden välillä
• Tiedon jakamisen riskit
• Otetaan käyttöön valvontatoimia tällaisten riskien vähentämiseksi
• Mahdollisia tapahtumia

ISO 27010 antaa ohjeita tietoturvan yhteistoiminnasta ja yhteistyöstä samoilla sektoreilla toimivien organisaatioiden välillä, eri toimialoilla ja valtioiden kanssa.

Standardi sisältää myös ohjeita tiedon jakamiseen kriisiaikoina ja elintärkeän infrastruktuurin suojaamiseen sekä keskinäiseen ymmärrykseen normaaleissa liiketoimintaolosuhteissa laki-, säädös- ja sopimusvelvoitteiden täyttämiseksi.

ISO/IEC 27010:2015 historia

Ensimmäisen kerran vuonna 2012 julkaistu ISO 27010 -standardi sai pieniä toimituksellisia muutoksia vuonna 2015. Tämä tarkistus tehtiin vastaamaan paremmin vuoden 2013 versioita ISO / IEC 27001 ja ISO 27002. Joulukuussa 2015 julkaistiin ISO 27010 -standardin toinen painos.

Miksi ISO 27010 on tärkeä?

Tiedon jakaminen, esim uhkien tiedustelu, sisältää omat ainutlaatuiset haittapuolensa ja aiheuttaa useita ongelmia. Esimerkiksi organisaatioilla voi olla raakaa, arvioimatonta tietoa, joka lisää ylimääräistä taakkaa organisaatioiden turvallisuuteen lisäämällä tapausten ja varoitusten määrää minimoimisen sijaan. Lisäksi jotkut tietoturvatoimittajat halveksivat tietojen jakamista välttääkseen kilpailuetunsa vahingoittumisen.

ISO/IEC 27000 -sarjan standardit käsittelevät joitakin näistä ongelmista. Kaikkia organisaatioita rohkaistaan ​​arvioimaan riskinsä ja käsittelemään niitä tarpeidensa mukaisesti neuvojen ja neuvojen avulla tuki tarvittaessa ja tietoturvaohjaimien avulla. ISO/IEC 27010 tarjoaa ohjausta ja ohjeita tietoturvan käyttöönotosta, toteuttamisesta ja ylläpitämisestä organisaatioiden ja sektoreiden välisessä viestinnässä. Se tarjoaa myös ohjeita ja yleisiä periaatteita siitä, miten määriteltyjä vaatimuksia voidaan täyttää käyttämällä olemassa olevia viestintä- ja muita teknisiä menetelmiä.

Standardi koskee kaikenlaista arkaluonteisen tiedon vaihtoa ja jakamista, julkista ja yksityistä, kansallisesti ja maailmanlaajuisesti, ei vain teollisuuden tai liike-elämän sisällä tai välillä. Se voi viitata erityisesti tiedonvaihtoon ja jakamiseen, jotka liittyvät kokonaisuuden tai kansallisvaltion olennaisten infrastruktuurien tarjoamiseen, ylläpitämiseen ja suojaamiseen. ISO 27010 on suunniteltu edistämään luottamuksen rakentamista samalla kun vaihdetaan ja jaetaan luottamuksellisia tietoja, ja se helpottaa tiedonjakamiskulttuurien kansainvälistä kasvua.

Suhde muihin standardeihin

Standardisarja ISO/IEC 27000 tarjoaa parhaita käytäntöjä koskevia ohjeita tietoturvan hallinnasta. ISO/IEC 27010:2015 on alakohtainen täydennys standardeille ISO/IEC 27001:2013 ja ISO/IEC 27002:2013 tiedonjakoyhteisöille. Muissa ISO/IEC 27000 -standardiperheen jäsenissä annettujen yleisten ohjeiden lisäksi ja täydentäen tässä kansainvälisessä standardissa olevat ohjeet. Tarvittaessa ISO 27006 -sertifiointielimet voivat viitata ISO 27010 -standardiin sertifikaattia myöntäessään.

Yksi näkökohta, jossa ISO 27010 määrittelee yleiset lähestymistavat tietoturvaelementteihin käytäntöjen ja menettelyjen laatimis- ja täytäntöönpanoprosessissa. Kera koulutusta ja tietoisuutta prosessiin osallistuville suunnatut aloitteet ja todennäköiset riippumattomat arvioinnit tai auditoinnit ISO/IEC 27010 -standardin ja muiden asiaankuuluvien ISO27k-standardien noudattamisen varmistamiseksi.

ISO 27010, ISO 27001 ja ISO 27002

ISO/IEC 27010:2015 täydentää hyvin standardeja ISO/IEC 27001:2013 ja ISO/IEC 27002:2013. ISO 27010 tarjoaa neuvoja ISO 27001:n kriteerien ymmärtämiseen organisaatioiden välisessä tiedonvaihdossa. Se tarjoaa myös lisäturvatoimia ja tiedon jakamisohjeita ISO 27002:n ohella.

ISO/IEC 27001:2013 ja ISO/IEC 27002:2013 koskevat tiedonvaihtoa organisaatioiden välillä, mutta vain laajasti. Oletetaan, että organisaatiot haluavat välittää luottamuksellisia tietoja useille muille organisaatioille. Siinä tapauksessa muiden organisaatioiden on vakuutettava alkuperäiselle omistajalle, että he käyttävät tietoihin sovelletaan asianmukaisia ​​turvatarkastuksia vastaanottavien ryhmien toimesta.

Organisaatiot voivat saavuttaa tämän luottamuksellisuuden luomalla tiedonjakoyhteisön, jossa jokainen osallistuja luottaa toisiin turvaamaan jaetut tiedot, vaikka organisaatiot voisivat muuten olla kilpailijoita.

ISO 27010 -standardin seitsemännessä lausekkeessa otetaan käyttöön uusi ohjausobjekti, joka käsittelee monia ongelmia, joita ISO 27002 ei käsittele nimenomaisesti, melkein vastoin tavallisia kiistämättömyysehtoja. Tämä hallinta sisältää lähteen anonymiteetin suojaamisen tiedonvaihdossa. Vaikka ISO 27002 sopii tavallisiin "toimittajan" skenaarioihin, 27010 tarjoaa uusia resursseja monimutkaisempien tilanteiden käsittelemiseen.

Kuka voi ottaa käyttöön ISO 27010:n?

Tämä kansainvälinen standardi on koskee kaikkia yrityksiä ja organisaatioita jotka vaihtavat luottamuksellisia tietoja julkisesti ja yksityisesti kaikilla toimialoilla. Tämä voi koskea erityisesti tiedonvaihtoa ja jakamista, jotka liittyvät kokonaisuuden tai kansallisvaltion olennaisen infrastruktuurin tarjoamiseen, ylläpitämiseen ja suojaamiseen. Tämä johtuu standardeista, jotka edistävät luottamuksen rakentamista yksityistä tietoa vaihdettaessa ja jaettaessa.

Se on tarpeen kaikille yrityksille, jotka tarjoavat tai käyttävät tiedonjakotyökaluja, joita suojataan tietoturvan hallintajärjestelmä (ISMS). Siitä voi olla hyötyä myös suurille organisaatioille, joiden toiminnot ovat maantieteellisesti hajallaan ja jotka vaihtavat tietoja osastojen tai toimipaikkojen välillä.

Tietojen jakamisen aloittaminen

Ilman luottamusta tiedonjakoyhteisö ei voi toimia. Tietojen toimittajien on luotettava vastaanottajiin, etteivät ne paljasta tai käsittele tietoja väärin. Tietojen vastaanottajien on luotettava tietojen oikeellisuuteen tietojen luovuttajan ilmoittamien vaatimusten mukaisesti. Molemmat näkökohdat ovat kriittisiä. ISO 27010 edellyttää, että tiedonjakoyhteisöt osoittavat onnistuneen tietoturvapolitiikan ja hyviä käytäntöjä on tuettava. Tätä varten kaikkien ryhmän jäsenten on omaksuttava yhteistyö hallintajärjestelmä, joka kattaa jaetun tiedon turvallisuuden. Tämän järjestelmän tulisi mieluiten olla ISMS.

Tietojen jakamista voi tapahtua ryhmien välillä, jos jakaja ei ole tietoinen kaikista vastaanottajista. Tietojen jakaminen tällä tavalla toimii vain, jos yhteisöillä on riittävä luottamus ja tiedonjakosopimukset. Se on erityisen tärkeä arkaluonteisten tietojen jakamiseen erilaisten yhteisöjen, kuten eri toimialojen tai markkina-alojen, kesken.

Yksi skenaario, jossa tietoja jaetaan, on tietomurto. Potentiaalin jakaminen tietohaavoittuvuuksia ja turvallisuusongelmia ovat esimerkkinä tiedon jakamiseen liittyvistä monenlaisista ongelmista ja eduista. Tämä tiedonvaihto tapahtuu yleensä äärimmäisen paineen alaisena kaoottisessa ilmapiirissä – se ei ole suotuisin ympäristö luottamuksellisten työsuhteiden kehittämiseen ja riittävien turvatoimien sopialle. Jakamisen riski tietoturvahäiriöistä eri yksiköiden välillä riippuu kulloisenkin tilanteen yksityiskohdista. Turvallisesti tehtynä näiden tietojen jakaminen voi kuitenkin estää muita organisaatioita kohtaamasta samoja ongelmia.