ISO/IEC 27010:2015 presenteert strategieën voor methoden, modellen, processen, beleid, controles, protocollen en andere raamwerken voor het delen van informatie met vertrouwde tegenpartijen, terwijl de basisconcepten van informatiebeveiliging worden gehandhaafd.
De Internationale Elektrotechnische Commissie (IEC) en de Internationale Organisatie voor Standaardisatie (ISO) hebben gezamenlijk ISO 27010 uitgegeven. Naast de instructies in de ISO 27000-familiebegeleidt de standaard de integratie van informatiebeveiligingsbeheer in groepen die informatie delen.
ISO 27010 is gericht op het veiligstellen van gedeelde kennis van gevoelige infrastructuren. Het stelt voor standaardregels om beveiligingsproblemen te voorkomen bij de overdracht van vertrouwelijke informatie net zoals:
ISO 27010 biedt richtlijnen voor informatiebeveiligingsinteractie en samenwerking tussen organisaties in dezelfde sectoren, in afzonderlijke industriële sectoren en met overheden.
De standaard geeft ook richtlijnen voor het delen van informatie in tijden van crisis en het beschermen van vitale infrastructuur, evenals voor wederzijds begrip in normale zakelijke omstandigheden om te voldoen aan wettelijke, regelgevende en contractuele verplichtingen.
ISO 2012 werd voor het eerst uitgebracht in 27010 en onderging in 2015 kleine redactionele wijzigingen. Deze herziening werd doorgevoerd om beter te voldoen aan de 2013-versies van ISO / IEC 27001 en ISO 27002 . In december 2015 werd de tweede editie van ISO 27010 uitgebracht.
Het delen van informatie, bijv bedreigingsintelligentie, heeft zijn eigen unieke nadelen en brengt verschillende problemen met zich mee. Organisaties kunnen bijvoorbeeld eindigen met ruwe, niet-geëvalueerde informatie informatie die een extra last vormt voor de beveiliging van organisaties team door het aantal incidenten en waarschuwingen te verhogen in plaats van ze te minimaliseren. Bovendien verachten sommige beveiligingsleveranciers het delen van gegevens om te voorkomen dat hun concurrentievoordeel wordt geschaad.
De normen uit de ISO/IEC 27000-serie bespreken enkele van deze problemen. Alle organisaties worden aangemoedigd om hun risico's te evalueren en deze vervolgens op basis van hun behoeften aan te pakken, met behulp van advies en ondersteuning waar nodig en met behulp van informatiebeveiligingscontroles. ISO/IEC 27010 biedt controles en instructies voor het adopteren, implementeren en onderhouden van informatiebeveiliging in interorganisatorische en intersectorale communicatie. Het biedt ook richtlijnen en algemene principes over hoe aan gedefinieerde vereisten kan worden voldaan met behulp van bestaande berichtgeving en andere technische methoden.
De standaard heeft betrekking op alle vormen van het uitwisselen en delen van gevoelige informatie, publiek en privaat, nationaal en mondiaal, en niet alleen alleen binnen of tussen de industrie of bedrijfssectoren. Het kan in het bijzonder verwijzen naar de uitwisseling en het delen van informatie met betrekking tot het verschaffen, onderhouden en beschermen van essentiële infrastructuren van een entiteit of natiestaat. ISO 27010 is gebouwd om het opbouwen van vertrouwen te bevorderen en tegelijkertijd vertrouwelijke informatie uit te wisselen en te delen. Het faciliteert de internationale groei van culturen waarin informatie wordt gedeeld.
We hadden het gevoel dat we dat hadden gedaan
het beste van beide werelden. We waren
onze kunnen gebruiken
bestaande processen,
& de Adopteer, pas aan
inhoud gaf ons nieuw
diepgang van ons ISMS.
We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
De standaardreeks ISO/IEC 27000 biedt best-practicerichtlijnen op het gebied van informatiebeveiligingsbeheer. ISO/IEC 27010:2015 is een sectorspecifieke aanvulling op ISO/IEC 27001:2013 en ISO/IEC 27002:2013 voor gemeenschappen die informatie delen. Naast en als aanvulling op de generieke richtlijnen die worden geboden binnen andere leden van de ISO/IEC 27000-normenfamilie, de richtlijnen die in deze internationale norm zijn opgenomen. Indien van toepassing kunnen ISO 27006-certificatie-instellingen bij het verlenen van de certificering verwijzen naar ISO 27010.
Eén aspect waarin ISO 27010 algemene benaderingen definieert van gegevensbeveiligingselementen in het proces van het opstellen en handhaven van beleid en procedures. Samen met opleiding en bewustwording initiatieven voor degenen die aan het proces deelnemen, en waarschijnlijk onafhankelijke evaluaties of audits om de naleving van ISO/IEC 27010 en andere relevante ISO27k-normen te bevestigen.
ISO/IEC 27010:2015 vormt een goede aanvulling op ISO/IEC 27001:2013 en ISO/IEC 27002:2013. ISO 27010 biedt advies over het begrijpen van de criteria van ISO 27001 bij het uitwisselen van informatie tussen organisaties. Het biedt ook aanvullende beveiligingsmaatregelen en instructies voor het delen van kennis naast die in ISO 27002.
ISO/IEC 27001:2013 en ISO/IEC 27002:2013 behandelen informatie-uitwisseling tussen organisaties, maar alleen in grote lijnen. Stel dat organisaties vertrouwelijke informatie aan meerdere andere organisaties willen doorgeven. In dat geval moeten de andere organisaties de oorspronkelijke eigenaar ervan verzekeren dat zij er gebruik van maken informatie zou worden onderworpen aan passende veiligheidscontroles door de ontvangende groepen.
Organisaties kunnen deze vertrouwelijkheid bereiken door een gemeenschap voor het delen van informatie te creëren waarin elke deelnemer de anderen vertrouwt om de gedeelde informatie te beschermen, zelfs als organisaties anders concurrenten zouden kunnen zijn.
ISO 27010 introduceert in artikel zeven een nieuwe controle die een reeks kwesties aanpakt die ISO 27002 niet expliciet behandelt, bijna in strijd met standaard onweerlegbaarheidsvoorwaarden. Deze controle omvat onder meer het beschermen van de bronanonimiteit bij het uitwisselen van informatie. Hoewel ISO 27002 geschikt is voor standaard “leveranciers”-scenario’s, biedt 27010 een aantal nieuwe hulpmiddelen om meer gecompliceerde situaties aan te kunnen.
Download uw gratis gids
om uw Infosec te stroomlijnen
Deze internationale standaard is relevant voor alle bedrijven en organisaties die vertrouwelijke informatie uitwisselen, publiekelijk en privé, in alle sectoren. Dit kan met name van toepassing zijn op de uitwisseling en het delen van informatie met betrekking tot het verschaffen, onderhouden en beschermen van de essentiële infrastructuur van een entiteit of natiestaat. Dit komt door de normen die het opbouwen van vertrouwen bevorderen tijdens het uitwisselen en delen van privé-informatie.
Het zal noodzakelijk zijn voor elk bedrijf dat hulpmiddelen voor het delen van informatie aanbiedt of gebruikt die worden beschermd door een informatiebeveiligingsbeheersysteem (ISMS). Het kan ook nuttig zijn voor grote organisaties met geografisch verspreide functies die informatie uitwisselen tussen afdelingen of locaties.
Zonder vertrouwen kan een gemeenschap voor het delen van informatie niet functioneren. Degenen die informatie verstrekken, moeten erop vertrouwen dat de ontvangers de gegevens niet openbaar maken of verkeerd gebruiken. Degenen die gegevens ontvangen, moeten erop vertrouwen dat de gegevens accuraat zijn, met inachtneming van eventuele vereisten die door de auteur zijn meegedeeld. Beide aspecten zijn van cruciaal belang. ISO 27010 vereist dat gemeenschappen die informatie delen een succesvol beveiligingsbeleid demonstreren en goede praktijken moeten worden ondersteund. Om dit te doen, moeten alle groepsleden een samenwerkingsverband aangaan beheersysteem dat de veiligheid van de gedeelde informatie omvat. Dit systeem zou bij voorkeur een ISMS moeten zijn.
Het delen van informatie kan plaatsvinden tussen groepen waarbij de deler niet op de hoogte is van alle ontvangers. Het delen van informatie op deze manier zal alleen werken als de gemeenschappen voldoende vertrouwen hebben en afspraken over het delen van informatie hebben. Het is met name relevant voor het delen van gevoelige informatie tussen diverse gemeenschappen, zoals verschillende industrieën of marktsectoren.
Een scenario waarin informatie wordt gedeeld is het geval van een datalek. Potentieel delen informatiekwetsbaarheden en veiligheidsproblemen illustreren de grote verscheidenheid aan problemen en voordelen die het delen van informatie met zich meebrengen. Deze informatie-uitwisselingen vinden doorgaans plaats onder extreme tijdsdruk en in een chaotische atmosfeer. Dit is niet de meest gunstige omgeving om vertrouwensvolle werkrelaties op te bouwen en overeenstemming te bereiken over adequate veiligheidscontroles. Het risico van delen informatie over beveiligingsincidenten tussen verschillende entiteiten zal afhangen van de details van de betreffende situatie. Wanneer dit echter veilig wordt gedaan, kan het delen van deze informatie voorkomen dat andere organisaties met dezelfde problemen worden geconfronteerd.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
ISO 27010 bestaat uit 18 clausules en 4 bijlagen.
Artikel 1: Toepassingsgebied
Hoofdstuk 2: Normatieve referenties
Artikel 3: Termen en definities
Artikel 4: Begrippen en rechtvaardiging
Artikel 5: Informatiebeveiligingsbeleid
Artikel 6: Organisatie van informatiebeveiliging
Artikel 7: Beveiliging van menselijke hulpbronnen
Artikel 8: Vermogensbeheer
Artikel 9: Toegangscontrole
Artikel 10: Cryptografie
Artikel 11: Fysieke en ecologische veiligheid
Artikel 12: Bedrijfsveiligheid
Artikel 13: Communicatiebeveiliging
Artikel 14: Systeemaankoop, ontwikkeling en onderhoud
Artikel 15: Relaties met leveranciers
Artikel 16: Beheer van informatiebeveiligingsincidenten
Artikel 17: Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
Artikel 18: Naleving
Bijlage A: Het delen van gevoelige informatie
Bijlage B: Vertrouwen scheppen in informatie-uitwisseling
Bijlage C: Het Stoplichtprotocol
Bijlage D: Modellen voor het organiseren van een gemeenschap voor het delen van informatie