ISO/IEC 27010:2015 presenta estrategias sobre métodos, modelos, procesos, políticas, controles, protocolos y otros marcos para compartir información con contrapartes confiables, manteniendo al mismo tiempo conceptos básicos de seguridad de la información.
La Comisión Electrotécnica Internacional (IEC) y la Organización Internacional de Normalización (ISO) emitieron colectivamente la norma ISO 27010. Además de las instrucciones proporcionadas en el Familia ISO 27000, el estándar guía la incorporación de la gestión de seguridad de la información en todos los grupos de intercambio de información.
ISO 27010 tiene como objetivo garantizar el conocimiento compartido de infraestructuras sensibles. propone Reglas estándar para evitar problemas de seguridad al transferir información confidencial. tanto como:
ISO 27010 ofrece directrices sobre el interfuncionamiento y la cooperación en materia de seguridad de la información entre organizaciones de los mismos sectores, en sectores separados de la industria y con gobiernos.
El estándar también establece pautas para compartir información en tiempos de crisis y proteger infraestructura vital, así como para el entendimiento mutuo en circunstancias comerciales normales para satisfacer obligaciones legales, regulatorias y contractuales.
Lanzada por primera vez en 2012, ISO 27010 recibió cambios editoriales menores en 2015. Esta revisión se realizó para cumplir mejor con las versiones de 2013 de ISO / IEC 27001 y ISO 27002. En diciembre de 2015 se lanzó la segunda edición de la norma ISO 27010.
Intercambio de información, como inteligencia de amenazas, tiene sus propios inconvenientes y plantea varios problemas. Por ejemplo, las organizaciones pueden terminar teniendo datos brutos y no evaluados. Información que añade una carga adicional a la seguridad de las organizaciones. equipo aumentando el número de incidentes y advertencias en lugar de minimizarlos. Además, algunos proveedores de seguridad detestan compartir datos para evitar dañar su ventaja competitiva.
La serie de normas ISO/IEC 27000 analiza algunos de estos problemas. Se anima a todas las organizaciones a evaluar sus riesgos y luego manejarlos según sus necesidades, utilizando asesoramiento y soporte cuando sea apropiado y utilizando controles de seguridad de la información. ISO/IEC 27010 proporciona controles e instrucciones sobre la adopción, implementación y mantenimiento de la seguridad de la información en las comunicaciones interorganizacionales e intersectoriales. También ofrece orientación y principios generales sobre cómo cumplir con los requisitos definidos utilizando mensajes existentes y otros métodos técnicos.
El estándar se refiere a todas las formas de intercambio y distribución de información confidencial, pública y privada, a nivel nacional y global, no solo dentro o entre la industria o los sectores comerciales. En particular, puede referirse a intercambios e intercambios de información relacionados con el suministro, el mantenimiento y la protección de infraestructuras esenciales de una entidad o estado nación. Creada para promover la creación de confianza al intercambiar y compartir información confidencial, ISO 27010 facilita el crecimiento internacional de las culturas de intercambio de información.
Sentimos que teníamos
lo mejor de ambos mundos. Éramos
capaz de utilizar nuestro
procesos existentes,
y el Adoptar, Adaptar
El contenido nos dio nuevos
profundidad a nuestro SGSI.
Empezamos usando hojas de cálculo y fue una pesadilla. Con la solución ISMS.online, todo el trabajo duro fue fácil.
La serie de normas ISO/IEC 27000 ofrece directrices de mejores prácticas en la gestión de la seguridad de la información. ISO/IEC 27010:2015 es un complemento sectorial específico de ISO/IEC 27001:2013 e ISO/IEC 27002:2013 para comunidades de intercambio de información. Además y complementando la guía genérica proporcionada dentro de otros miembros de la familia de normas ISO/IEC 27000, las directrices que se encuentran en esta norma internacional. Si corresponde, los organismos de certificación ISO 27006 pueden hacer referencia a ISO 27010 al emitir la certificación.
Un aspecto en el que ISO 27010 define enfoques generales para los elementos de seguridad de los datos en el proceso de redacción y aplicación de políticas y procedimientos. Junto con formación y sensibilización iniciativas para quienes participan en el proceso, y probablemente evaluaciones o auditorías independientes para confirmar el cumplimiento de ISO/IEC 27010 y otras normas ISO27k relevantes.
ISO/IEC 27010:2015 complementa bien a ISO/IEC 27001:2013 e ISO/IEC 27002:2013. ISO 27010 ofrece consejos para comprender los criterios de ISO 27001 al intercambiar información entre organizaciones. También proporciona medidas de seguridad adicionales e instrucciones para compartir conocimientos más allá de las que se encuentran en ISO 27002.
ISO/IEC 27001:2013 e ISO/IEC 27002:2013 abordan el intercambio de información entre organizaciones, pero solo de manera amplia. Supongamos que las organizaciones desean transmitir información confidencial a varias otras organizaciones. En ese caso, las otras organizaciones deben asegurar al propietario original que su uso de La información estaría sujeta a controles de seguridad adecuados. por los grupos receptores.
Las organizaciones pueden lograr esta confidencialidad creando una comunidad de intercambio de información en la que cada participante confíe en los demás para salvaguardar la información compartida, incluso cuando las organizaciones puedan ser competidoras.
ISO 27010 introduce un nuevo control en su cláusula siete que aborda una variedad de cuestiones que ISO 27002 no aborda explícitamente, casi en contra de las condiciones estándar de no repudio. Este control incluye proteger el anonimato de la fuente en el intercambio de información. Aunque ISO 27002 es adecuada para escenarios estándar de "proveedores", 27010 proporciona algunos recursos nuevos para manejar situaciones más complicadas.
Descarga tu guía gratuita
para optimizar su Infosec
Esta norma internacional es relevante para todas las empresas y organizaciones que intercambian información confidencial, pública y privada, en todas las industrias. En particular, esto puede aplicarse a los intercambios de información relacionados con el suministro, el mantenimiento y la protección de la infraestructura esencial de una entidad o estado-nación. Esto se debe a que los estándares promueven la generación de confianza al intercambiar y compartir información privada.
Será necesario que cualquier empresa que proporcione o utilice herramientas para compartir información protegidas por una sistema de gestión de la seguridad de la información (SGSI). También puede resultar beneficioso para organizaciones grandes con funciones geográficamente dispersas que intercambian información entre departamentos o ubicaciones.
Sin confianza, una comunidad de intercambio de información no puede funcionar. Quienes proporcionan información deben confiar en que los destinatarios no revelarán ni manipularán mal los datos. Quienes reciben los datos deben confiar en la exactitud de los datos, sujeto a los requisitos notificados por el originador. Ambos aspectos son críticos. ISO 27010 requiere que las comunidades de intercambio de información demuestren políticas de seguridad exitosas y se deben respaldar las buenas prácticas. Para hacer esto, todos los miembros del grupo deben adoptar una actitud colaborativa. sistema de gestión que cubre la seguridad de la información compartida. Este sistema debería ser preferentemente un SGSI.
El intercambio de información puede tener lugar entre grupos donde quien comparte no conoce a todos los destinatarios. Compartir información de esta manera sólo funcionará si las comunidades tienen suficiente confianza y acuerdos para compartir información. Es particularmente relevante para compartir información confidencial entre diversas comunidades, como diferentes industrias o sectores de mercado.
Un escenario en el que se comparte información es en caso de una violación de datos. Compartir potencial vulnerabilidades de la información y preocupaciones de seguridad ejemplifican la amplia variedad de problemas y beneficios que rodean el intercambio de información. Estos intercambios de información suelen producirse bajo extrema presión de tiempo en una atmósfera caótica, que no es el entorno más favorable para desarrollar relaciones de trabajo de confianza y acordar controles de seguridad adecuados. El riesgo de compartir información sobre incidentes de seguridad entre diferentes entidades dependerá de los detalles de la situación particular en cuestión. Sin embargo, cuando se hace de forma segura, compartir esta información puede evitar que otras organizaciones encuentren los mismos problemas.
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
ISO 27010 consta de 18 cláusulas y 4 anexos.
Cláusula 1: Alcance
Cláusula 2: Referencias normativas
Cláusula 3: Términos y definiciones
Cláusula 4: Conceptos y justificación
Cláusula 5: Políticas de seguridad de la información
Cláusula 6: Organización de la seguridad de la información.
Cláusula 7: Seguridad de los recursos humanos
Cláusula 8: Gestión de activos
Cláusula 9: Control de acceso
Cláusula 10: Criptografía
Cláusula 11: Seguridad física y ambiental
Cláusula 12: Seguridad de las operaciones
Cláusula 13: Seguridad de las comunicaciones
Cláusula 14: Adquisición, desarrollo y mantenimiento del sistema
Cláusula 15: Relaciones con proveedores
Cláusula 16: Gestión de incidentes de seguridad de la información
Cláusula 17: Aspectos de seguridad de la información de la gestión de la continuidad del negocio
Cláusula 18: Cumplimiento
Anexo A: Compartir información confidencial
Anexo B: Establecer confianza en los intercambios de información
Anexo C: El Protocolo del Semáforo
Anexo D: Modelos para organizar una comunidad de intercambio de información