ISO/IEC 27010:2012
(Main)Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications
Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications
ISO/IEC 27010:2012 provides guidelines in addition to guidance given in the ISO/IEC 27000 family of standards for implementing information security management within information sharing communities. ISO/IEC 27010:2012 provides controls and guidance specifically relating to initiating, implementing, maintaining, and improving information security in inter-organizational and inter-sector communications. ISO/IEC 27010:2012 is applicable to all forms of exchange and sharing of sensitive information, both public and private, nationally and internationally, within the same industry or market sector or between sectors. In particular, it may be applicable to information exchanges and sharing relating to the provision, maintenance and protection of an organization's or nation state's critical infrastructure.
Technologies de l'information — Techniques de sécurité — Gestion de la sécurité de l'information des communications intersectorielles et interorganisationnelles
General Information
Relations
Buy Standard
Standards Content (Sample)
МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ 27010
Первое издание
2012-04-01
Информационные технологии. Методы
обеспечения защиты. Руководящие
указания по обеспечению защиты
информационного обмена между
подразделениями и организациями
Information technology – Security techniques – Information security
management for inter-sectoral and inter-organizational communications
Ответственность за подготовку русской версии несѐт GOST R
(Российская Федерация) в соответствии со статьѐй 18.1 Устава ISO
Ссылочный номер
ISO/IEC 27010:2012(R)
©
ISO/IEC 2012
---------------------- Page: 1 ----------------------
ISO/IEC 27010:2012(R)
ДОКУМЕНТ ЗАЩИЩЁН АВТОРСКИМ ПРАВОМ
© ISO/IEC 2012
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в какой-
либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного получения письменного согласия ISO по указанному ниже адресу или организации-члена ISO в стране
запрашивающей стороны.
Бюро ISO по авторским правам:
Case postale 56 CH-1211 Geneva 20
Тел.: + 41 22 749 01 11
Факс: + 41 22 749 09 47
Эл. почта: copyright@iso.org
Веб-сайт: www.iso.org
Опубликовано в Швейцарии
ii © ISO/IEC 2012 – Все права сохраняются
---------------------- Page: 2 ----------------------
ISO/IEC 27010:2012(R)
Содержание Страница
Предисловие .vi
Введение . vii
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Концепции и обоснование .2
4.1 Общие замечания .2
4.2 Сообщества пользователей общей информации .2
4.3 Координация работы сообществ .2
4.4 Узлы поддержки .2
4.5 Межсекторный обмен информацией .3
4.6 Обеспечение соответствия требованиям .3
4.7 Модель передачи данных .5
5 Стратегия защиты .5
5.1 Политика в области защиты информации .5
5.1.1 Программный документ в области защиты информации .5
5.1.2 Анализ политики в области защиты информации .6
6 Организация защиты информации .6
6.1 Внутренняя организация защиты .6
6.2 Сторонние организации .6
6.2.1 Выявление рисков, сопряжѐнных с привлечением сторонних организаций .6
6.2.2 Обеспечение информационной безопасности при взаимодействии с клиентами .6
6.2.3 Вопросы информационной безопасности в соглашениях с третьими сторонами .6
7 Управление активами .6
7.1 Распределение ответственности за активы .6
7.1.1 Опись активов .6
7.1.2 Принадлежность активов .6
7.1.3 Допустимое использование активов .7
7.2 Классификация информации .7
7.2.1 Принципы классификации .7
7.2.2 Маркировка информационной продукции и правила обращения с информацией .7
7.3 Защита сеансов информационного обмена .7
7.3.1 Распространение информации .8
7.3.2 Отказ от ответственности за последствия использования информации .8
7.3.3 Достоверность информации.9
7.3.4 Понижение уровня конфиденциальности информации .9
7.3.5 Защита анонимного источника .9
7.3.6 Защита анонимного получателя информации . 10
7.3.7 Право на дальнейшее распространение . 10
8 Защита трудовых ресурсов . 10
8.1 Защита, предшествующая найму . 10
8.1.1 Должностные обязанности и сферы ответственности . 10
8.1.2 Отбор персонала . 10
8.1.3 Условия работы по найму . 11
8.2 Защита в рабочих условиях . 11
8.3 Меры защиты в случае увольнения или перемене места работы . 11
9 Физическая и экологическая безопасность . 11
© ISO/IEC 2012 – Все права сохраняются iii
---------------------- Page: 3 ----------------------
ISO/IEC 27010:2012(R)
10 Управление передачей информации и операциями информационного обмена . 11
10.1 Процедуры эксплуатации и распределение ответственности. 11
10.2 Привлечение сторонних услуг. 11
10.3 Планирование внедрения и приѐмка системы . 11
10.4 Защита от мобильных и вредоносных кодов . 11
10.4.1 Средства противодействия вредоносным кодам . 11
10.4.2 Средства противодействия мобильному коду . 12
10.5 Резервное копирование информации . 12
10.6 Обеспечение сетевой безопасности . 12
10.7 Правила обращения с носителями информации . 12
10.8 Информационный обмен . 12
10.8.1 Стратегии и процедуры информационного обмена . 12
10.8.2 Соглашение по информационному обмену . 12
10.8.3 Защита физических носителей при транспортировке . 12
10.8.4 Электронный обмен сообщениями . 12
10.8.5 Информационные системы для бизнеса . 13
10.9 Службы электронной торговли . 13
10.10 Текущий контроль . 13
10.10.1 Ведение контрольного журнала . 13
10.10.2 Использование системы текущего контроля . 13
10.10.3 Защита информации журналов . 13
10.10.4 Журналы оператора и администратора . 13
10.10.5 Регистрация неисправностей . 13
10.10.6 Синхронизация часов . 13
11 Управление доступом . 13
12 Приобретение, разработка и обслуживание информационных систем . 13
12.1 Требования к защите информационных систем . 13
12.2 Правильная организация обработки данных . 14
12.3 Криптографические средства управления . 14
12.3.1 Стратегия использования криптографических средств . 14
12.3.2 Управление ключами шифрования . 14
12.4 Защита системных файлов . 14
12.5 Информационная безопасность процессов разработки и поддержки . 14
12.6 Защита уязвимых мест технических средств . 14
13 Управленческие аспекты инцидентов информационной безопасности . 14
13.1 Регистрация событий и слабых мест информационной безопасности. 14
13.1.1 Регистрация событий в системе информационной безопасности. 14
13.1.2 Регистрация слабых мест защиты . 15
13.1.3 Система раннего оповещения . 15
13.2 Инциденты в системе обеспечения информационной безопасности и усиление
защиты информации. 15
13.2.1 Сферы ответственности и рабочие процедуры . 15
13.2.2 Извлечение уроков из инцидентов информационной безопасности . 15
13.2.3 Сбор доказательств . 16
14 Обеспечение непрерывности хозяйственной деятельности . 16
14.1 Аспекты информационной безопасности в обеспечении непрерывности деловых
операций . 16
14.1.1 Включение защиты информации в процесс обеспечения непрерывности бизнеса . 16
14.1.2 Непрерывность бизнеса и оценка рисков . 16
14.1.3 Разработка и реализация планов обеспечения непрерывности, включающих защиту
информации . 16
14.1.4 Структура системы планирования непрерывной хозяйственной деятельности . 16
14.1.5 Испытание, поддержка и повторная оценка планов обеспечения непрерывности
хозяйственной деятельности . 16
15 Соответствие . 17
15.1 Соответствие юридическим требованиям. 17
15.1.1 Идентификация применимого законодательства . 17
iv © ISO/IEC 2012 – Все права сохраняются
---------------------- Page: 4 ----------------------
ISO/IEC 27010:2012(R)
15.1.2 Права интеллектуальной собственности (ПИС) . 17
15.1.3 Защита регистрационных данных организации . 17
15.1.4 Защита данных и секретность личной информации . 17
15.1.5 Предотвращение нецелевого использования средств обработки информации . 17
15.1.6 Регулирование криптографических средств управления . 17
15.1.7 Ответственность членов сообщества пользователей общей информации . 17
15.2 Соответствие стратегии, стандартам безопасности и техническим условиям . 18
15.3 Соображения, касающиеся аудита информационных систем . 18
15.3.1 Средства управления аудитом информационных систем . 18
15.3.2 Защита инструментальных средств аудита информационных систем . 18
15.3.3 Аудит деятельности сообщества . 18
Приложение А (информативное) Совместное использование конфиденциальной
информации . 19
Приложение B (информативное ) Установление доверительных отношений в процессах
информационного обмена . 26
Приложение С (информативное) Светофорный протокол распространения информации . 31
Приложение D (информативное) Модели организации сообщества пользователей общей
информации . 32
Библиография . 38
© ISO/IEC 2012 – Все права сохраняются v
---------------------- Page: 5 ----------------------
ISO/IEC 27010:2012(R)
Предисловие
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия
(IEC) образуют специализированную организацию по международной стандартизации. Национальные
органы стандартизации, являющиеся членами ISO или IEC, участвуют в разработке Международных
стандартов через технические комитеты, учреждѐнные соответствующей организацией для
компетентного рассмотрения проблем в конкретных предметных областях. Технические комитеты ISO
и IEC сотрудничают в сфере общих интересов. Международные правительственные и
неправительственные организации, имеющие связь с ISO и IEC, также принимают участие в этой
работе. Применительно к сфере информационных технологий ISO и IEC учредили объединѐнный
технический комитет ISO/IEC JTC 1.
Проекты международных стандартов разрабатываются согласно правилам, приведѐнным в Директивах
ISO/IEC, Часть 2.
Разработка международных стандартов является основной задачей технических комитетов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Для публикации в качестве международного стандарта требуется одобрение не менее
75 % комитетов-членов, принявших участие в голосовании.
Принимается во внимание тот факт, что некоторые из элементов настоящего документа могут быть
объектом патентных прав. ISO не принимает на себя обязательств по определению отдельных или
всех таких патентных прав.
ISO/IEC 27010 был подготовлен Объединѐнным техническим комитетом ISO/IEC JTC 1,
Информационные технологии, Подкомитетом SC 27, IT Методы обеспечения безопасности.
vi © ISO/IEC 2012 – Все права сохраняются
---------------------- Page: 6 ----------------------
ISO/IEC 27010:2012(R)
Введение
Настоящий международный стандарт дополняет стандарты ISO/IEC 27001:2005 и ISO/IEC 27002:2005,
предназначенные для сообществ пользователей, работающих с одной и той же информацией.
Содержащиеся в данном стандарте руководящие указания служат дополнением общего руководства,
представленного в семействе стандартов ISO/IEC 27000.
Хотя предметом рассмотрения в ISO/IEC 27001:2005 и ISO/IEC 27002:2005 является обмен
информацией между организациями, этот обмен описывается в общих чертах. Однако при
возникновении необходимости передачи конфиденциальной информации множеству других
организаций передающая сторона должна иметь твѐрдую уверенность в том, что организации-
адресаты обладают адекватными средствами защиты получаемой информации. Подобные средства
могут быть реализованы путѐм образования сообщества пользователей общей информации, в рамках
которого каждый его участник доверяет другим участникам защиту совместно используемой
информации, даже несмотря на то, что при отсутствии такого сообщества эти организации могли бы
быть конкурентами друг друга.
Сообщество пользователей общей информации не может успешно работать при отсутствии
доверительных отношений. Пользователи, предоставляющие информацию, должны иметь гарантии
того, что еѐ получатели не будут разглашать полученные сведения или воздействовать на полученные
данные ненадлежащим образом. В свою очередь, получатели информации должны иметь гарантии еѐ
полной достоверности по всем характеристикам, которые отмечены источником. Оба этих аспекта
одинаково важны и должны подтверждаться явно видимой эффективной политикой защиты
информации и использованием лучших достижений сложившейся практики. Для получения таких
результатов члены сообщества пользователей должны иметь на вооружении общую
автоматизированную систему, решающую проблемы защиты совместно используемой информации.
Правильным техническим решением является внедрение системы обеспечения информационной
безопасности (СОИБ).
Совместное использование информации может также осуществляться в рабочей среде
информационного обмена между сообществами, среди которых могут быть получатели, не знакомые
источнику информации. В такой ситуации эффективная работа возможна только в случае
установления адекватных доверительных отношений между всеми сообществами путѐм заключения
соглашений о совместном использовании информации. Это особенно важно при обмене
конфиденциальной информацией между сообществами разного профиля: например, между
различными отраслями промышленности или разными секторами рынка.
В настоящем международном стандарте представлены руководящие указания и общие принципы
обеспечения соответствия организаций установленным требованиям при использовании
существующих способов передачи сообщений и других технических методов. Стандарт предназначен
для поддержки идеи создания доверительных отношений между сотрудничающими сообществами при
информационном обмене конфиденциальной информацией и еѐ совместном использовании, что
способствует росту числа таких сообществ в международном масштабе.
© ISO/IEC 2012 – Все права сохраняются vii
---------------------- Page: 7 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 27010:2012(R)
Информационные технологии. Методы обеспечения защиты.
Руководящие указания по обеспечению защиты
информационного обмена между подразделениями и
организациями
1 Область применения
Настоящий международный стандарт содержит руководящие указания, которые дополняют
представленное в семействе стандартов ISO/IEC 27000 руководство по реализации системы
обеспечения информационной безопасности в рамках сообществ пользователей общей информации.
Дополнительно в стандарте предоставляются средства управления и специальное руководство по
вводу в действие, инструментальному оснащению, поддержке и усилению информационной
безопасности операций передачи данных между организациями и между различными секторами
профессиональной деятельности.
Данный международный стандарт применим ко всем формам информационного обмена и совместного
использования конфиденциальной информации, как общедоступной, так и личной; как национальной,
так и международной; как в рамках одной и той же отрасли или сектора рынка, так и между отраслями
или секторами. В частности, он может применяться к информационным обменам и совместному
использованию информации, относящейся к формированию, поддержке и защите необходимой
инфраструктуры на организационном или национальном уровне.
2 Нормативные ссылки
Перечисленные ниже ссылочные документы обязательны для применения данного документа. В
случае датированных ссылок действующим является только указанное издание. Применительно к
недатированным ссылочным документам применяются их самые последние издания (включая все
последующие изменения):
ISO/IEC 27000:2009, Информационные технологии. Методы обеспечения защиты. Системы
управления защитой информации. Общий обзор и словарь
ISO/IEC 27001:2005, Информационные технологии. Методы обеспечения защиты. Системы
управления информационной безопасностью. Требования
ISO/IEC 27002:2005, Информационные технологии. Методы обеспечения защиты. Управление
рисками информационной безопасности
3 Термины и определения
В рамках настоящего документа используются термины и определения ISO/IEC 27000, а также
термины и определения, приведѐнные ниже.
3.1
сообщество пользователей общей информации
information sharing community
группа организаций, совместно использующих информацию по общему согласию
© ISO/IEC 2012 – Все права сохраняются 1
---------------------- Page: 8 ----------------------
ISO/IEC 27010:2012(R)
ПРИМЕЧАНИЕ: Организация может быть представлена одним лицом.
3.2
доверенная сторона передачи информации
trusted information communication entity
автономная организация, поддерживающая процесс информационного обмена в рамках сообщества
пользователей общей информации
4 Концепции и обоснование
4.1 Общие замечания
Ниже, в разделах с 5-го по 15-й, представлено руководство по системе обеспечения информационной
безопасности (СОИБ), относящееся к области информационного обмена как между организациями, так
и между различными секторами профессиональной деятельности.
ISO/IEC 27002:2005 определяет средства управления, которые обеспечивают как взаимный информационный обмен
между организациями, так и распространение общедоступной открытой информации. Однако в некоторых
обстоятельствах возникает потребность в совместном использовании тем или иным сообществом сотрудничающих
организаций общей информации конфиденциального характера, которая не может быть доступной ни для кого кроме
членов конкретного сообщества. Такая информация часто может делаться доступной только конкретным лицам
внутри каждой организации, входящей в сообщество, или связываться требованием еѐ анонимности. Настоящий
международный стандарт определяет также возможные дополнительные средства и методы защиты и содержит
дополнительные рекомендации по обеспечению их соответствия требованиям ISO/IEC 27001:2005 и
ISO/IEC 27002:2005.
4.2 Сообщества пользователей общей информации
Для эффективной работы сообщества пользователей общей информации должны иметь некоторые
общие интересы или какие-то определѐнные отношения, позволяющие определить целесообразные
масштабы обмена информацией конфиденциального характера; например, сообщества могут работать
с каким-то сектором рынка и состоять только из организаций, связанных с этим конкретным сектором.
Конечно, могут существовать и другие сферы общих интересов: например, общее географическое
расположение или общая совместная собственность.
4.3 Координация работы сообществ
Сообщества пользователей общей информации должны формироваться из независимых организаций
или их подразделений. Поэтому в построенных таким образом сообществах может не быть чѐтко
очерченных или унифицированных организационных структур и управленческих функций,
распространяющихся на всех членов сообщества. Что же касается обеспечения эффективной защиты
информации, то здесь необходимо формирование координирующего сообщества, а это значит, что
должны быть чѐтко определены организационные структуры и функции управления, касающиеся
обеспечения информационной безопасности сообщества.
Должны учитываться также существующие различия между сообществами пользователей общей
информации. Эти различия могут состоять в следующем:
организации-члены сообщества могут уже использовать собственную СОИБ либо не иметь еѐ, и
организации-члены могут использовать свод правил защиты информационных активов и
сохранения конфиденциальности информации или не иметь таких правил.
4.4 Узлы поддержки
Множественные сообщества пользователей общей информации должны создать или определить
подразделение централизованной реализации и поддержки соответствующих операций. Такое
2 © ISO/IEC 2012 – Все права сохраняются
---------------------- Page: 9 ----------------------
ISO/IEC 27010:2012(R)
подразделение способно обеспечить реализацию многих функций поддержки (например,
анонимизации источников и получателей сообщений) намного легче и эффективней, чем это возможно
при непосредственном взаимодействии всех участников сообщества.
Существует целый ряд различных организационных моделей, которые могут использоваться для
создания узлов поддержки. Две такие обобщѐнные модели приведены в Приложении D настоящего
стандарта; это доверенный узел информационного обмена [Trusted Information Communication Entity
(TICE)] и Пункт оповещения, консультативного обслуживания и представления информации [Warning,
Advice and Reporting Point (WARP)].
4.5 Межсекторный обмен информацией
Многие сообщества пользователей общей информации, должны принадлежать к тому или иному
сектору профессиональной деятельности, поскольку такая принадлежность естественным образом
указывает на наличие общего интереса. Однако вполне может существовать и совместно
используемая сообществами информация, которая может представлять интерес для других сообществ
пользователей общей информации в рамках других секторов. В таких случаях возможно
формирование сообществ пользователей общей информации, членами которого являются сообщества
пользователей общей информации, объединѐнные на основе какого-то общего интереса,
определяемого, например, конкретным характером совместно используемой информации. Далее такая
ситуация рассматривается как информационный обмен между секторами профессиональной
деятельности.
Подобный межсекторный обмен информацией существенно упрощается в тех случаях, когда внутри
каждого сообщества пользователей общей информации существуют узлы поддержки; в таких
ситуациях необходимые соглашения об информационном обмене и требуемых средствах управления
могут заключаться между узлами поддержки, а не между всеми членами всех сообществ. Некоторые
сообщества в рамках сектора будут требовать при этом анонимизации организации-источника или
организаций-получателей сообщений, что может осуществляться также с помощью узлов поддержки.
4.6 Обеспечение соответствия требованиям
Любая система обеспечения информационной безопасности (СОИБ), созданная и эксплуатируемая в
соответствии с полож
...
INTERNATIONAL ISO/IEC
STANDARD 27010
First edition
2012-04-01
Information technology — Security
techniques — Information security
management for inter-sector and
inter-organizational communications
Technologies de l'information — Techniques de sécurité — Gestion de
la sécurité de l'information des communications intersectorielles et
interorganisationnelles
Reference number
ISO/IEC 27010:2012(E)
©
ISO/IEC 2012
---------------------- Page: 1 ----------------------
ISO/IEC 27010:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2012 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 27010:2012(E)
Contents Page
Foreword . vi
Introduction . vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Concepts and justification . 2
4.1 Introduction . 2
4.2 Information sharing communities . 2
4.3 Community management . 2
4.4 Supporting entities . 2
4.5 Inter-sector communication . 2
4.6 Conformity . 3
4.7 Communications model . 4
5 Security policy . 5
5.1 Information security policy . 5
5.1.1 Information security policy document . 5
5.1.2 Review of the information security policy . 5
6 Organization of information security . 5
6.1 Internal organization . 5
6.2 External parties . 5
6.2.1 Identification of risks related to external parties . 5
6.2.2 Addressing security when dealing with customers . 5
6.2.3 Addressing security in third party agreements . 5
7 Asset management . 6
7.1 Responsibility for assets . 6
7.1.1 Inventory of assets . 6
7.1.2 Ownership of assets . 6
7.1.3 Acceptable use of assets. 6
7.2 Information classification . 6
7.2.1 Classification guidelines . 6
7.2.2 Information labelling and handling . 6
7.3 Information exchanges protection . 7
7.3.1 Information dissemination . 7
7.3.2 Information disclaimers . 7
7.3.3 Information credibility . 8
7.3.4 Information sensitivity reduction . 8
7.3.5 Anonymous source protection . 8
7.3.6 Anonymous recipient protection . 9
7.3.7 Onwards release authority . 9
8 Human resources security . 9
8.1 Prior to employment . 9
8.1.1 Roles and responsibilities . 9
8.1.2 Screening . 9
8.1.3 Terms and conditions of employment . 9
8.2 During employment . 10
8.3 Termination or change of employment . 10
9 Physical and environmental security . 10
© ISO/IEC 2012 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 27010:2012(E)
10 Communications and operations management .10
10.1 Operational procedures and responsibilities .10
10.2 Third party service delivery management .10
10.3 System planning and acceptance .10
10.4 Protection against malicious and mobile code .10
10.4.1 Controls against malicious code .10
10.4.2 Controls against mobile code .10
10.5 Back-up .10
10.6 Network security management .11
10.7 Media handling .11
10.8 Exchange of information .11
10.8.1 Information exchange policies and procedures .11
10.8.2 Exchange agreements .11
10.8.3 Physical media in transit .11
10.8.4 Electronic messaging .11
10.8.5 Business information systems .11
10.9 Electronic commerce services .11
10.10 Monitoring .11
10.10.1 Audit logging .11
10.10.2 Monitoring system use .12
10.10.3 Protection of log information .12
10.10.4 Administrator and operator logs .12
10.10.5 Fault logging .12
10.10.6 Clock synchronisation .12
11 Access control .12
12 Information systems acquisition, development and maintenance .12
12.1 Security requirements of information systems .12
12.2 Correct processing in applications .12
12.3 Cryptographic controls .12
12.3.1 Policy on the use of cryptographic controls .12
12.3.2 Key management .12
12.4 Security of system files .13
12.5 Security in development and support processes .13
12.6 Technical vulnerability management .13
13 Information security incident management .13
13.1 Reporting information security events and weaknesses .13
13.1.1 Reporting information security events .13
13.1.2 Reporting security weaknesses .13
13.1.3 Early warning system .13
13.2 Management of information security incidents and improvements .14
13.2.1 Responsibilities and procedures .14
13.2.2 Learning from information security incidents .14
13.2.3 Collection of evidence .14
14 Business continuity management .14
14.1 Information security aspects of business continuity management .14
14.1.1 Including information security in the business continuity management process .14
14.1.2 Business continuity and risk assessment .14
14.1.3 Developing and implementing continuity plans including information security .14
14.1.4 Business continuity planning framework .15
14.1.5 Testing, maintaining and re-assessing business continuity plans .15
15 Compliance .15
15.1 Compliance with legal requirements .15
15.1.1 Identification of applicable legislation .15
15.1.2 Intellectual property rights (IPR) .15
15.1.3 Protection of organizational records .15
15.1.4 Data protection and privacy of personal information .15
15.1.5 Prevention of misuse of information processing facilities .15
iv © ISO/IEC 2012 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 27010:2012(E)
15.1.6 Regulation of cryptographic controls . 15
15.1.7 Liability to the information sharing community . 15
15.2 Compliance with security policies and standards, and technical compliance . 16
15.3 Information systems audit considerations . 16
15.3.1 Information systems audit controls . 16
15.3.2 Protection of information systems audit tools . 16
15.3.3 Audit of community functions . 16
Annex A (informative) Sharing sensitive information . 17
Annex B (informative) Establishing trust in information exchanges . 22
Annex C (informative) The Traffic Light Protocol . 27
Annex D (informative) Models for organizing an information sharing community . 28
Bibliography . 34
© ISO/IEC 2012 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 27010:2012(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27010 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
vi © ISO/IEC 2012 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 27010:2012(E)
Introduction
This International Standard is a supplement to ISO/IEC 27001:2005 and ISO/IEC 27002:2005 for use by
information sharing communities. The guidelines contained within this International Standard are in addition to
and complement the generic guidance given within other members of the ISO/IEC 27000 family of standards.
Whereas ISO/IEC 27001:2005 and ISO/IEC 27002:2005 address information exchange between
organizations, they do so in a generic manner. When organizations wish to communicate sensitive information
to multiple other organizations, the originator must have confidence that its use in those other organizations
will be subject to adequate security controls implemented by the receiving organizations. This can be
achieved through the establishment of an information sharing community, where each member trusts the
other members to protect the shared information, even though the organizations may otherwise be in
competition with each other.
An information sharing community cannot work without trust. Those providing information must be able to trust
the recipients not to disclose or to act upon the data inappropriately. Those receiving information must be able
to trust that information is accurate, subject to any qualifications notified by the originator. Both aspects are
important, and must be supported by demonstrably effective security policies and the use of good practice. To
achieve this, the community members must all implement a common management system covering the
security of the shared information. This is the ISMS for the information sharing community.
In addition, information sharing can take place between information sharing communities, where not all
recipients will be known to the originator. This will only work if there is adequate trust between the
communities and their information sharing agreements. It is particularly relevant to the sharing of sensitive
information between diverse communities such as different industry or market sectors.
This International Standard provides guidelines and general principles on how the specified requirements can
be met using established messaging and other technical methods. It is designed to support the creation of
trust when exchanging and sharing sensitive information, thereby encouraging the international growth of
information sharing communities.
© ISO/IEC 2012 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO/IEC 27010:2012(E)
Information technology — Security techniques — Information
security management for inter-sector and inter-organizational
communications
1 Scope
This International Standard provides guidelines in addition to guidance given in the ISO/IEC 27000 family of
standards for implementing information security management within information sharing communities.
This International Standard provides controls and guidance specifically relating to initiating, implementing,
maintaining, and improving information security in inter-organizational and inter-sector communications.
This International Standard is applicable to all forms of exchange and sharing of sensitive information, both
public and private, nationally and internationally, within the same industry or market sector or between sectors.
In particular, it may be applicable to information exchanges and sharing relating to the provision, maintenance
and protection of an organization’s or nation state’s critical infrastructure.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 27000:2009, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
ISO/IEC 27001:2005, Information technology — Security techniques — Information security management
systems — Requirements
ISO/IEC 27002:2005, Information technology — Security techniques — Code of practice for information
security management
3 Terms and definitions
For the purposes of this document, the terms and definitions in ISO/IEC 27000 and the following apply.
3.1
information sharing community
group of organizations that agree to share information
NOTE An organization can be an individual.
3.2
trusted information communication entity
autonomous organization supporting information exchange within an information sharing community
© ISO/IEC 2012 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO/IEC 27010:2012(E)
4 Concepts and justification
4.1 Introduction
ISMS guidance specific to inter-sector and inter-organizational communications has been identified in
Clauses 5 to 15 below.
ISO/IEC 27002:2005 defines controls that cover the exchange of information between organizations on a
bilateral basis, and also controls for the general distribution of publicly available information. However, in
some circumstances there exists a need to share information within a community of organizations, where the
information is sensitive in some way and cannot be made publicly available other than to members of the
community. Often the information can only be made available to certain individuals within each member
organization, or may have other security requirements such as anonymisation of information. This
International Standard defines additional potential controls and provides additional guidance and interpretation
of ISO/IEC 27001:2005 and ISO/IEC 27002:2005 in order to meet these requirements.
4.2 Information sharing communities
To be effective, information sharing communities must have some common interest or other relationship to
define the scope of the shared sensitive information. For example, communities may be market sector specific,
and limit membership to organizations within that one sector. Of course, there may be other bases for
common interest, for example, geographical location, or common ownership.
4.3 Community management
Information sharing communities will be created from independent organizations or parts of organizations.
There may therefore not be clear or uniform organizational structures and management functions applying to
all members. For information security management to be effective, management commitment is necessary.
Therefore, the organizational structures and management functions applying to community information
security management should be clearly defined.
Differences among member organizations of an information sharing community should also be considered.
The differences could include:
whether member organizations already operate their own ISMS, and
member rules on protections of assets and information disclosure.
4.4 Supporting entities
Many information sharing communities will choose to establish or appoint a centralised supporting entity to
organize and support information sharing. Such an entity can provide many supporting controls such as
anonymisation of source and recipients more easily and efficiently than where members communicate directly.
There are a number of different organizational models that can be used to create supporting entities. Annex D
to this International Standard describe two common models, the Trusted Information Communication Entity
(TICE) and the Warning, Advice and Reporting Point (WARP).
4.5 Inter-sector communication
Many information sharing communities will be sector based, as this provides a natural scope of common
interest. However, there may well be information shared by such communities that would be of interest to
other information sharing communities established in other sectors. In such cases it may be possible to
establish information sharing communities of information sharing communities, again based on some common
interest, such as the nature of the shared information. We refer to this as inter-sector communication.
2 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 27010:2012(E)
Inter-sector communication is greatly facilitated where supporting entities exist within each information sharing
community, as the necessary information exchange agreements and controls can then be established
between the supporting entities, rather than between all members of all communities. Some inter-sector
communities will require anonymisation of the source or recipient organizations; this also can be achieved by
use of supporting entities.
4.6 Conformity
Any information security management system (ISMS) created and operated in accordance with
ISO/IEC 27001:2005 and using controls from ISO/IEC 27002:2005, this International Standard and other
sources can be assessed for conformity against ISO/IEC 27001:2005, without modification or addition to that
International Standard.
However, there are a number of places where ISO/IEC 27001:2005 will need to be interpreted when applied
to an information sharing community (or, for inter-sector communication, a community of communities).
The first area where interpretation is required is the definition of the organization concerned.
ISO/IEC 27001:2005 requires that an ISMS is established by an organization and operates within the context
of its overall business activities and the risks that it faces (ISO/IEC 27001:2005, 4.1). In this context, the
relevant organization is the information sharing community. However, the members of the information sharing
community will themselves be organizations – see Figure 1.
Boundary of the information sharing community
A A
A
1 2
3
A
n
. . . .
Key
A Member organization k of th
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.