ISO 27010: 2015

Qu'est-ce que l'ISO 27010?

ISO/IEC 27010:2015 présente des stratégies sur les méthodes, modèles, processus, politiques, contrôles, protocoles et autres cadres pour le partage d'informations avec des contreparties de confiance tout en respectant les concepts de base de la sécurité de l'information.

La Commission électrotechnique internationale (CEI) et l'Organisation internationale de normalisation (ISO) ont publié collectivement la norme ISO 27010. En plus des instructions fournies dans le Famille ISO 27000, la norme guide l'intégration de la gestion de la sécurité des informations dans les groupes de partage d'informations.

La norme ISO 27010 vise à sécuriser la connaissance partagée des infrastructures sensibles. Il propose règles standard pour éviter les problèmes de sécurité lors du transfert d'informations confidentielles aussi bien que:

• Échange d'informations entre organisations
• Les risques du partage des connaissances
• Introduire des contrôles pour atténuer ces risques
• Incidents potentiels qui pourraient survenir

La norme ISO 27010 propose des lignes directrices sur l'interfonctionnement et la coopération en matière de sécurité de l'information entre les organisations des mêmes secteurs, dans des secteurs industriels distincts et avec les gouvernements.

La norme définit également des lignes directrices pour le partage d'informations en temps de crise et la protection des infrastructures vitales, ainsi que pour une compréhension mutuelle dans des circonstances commerciales normales afin de satisfaire aux obligations légales, réglementaires et contractuelles.

L'histoire de la norme ISO/IEC 27010:2015

Publiée pour la première fois en 2012, la norme ISO 27010 a reçu des modifications éditoriales mineures en 2015. Cette révision a été réalisée pour mieux se conformer aux versions 2013 de ISO / IEC 27001 et ISO 27002. Décembre 2015 a vu la publication de la deuxième édition de la norme ISO 27010.

Pourquoi ISO 27010 est-il important?

Partage d'informations, comme renseignements sur les menaces, présente ses propres inconvénients et pose plusieurs problèmes. Par exemple, les organisations peuvent se retrouver avec des données brutes et non évaluées. informations qui ajoutent une charge supplémentaire à la sécurité des organisations équipe en augmentant le nombre d’incidents et d’avertissements plutôt que de les minimiser. En outre, certains fournisseurs de sécurité méprisent le partage de données pour éviter de nuire à leur avantage concurrentiel.

La série de normes ISO/IEC 27000 aborde certains de ces problèmes. Toutes les organisations sont encouragées à évaluer leurs risques, puis à les gérer selon leurs besoins, en utilisant des conseils et le cas échéant, et en utilisant des contrôles de sécurité des informations. La norme ISO/IEC 27010 fournit des contrôles et des instructions sur l'adoption, la mise en œuvre et le maintien de la sécurité des informations dans les communications interorganisationnelles et intersectorielles. Il propose également des conseils et des principes généraux sur la manière de répondre aux exigences définies à l'aide de la messagerie existante et d'autres méthodes techniques.

La norme fait référence à toutes les formes d’échange et de partage d’informations sensibles, publiques et privées, aux niveaux national et mondial, et pas seulement au sein ou entre les secteurs industriels ou commerciaux. En particulier, il peut faire référence aux échanges et au partage d'informations liés à la fourniture, au maintien et à la protection des infrastructures essentielles d'une entité ou d'un État-nation. Conçue pour promouvoir l’instauration de la confiance lors de l’échange et du partage d’informations confidentielles, la norme ISO 27010 facilite la croissance internationale des cultures de partage d’informations.

Relation avec d'autres normes

La série de normes ISO/IEC 27000 propose des lignes directrices sur les meilleures pratiques en matière de gestion de la sécurité de l'information. ISO/IEC 27010:2015 est un complément sectoriel à ISO/IEC 27001:2013 et ISO/IEC 27002:2013 pour les communautés de partage d'informations. En plus et en complément des lignes directrices génériques fournies dans d'autres membres de la famille de normes ISO/IEC 27000, les lignes directrices trouvées dans cette norme internationale. Le cas échéant, les organismes de certification ISO 27006 peuvent se référer à la norme ISO 27010 lors de la délivrance de la certification.

Un aspect dans lequel la norme ISO 27010 définit des approches générales des éléments de sécurité des données dans le processus de rédaction et d'application des politiques et procédures. Avec formation et sensibilisation des initiatives pour ceux qui participent au processus, et probablement des évaluations ou des audits indépendants pour confirmer la conformité à la norme ISO/IEC 27010 et à d’autres normes ISO27k pertinentes.

ISO 27010, ISO 27001 et ISO 27002

L'ISO/IEC 27010:2015 complète bien l'ISO/IEC 27001:2013 et l'ISO/IEC 27002:2013. La norme ISO 27010 offre des conseils sur la compréhension des critères de la norme ISO 27001 lors de l'échange d'informations entre organisations. Il fournit également des mesures de sécurité supplémentaires et des instructions de partage des connaissances au-delà de celles trouvées dans la norme ISO 27002.

Les normes ISO/IEC 27001:2013 et ISO/IEC 27002:2013 traitent de l'échange d'informations entre organisations, mais seulement de manière générale. Supposons que les organisations souhaitent transmettre des informations confidentielles à plusieurs autres organisations. Dans ce cas, les autres organismes doivent assurer le propriétaire initial que leur utilisation de les informations seraient soumises à des contrôles de sécurité appropriés par les groupes d’accueil.

Les organisations peuvent atteindre cette confidentialité en créant une communauté de partage d'informations dans laquelle chaque participant fait confiance aux autres pour protéger les informations partagées, même lorsque les organisations peuvent autrement être concurrentes.

L'ISO 27010 introduit un nouveau contrôle dans son article sept qui aborde une série de problèmes que l'ISO 27002 n'aborde pas explicitement, presque contrairement aux conditions standard de non-répudiation. Ce contrôle inclut la protection de l’anonymat des sources lors de l’échange d’informations. Bien que la norme ISO 27002 soit adaptée aux scénarios standard de « fournisseur », la norme 27010 fournit de nouvelles ressources pour gérer des situations plus complexes.

Qui peut mettre en œuvre la norme ISO 27010 ?

La présente Norme internationale est pertinent pour toutes les entreprises et organisations qui échangent des informations confidentielles, publiquement et privéement, dans tous les secteurs. Cela peut s’appliquer en particulier aux échanges et au partage d’informations liés à la fourniture, au maintien et à la protection des infrastructures essentielles d’une entité ou d’un État-nation. Cela est dû aux normes promouvant l’instauration de la confiance lors de l’échange et du partage d’informations privées.

Il sera nécessaire pour toute entreprise fournissant ou utilisant des outils de partage d'informations protégés par un système de gestion de la sécurité de l'information (ISMS). Cela peut également être bénéfique pour les grandes organisations dont les fonctions sont géographiquement dispersées et qui échangent des informations entre départements ou sites.

Premiers pas avec le partage d'informations

Sans confiance, une communauté de partage d’informations ne peut pas fonctionner. Ceux qui fournissent des informations doivent faire confiance aux destinataires pour qu’ils ne révèlent pas ou ne manipulent pas les données de manière inappropriée. Les destinataires des données doivent avoir confiance dans l'exactitude des données, sous réserve des éventuelles exigences notifiées par l'expéditeur. Les deux aspects sont critiques. La norme ISO 27010 exige que les communautés de partage d'informations démontrent des politiques de sécurité efficaces et que les bonnes pratiques doivent être soutenues. Pour ce faire, tous les membres du groupe doivent adopter une approche collaborative système de gestion couvrant la sécurité des informations partagées. Ce système devrait de préférence être un SMSI.

Le partage d'informations peut avoir lieu entre des groupes où le partageur ne connaît pas tous les destinataires. Ce partage d’informations ne fonctionnera que si les communautés disposent d’un niveau de confiance suffisant et d’accords de partage d’informations. Cela est particulièrement pertinent pour le partage d’informations sensibles entre diverses communautés, telles que différentes industries ou secteurs de marché.

Un scénario dans lequel des informations sont partagées est celui d’une violation de données. Partager le potentiel vulnérabilités des informations et problèmes de sécurité illustrent la grande variété de problèmes et d’avantages liés au partage d’informations. Ces échanges d'informations se produisent généralement dans des délais extrêmement serrés et dans une atmosphère chaotique, ce qui n'est pas l'environnement le plus favorable pour développer des relations de travail de confiance et convenir de contrôles de sécurité adéquats. Le risque du partage informations concernant les incidents de sécurité entre différentes entités dépendra des détails de la situation particulière en question. Cependant, lorsqu’il est effectué de manière sécurisée, le partage de ces informations peut empêcher d’autres organisations de rencontrer les mêmes problèmes.