ГОСТ Р ИСО/МЭК 27010-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Менеджмент информационной безопасности при обмене информацией между отраслями и организациями

Information technology. Security techniques and tools. Information security management for inter-sector and inter-organizational communications

ОКС 35.030

Дата введения 2021-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2020 г. N 1041-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27010:2015* "Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями" (ISO/IEC 27010:2015 "Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27010 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт является специальным дополнением к стандартам ИСО/МЭК 27001 и ИСО/МЭК 27002, предназначенным для использования субъектами информационного обмена. Руководящие принципы, содержащиеся в настоящем стандарте, дополняют общие указания, приведенные в других стандартах серии ИСО/МЭК 27000.

Необходимо отметить, что ИСО/МЭК 27001 и ИСО/МЭК 27002 касаются обмена информацией между организациями в общем виде. При передаче организации информации ограниченного доступа нескольким организациям, отправитель должен быть уверен, что ее использование в этих организациях будет находиться под надлежащим контролем безопасности, осуществляемом принимающими организациями. Это может быть достигнуто путем создания сообщества по обмену информацией, где каждый участник доверяет другим членам защиту совместно используемой информации, даже если организации конкурируют друг с другом.

Сообщество по обмену информацией не может работать без доверия. Отправители информации должны иметь возможность доверять получателям в том, что они не разглашают или не используют данные ненадлежащим образом. Получатели информации должны иметь возможность доверять, что информация является достоверной с учетом всех оговорок, заявленных отправителем. Оба аспекта важны и должны явно обеспечиваться эффективными политиками безопасности и использованием передового опыта. Для достижения этого все члены сообщества должны внедрить общую систему менеджмента, обеспечивающую безопасность совместно используемой информации. Такая система называется системой менеджмента информационной безопасности (СМИБ) для сообщества по обмену информацией.

Кроме того, обмен информацией может происходить между сообществами по обмену информацией, в которых не все получатели будут известны отправителю. Такое возможно только при наличии достаточного уровня доверия между сообществами и наличии соглашений об обмене информацией. Это особенно важно для обмена информацией ограниченного доступа между различными сообществами, такими как отрасли промышленности или секторы рынка.

     1 Область применения

Настоящий стандарт определяет руководящие принципы в дополнение к указаниям, приведенным в серии ИСО/МЭК 27000 для реализации менеджмента информационной безопасности (ИБ) в сообществах по обмену информацией.

________________

Сообщество по обмену информацией в контексте настоящего стандарта - это объединение группы или групп лиц на основе совместного использования определенной информации, доступ к которой ограничен или может быть ограничен.

В настоящем стандарте представлены средства управления и методические материалы, предназначенные для применения при инициировании, реализации, поддержании и улучшении ИБ информационного обмена между отраслями и организациями.

Настоящий стандарт может применяться для любых форм обмена и совместного использования информации ограниченного доступа, как публичной, так и приватной, как на национальном, так и на международном уровнях, как в рамках одной отрасли промышленности или сектора рынка, так и между отраслями и секторами. В частности, стандарт может быть применен при обмене и совместном использовании информации в условиях обслуживания и защиты критической инфраструктуры организации или государства.

     2 Нормативные ссылки

В настоящем стандарте использованы следующие нормативные ссылки. Для датированных ссылок применяют только указанное издание. Для недатированных - последнее издание, включая все изменения.

ISO/IEC 27000:2014, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for information security controls (Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000.

     4 Понятия и обоснования

4.1 Введение

Рекомендации для СМИБ для информационного обмена между отраслями и организациями приводятся в разделах 5-18.

ИСО/МЭК 27002 определяет меры обеспечения ИБ, которые охватывают обмен информацией между организациями на двусторонней основе, а также меры обеспечения ИБ для общего распространения общедоступной информации. Однако при определенных обстоятельствах существует необходимость в обмене информацией в сообществе организаций, где информация является в некоторой степени конфиденциальной и не должна быть доступной никому кроме участников сообщества. В отдельных случаях информация должна быть доступна только определенным лицам в каждой организации-участнике или же могут быть другие требования безопасности, такие как, например, анонимность информации. Для удовлетворения этих требований настоящий стандарт определяет дополнительные возможные меры обеспечения ИБ и предоставляет дополнительные указания и соответствующее толкование ИСО/МЭК 27001 и ИСО/МЭК 27002.

Настоящий стандарт содержит четыре справочных приложения. В приложении А приведены потенциальные преимущества от обмена информацией ограниченного доступа между организациями. Приложение В содержит руководящие указания относительно того, как члены сообщества по обмену информацией могут оценить степень доверия в отношении информации, предоставленной другими членами. Приложение С описывает "Протокол Светофора" - механизм, широко используемый в сообществах по обмену информацией для указания разрешенного распространения информации (набор обозначений для маркировки информации ограниченного доступа с целью указать аудиторию ее дальнейшего распространения). В приложении D приведены некоторые примеры моделей организации сообществ по обмену информацией.

4.2 Сообщества по обмену информацией

Сообщества по обмену информацией для обеспечения эффективности должны иметь общие интересы или другие отношения, определяющие область обмена информацией ограниченного доступа. Например, сообщества могут быть специфичными для рыночного сектора и включать в себя только организации из этого конкретного сектора. Конечно, могут быть другие основания для общих интересов, например, географическое положение или общая собственность.

Участники информационного обмена также должны быть уверены в том, что Соглашение об обмене информацией и совместном ее использовании заключено между всеми участниками и приняты меры контроля за его соблюдением.

4.3 Управление сообществами

Сообщества по обмену информацией обычно создаются из независимых организаций или частей организаций. Поэтому не может быть четких или единых организационных структур и управленческих функций, применимых ко всем участникам. Для обеспечения эффективности менеджмента ИБ необходим ответственный подход со стороны руководства. Следовательно, организационные структуры и функции управления, применяемые к менеджменту ИБ сообщества, должны быть четко определены.

Необходимо учитывать особенности организаций - участников сообщества по обмену информацией. В качестве особенностей могут рассматриваться:

- различная правовая и нормативная сферы деятельности;

- наличие в организации-участнике собственной СМИБ;

- действующие в организации-участнике правила по защите активов и по раскрытию информации.

4.4 Вспомогательные структуры

Многие сообщества по обмену информацией могут принять решение о создании или назначении централизованной структуры для организации и поддержки совместного использования информации (далее - вспомогательная структура поддержки). Такая структура может легче и эффективнее предоставить множество вспомогательных мер обеспечения ИБ, таких как анонимизация источника и получателей, чем это возможно при непосредственном обмене информацией между участниками.

Существует множество различных организационных моделей, которые могут быть использованы для создания вспомогательных структур поддержки. В приложении D к настоящему стандарту описаны две общие модели: орган доверенных коммуникаций (Trusted Information Communication Entity (TICE)) и пункт предупреждений, рекомендаций и отчетности (Warning, Advice and Reporting Point (WARP)).

4.5 Межотраслевые коммуникации

Основой большинства сообществ по обмену информацией является общая область деятельности, поскольку это обеспечивает естественную сферу общих интересов. Тем не менее, вполне возможно, что такие сообщества будут обмениваться информацией, которая будет представлять интерес и для сообществ по обмену информацией, созданных в других отраслях. В таких случаях возможно объединение отраслевых сообществ в межотраслевые сообщества по обмену информацией опять же на основе общих интересов, таких как характер передаваемой информации. Обмен информацией в таком случае называется межотраслевым обменом.

Межотраслевое взаимодействие значительно облегчается, если в каждом сообществе по обмену информацией существуют вспомогательные структуры поддержки, поскольку необходимые соглашения об обмене информацией и меры обеспечения ИБ могут быть реализованы между этими поддерживающими структурами, а не между всеми членами всех сообществ. Некоторые межотраслевые сообщества могут требовать анонимности источников или получателей информации, что также может быть достигнуто с помощью вспомогательных структур поддержки.

4.6 Соответствие

Существует ряд областей, где ИСО/МЭК 27001:2013 должен быть интерпретирован при применении к сообществу по обмену информацией (или для межотраслевой коммуникации сообществ).

Во-первых, требуется интерпретировать определение соответствующей организации.

ИСО/МЭК 27001:2013 требует от организации создания, внедрения, поддержки и постоянного совершенствования СМИБ (см. подраздел 4.4 ИСО/МЭК 27001:2013). В данном контексте соответствующей организацией является сообщество по обмену информацией. Однако участники сообщества по обмену информацией сами являются организациями, как показано на рисунке 1.

      - организация - участник сообщества (k=1...n), включая и вспомогательные структуры

     Рисунок 1 - Сообщество и организации

Во-вторых, во многих сообществах по обмену информацией совместный доступ участников сообщества к информации ограниченного доступа может быть разрешен не всем лицам в организациях-участниках. В этом случае одна часть сообщества будет входить в область действия СМИБ, а другая будет вне этой области. Часть сообщества, которая не входит в область действия СМИБ, будет иметь доступ только к части информации сообщества, выделенной для более широкого доступа, что показано на рисунке 2.

Вполне возможно, что члены сообщества по обмену информацией могут использовать свои собственные СМИБ, из-за чего некоторые процессы могут попадать в сферу действия как системы сообщества, так и систем участников сообщества. В таких случаях существует, по крайней мере, теоретическая возможность противоречивости и несовместимости требований к этим процессам. Подобная проблема оправдывает исключение из сферы действия СМИБ сообщества такого участника (см. подраздел 4.3 ИСО/МЭК 27001:2013).

Определяя процесс оценки рисков (см. пункт 6.1.2 ИСО/МЭК 27001:2013), сообщество по обмену информацией должно принимать во внимание различное влияние рисков на разных участников сообщества. Поэтому сообществу необходимо будет выбрать такую методику оценки риска, которая сможет учитывать неравномерное воздействие, и, аналогичным образом, - свои критерии оценки риска.