ГОСТ Р ИСО/МЭК 27010-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями
4 Понятия и обоснования
4.1 Введение
Рекомендации для СМИБ для информационного обмена между отраслями и организациями приводятся в разделах 5-18.
ИСО/МЭК 27002 определяет меры обеспечения ИБ, которые охватывают обмен информацией между организациями на двусторонней основе, а также меры обеспечения ИБ для общего распространения общедоступной информации. Однако при определенных обстоятельствах существует необходимость в обмене информацией в сообществе организаций, где информация является в некоторой степени конфиденциальной и не должна быть доступной никому кроме участников сообщества. В отдельных случаях информация должна быть доступна только определенным лицам в каждой организации-участнике или же могут быть другие требования безопасности, такие как, например, анонимность информации. Для удовлетворения этих требований настоящий стандарт определяет дополнительные возможные меры обеспечения ИБ и предоставляет дополнительные указания и соответствующее толкование ИСО/МЭК 27001 и ИСО/МЭК 27002.
Настоящий стандарт содержит четыре справочных приложения. В приложении А приведены потенциальные преимущества от обмена информацией ограниченного доступа между организациями. Приложение В содержит руководящие указания относительно того, как члены сообщества по обмену информацией могут оценить степень доверия в отношении информации, предоставленной другими членами. Приложение С описывает "Протокол Светофора" - механизм, широко используемый в сообществах по обмену информацией для указания разрешенного распространения информации (набор обозначений для маркировки информации ограниченного доступа с целью указать аудиторию ее дальнейшего распространения). В приложении D приведены некоторые примеры моделей организации сообществ по обмену информацией.
4.2 Сообщества по обмену информацией
Сообщества по обмену информацией для обеспечения эффективности должны иметь общие интересы или другие отношения, определяющие область обмена информацией ограниченного доступа. Например, сообщества могут быть специфичными для рыночного сектора и включать в себя только организации из этого конкретного сектора. Конечно, могут быть другие основания для общих интересов, например, географическое положение или общая собственность.
Участники информационного обмена также должны быть уверены в том, что Соглашение об обмене информацией и совместном ее использовании заключено между всеми участниками и приняты меры контроля за его соблюдением.
4.3 Управление сообществами
Сообщества по обмену информацией обычно создаются из независимых организаций или частей организаций. Поэтому не может быть четких или единых организационных структур и управленческих функций, применимых ко всем участникам. Для обеспечения эффективности менеджмента ИБ необходим ответственный подход со стороны руководства. Следовательно, организационные структуры и функции управления, применяемые к менеджменту ИБ сообщества, должны быть четко определены.
Необходимо учитывать особенности организаций - участников сообщества по обмену информацией. В качестве особенностей могут рассматриваться:
- различная правовая и нормативная сферы деятельности;
- наличие в организации-участнике собственной СМИБ;
- действующие в организации-участнике правила по защите активов и по раскрытию информации.
4.4 Вспомогательные структуры
Многие сообщества по обмену информацией могут принять решение о создании или назначении централизованной структуры для организации и поддержки совместного использования информации (далее - вспомогательная структура поддержки). Такая структура может легче и эффективнее предоставить множество вспомогательных мер обеспечения ИБ, таких как анонимизация источника и получателей, чем это возможно при непосредственном обмене информацией между участниками.
Существует множество различных организационных моделей, которые могут быть использованы для создания вспомогательных структур поддержки. В приложении D к настоящему стандарту описаны две общие модели: орган доверенных коммуникаций (Trusted Information Communication Entity (TICE)) и пункт предупреждений, рекомендаций и отчетности (Warning, Advice and Reporting Point (WARP)).
4.5 Межотраслевые коммуникации
Основой большинства сообществ по обмену информацией является общая область деятельности, поскольку это обеспечивает естественную сферу общих интересов. Тем не менее, вполне возможно, что такие сообщества будут обмениваться информацией, которая будет представлять интерес и для сообществ по обмену информацией, созданных в других отраслях. В таких случаях возможно объединение отраслевых сообществ в межотраслевые сообщества по обмену информацией опять же на основе общих интересов, таких как характер передаваемой информации. Обмен информацией в таком случае называется межотраслевым обменом.
Межотраслевое взаимодействие значительно облегчается, если в каждом сообществе по обмену информацией существуют вспомогательные структуры поддержки, поскольку необходимые соглашения об обмене информацией и меры обеспечения ИБ могут быть реализованы между этими поддерживающими структурами, а не между всеми членами всех сообществ. Некоторые межотраслевые сообщества могут требовать анонимности источников или получателей информации, что также может быть достигнуто с помощью вспомогательных структур поддержки.
4.6 Соответствие
Существует ряд областей, где ИСО/МЭК 27001:2013 должен быть интерпретирован при применении к сообществу по обмену информацией (или для межотраслевой коммуникации сообществ).
Во-первых, требуется интерпретировать определение соответствующей организации.
ИСО/МЭК 27001:2013 требует от организации создания, внедрения, поддержки и постоянного совершенствования СМИБ (см. подраздел 4.4 ИСО/МЭК 27001:2013). В данном контексте соответствующей организацией является сообщество по обмену информацией. Однако участники сообщества по обмену информацией сами являются организациями, как показано на рисунке 1.
|
- организация - участник сообщества (k=1...n), включая и вспомогательные структуры
Рисунок 1 - Сообщество и организации