НАЦИОНАЛЬНЫЙ СТАНДАРТ РЕСПУБЛИКИ КАЗАХСТАН
СТ РК ISO/IEC 27010-2017
Информационная технология
Методы и средства обеспечения безопасности
МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ СВЯЗИ МЕЖДУ ПОДРАЗДЕЛЕНИЯМИ И ОРГАНИЗАЦИЯМИ
(ISO/IEC 27010:2015 Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications, IDT)
Содержание
Введение
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Концепции и обоснования
5 Политики информационной безопасности
6 Организация информационной безопасности
7 Безопасность человеческих ресурсов
8 Управление активами
9 Контроль доступа
10 Криптография
12 Безопасность операций
13 Безопасность связи
14 Получение, разработка и сопровождение системы
15 Отношения с поставщиками
16 Управление сбоями информационной безопасности
17 Непрерывность информационной безопасности
18 Соответствие
Приложение А (информационное) Совместное пользование конфиденциальной информацией
Приложение В (информационное) Установление доверия к обмену информацией
Приложение С (информационное) Протокол «Светофор»
Приложение D (информационное) Модели для организации сообщества по обмену информацией
Библиография
Введение
Настоящий стандарт является отраслевым дополнением к ISO/IEC 27001 и ISO/IEC 27002 для использования сообществами по обмену информацией. Руководящие принципы, содержащиеся в настоящем стандарте, дополняют общие руководства, предоставляемые другими членами семейства стандартов ISO/IEC 27000.
ISO/IEC 27001 и ISO/IEC 2700 направлены на обмен информацией между организациями в общих чертах, когда они хотят передать конфиденциальную информацию друг другу. Составитель данного документа должен быть уверен в том, что его использование в тех или иных организациях будет подлежать надлежащему контролю безопасности, осуществляемому принимающими организациями, что может быть достигнуто путем создания сообщества по обмену информацией, в котором каждый член доверяет другим членам в защите общей информации, даже если организации конкурируют друг с другом.
Сообщество обмена информацией не может работать без доверия. Те, кто предоставляет информацию, должны иметь возможность доверять получателям, чтобы они не раскрывали или не действовали на данные ненадлежащим образом. Те, кто получает информацию, должны быть в состоянии доверять тому, что информация является точной, при условии какой-либо квалификации, уведомленной составителем. Оба аспекта важны и должны подкрепляться явно эффективными политиками безопасности и использованием передовой практики. Для достижения этого члены сообщества должны внедрить общую систему управления, обеспечивающую безопасность общей информации. Это система управления информационной безопасностью для сообщества обмена информацией.
