Consideraciones para un acuerdo de intercambio de información entre agencias gubernamentales

Navega tus respuestas
2

Pregunta: Al redactar un acuerdo de intercambio de información entre agencias gubernamentales, ¿qué secciones relacionadas con la seguridad deben considerarse para su inclusión? ¿Ejemplos de acuerdos?

¿Cuál es la perspectiva de seguridad de un acuerdo de intercambio de información? Desafortunadamente, mi investigación sobre el tema ha revelado casi nada en una guía útil. La Sección 6.2.3 (Tratamiento de la seguridad en acuerdos de terceros) en SS-ISO / IEC 27002: 2005 no es del todo útil.

Además de la documentación ISO, he leído varias políticas de intercambio de información, pero ninguna parece incluir un acuerdo real. En su mayoría, parece girar alrededor de las siguientes secciones (los detalles específicos permanecen ocultos de la vista):

  • Utilice un sistema de gestión de seguridad de la información (SGSI) "respaldado"
  • Establecer roles y responsabilidades
  • Requisitos de confidencialidad, integridad y disponibilidad (... doh)
  • plan de continuidad del negocio
  • procedimientos / procesos de incidentes

Apreciaría cualquier orientación, experiencia o conocimiento que tenga que compartir en relación con mi pregunta. En este momento, casi cualquier cosa es mejor que lo que tengo, que es casi nada. (¡Puntos para ejemplos!)

    
pregunta Christoffer 21.05.2013 - 13:12
fuente

1 respuesta

8

Según mi experiencia en acuerdos de alto nivel de cualquier tipo, es muy difícil insertar requisitos específicos relacionados con la seguridad debido al desafío de los controles coincidentes que tienen diferentes organizaciones (es decir, tratar de hacer que la otra parte cumpla con los requisitos de su contra). normas)

Es por eso que la mayoría de las veces, verá un lenguaje alrededor de cosas como ISO2700x ISMS '. Estos forman una base común donde alguien puede decir que la otra parte tiene un nivel de seguridad "razonable" (con las advertencias habituales que se aplican, como el alcance del SGSI que coincide con el uso de los datos, etc.)

Aparte de eso, diría que los principales requisitos de seguridad que podría considerar dependerían de cuánto sepa sobre los datos específicos que se comparten en virtud del acuerdo.

Si sabe, por ejemplo, que una clase de datos que se comparte solo debe ser utilizada por un departamento o individuo específico en el otro gobierno, algo que valdría la pena agregar al acuerdo.

También es útil tener un mapeo de términos relacionados con elementos como la marca de protección para asegurar que no haya malentendidos relacionados con la información compartida.

    
respondido por el Rоry McCune 21.05.2013 - 13:29
fuente

Lea otras preguntas en las etiquetas

¿Puede WiMAX rastrear la posición geográfica de sus usuarios? Escáner de vulnerabilidad frente a auditoría de seguridad