ГОСТ Р ИСО/МЭК 27036-2-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования.
ГОСТ Р ИСО/МЭК 27036-2-2020
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВО ВЗАИМООТНОШЕНИЯХ С ПОСТАВЩИКАМИ
Часть 2
Требования
Information technology. Security techniques. Information security for supplier relationships. Part 2. Requirements
ОКС 35.020
Дата введения 2021-06-01
Предисловие
1 Подготовлен Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Акционерным обществом "Научно-производственное объединение "Эшелон" (АО "НПО Эшелон") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ
Приказом Федерального агентства по техническому регулированию и метрологии от 25 ноября 2020 г. N 1169-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27036-2:2014* "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования" (ISO/IEC 27036-2:2014 "Information technology - Security techniques - Information security for supplier relationships - Part 2: Requirements", IDT).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном
приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в
статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации" . Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему Всемирной стандартизации. Национальные органы, которые являются членами ИСО или МЭК, участвуют в развитии международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для рассмотрения конкретных областей технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес. Правительственные и неправительственные организации в сотрудничестве с ИСО и МЭК также принимают участие в работе. В области информационных технологий ИСО и МЭК учредили совместный технический комитет ИСО/МЭК СТК 1. Международные стандарты разрабатываются в соответствии с правилами, приведенными в части 2 директив ИСО/МЭК (см. www.iso.org/directives).
Следует обратить внимание на возможность того, что некоторые элементы настоящего документа могут быть объектами патентных прав. ИСО и МЭК не несут ответственности за выявление каких-либо патентных прав (www.iso.org/patents).
Наименование любой торговой марки, используемое в настоящем стандарте, предоставляется в информационных целях для удобства пользователей и не является рекомендацией.
Для разъяснения значения конкретных терминов и выражений ИСО, связанных с оценкой соответствия, а также информации о приверженности ИСО принципам ВТО в области технических барьеров в торговле (ТБТ) - см. следующий веб-сайт: www.iso.org/iso/foreword.html.
ИСО/МЭК 27036-2 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационные технологии (ИТ)", подкомитетом SC 27 "Методы и средства обеспечения информационной безопасности ИТ".
Серия стандартов ИСО/МЭК 27036 "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками" включает следующие стандарты:
- Часть 1. Обзор и основные понятия;
- Часть 2. Требования;
- Часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий;
- Часть 4. Рекомендации по обеспечению безопасности облачных услуг.
Организации по всему миру работают с поставщиками для приобретения продукции и услуг. Многие организации устанавливают отношения с несколькими поставщиками для удовлетворения различных бизнес-потребностей, таких как функционирование или производство. И наоборот, поставщики предоставляют продукцию и услуги нескольким приобретающим сторонам. Отношения между приобретающей стороной и поставщиками устанавливаются с целью приобретения различной продукции и услуг и могут представлять угрозу информационной безопасности как для приобретающих сторон, так и для поставщиков. Эти риски обусловлены взаимным доступом к активам другой стороны, таким как информация и информационные системы, а также различием бизнес-целей и подходов к обеспечению информационной безопасности. Этими рисками следует управлять как приобретающим сторонам, так и поставщикам.
Настоящий стандарт:
a) устанавливает основные требования к информационной безопасности для определения, реализации, функционирования, мониторинга, анализа, поддержания и улучшения отношений между поставщиком и приобретающей стороной;
b) способствует взаимному пониманию подхода сторон к информационной безопасности и приемлемости рисков в области информационной безопасности;
c) отражает сложность управления рисками, которые могут оказывать влияние на информационную безопасность поставщика и взаимоотношения с приобретающей стороной;
d) предназначен для использования любой организацией, желающей оценить информационную безопасность поставщика или взаимоотношения с приобретающей стороной;
e) не предназначен для целей сертификации;
f) предназначен для постановки ряда определенных задач информационной безопасности, применимых к отношениям поставщика и приобретающей стороны, которые являются основой для достижения доверия.
ИСО/МЭК 27036-1 предоставляет обзор и основные понятия, связанные с информационной безопасностью для взаимоотношений с поставщиком.
ИСО/МЭК 27036-3 содержит рекомендации для приобретающей стороны и поставщика по управлению рисками в области информационной безопасности, характерных для цепи поставок продукции и услуг информационных и коммуникационных технологий.
ИСО/МЭК 27036-4 содержит рекомендации для приобретающей стороны и поставщика по управлению рисками в области информационной безопасности, характерными для облачных услуг.
Примечание - Пользователю настоящего стандарта необходимо правильно интерпретировать каждую из форм выражения (например, "должен", "не должен", "следует", "не следует") в качестве либо требований, подлежащих удовлетворению, либо рекомендаций при наличии определенной свободы выбора.
1 Область применения
Настоящий стандарт устанавливает основные требования к информационной безопасности для определения, реализации, функционирования, мониторинга, анализа, поддержания и улучшения отношений между поставщиком и приобретающей стороной. Эти требования охватывают любые приобретения и поставки продукции и услуг, такие как производство или интеграция, организация бизнес-процессов, компоненты технического и программного обеспечения, а также процессы, связанные со знаниями, построением, функционированием, передачей систем и облачными услугами. Требования предназначены для применения ко всем организациям, независимо от типа, размера и назначения. Для удовлетворения этих требований организация должна внутри себя реализовать ряд основополагающих процессов или запланировать их реализацию. Эти процессы включают (но не ограничиваются только этим) различные руководства, управление бизнесом, управление рисками, управление эксплуатационными и человеческими ресурсами и управление информационной безопасностью.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения к нему)]:
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)
ISO/IEC 27036-1, Information technology - Security techniques - Information security for supplier relationships - Part 1: Overview and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками: Часть 1. Обзор и основные понятия)
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27000 и ИСО/МЭК 27036-1.
4 Сокращения
В настоящем стандарте использовано следующее сокращение:
ИКТ - информационные и коммуникационные технологии.
5 Структура настоящего стандарта
В разделе 6 определены основные и высокоуровневые требования к информационной безопасности, применимые к управлению взаимоотношениями с поставщиками. Любой из процессов, описанных в разделе 6, может быть применен в любой момент жизненного цикла взаимоотношений с поставщиком. Эти требования структурированы в соответствии с процессами жизненного цикла по ISO/IEC 15288 [1]. Требования должны выполняться приобретающей стороной и поставщиком для обеспечения возможности этих организаций управлять рисками в области информационной безопасности, возникающими в процессе взаимоотношений между ними.
Примечание - Раздел 6 ссылается только на процессы жизненного цикла по ИСО/МЭК 15288, имеющие отношение к информационной безопасности во взаимоотношениях с поставщиками.
В разделе 7 определены основные требования к информационной безопасности, применимые к приобретающей стороне и поставщику в контексте примеров взаимоотношений с поставщиком. Эти требования структурированы с учетом следующих процессов жизненного цикла взаимоотношений:
a) процесса планирования взаимоотношений с поставщиком;
b) процесса отбора поставщика;
c) процесса соглашения во взаимоотношениях с поставщиком;
d) процесса управления во взаимоотношениях с поставщиком;
e) процесса прекращения взаимоотношений с поставщиком.
Требования раздела 7 применяются приобретающей стороной и поставщиком, участвующим в поставке для обеспечения того, чтобы эти организации могли управлять соответствующими рисками в области информационной безопасности. На рисунке 1 представлена область основных требований к информационной безопасности в связи с процессами, определенными в разделах 6 и 7.
Текст подразделов 6.1-6.4 и 7.1-7.5 структурирован в виде таблиц, которые необходимо интерпретировать следующим образом:
|
Приобретающая сторона |
Текст, присущий приобретающей стороне |
|
Поставщик |
Текст, присущий поставщику |
|
|
Приобретающая сторона | Поставщик |
Текст, присущий как приобретающей стороне, так и поставщику | |
Текст, присущий приобретающей стороне | Текст, присущий поставщику |
|
 |
Рисунок 1 - Область основных требований к информационной безопасности
В настоящий стандарт включены приложения.
Приложение A содержит перекрестные ссылки разделов ИСО/МЭК 15288 с разделами ИСО/МЭК 27036-2. Приложение B содержит перекрестные ссылки разделов ИСО/МЭК 27036-2 с мерами обеспечения информационной безопасности ИСО/МЭК 27002 [2].
6 Информационная безопасность в управлении взаимоотношениями с поставщиками
6.1 Процессы соглашения
Организации могут вступать в различные взаимоотношения с поставщиком. Приемлемые отношения между приобретающей стороной и поставщиком достигаются соглашениями, определяющими роли и обязанности в области информационной безопасности во взаимоотношениях с поставщиком.
Следующие процессы соглашения поддерживают закупку или поставку продукции или услуг как с точки зрения функциональных перспектив, так и с точки зрения информационной безопасности:
a) процесс приобретения;
b) процесс поставки.
6.1.1 Процесс приобретения
6.1.1.1 Задача
Для успешного управления информационной безопасностью приобретающая сторона должна решить следующую задачу в рамках процесса приобретения:
|
Приобретающая сторона |
а) разработать стратегию взаимоотношений с поставщиком, которая:
1) основывается на допустимости риска в области информационной безопасности приобретающей стороны;
2) определяет основу информационной безопасности для использования при планировании, подготовке, управлении и прекращении приобретения продукции или услуги |
6.1.1.2 Действия
Следующие минимальные действия должны быть выполнены приобретающей стороной для решения задачи по 6.1.1.1:
|
Приобретающая сторона |
а) определять, реализовывать, поддерживать и совершенствовать стратегию взаимоотношений с поставщиком, содержащую:
1) мотивы управления, потребности и ожидания от приобретения продукции или услуг.
Примечание - Соответствующие положения должны быть выражены с деловой, функциональной, правовой и нормативной точек зрения;
|
2) обязательство руководства выделить необходимые ресурсы;
|
3) механизм управления рисками в области информационной безопасности, используемый для оценки рисков, свойственных приобретению продукции или услуги.
|
Примечание - Требования для создания механизма управления рисками в области информационной безопасности определены в 6.3.4;
4) основные положения, используемые при определении требований к информационной безопасности в процессе планирования взаимоотношений с поставщиком. Эти положения должны быть определены в соответствии с руководящими принципами и правилами информационной безопасности, такими как политика информационной безопасности и классификация информации, устанавливаемая приобретающей стороной. Требования к информационной безопасности, определенные в этих основных положениях, должны быть адаптируемыми для каждого примера взаимоотношений с поставщиком, учитывая тип и характер обеспечиваемой продукции или услуги. Они должны также включать следующее:
|
i) методы предоставления поставщиком доказательств соблюдения определенных требований к информационной безопасности;
ii) методы для приобретающей стороны, обеспечивающие аттестацию и соблюдение поставщиками определенных мер и требований по информационной безопасности;
iii) процессы обмена информацией об изменениях в информационной безопасности, инцидентах и других соответствующих событиях у приобретающей стороны и поставщиков;
5) систему критериев отбора поставщика, которая включает в себя:
i) методы оценки уровня зрелости информационной безопасности, требуемой от поставщика. Следующие данные могут быть запрошены у поставщика для оценки уровня его зрелости в области информационной безопасности:
|
- прошлые показатели, связанные с безопасностью;
- доказательства проактивного управления информационной безопасностью (например, сертификация по ИСО/МЭК 27001, относящаяся к поставке продукции или услуги);
- доказательства документируемых и проверяемых планов обеспечения непрерывности бизнеса, в том числе в части ИКТ;
ii) методы, используемые для оценки доказательств, представленных поставщиком, на основе определенных требований к информационной безопасности;
iii) методы для оценки принятия поставщиком:
|
- требований к информационной безопасности, определенных в плане взаимоотношений с поставщиком;
- обязательств оказывать поддержку приобретающей стороне в его контроле соответствия и соблюдении обязательств;
- процедур передачи поставляемой продукции или услуги, когда они были ранее произведены или применены приобретающей стороной или другим поставщиком;
- процедур прекращения поставки продукции или услуги.
|
iv) требования к поставщикам, определяемые в соответствии с деловыми, правовыми, нормативными, архитектурными требованиями, политикой и договорными ожиданиями от приобретающей стороны, такими как:
- финансовые возможности поставщика, характеризующие способность поставлять продукцию или услугу;
- местонахождение поставщика, а также место, откуда будет поставляться продукция или услуга для частичного снижения риска правовых и нормативных нарушений;
6) требования к информационной безопасности высшего уровня, используемые при определении:
|
i) плана передачи для выполнения передачи другому поставщику приобретенной продукции или услуги;
ii) процедуры управления изменениями в части информационной безопасности;
iii) процедуры управления инцидентами в области информационной безопасности;
iv) плана контроля соответствия и соблюдения обязательств;
v) плана прекращения закупки товаров и услуг;
|
b) назначать лицо, ответственное за решение вопросов информационной безопасности в стратегии взаимоотношений с поставщиком, и обеспечивать прохождение этим лицом соответствующего регулярного обучения;
c) обеспечивать, чтобы стратегия взаимоотношений с поставщиком пересматривалась не реже одного раза в год и всякий раз, когда это необходимо, при деловых, правовых, нормативных, архитектурных, договорных изменениях и изменениях в политике организации.
Примечание - Стратегию взаимоотношений с поставщиком также следует пересмотреть, когда приобретение продукции или услуги может существенно повлиять на приобретающую сторону
|
6.1.2 Процесс поставки
6.1.2.1 Задачи
Для успешного управления информационной безопасностью поставщик должен решить следующие задачи в рамках процесса поставки:
|
Поставщик |
а) установить стратегию взаимоотношений с приобретающей стороной, которая:
1) основывается на допустимости риска поставщика в области информационной безопасности;
2) определяет основы информационной безопасности для использования при планировании, подготовке, управлении и прекращении поставки продукции или услуги |
6.1.2.2 Действия
Следующие минимальные действия должны быть выполнены поставщиком для решения задач по 6.1.2.1:
|
Поставщик |
a) определять, реализовывать, поддерживать и совершенствовать стратегию взаимоотношений с приобретающей стороной, содержащую:
1) управленческие мотивы, потребности и ожидания от поставки продукции или услуг.
Примечание - Эти положения должны быть выражены с деловой, функциональной и юридической точек зрения;
2) обязательство руководства выделить необходимые ресурсы;
3) механизм управления рисками в области информационной безопасности, используемый для оценки рисков, свойственных поставке продукции или услуги.
Примечание - Требования для создания механизма управления рисками в области информационной безопасности определены в 6.3.4; |
4) основные положения по управлению информационной безопасностью с использованием:
i) определения, реализации, поддержания и совершенствования системы управления информационной безопасностью в рамках организации.
Примечание - Создание системы управления информационной безопасностью на основе ИСО/МЭК 27001 [8] может служить определенной гарантией для обеспечения адекватного управления информационной безопасностью внутри организации и демонстрации ее уровня для приобретающей стороны;
ii) гарантии того, что требования информационной безопасности, изложенные в существующих тендерных заявках приобретающей стороны, были определены в документах и соглашениях о взаимоотношениях с поставщиком для обеспечения соответствия поставщика этим требованиям. Любой выявленный недостаток по информационной безопасности должен быть устранен для удовлетворения требований приобретающей стороны в существующем соглашении о взаимоотношениях с поставщиком;
iii) определения процесса принятия, интерпретации, применения и количественной оценки требований приобретающей стороны в области информационной безопасности; |
5) методы для:
i) демонстрации способности поставщика поставлять продукцию или услугу приемлемого качества;
ii) предоставления доказательств соблюдения требований информационной безопасности, определенных приобретающей стороной;
6) требования к информационной безопасности высшего уровня, используемые при определении:
i) плана передачи другому поставщику приобретенной продукции или услуги, когда она была ранее произведена или используема приобретающей стороной или другим поставщиком;
ii) процедуры управления изменениями в части информационной безопасности;
iii) процедуры управления инцидентами в области информационной безопасности;
iv) процессов обмена информацией об изменениях в информационной безопасности, инцидентах и других соответствующих событиях среди поставщиков и приобретающей стороны;
v) процесса обработки корректирующих действий;
vi) плана прекращения поставки продукции или услуги. |
b) определять, реализовывать, поддерживать и совершенствовать процесс идентификации и классификации поставщиков или приобретающих сторон на основе соблюдения конфиденциальности информации, распределяемой им, и прав доступа к активам (таким как информация и информационные системы), предоставленным приобретающей стороной или поставщиком;
c) обеспечивать пересмотр стратегии взаимоотношений с приобретающей стороной не реже одного раза в год или всякий раз, когда это необходимо при деловых, правовых, нормативных, архитектурных, договорных изменениях и изменениях в политике организации.
Примечание - Стратегию взаимоотношений с приобретающей стороной также следует пересмотреть, когда приобретение продукции или услуги может существенно повлиять на поставщика
|
6.2 Процессы организационного обеспечения проекта
Процессы организационного обеспечения проекта связаны с решением проблем обеспечения ресурсами (например, финансовыми), необходимыми для соответствия проекта потребностям и ожиданиям заинтересованных сторон. В частности, следующие процессы организационного обеспечения проекта поддерживают установление среды, в которой осуществляются или планируются взаимоотношения с поставщиком:
- процесс управления моделью жизненного цикла;
- процесс управления инфраструктурой;
- процесс управления портфелем проектов;
- процесс управления человеческими ресурсами;
- процесс управления качеством.
6.2.1 Процесс управления моделью жизненного цикла
|
|
Приобретающая сторона | Поставщик |
а) При управлении информационной безопасностью во взаимоотношениях с поставщиком приобретающая сторона и поставщик должны установить процесс управления моделью жизненного цикла.
Примечание - Целью этого процесса является определение, поддержка и обеспечение доступности политик, процессов жизненного цикла, моделей жизненного цикла и процедур, используемых организацией. В настоящем стандарте не предъявляются конкретные требования и не даются рекомендации для приобретающих сторон или для поставщиков по определению того, когда внутри организации устанавливается этот процесс. | |
6.2.2 Процесс управления инфраструктурой
6.2.2.1 Задача
Для успешного управления информационной безопасностью соответствующие организации должны решить следующую задачу в рамках процесса управления инфраструктурой:
|
|
Приобретающая сторона | Поставщик |
а) обеспечить инфраструктуру с возможностью управления информационной безопасностью в пределах взаимоотношений с поставщиком | |
6.2.2.2 Действия
Следующие минимальные действия должны быть выполнены для решения задачи по 6.2.2.1:
|
|
Приобретающая сторона | Поставщик |
a) определять, реализовывать, поддерживать и улучшать возможности физической и логической инфраструктуры безопасности для защиты активов приобретающей стороны или поставщика, таких как информация и информационные системы;
b) определять, реализовывать, поддерживать и совершенствовать механизмы непредвиденных расходов для обеспечения того, чтобы приобретение или поставка продукции или услуг могли продолжаться в случае нарушений, вызванных естественными или искусственными причинами. Эти механизмы следует основывать на оценках рисков в области информационной безопасности и связанных с ними планах восстановления, вытекающих из приобретения или поставки продукции или услуг. Сюда следует включать:
1) обеспечение альтернативных, безопасных условий для продолжения поставок продукции или услуг;
2) сохранение информации и решение вопросов собственности на технологии, например связанных с исходным кодом приложений и криптографическими ключами, использующими доверенную третью сторону;
3) механизмы восстановления для обеспечения постоянной доступности информации, хранящейся у субподрядчика.
Примечание - Эти договоренности должны рассматриваться только в том случае, если поставщик предоставляет услуги приобретающей стороне;
4) согласование по ограничениям, связанным с обеспечением непрерывности бизнеса и выраженным приобретающей стороной или поставщиком.
Примечание - Следующие стандарты содержат требования и руководящие указания в отношении непредвиденных обстоятельств:
- ИСО/МЭК 27031 [3];
- ИСО 22313 [4];
- ИСО 22301 [5] | |
6.2.3 Процесс управления портфелем проектов
6.2.3.1 Задача
Для успешного управления информационной безопасностью соответствующие организации должны решить следующую задачу в рамках процесса управления портфелем проектов:
|
|
Приобретающая сторона | Поставщик |
а) для каждого отдельного проекта из тех проектов, в которые вовлечены поставщики или приобретающие стороны, установить этот процесс для рассмотрения информационной безопасности и общих последствий и зависимостей в бизнесе | |
6.2.3.2 Действия
Следующие минимальные действия должны быть выполнены для решения задачи по 6.2.3.1:
|
|
Приобретающая сторона | Поставщик |
a) определять, реализовывать, поддерживать и совершенствовать процесс идентификации и классификации поставщиков или приобретающих сторон на основе соблюдения конфиденциальности информации, распределяемой им, и прав доступа к активам, таким как информация и информационные системы, предоставленным приобретающей стороной или поставщиком.
Примечание - Поставщик, имеющий очень ограниченный доступ к активам приобретающей стороны, таким как информация и информационные системы, может быть классифицирован как некритический. В то же время поставщик, разрабатывающий, например, критичное программное обеспечение для приобретающей стороны, может быть классифицирован как критический;
| |
b) определять, реализовывать, поддерживать и улучшать способ гарантирования того, что рассмотрение вопросов информационной безопасности интегрировано в оценку эффективности работы поставщика в составе каждого отдельного проекта; |
|
c) гарантировать, что закрытие проекта с участием поставщика или приобретающей стороны учитывает вопросы информационной безопасности, задокументированные в плане прекращения приобретения продукции или услуги | |
6.2.4 Процесс управления человеческими ресурсами
6.2.4.1 Задачи
Для успешного управления информационной безопасностью соответствующие организации должны решить следующую задачу в рамках процесса управления человеческими ресурсами:
|
|
Приобретающая сторона | Поставщик |
а) гарантировать, что приобретающая сторона и поставщик обеспечены необходимыми человеческими ресурсами, имеющими компетенции, которые регулярно поддерживаются и соответствуют требованиям информационной безопасности во взаимоотношениях с поставщиком | |
6.2.4.2 Действия
Следующие минимальные действия должны быть выполнены для решения задач по 6.2.4.1:
|
|
Приобретающая сторона | Поставщик |
а) рассматривать следующие вопросы в рамках программы обучения и повышения осведомленности в области информационной безопасности:
1) руководящие указания и правила информационной безопасности, такие как политика информационной безопасности и классификация информации, в частности, для персонала, занимающегося взаимоотношениями; | |
2) требования к информационной безопасности, обычно определяемые в соглашении о взаимоотношениях с поставщиком, для демонстрации наличия таких требований, которые отвечают потребностям и ожиданиям приобретающей стороны;
3) прошлые показатели поставщиков в отношении уровня их соответствия требованиям приобретающей стороны относительно информационной безопасности, что применимо в качестве демонстрационных примеров; |
|
b) выявлять и оценивать персонал в отношении его доступа и возможности раскрывать или изменять информацию в рамках взаимоотношений с поставщиком, например в части конфиденциальной информации или интеллектуальной собственности, когда это не должно быть раскрыто или изменено;
c) обеспечивать, чтобы определенный персонал, в частности те, кто занимается информационной безопасностью или решениями по приобретению или поставке продукции или услуги, обладал достаточными компетенциями и квалификацией;
d) обучать данный персонал аспектам информационной безопасности во взаимоотношениях с поставщиком с последующим проведением мероприятий по оценке полученных знаний;
e) в рамках действующего законодательства обеспечивать проведение детальных проверок по уголовным делам и биографическим данным для персонала, планируемого на ключевые позиции во взаимоотношениях с поставщиком;
f) определять резервные варианты для важнейших аспектов взаимоотношений с каждым поставщиком с целью недопущения прекращения данных взаимоотношений при увольнении (переходе на другую работу) сотрудников организаций, ответственных за взаимодействие | |
6.2.5 Процесс управления качеством
|
|
Приобретающая сторона | Поставщик |
а) Приобретающая сторона и поставщик должны установить процесс управления качеством при управлении информационной безопасностью в своих взаимоотношениях.
Примечание - Целью данного процесса является обеспечение соответствия продукции и услуг требованиям по качеству и достижение удовлетворенности для организации-потребителя. При проведении внутренних операций по установлению этого процесса к приобретающей стороне и поставщику не предъявляются какие-либо специальные требования и не даются рекомендации по информационной безопасности, которые следует учитывать | |
6.3 Процессы проекта
Процессы проекта связаны с тщательным управлением и поддержкой проектов, охватывающих одного или более поставщиков. В частности, следующие процессы проекта поддерживают создание среды, в которой проводятся или планируются вопросы взаимоотношений с поставщиком и затрагиваются аспекты информационной безопасности:
- процесс планирования проекта;
- процесс оценки и контроля проекта;
- процесс управления решениями;
- процесс управления рисками;
- процесс управления конфигурацией;
- процесс управления информацией;
- процесс измерений.
6.3.1 Процесс планирования проекта
6.3.1.1 Задача
Для успешного управления информационной безопасностью соответствующими организациями должна быть решена следующая задача в рамках процесса планирования проекта:
|
|
Приобретающая сторона | Поставщик |
а) установить процесс планирования проекта, направленный на обеспечение информационной безопасности во взаимоотношениях с поставщиком | |
6.3.1.2 Действия
Следующие минимальные действия должны быть выполнены в рамках процесса планирования проекта для решения задач по 6.3.1.1:
|
|
Приобретающая сторона | Поставщик |
a) включать нижеследующее:
1) осуществлять воздействие на формирование проектных затрат, планов и списков требований информационной безопасности и на определение активов, используемых в рамках приобретения или поставки продукции или услуги;
2) осуществлять интеграцию требований информационной безопасности в соответствующие проектные роли, обязанности, подотчетности и компетенции;
3) обеспечивать безопасность информации ограниченного доступа, на которую могут воздействовать взаимоотношения с поставщиком, такой как финансовая информация, интеллектуальная собственность, информация о заказчиках или штатном персонале;
4) обеспечивать ресурсами, например финансовыми, которые призваны гарантировать защиту активов | |
6.3.2 Процесс оценки и контроля проекта
|
|
Приобретающая сторона | Поставщик |
a) Приобретающая сторона и поставщик должны установить процесс оценки и контроля проекта при управлении информационной безопасностью во взаимоотношениях с поставщиками.
Примечание - Цель этого процесса состоит в том, чтобы определить статус проекта и непосредственно плана его выполнения, чтобы гарантировать, что для решения технических задач проект развивается согласно планам и срокам в пределах запланированных бюджетов. При проведении внутренних операций по установлению этого процесса к приобретающей стороне и поставщику не предъявляются какие-либо специальные требования и не даются рекомендации информационной безопасности, которые следует учитывать (адаптирован из ИСО/МЭК 15288 [1]) | |
6.3.3 Процесс управления решениями
|
|
Приобретающая сторона | Поставщик |
a) Приобретающая сторона и поставщик должны установить процесс управления решениями при управлении информационной безопасностью во взаимоотношениях с поставщиками.
Примечание - Цель этого процесса состоит в том, чтобы при наличии альтернативы выбрать самый выгодный курс действий по проекту. При проведении внутренних операций по установлению этого процесса к приобретающей стороне и поставщику не предъявляются какие-либо специальные требования и не даются рекомендации информационной безопасности, которые следует учитывать (адаптирован из ИСО/МЭК 15288 [1]) | |
6.3.4 Процесс управления рисками
6.3.4.1 Задача
Для успешного управления информационной безопасностью соответствующими организациями должна быть решена следующая задача в рамках процесса управления рисками:
|
|
Приобретающая сторона | Поставщик |
a) постоянно рассматривать риски информационной безопасности во взаимоотношениях с поставщиками на протяжении всего жизненного цикла, включая периодические повторные проверки и проверки в случае значительных деловых, правовых, нормативных, архитектурных, договорных изменений и изменений в политике | |
6.3.4.2 Действия
Следующие минимальные действия должны быть выполнены для решения задачи по 6.3.4.1:
|
|
Приобретающая сторона | Поставщик |
a) определять, реализовывать, поддерживать и улучшать основы управления рисками в области информационной безопасности, которые определяют допустимость риска организации. Это может использоваться для того, чтобы определять, оценивать и трактовать риски, которые сопровождают:
1) существующие примеры приобретения или поставки продукции или услуг;
2) поставщиков или приобретающие стороны, вовлеченные в эти примеры;
3) приобретения или поставки продукции или услуг.
Примечание - ИСО/МЭК 27005 [6], ИСО 31000 [7] и ИСО/МЭК 15288 [1] дают представление об управлении рисками;
b) прилагать усилия для того, чтобы основы управления рисками были определены:
1) согласно назначению организации с учетом законодательства, проводимой политики, нормативных, архитектурных и договорных требований, применимых к организации; | |
2) с учетом оценки поставщиков в связи с:
i) прошлой историей, такой как предыдущие и текущие договоренности и спорная информация;
ii) договорными соглашениями, такими как соглашения о взаимоотношениях с поставщиком и соглашения о неразглашении конфиденциальной информации;
iii) последствиями для информационной безопасности применительно к приобретаемым продукции или услугам, включая обработанные активы приобретающей стороны, основную технологическую инфраструктуру, деловую зависимость и подключаемых субподрядчиков;
iv) способностью поставщика к демонстрации уровня его зрелости в вопросах обеспечения информационной безопасности;
3) с учетом нижеприведенных аспектов при определении метода для оценки поставщиков:
i) типа оценки для применения к поставщикам, такой как самооценка или независимая оценка, выполняемая третьим лицом;
ii) уровня детализации и частоты выполнения оценки; | 2) с учетом оценки приобретающих сторон в связи с:
i) прошлой историей, такой как предыдущие и текущие договоренности и спорная информация;
ii) договорными соглашениями, такими как соглашения о взаимоотношениях с поставщиком и соглашения о неразглашении конфиденциальной информации;
iii) последствиями для информационной безопасности применительно к поставляемым продукции или услугам, включая:
1. требования информационной безопасности, заданные в тендерной документации или соглашении по взаимоотношениям с поставщиками;
2. риски поставщика в области информационной безопасности, которые появляются из-за доступа приобретающей стороны к информации поставщика в случае, например, когда приобретающая сторона осуществляет контроль процесса производства у поставщика с доступом к конфиденциальной информации поставщика. |
c) применять нижеследующие способы управления рисками в области информационной безопасности:
1) классифицировать существующие случаи приобретения или поставки продукции или услуг;
2) классифицировать поставщиков или приобретающие стороны, вовлеченных в эти случаи, когда:
i) определяется стратегия взаимоотношений с поставщиком или приобретающей стороной;
ii) планируется приобретение или поставка продукции или услуги.
Примечание - В случае, если организация сертифицирована по требованиям ИСО/МЭК 27001[8], рекомендуется включать активы, появляющиеся от приобретения или поставки продукции или услуги, в реестр активов системы управления информационной безопасностью, чтобы гарантировать непрерывную оценку риска в области информационной безопасности и реагирование на этот риск | |
Полная версия документа доступна с 20.00 до 24.00 по московскому времени.
Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.