Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология (ИТ). Практические правила управления информационной безопасностью

     4.3 Привлечение сторонних организаций к обработке информации (аутсорсинг)


Цель: обеспечение информационной безопасности, когда ответственность за обработку информации передана другой организации.

Договоренности, связанные с привлечением третьих сторон, должны учитывать оценки рисков, мероприятия по управлению информационной безопасностью и процедуры в отношении информационных систем, сетей и/или настольных компьютеров и должны быть отражены в контракте.

4.3.1 Включение требований безопасности в договоры на оказание услуг по обработке информации сторонними организациями (аутсорсингу)

Требования безопасности в случае, когда организация передает для управления и контроля все или некоторые из своих информационных систем, сетей и/или персональных компьютеров, следует указать в контракте, согласованном между сторонами и учитывающем:

- выполнение требований законодательства, например, в отношении защиты данных;

- достижение договоренностей, обеспечивающих уверенность в том, что все стороны, включая субподрядчиков, осведомлены о своих обязанностях, касающихся безопасности;

- как будут обеспечиваться и тестироваться параметры целостности и конфиденциальности бизнес-активов организации;

- типы физических и логических методов по управлению информационной безопасностью, используемых при предоставлении необходимого доступа к чувствительной служебной информации организации сторонним пользователям;

- обеспечение доступности сервисов в случае бедствия;

- уровни физической безопасности, которые должны быть обеспечены в отношении оборудования, используемого в рамках аутсорсинга;

- право на проведение аудита.

Условия, приведенные в пункте 4.2.2, следует также рассматривать как часть контракта. Необходимо, чтобы контрактом была предусмотрена возможность дальнейшей детализации и реализации требований и процедур безопасности в согласованном между сторонами плане мероприятий в области безопасности.

Несмотря на то, что контракты по привлечению третьих сторон могут включать ряд сложных вопросов, правила и рекомендации по управлению информационной безопасностью, включенные в настоящий стандарт, должны служить отправной точкой при согласовании структуры и содержания плана по управлению безопасностью.