ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
6.2 Аспекты взаимодействия со сторонними организациями
Цель: Обеспечивать безопасность информации и средств обработки информации организации при |
доступе, обработке, передаче и менеджменте, осуществляемом сторонними организациями. |
Безопасность информации и средств обработки информации организации не должна снижаться при вводе продуктов или сервисов сторонних организаций. Доступ сторонних организаций к средствам обработки информации организации, а также к обработке и передаче информации должен находиться под контролем. Если имеется потребность бизнеса в работе со сторонними организациями, которым может потребоваться доступ к информации и средствам обработки информации организации, а также в получении или обеспечении продукта или сервиса от сторонней организации или для нее, следует выполнять оценку риска для определения последствий для безопасности и требований к мерам и средствам контроля и управления. Меры и средства контроля и управления следует согласовывать и определять в контракте со сторонней организацией |
6.2.1 Идентификация рисков, являющихся следствием работы со сторонними организациями
Мера и средство контроля и управления
Риски для информации и средств обработки информации организации, являющиеся следствием процессов бизнеса, в которых участвуют сторонние организации, необходимо определять и необходимо реализовывать соответствующие меры и средства контроля и управления прежде, чем будет предоставлен доступ.
Рекомендация по реализации
Там, где есть необходимость разрешения доступа сторонней организации к средствам обработки информации или информации организации, следует проводить оценку риска (см. 4) с целью определения каких-либо потребностей в специальных мерах и средствах контроля и управления. При определении рисков, связанных с доступом сторонних организаций, следует учитывать:
a) средства обработки информации, необходимые сторонним организациям для доступа;
b) тип доступа к информации и средствам обработки информации, который будет предоставлен сторонним организациям, например:
1) физический доступ, например к офисам, машинным залам, картотекам;
2) логический доступ, например к базам данных, информационным системам организации;
3) возможность сетевого соединения между сетью (сетями) организации и сторонней организации, например неразъемное соединение, удаленный доступ;
4) осуществление доступа на месте или вне места эксплуатации;
c) ценность и чувствительность используемой информации, ее критичность для операций бизнеса;
d) меры и средства контроля и управления, необходимые для защиты информации, не предназначенной для доступа сторонним организациям;
e) персонал сторонней организации, участвующий в обработке информации организации;
f) каким образом организация или персонал, авторизованные на получение доступа, могут быть идентифицированы, авторизация проверена и как часто это необходимо подтверждать;
g) различные способы и меры и средства контроля и управления, применяемые сторонними организациями при хранении, обработке, передаче, совместном использовании и обмене информацией;
h) влияние непредоставления требуемого доступа сторонней организации и ввода или получения сторонней организацией неточной или ложной информации;
i) инструкции и процедуры принятия мер в отношении инцидентов информационной безопасности и возможных убытков, а также сроки и условия возобновления доступа сторонних организаций в случае инцидента информационной безопасности;
j) правовые и нормативные требования, а также договорные обязательства, значимые для сторонних организаций, которые необходимо принимать в расчет;
k) влияние вышеназванных мер на интересы каких-либо других причастных сторон.
Доступ сторонних организаций к информации организации не должен обеспечиваться до тех пор, пока не будут реализованы соответствующие меры и средства контроля и управления и пока не будет подписан договор, определяющий сроки и условия подключения или доступа и рабочий механизм. Как правило, все требования к безопасности, вытекающие из работы со сторонними организациями или внутреннего контроля, должны отражаться в соглашении со сторонними организациями (см. 6.2.2 и 6.2.3).
Следует обеспечивать уверенность в том, что сторонние организации осведомлены о своих обязанностях, и берут на себя ответственность и обязательства в отношении доступа, обработки, передачи или менеджмента информации и средств обработки информации организации.
Дополнительная информация
Информация может быть подвергнута риску сторонними организациями, в которых менеджмент безопасности осуществляется неадекватным образом. Должны определяться и применяться меры и средства контроля и управления с целью администрирования доступа сторонней организации к средствам обработки информации. Например там, где имеется определенная потребность в конфиденциальности информации, могут быть использованы соглашения о неразглашении.
Организации могут сталкиваться с рисками, связанными с межорганизационными процессами, менеджментом и связью в том случае, если применяется большой процент аутсорсинга или если к участию привлекаются несколько сторонних организаций.