ГОСТ Р ИСО/МЭК 27011-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002
6.2 Аспекты взаимодействия со сторонними организациями
Цель: Обеспечивать безопасность информации и средств обработки информации организации при доступе, обработке, передаче и менеджменте, осуществляемом сторонними организациями. Безопасность информации и средств обработки информации организации не должна снижаться при вводе продуктов или сервисов сторонних организаций. Доступ сторонних организаций к средствам обработки информации организации, а также к обработке и передаче информации должен находиться под контролем. Если имеется потребность бизнеса в работе со сторонними организациями, которым может быть необходим доступ к информации и средствам обработки информации организации, а также в получении или обеспечении продукта или сервиса от сторонней организации или для нее, следует выполнять оценку риска во избежание последствий для безопасности и требований к мерам и средствам контроля и управления. Меры и средства контроля и управления следует согласовывать и определять в контракте со сторонней организацией |
6.2.1 Идентификация рисков, являющихся следствием работы со сторонними организациями
Применять пункт 6.2.1 ИСО/МЭК 27002.
6.2.2 Рассмотрение вопросов безопасности при работе с клиентами
Мера и средство контроля и управления
Все установленные требования безопасности должны быть рассмотрены прежде, чем клиентам будет дан доступ к информации или активам организации.
Рекомендация по реализации
Следующие условия должны быть учтены при рассмотрении безопасности до предоставления клиентам доступа к какому-либо активу организации (в зависимости от типа и продолжительности предоставляемого доступа не все из них могут быть применимы):
a) защита активов, включая:
1) процедуры защиты активов организации, в том числе информацию и программное обеспечение, а также менеджмент известных уязвимостей;
2) процедуры для определения компрометации активов, например, вследствие потери или модификации данных;
3) целостность;
4) ограничения на копирование и разглашение информации;
b) описание продукта или услуги, которые должны быть обеспечены;
c) различные причины, требования и преимущества, связанные с доступом клиента;
d) политика управления доступом, охватывающая:
1) разрешенные методы доступа, а также управление и использование уникальных идентификаторов, типа идентификаторов пользователя и паролей;
2) процесс авторизации в отношении доступа и привилегий пользователей;
3) положение о том, что весь доступ, не авторизованный явным образом, является запрещенным;
4) процесс отмены прав доступа или прерывание соединения между системами;
e) процедуры в отношении отчетности, уведомления и расследования неточностей в информации (например персональных подробностей), инцидентов информационной безопасности и нарушений безопасности;
f) описание каждой предоставляемой услуги;
g) определение необходимого и неприемлемого уровня обслуживания;
h) право на проведение мониторинга и отмену какой-либо деятельности, связанной с активами организации;
i) соответствующие обязательства организации и клиента;
j) обязательства относительно юридических вопросов и способ обеспечения уверенности в соответствии правовым нормам, например законодательству о защите данных, особенно с учетом различных требований национальных правовых систем, если договор предполагает сотрудничество с клиентами в других странах (см. также подраздел 15.1 ИСО/МЭК 27002);