Не вступил в силу
БЕСПЛАТНО проверьте актуальность своей документации
с «Кодекс/Техэксперт АССИСТЕНТ»

ГОСТ Р 59215-2020



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВО ВЗАИМООТНОШЕНИЯХ С ПОСТАВЩИКАМИ

Часть 3

Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий

Information technology. Security techniques. Information security for supplier relationships. Part 3. Guidelines for information and communication technology supply chain security



ОКС 35.020

Дата введения 2021-06-01



Предисловие

     

1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Акционерным обществом "Научно-производственное объединение "Эшелон" (АО "НПО "Эшелон")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 26 ноября 2020 г. N 1191-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 27036-3:2013* "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий" (ISO/IEC 27036-3:2013 "Information technology - Security techniques - Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security", NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему Всемирной стандартизации. Национальные органы, которые являются членами ИСО или МЭК, участвуют в развитии международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для рассмотрения конкретных областей технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес. Правительственные и неправительственные организации в сотрудничестве с ИСО и МЭК также принимают участие в работе. В области информационных технологий ИСО и МЭК учредили совместный технический комитет ИСО/МЭК СТК 1. Международные стандарты разрабатываются в соответствии с правилами, приведенными в части 2 директив ИСО/МЭК (см. www.iso.org/directives).

Основные положения и меры обеспечения информационной безопасности установлены в ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27002. Дополнительную информацию о конкретных требованиях при установлении и контроле взаимоотношений с поставщиками содержит серия стандартов ИСО/МЭК 27036 "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками", подготовленная совместным техническим комитетом ИСО/МЭК СТК 1 "Информационные технологии (ИТ)", подкомитетом SC 27 "Методы и средства обеспечения информационной безопасности ИТ" и включающая:

- Часть 1. Обзор и основные понятия;

- Часть 2. Требования;

- Часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий;

- Часть 4. Рекомендации по обеспечению безопасности облачных услуг.

В настоящем стандарте наименования процессов жизненного цикла систем и их описания соответствуют ГОСТ Р 57193. Настоящий стандарт содержит ссылки на соответствующие меры обеспечения информационной безопасности, установленные в ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27004 и ГОСТ Р ИСО/МЭК 27005.

Продукция и услуги в области информационных и коммуникационных технологий (ИКТ) разрабатываются, комплексируются и поставляются на глобальном уровне через длинные и физически разрозненные цепи поставок. Продукция ИКТ собирается из многих компонентов, предоставляемых многими поставщиками. Услуги ИКТ в рамках всех взаимоотношений с поставщиками также предоставляются на основе нескольких уровней аутсорсинга и цепи поставок. Потребители не имеют информации о поставщиках оборудования, программного обеспечения и услуг далее одной (максимум двух) ступеней в цепи поставки. С существенным увеличением числа организаций и физических лиц, имеющих отношение к продукции или услуге ИКТ, прозрачность процесса объединения этих продуктов и услуг существенно снижается. Отсутствие наглядности, прозрачности и прослеживаемости в цепи поставок ИКТ создает риски для организаций-потребителей.

Настоящий стандарт содержит рекомендации для приобретающих сторон и поставщиков продукции и услуг ИКТ по снижению или управлению рисками в области информационной безопасности. В настоящем стандарте определяются бизнес-обоснование безопасности цепи поставок ИКТ, конкретные риски и типы отношений, а также способы развития организационных возможностей для управления аспектами информационной безопасности и включения подхода, связанного с жизненным циклом, для управления рисками с поддержкой конкретными мерами, средствами и практикой. Ожидается, что его применение приведет к:

- повышению наглядности, прозрачности и прослеживаемости цепи поставок ИКТ для повышения возможностей информационной безопасности;

- более глубокому пониманию приобретающей стороной того, откуда берется их продукция или услуги, и методов, используемых для разработки, комплексирования или применения этой продукции или услуг, для повышения эффективности выполнения требований информационной безопасности;

- в случае компрометации информационной безопасности - наличию информации о том, что могло быть скомпрометировано и кем могут быть вовлеченные в это субъекты.

Настоящий стандарт предназначен для использования всеми типами организаций, которые приобретают или поставляют продукцию и услуги в цепи поставок ИКТ. Руководство в первую очередь ориентировано на первоначальную связь первого звена "приобретающая сторона - поставщик", но основные шаги должны применяться по всей цепи, начиная с того момента, когда первоначальный поставщик меняет свою роль на роль приобретающей стороны и т.д. Это изменение ролей и применение одних и тех же шагов для каждого нового звена "приобретающая сторона - поставщик" в цепочке является основной причиной разработки настоящего стандарта. В соответствии с настоящим стандартом последствия для информационной безопасности могут передаваться между организациями по цепочке. Это помогает выявить риски в области информационной безопасности и их причины и может повысить прозрачность всей цепи поставок. Проблемы информационной безопасности, связанные с взаимоотношениями с поставщиками, охватывают широкий спектр сценариев. Организации, желающие повысить уровень доверия в рамках своей цепи поставок ИКТ, должны определить свои границы доверия, оценить риск, связанный с их действиями в рамках цепи поставок, а затем определить и реализовать соответствующие методы выявления и снижения риска возникновения уязвимостей в рамках своей цепи поставок ИКТ.

     1 Область применения


Настоящий стандарт содержит рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий (ИКТ) для приобретающей стороны и поставщиков:

а) по получению информации о рисках в области информационной безопасности, вызванных физически рассредоточенными и многоуровневыми цепями поставок ИКТ, и управлению ими;

б) по реагированию на риски, связанные с глобальной цепью поставок продукции и услуг ИКТ, которые могут оказать влияние на информационную безопасность организаций, использующих эти продукцию и услуги. Эти риски могут быть связаны как с организационными, так и с техническими аспектами (например, с внедрением вредоносного кода или с наличием контрафактной продукции на рынке ИКТ);

в) по интеграции процессов и методов обеспечения информационной безопасности (см. ГОСТ Р ИСО/МЭК 27002) в процессы жизненного цикла системы и программного обеспечения (см. ГОСТ Р 57193 и ГОСТ Р ИСО/МЭК 12207).

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 12207 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств

ГОСТ Р ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27004 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 27036-2 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

ГОСТ Р 57193 Системная и программная инженерия. Процессы жизненного цикла систем

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины, определения и сокращения

3.1 В настоящем стандарте применены термины по ГОСТ Р ИСО/МЭК 12207, ГОСТ Р ИСО/МЭК 27000, ГОСТ Р ИСО/МЭК 27036-2 и ГОСТ Р 57193, а также следующие термины с соответствующими определениями:

3.1.1 прозрачность: Свойство системы или процесса обеспечивать открытость и подотчетность.

3.1.2 прослеживаемость: Свойство, позволяющее отслеживать активность идентификатора, процесса или элемента по всей цепи поставок.

3.2 В настоящем стандарте использованы следующие сокращения:

ИКТ - информационные и коммуникационные технологии;

СМИБ - система менеджмента информационной безопасности.

     4 Основные понятия

     4.1 Сценарий для обеспечения безопасности цепи поставок информационных и коммуникационных технологий


Организации приобретают продукцию и услуги ИКТ у многочисленных поставщиков, которые, в свою очередь, могут приобретать компоненты у других поставщиков. Снижение рисков в области информационной безопасности, связанных с разрозненными и многоуровневыми цепями поставок ИКТ, может быть достигнуто с использованием методов управления рисками и доверительных отношений, повышая тем самым наглядность, прозрачность и прослеживаемость в цепи поставок ИКТ. Например, повышение наглядности в цепи поставок ИКТ достигается путем определения адекватных требований к информационной безопасности и качеству, а также постоянного мониторинга поставщиков и их продукции и услуг в рамках существующих взаимоотношений с поставщиками. Выявление и отслеживание отдельных лиц, ответственных за качество и безопасность критических элементов, обеспечивает высокую прослеживаемость. Установление договорных требований и ожиданий, а также обзор процессов и практики обеспечивают необходимую прозрачность.

Приобретающая сторона должна донести до сотрудников в своих организациях понимание рисков, связанных с цепью поставок ИКТ, и их возможного воздействия на предприятия. В частности, руководство приобретающей стороны должно знать, что практика поставщиков по всей цепи поставок может повлиять на доверие к продукции и услугам с позиций безопасности бизнеса, информации и информационных систем.

     4.2 Риски в цепи поставок информационных и коммуникационных технологий и связанные с ними угрозы


В цепи поставок усилий отдельной организации (приобретающей стороны или поставщика) по управлению информационной безопасностью недостаточно для поддержания информационной безопасности продукции или услуг ИКТ на протяжении всей цепи поставок. Управление приобретающей стороны поставщиками, продукцией или услугами в области ИКТ имеет важное значение для обеспечения информационной безопасности.

Приобретение продукции и услуг ИКТ связано с особыми рисками для приобретающей стороны с точки зрения управления информационной безопасностью. По мере того как глобальные цепи поставок ИКТ становятся физически все более разрозненными и пересекают многочисленные международные и организационные границы, становится все труднее отслеживать конкретные производственные и операционные практики, применяемые к отдельным элементам ИКТ (продуктам, услугам и их компонентам), включая выявление лиц, ответственных за качество и безопасность этих элементов. Это затрудняет прослеживаемость по всей цепи поставок ИКТ, что может привести к более высокому риску:

- компрометации информационной безопасности приобретающей стороны и, следовательно, деловых операций посредством преднамеренных событий, таких как вставка вредоносного кода и наличие контрафактной продукции в цепи поставок ИКТ;

- непреднамеренных событий, таких как использование неадекватных методов разработки программного обеспечения.

Как преднамеренные, так и непреднамеренные события могут привести к компрометации данных и операций приобретающей стороны, включая кражу интеллектуальной собственности, утечку данных и снижение способности приобретающей стороны выполнять свои функции. Любая из этих выявленных проблем, если она возникает, может нанести ущерб репутации организации, что приведет к дальнейшим последствиям, таким как потеря бизнеса.

     4.3 Типы взаимоотношений между приобретающей стороной и поставщиком


Приобретающие стороны и поставщики продукции и услуг ИКТ могут вовлекать несколько субъектов в различные отношения, основанные на цепи поставок, включая, но не ограничиваясь следующим:

а) поддержку управления системами ИКТ, когда системы принадлежат приобретающей стороне и управляются поставщиком;

б) системы ИКТ или поставщиков услуг, где системы или ресурсы принадлежат поставщику и управляются им;

в) разработку, проектирование, инженерию и сборку продукции, когда поставщик предоставляет все или часть услуг, связанных с созданием продукции ИКТ;

г) поставку готовых коммерческих продуктов;

д) поставку и распределение продукции с открытым исходным кодом.

Уровень риска приобретающей стороны и потребность в доверии во взаимоотношениях с поставщиками повышаются при предоставлении поставщику более широкого доступа к информации и информационным системам приобретающей стороны и ее зависимости от поставляемых продукции и услуг ИКТ. Например, приобретение поддержки управления системами ИКТ иногда сопряжено с более высоким риском, чем приобретение готовой продукции с открытым исходным кодом или коммерческих продуктов. С точки зрения поставщика любые компрометации в отношении информации приобретающей стороны могут нанести ущерб репутации и доверию поставщика к конкретной приобретающей стороне, информация и информационные системы которой были скомпрометированы.

Чтобы помочь справиться с неопределенностью и рисками, связанными с взаимоотношениями, приобретающие стороны и поставщики должны наладить диалог и достичь понимания в части взаимных ожиданий относительно защиты информации и информационных систем друг друга.

Доступ к полной версии этого документа ограничен
Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».