ГОСТ Р ИСО/МЭК 27036-1-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Информационная безопасность во взаимоотношениях с поставщиками
Часть 1
Обзор и основные понятия
Information technology. Security techniques. Information security for supplier relationships. Part 1. Overview and concepts
ОКС 35.040
Дата введения 2021-11-30
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН); Акционерным обществом "Научно-производственное объединение "Эшелон" (АО "НПО Эшелон") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 418-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27036-1:2014* "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия" (ISO/IEC 27036-1:2014 "Information technology. Security techniques. Information security for supplier relationships. Part 1: Overview and concepts", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ИСО/МЭК 27036-1 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт, сведения о котором приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Серия ИСО/МЭК 27036 состоит из следующих частей под общим названием "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками".
- часть 1. Обзор и основные понятия;
- часть 2. Требования;
- часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий;
- часть 4. Рекомендации по обеспечению безопасности облачных услуг.
Большинство (если не все) организации во всем мире, независимо от их размера или ключевых сфер деятельности, взаимодействуют с различными видами поставщиков продукции и услуг.
Такие поставщики могут иметь или прямой, или косвенный доступ к информации и информационным системам приобретающей стороны, либо предоставлять элементы (программное обеспечение, аппаратные средства, процессы или человеческие ресурсы), которые будут задействованы в процессе обработки информации. У приобретающей стороны может также быть физический и/или логический доступ к информации поставщика, когда они осуществляют мониторинг или контролируют процессы производства и поставки от поставщика.
Таким образом, приобретающая сторона и поставщики могут являться друг для друга источником рисков в области информационной безопасности. Эти риски должны оцениваться и рассматриваться как организациями-получателями, так и организациями-поставщиками посредством надлежащего управления информационной безопасностью и реализацией соответствующих мер защиты информации. В большинстве случаев организации принимали международные стандарты ИСО/МЭК 27001 и/или ИСО/МЭК 27002 для управления своей информационной безопасностью. Эти международные стандарты должны также быть приняты при управлении в отношениях с поставщиками для осуществления эффективного контроля рисков в области информационной безопасности, свойственных этим отношениям.
Настоящий стандарт содержит дополнительные подробные указания по реализации мер защиты информации, касающихся отношений с поставщиками, которые описаны в ИСО/МЭК 27002 в качестве общих рекомендаций.
________________
Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.
Отношения с поставщиками в контексте настоящего стандарта включают в себя любое отношение с поставщиком, которое может иметь последствия для информационной безопасности, например, информационные технологии, медицинские услуги, услуги по уборке помещений, консультационные услуги, партнерские отношения в области НИОКР (R&D), аутсорсинговые приложения или услуги облачных вычислений (такие как программное обеспечение, платформа или инфраструктура как услуга).
Как поставщик, так и приобретающая сторона должны нести равную ответственность чтобы достичь поставленных целей в отношениях поставщика с приобретающей стороной и адекватно реагировать на риски в области информационной безопасности, которые могут возникнуть. Ожидается, что обе стороны будут выполнять требования и инструкции настоящего стандарта. Кроме того, для поддержания отношений поставщика с приобретающей стороной должны быть реализованы основные процессы (например, управление, управление бизнесом, оперативное управление и управление персоналом). Эти процессы обеспечат поддержку с точки зрения информационной безопасности, а также достижение бизнес-целей.
1 Область применения
Настоящий стандарт является вводной частью ИСО/МЭК 27036. В ней содержится обзор руководящих положений, призванных помочь организациям в обеспечении безопасности их информации и информационных систем в контексте отношений с поставщиками. В настоящем стандарте также вводятся понятия, которые подробно описаны в других частях ИСО/МЭК 27036. В настоящем стандарте рассматриваются возможности как приобретающей стороны, так и поставщиков.
2 Нормативные ссылки
В настоящем стандарте использована нормативная ссылка на следующий стандарт. Для датированной ссылки применяют только указанное издание ссылочного стандарта, для недатированной - последнее издание (включая все изменения):
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:
3.1
приобретающая сторона (acquirer): Заинтересованная сторона, которая приобретает у поставщика продукт или услугу. Примечание - Приобретение может включить или не включать обмен денежными средствами. [ИСО/МЭК 15288:2008, 4.1, изменено - Исходное примечание было удалено, слово "получает", было удалено из определения, и было добавлено примечание] |
3.2
приобретение (acquisition): Процесс получения продукта или услуги. [ИСО/МЭК 15288:2008, 4.2, изменено - слово "система", было удалено] |
3.3
соглашение (agreement): Обоюдное подтверждение сроков и условий, согласно которым осуществляются рабочие отношения. |
3.4
жизненный цикл (life cycle): Развитие системы, продукта, услуги, проекта или иного рукотворного объекта от стадии замысла до момента прекращения его использования. [ИСО/МЭК 15288:2008, 4.11] |
3.5
фаза постконтроля (downstream): Погрузочно-разгрузочные работы, процессы и перемещение, когда продукты и услуги в цепи поставок находятся вне сферы контроля этой организации. [ИСО 28001:2007, 3.10, изменено - слово "товары" было заменено на "продукты и услуги" с целью заострить внимание на данном определении] |
3.6 аутсорсинг (outsourcing): Приобретение услуг (с или без продуктов) в поддержку бизнес-функции для осуществления деятельности с использованием ресурсов поставщика, а не приобретающей стороны.
3.7
процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы. [ИСО 9000:2005, 3.4.1, изменено - примечания были удалены] |
3.8 заинтересованная сторона (stakeholder): Физическое лицо или организация, заинтересованные в активах при отношениях с поставщиком.
Примечание - В целях настоящего стандарта актив является информацией, связанной с продуктами и услугами.
3.9
поставщик (supplier): Организация или физическое лицо, которое заключает соглашение с приобретающей стороной по предоставлению продукта или услуги. Примечания 1 Другими терминами, обычно используемыми для обозначения поставщика являются: подрядчик, производитель, торговец или продавец. 2 Приобретающая сторона и поставщик могут являться частью одной и той же организации. 3 Типы поставщиков включают в себя те организации, которые допускают заключение соглашений с приобретающей стороной и те, которые этого не допускают. Например, таких как пользовательское соглашение, условия использования, или использование продуктов с открытым исходным кодом, защищенных авторским правом или результатов интеллектуальной деятельности. [ИСО/МЭК 15288:2008, 4.30, изменено - Добавлено примечание 3] |
3.10 взаимоотношение с поставщиком (supplier relationship): Одно соглашение или несколько соглашений между приобретающей стороной и поставщиками о ведении бизнеса, поставке продуктов или услуг и получении коммерческой выгоды.
3.11
цепь поставок (supply chain): Совокупность организаций со взаимосвязанным набором ресурсов и процессов, каждая из которых выступает в качестве приобретающей стороны, поставщика или одновременно в качестве обеих сторон, для формирования последовательных отношений с поставщиками, установленных при размещении заказа на поставку, заключения договора или другого официального контракта на поставку. Примечания 1 Цепь поставок может включать в себя продавцов, производственное оборудование, логистических провайдеров, внутренние распределительные центры, дистрибьюторов, оптовиков и другие организации, участвующие в производстве, обработке, транспортировке и доставке грузов и связанных с ними услуг. 2 Вид цепи поставок рассматривается с позиции приобретающей стороны. [ИСО 28001:2007, 3.24, изменено - определение было изменено, чтобы в большей степени сфокусироваться на организации и отношениях; Было добавлено примечание 2] |
3.12
система (system): Комбинация взаимодействующих элементов, упорядоченных для достижения одной или нескольких поставленных целей. Примечания 1 Систему можно рассматривать как продукт или как предоставляемые ею услуги. 2 На практике интерпретация данного термина зачастую уточняется с помощью ассоциативного существительного, например система самолета. В некоторых случаях слово система может заменяться контекстно-зависимым синонимом, например самолет, хотя это может впоследствии затруднить восприятие системных принципов. [ИСО/МЭК 15288:2008, 4.31] |
3.13
доверие (trust): Отношения между двумя организациями и/или элементами, состоящие из ряда операций и политики безопасности, в которых элемент "x" доверяет элементу "y", если и только если "x" уверен, что "y" будет вести себя определенным образом (по отношению к операциям), не нарушающим данную политику безопасности. [ИСО/МЭК 13888-1:2009, 3.59, изменено - примечание было удалено] |
3.14
фаза предконтроля (upstream): Транспортировка, процессы и перемещение продукции и услуг, имеющих место до того, как организация принимает продукции* и услуги под свой контроль в цепи поставок. [ISO 28001:2007, 3.27, изменено - слово "товары" было заменено на "продукции и услуги" с целью заострить внимание на данном изменении] |
________________
* Текст документа соответствует оригиналу. - Примечание изготовителя базы данных.
3.15 прозрачность (visibility): Свойство системы или процесса, которое позволяет системным элементам и процессам быть задокументированными и доступными для мониторинга и контроля.
4 Сокращения
В настоящем стандарте применены следующие сокращения:
BPaaS - бизнес-процесс как услуга;
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно