Не вступил в силу


ГОСТ Р ИСО/МЭК 27036-1-2021

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Информационная безопасность во взаимоотношениях с поставщиками

Часть 1

Обзор и основные понятия

Information technology. Security techniques. Information security for supplier relationships. Part 1. Overview and concepts



ОКС 35.040

Дата введения 2021-11-30

     

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН); Акционерным обществом "Научно-производственное объединение "Эшелон" (АО "НПО Эшелон") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 418-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27036-1:2014* "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия" (ISO/IEC 27036-1:2014 "Information technology. Security techniques. Information security for supplier relationships. Part 1: Overview and concepts", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


ИСО/МЭК 27036-1 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт, сведения о котором приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Серия ИСО/МЭК 27036 состоит из следующих частей под общим названием "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками".

- часть 1. Обзор и основные понятия;

- часть 2. Требования;

- часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий;

- часть 4. Рекомендации по обеспечению безопасности облачных услуг.

Большинство (если не все) организации во всем мире, независимо от их размера или ключевых сфер деятельности, взаимодействуют с различными видами поставщиков продукции и услуг.

Такие поставщики могут иметь или прямой, или косвенный доступ к информации и информационным системам приобретающей стороны, либо предоставлять элементы (программное обеспечение, аппаратные средства, процессы или человеческие ресурсы), которые будут задействованы в процессе обработки информации. У приобретающей стороны может также быть физический и/или логический доступ к информации поставщика, когда они осуществляют мониторинг или контролируют процессы производства и поставки от поставщика.

Таким образом, приобретающая сторона и поставщики могут являться друг для друга источником рисков в области информационной безопасности. Эти риски должны оцениваться и рассматриваться как организациями-получателями, так и организациями-поставщиками посредством надлежащего управления информационной безопасностью и реализацией соответствующих мер защиты информации. В большинстве случаев организации принимали международные стандарты ИСО/МЭК 27001 и/или ИСО/МЭК 27002 для управления своей информационной безопасностью. Эти международные стандарты должны также быть приняты при управлении в отношениях с поставщиками для осуществления эффективного контроля рисков в области информационной безопасности, свойственных этим отношениям.

Настоящий стандарт содержит дополнительные подробные указания по реализации мер защиты информации, касающихся отношений с поставщиками, которые описаны в ИСО/МЭК 27002 в качестве общих рекомендаций.

________________

 Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.


Отношения с поставщиками в контексте настоящего стандарта включают в себя любое отношение с поставщиком, которое может иметь последствия для информационной безопасности, например, информационные технологии, медицинские услуги, услуги по уборке помещений, консультационные услуги, партнерские отношения в области НИОКР (R&D), аутсорсинговые приложения или услуги облачных вычислений (такие как программное обеспечение, платформа или инфраструктура как услуга).

Как поставщик, так и приобретающая сторона должны нести равную ответственность чтобы достичь поставленных целей в отношениях поставщика с приобретающей стороной и адекватно реагировать на риски в области информационной безопасности, которые могут возникнуть. Ожидается, что обе стороны будут выполнять требования и инструкции настоящего стандарта. Кроме того, для поддержания отношений поставщика с приобретающей стороной должны быть реализованы основные процессы (например, управление, управление бизнесом, оперативное управление и управление персоналом). Эти процессы обеспечат поддержку с точки зрения информационной безопасности, а также достижение бизнес-целей.

     1 Область применения


Настоящий стандарт является вводной частью ИСО/МЭК 27036. В ней содержится обзор руководящих положений, призванных помочь организациям в обеспечении безопасности их информации и информационных систем в контексте отношений с поставщиками. В настоящем стандарте также вводятся понятия, которые подробно описаны в других частях ИСО/МЭК 27036. В настоящем стандарте рассматриваются возможности как приобретающей стороны, так и поставщиков.

     2 Нормативные ссылки


В настоящем стандарте использована нормативная ссылка на следующий стандарт. Для датированной ссылки применяют только указанное издание ссылочного стандарта, для недатированной - последнее издание (включая все изменения):

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

     3 Термины и определения


В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

3.1

приобретающая сторона (acquirer): Заинтересованная сторона, которая приобретает у поставщика продукт или услугу.

Примечание - Приобретение может включить или не включать обмен денежными средствами.


[ИСО/МЭК 15288:2008, 4.1, изменено - Исходное примечание было удалено, слово "получает", было удалено из определения, и было добавлено примечание]

3.2

приобретение (acquisition): Процесс получения продукта или услуги.

[ИСО/МЭК 15288:2008, 4.2, изменено - слово "система", было удалено]

3.3

соглашение (agreement): Обоюдное подтверждение сроков и условий, согласно которым осуществляются рабочие отношения.

     
     [ИСО/МЭК 15288:2008, 4.4]

3.4

жизненный цикл (life cycle): Развитие системы, продукта, услуги, проекта или иного рукотворного объекта от стадии замысла до момента прекращения его использования.

[ИСО/МЭК 15288:2008, 4.11]

3.5

фаза постконтроля (downstream): Погрузочно-разгрузочные работы, процессы и перемещение, когда продукты и услуги в цепи поставок находятся вне сферы контроля этой организации.

[ИСО 28001:2007, 3.10, изменено - слово "товары" было заменено на "продукты и услуги" с целью заострить внимание на данном определении]

3.6 аутсорсинг (outsourcing): Приобретение услуг (с или без продуктов) в поддержку бизнес-функции для осуществления деятельности с использованием ресурсов поставщика, а не приобретающей стороны.

3.7

процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.

[ИСО 9000:2005, 3.4.1, изменено - примечания были удалены]

3.8 заинтересованная сторона (stakeholder): Физическое лицо или организация, заинтересованные в активах при отношениях с поставщиком.

Примечание - В целях настоящего стандарта актив является информацией, связанной с продуктами и услугами.

3.9

поставщик (supplier): Организация или физическое лицо, которое заключает соглашение с приобретающей стороной по предоставлению продукта или услуги.

Примечания

1 Другими терминами, обычно используемыми для обозначения поставщика являются: подрядчик, производитель, торговец или продавец.

2 Приобретающая сторона и поставщик могут являться частью одной и той же организации.

3 Типы поставщиков включают в себя те организации, которые допускают заключение соглашений с приобретающей стороной и те, которые этого не допускают. Например, таких как пользовательское соглашение, условия использования, или использование продуктов с открытым исходным кодом, защищенных авторским правом или результатов интеллектуальной деятельности.


[ИСО/МЭК 15288:2008, 4.30, изменено - Добавлено примечание 3]

3.10 взаимоотношение с поставщиком (supplier relationship): Одно соглашение или несколько соглашений между приобретающей стороной и поставщиками о ведении бизнеса, поставке продуктов или услуг и получении коммерческой выгоды.

3.11

цепь поставок (supply chain): Совокупность организаций со взаимосвязанным набором ресурсов и процессов, каждая из которых выступает в качестве приобретающей стороны, поставщика или одновременно в качестве обеих сторон, для формирования последовательных отношений с поставщиками, установленных при размещении заказа на поставку, заключения договора или другого официального контракта на поставку.

Примечания

1 Цепь поставок может включать в себя продавцов, производственное оборудование, логистических провайдеров, внутренние распределительные центры, дистрибьюторов, оптовиков и другие организации, участвующие в производстве, обработке, транспортировке и доставке грузов и связанных с ними услуг.

2 Вид цепи поставок рассматривается с позиции приобретающей стороны.


[ИСО 28001:2007, 3.24, изменено - определение было изменено, чтобы в большей степени сфокусироваться на организации и отношениях; Было добавлено примечание 2]

3.12

система (system): Комбинация взаимодействующих элементов, упорядоченных для достижения одной или нескольких поставленных целей.

Примечания

1 Систему можно рассматривать как продукт или как предоставляемые ею услуги.

2 На практике интерпретация данного термина зачастую уточняется с помощью ассоциативного существительного, например система самолета. В некоторых случаях слово система может заменяться контекстно-зависимым синонимом, например самолет, хотя это может впоследствии затруднить восприятие системных принципов.


[ИСО/МЭК 15288:2008, 4.31]

Доступ к полной версии документа ограничен
Этот документ доступен в системах «Техэксперт» и «Кодекс».