Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27036-2-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

Введение


ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему Всемирной стандартизации. Национальные органы, которые являются членами ИСО или МЭК, участвуют в развитии международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для рассмотрения конкретных областей технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес. Правительственные и неправительственные организации в сотрудничестве с ИСО и МЭК также принимают участие в работе. В области информационных технологий ИСО и МЭК учредили совместный технический комитет ИСО/МЭК СТК 1. Международные стандарты разрабатываются в соответствии с правилами, приведенными в части 2 директив ИСО/МЭК (см. www.iso.org/directives).

Следует обратить внимание на возможность того, что некоторые элементы настоящего документа могут быть объектами патентных прав. ИСО и МЭК не несут ответственности за выявление каких-либо патентных прав (www.iso.org/patents).

Наименование любой торговой марки, используемое в настоящем стандарте, предоставляется в информационных целях для удобства пользователей и не является рекомендацией.

Для разъяснения значения конкретных терминов и выражений ИСО, связанных с оценкой соответствия, а также информации о приверженности ИСО принципам ВТО в области технических барьеров в торговле (ТБТ) - см. следующий веб-сайт: www.iso.org/iso/foreword.html.

ИСО/МЭК 27036-2 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационные технологии (ИТ)", подкомитетом SC 27 "Методы и средства обеспечения информационной безопасности ИТ".

Серия стандартов ИСО/МЭК 27036 "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками" включает следующие стандарты:

- Часть 1. Обзор и основные понятия;

- Часть 2. Требования;

- Часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий;

- Часть 4. Рекомендации по обеспечению безопасности облачных услуг.

Организации по всему миру работают с поставщиками для приобретения продукции и услуг. Многие организации устанавливают отношения с несколькими поставщиками для удовлетворения различных бизнес-потребностей, таких как функционирование или производство. И наоборот, поставщики предоставляют продукцию и услуги нескольким приобретающим сторонам. Отношения между приобретающей стороной и поставщиками устанавливаются с целью приобретения различной продукции и услуг и могут представлять угрозу информационной безопасности как для приобретающих сторон, так и для поставщиков. Эти риски обусловлены взаимным доступом к активам другой стороны, таким как информация и информационные системы, а также различием бизнес-целей и подходов к обеспечению информационной безопасности. Этими рисками следует управлять как приобретающим сторонам, так и поставщикам.

Настоящий стандарт:

a) устанавливает основные требования к информационной безопасности для определения, реализации, функционирования, мониторинга, анализа, поддержания и улучшения отношений между поставщиком и приобретающей стороной;

b) способствует взаимному пониманию подхода сторон к информационной безопасности и приемлемости рисков в области информационной безопасности;

c) отражает сложность управления рисками, которые могут оказывать влияние на информационную безопасность поставщика и взаимоотношения с приобретающей стороной;

d) предназначен для использования любой организацией, желающей оценить информационную безопасность поставщика или взаимоотношения с приобретающей стороной;

e) не предназначен для целей сертификации;

f) предназначен для постановки ряда определенных задач информационной безопасности, применимых к отношениям поставщика и приобретающей стороны, которые являются основой для достижения доверия.

ИСО/МЭК 27036-1 предоставляет обзор и основные понятия, связанные с информационной безопасностью для взаимоотношений с поставщиком.

ИСО/МЭК 27036-3 содержит рекомендации для приобретающей стороны и поставщика по управлению рисками в области информационной безопасности, характерных для цепи поставок продукции и услуг информационных и коммуникационных технологий.

ИСО/МЭК 27036-4 содержит рекомендации для приобретающей стороны и поставщика по управлению рисками в области информационной безопасности, характерными для облачных услуг.

Примечание - Пользователю настоящего стандарта необходимо правильно интерпретировать каждую из форм выражения (например, "должен", "не должен", "следует", "не следует") в качестве либо требований, подлежащих удовлетворению, либо рекомендаций при наличии определенной свободы выбора.