ГОСТ Р ИСО/МЭК 27036-2-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования
6.1 Процессы соглашения
Организации могут вступать в различные взаимоотношения с поставщиком. Приемлемые отношения между приобретающей стороной и поставщиком достигаются соглашениями, определяющими роли и обязанности в области информационной безопасности во взаимоотношениях с поставщиком.
Следующие процессы соглашения поддерживают закупку или поставку продукции или услуг как с точки зрения функциональных перспектив, так и с точки зрения информационной безопасности:
a) процесс приобретения;
b) процесс поставки.
6.1.1 Процесс приобретения
6.1.1.1 Задача
Для успешного управления информационной безопасностью приобретающая сторона должна решить следующую задачу в рамках процесса приобретения:
Приобретающая сторона |
а) разработать стратегию взаимоотношений с поставщиком, которая: 1) основывается на допустимости риска в области информационной безопасности приобретающей стороны; 2) определяет основу информационной безопасности для использования при планировании, подготовке, управлении и прекращении приобретения продукции или услуги |
6.1.1.2 Действия
Следующие минимальные действия должны быть выполнены приобретающей стороной для решения задачи по 6.1.1.1:
Приобретающая сторона |
а) определять, реализовывать, поддерживать и совершенствовать стратегию взаимоотношений с поставщиком, содержащую: 1) мотивы управления, потребности и ожидания от приобретения продукции или услуг. Примечание - Соответствующие положения должны быть выражены с деловой, функциональной, правовой и нормативной точек зрения; |
2) обязательство руководства выделить необходимые ресурсы; |
3) механизм управления рисками в области информационной безопасности, используемый для оценки рисков, свойственных приобретению продукции или услуги. |
Примечание - Требования для создания механизма управления рисками в области информационной безопасности определены в 6.3.4; 4) основные положения, используемые при определении требований к информационной безопасности в процессе планирования взаимоотношений с поставщиком. Эти положения должны быть определены в соответствии с руководящими принципами и правилами информационной безопасности, такими как политика информационной безопасности и классификация информации, устанавливаемая приобретающей стороной. Требования к информационной безопасности, определенные в этих основных положениях, должны быть адаптируемыми для каждого примера взаимоотношений с поставщиком, учитывая тип и характер обеспечиваемой продукции или услуги. Они должны также включать следующее: |
i) методы предоставления поставщиком доказательств соблюдения определенных требований к информационной безопасности; ii) методы для приобретающей стороны, обеспечивающие аттестацию и соблюдение поставщиками определенных мер и требований по информационной безопасности; iii) процессы обмена информацией об изменениях в информационной безопасности, инцидентах и других соответствующих событиях у приобретающей стороны и поставщиков; 5) систему критериев отбора поставщика, которая включает в себя: i) методы оценки уровня зрелости информационной безопасности, требуемой от поставщика. Следующие данные могут быть запрошены у поставщика для оценки уровня его зрелости в области информационной безопасности: |
- прошлые показатели, связанные с безопасностью; - доказательства проактивного управления информационной безопасностью (например, сертификация по ИСО/МЭК 27001, относящаяся к поставке продукции или услуги); - доказательства документируемых и проверяемых планов обеспечения непрерывности бизнеса, в том числе в части ИКТ; ii) методы, используемые для оценки доказательств, представленных поставщиком, на основе определенных требований к информационной безопасности; iii) методы для оценки принятия поставщиком: |
- требований к информационной безопасности, определенных в плане взаимоотношений с поставщиком; - обязательств оказывать поддержку приобретающей стороне в его контроле соответствия и соблюдении обязательств; - процедур передачи поставляемой продукции или услуги, когда они были ранее произведены или применены приобретающей стороной или другим поставщиком; - процедур прекращения поставки продукции или услуги. |
iv) требования к поставщикам, определяемые в соответствии с деловыми, правовыми, нормативными, архитектурными требованиями, политикой и договорными ожиданиями от приобретающей стороны, такими как: - финансовые возможности поставщика, характеризующие способность поставлять продукцию или услугу; - местонахождение поставщика, а также место, откуда будет поставляться продукция или услуга для частичного снижения риска правовых и нормативных нарушений; 6) требования к информационной безопасности высшего уровня, используемые при определении: |
i) плана передачи для выполнения передачи другому поставщику приобретенной продукции или услуги; ii) процедуры управления изменениями в части информационной безопасности; iii) процедуры управления инцидентами в области информационной безопасности; iv) плана контроля соответствия и соблюдения обязательств; v) плана прекращения закупки товаров и услуг; |
b) назначать лицо, ответственное за решение вопросов информационной безопасности в стратегии взаимоотношений с поставщиком, и обеспечивать прохождение этим лицом соответствующего регулярного обучения; c) обеспечивать, чтобы стратегия взаимоотношений с поставщиком пересматривалась не реже одного раза в год и всякий раз, когда это необходимо, при деловых, правовых, нормативных, архитектурных, договорных изменениях и изменениях в политике организации. Примечание - Стратегию взаимоотношений с поставщиком также следует пересмотреть, когда приобретение продукции или услуги может существенно повлиять на приобретающую сторону |
6.1.2 Процесс поставки
6.1.2.1 Задачи
Для успешного управления информационной безопасностью поставщик должен решить следующие задачи в рамках процесса поставки:
Поставщик |
а) установить стратегию взаимоотношений с приобретающей стороной, которая: 1) основывается на допустимости риска поставщика в области информационной безопасности; 2) определяет основы информационной безопасности для использования при планировании, подготовке, управлении и прекращении поставки продукции или услуги |
6.1.2.2 Действия
Следующие минимальные действия должны быть выполнены поставщиком для решения задач по 6.1.2.1:
Поставщик |
a) определять, реализовывать, поддерживать и совершенствовать стратегию взаимоотношений с приобретающей стороной, содержащую: 1) управленческие мотивы, потребности и ожидания от поставки продукции или услуг. Примечание - Эти положения должны быть выражены с деловой, функциональной и юридической точек зрения; 2) обязательство руководства выделить необходимые ресурсы; 3) механизм управления рисками в области информационной безопасности, используемый для оценки рисков, свойственных поставке продукции или услуги. Примечание - Требования для создания механизма управления рисками в области информационной безопасности определены в 6.3.4; |
4) основные положения по управлению информационной безопасностью с использованием: i) определения, реализации, поддержания и совершенствования системы управления информационной безопасностью в рамках организации. Примечание - Создание системы управления информационной безопасностью на основе ИСО/МЭК 27001 [8] может служить определенной гарантией для обеспечения адекватного управления информационной безопасностью внутри организации и демонстрации ее уровня для приобретающей стороны; ii) гарантии того, что требования информационной безопасности, изложенные в существующих тендерных заявках приобретающей стороны, были определены в документах и соглашениях о взаимоотношениях с поставщиком для обеспечения соответствия поставщика этим требованиям. Любой выявленный недостаток по информационной безопасности должен быть устранен для удовлетворения требований приобретающей стороны в существующем соглашении о взаимоотношениях с поставщиком; iii) определения процесса принятия, интерпретации, применения и количественной оценки требований приобретающей стороны в области информационной безопасности; |
5) методы для: i) демонстрации способности поставщика поставлять продукцию или услугу приемлемого качества; ii) предоставления доказательств соблюдения требований информационной безопасности, определенных приобретающей стороной; 6) требования к информационной безопасности высшего уровня, используемые при определении: i) плана передачи другому поставщику приобретенной продукции или услуги, когда она была ранее произведена или используема приобретающей стороной или другим поставщиком; ii) процедуры управления изменениями в части информационной безопасности; iii) процедуры управления инцидентами в области информационной безопасности; iv) процессов обмена информацией об изменениях в информационной безопасности, инцидентах и других соответствующих событиях среди поставщиков и приобретающей стороны; v) процесса обработки корректирующих действий; vi) плана прекращения поставки продукции или услуги. |
b) определять, реализовывать, поддерживать и совершенствовать процесс идентификации и классификации поставщиков или приобретающих сторон на основе соблюдения конфиденциальности информации, распределяемой им, и прав доступа к активам (таким как информация и информационные системы), предоставленным приобретающей стороной или поставщиком; c) обеспечивать пересмотр стратегии взаимоотношений с приобретающей стороной не реже одного раза в год или всякий раз, когда это необходимо при деловых, правовых, нормативных, архитектурных, договорных изменениях и изменениях в политике организации. Примечание - Стратегию взаимоотношений с приобретающей стороной также следует пересмотреть, когда приобретение продукции или услуги может существенно повлиять на поставщика |