ГОСТ Р ИСО/МЭК 27010-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями

18 Соответствие

 

18.1 Соответствие правовым и договорным требованиям

18.1.1 Идентификация применимых законодательных и договорных требований

Пункт 18.1.1 ИСО/МЭК 27002:2013 дополняется следующим:

Руководство по внедрению

Сообщество по обмену информацией обязано должным образом учитывать все применимые соглашения, законы и правила, относящиеся к обмену информацией, такие как законы или правила по борьбе с ограничением конкуренции. Это может помешать некоторым организациям присоединиться к сообществу или наложить ограничения на их участие.

18.1.2 Права на интеллектуальную собственность

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

18.1.3 Защита записей

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

18.1.4 Конфиденциальность и защита персональных данных

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

18.1.5 Регулирование мер и средств криптографической защиты информации

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

18.1.6 Ответственность сообщества по обмену информацией

Подраздел 18.1 ИСО/МЭК 27002:2013 дополняется следующим:

Меры обеспечения ИБ

Вопросы ответственности и уведомления о нарушениях должны быть разъяснены, поняты и одобрены всеми членами сообщества по обмену информацией для разрешения ситуаций, в которых информация преднамеренно или непреднамеренно была раскрыта.

Руководство по внедрению

Уведомление о нарушении должно быть направлено отправителю и включать, как минимум, информацию обо всех несанкционированных раскрытиях с достаточной для идентификации детализацией раскрытой информации.

Там, где это возможно, уведомление следует также направлять источнику, даже если информация была обезличена и не содержит указаний на ее происхождение. Это может быть осуществлено посредником доверенной третьей стороны, такой как орган доверенных коммуникаций (TICE).

Последствия несанкционированного раскрытия могут напрямую затрагивать ответственные стороны и могут включать в себя лишение или ограничение доступа отдельных участников в течение некоторого периода времени, необходимого для восстановления доверия сообщества.

18.2 Проверки информационной безопасности

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.