ГОСТ Р ИСО/МЭК 27036-2-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования
6.2 Процессы организационного обеспечения проекта
Процессы организационного обеспечения проекта связаны с решением проблем обеспечения ресурсами (например, финансовыми), необходимыми для соответствия проекта потребностям и ожиданиям заинтересованных сторон. В частности, следующие процессы организационного обеспечения проекта поддерживают установление среды, в которой осуществляются или планируются взаимоотношения с поставщиком:
- процесс управления моделью жизненного цикла;
- процесс управления инфраструктурой;
- процесс управления портфелем проектов;
- процесс управления человеческими ресурсами;
- процесс управления качеством.
6.2.1 Процесс управления моделью жизненного цикла
Приобретающая сторона | Поставщик |
a) При управлении информационной безопасностью во взаимоотношениях с поставщиком приобретающая сторона и поставщик должны установить процесс управления моделью жизненного цикла. Примечание - Целью этого процесса является определение, поддержка и обеспечение доступности политик, процессов жизненного цикла, моделей жизненного цикла и процедур, используемых организацией. В настоящем стандарте не предъявляются конкретные требования и не даются рекомендации для приобретающих сторон или для поставщиков по определению того, когда внутри организации устанавливается этот процесс. | |
6.2.2 Процесс управления инфраструктурой
6.2.2.1 Задача
Для успешного управления информационной безопасностью соответствующие организации должны решить следующую задачу в рамках процесса управления инфраструктурой:
Приобретающая сторона | Поставщик |
a) обеспечить инфраструктуру с возможностью управления информационной безопасностью в пределах взаимоотношений с поставщиком | |
6.2.2.2 Действия
Следующие минимальные действия должны быть выполнены для решения задачи по 6.2.2.1:
Приобретающая сторона | Поставщик |
a) определять, реализовывать, поддерживать и улучшать возможности физической и логической инфраструктуры безопасности для защиты активов приобретающей стороны или поставщика, таких как информация и информационные системы; b) определять, реализовывать, поддерживать и совершенствовать механизмы непредвиденных расходов для обеспечения того, чтобы приобретение или поставка продукции или услуг могли продолжаться в случае нарушений, вызванных естественными или искусственными причинами. Эти механизмы следует основывать на оценках рисков в области информационной безопасности и связанных с ними планах восстановления, вытекающих из приобретения или поставки продукции или услуг. Сюда следует включать: 1) обеспечение альтернативных, безопасных условий для продолжения поставок продукции или услуг; 2) сохранение информации и решение вопросов собственности на технологии, например связанных с исходным кодом приложений и криптографическими ключами, использующими доверенную третью сторону; 3) механизмы восстановления для обеспечения постоянной доступности информации, хранящейся у субподрядчика. Примечание - Эти договоренности должны рассматриваться только в том случае, если поставщик предоставляет услуги приобретающей стороне;
4) согласование по ограничениям, связанным с обеспечением непрерывности бизнеса и выраженным приобретающей стороной или поставщиком. Примечание - Следующие стандарты содержат требования и руководящие указания в отношении непредвиденных обстоятельств: - ИСО/МЭК 27031 [3]; - ИСО 22313 [4]; - ИСО 22301 [5] | |
6.2.3 Процесс управления портфелем проектов
6.2.3.1 Задача
Для успешного управления информационной безопасностью соответствующие организации должны решить следующую задачу в рамках процесса управления портфелем проектов:
Приобретающая сторона | Поставщик |
a) для каждого отдельного проекта из тех проектов, в которые вовлечены поставщики или приобретающие стороны, установить этот процесс для рассмотрения информационной безопасности и общих последствий и зависимостей в бизнесе | |
6.2.3.2 Действия
Следующие минимальные действия должны быть выполнены для решения задачи по 6.2.3.1:
Приобретающая сторона | Поставщик |
a) определять, реализовывать, поддерживать и совершенствовать процесс идентификации и классификации поставщиков или приобретающих сторон на основе соблюдения конфиденциальности информации, распределяемой им, и прав доступа к активам, таким как информация и информационные системы, предоставленным приобретающей стороной или поставщиком. Примечание - Поставщик, имеющий очень ограниченный доступ к активам приобретающей стороны, таким как информация и информационные системы, может быть классифицирован как некритический. В то же время поставщик, разрабатывающий, например, критичное программное обеспечение для приобретающей стороны, может быть классифицирован как критический; | |
b) определять, реализовывать, поддерживать и улучшать способ гарантирования того, что рассмотрение вопросов информационной безопасности интегрировано в оценку эффективности работы поставщика в составе каждого отдельного проекта; |
|
c) гарантировать, что закрытие проекта с участием поставщика или приобретающей стороны учитывает вопросы информационной безопасности, задокументированные в плане прекращения приобретения продукции или услуги | |
6.2.4 Процесс управления человеческими ресурсами
6.2.4.1 Задачи
Для успешного управления информационной безопасностью соответствующие организации должны решить следующую задачу в рамках процесса управления человеческими ресурсами:
Приобретающая сторона | Поставщик |
a) гарантировать, что приобретающая сторона и поставщик обеспечены необходимыми человеческими ресурсами, имеющими компетенции, которые регулярно поддерживаются и соответствуют требованиям информационной безопасности во взаимоотношениях с поставщиком | |
6.2.4.2 Действия
Следующие минимальные действия должны быть выполнены для решения задач по 6.2.4.1:
Приобретающая сторона | Поставщик |
a) рассматривать следующие вопросы в рамках программы обучения и повышения осведомленности в области информационной безопасности: 1) руководящие указания и правила информационной безопасности, такие как политика информационной безопасности и классификация информации, в частности, для персонала, занимающегося взаимоотношениями; | |
2) требования к информационной безопасности, обычно определяемые в соглашении о взаимоотношениях с поставщиком, для демонстрации наличия таких требований, которые отвечают потребностям и ожиданиям приобретающей стороны; 3) прошлые показатели поставщиков в отношении уровня их соответствия требованиям приобретающей стороны относительно информационной безопасности, что применимо в качестве демонстрационных примеров; |
|
b) выявлять и оценивать персонал в отношении его доступа и возможности раскрывать или изменять информацию в рамках взаимоотношений с поставщиком, например в части конфиденциальной информации или интеллектуальной собственности, когда это не должно быть раскрыто или изменено; c) обеспечивать, чтобы определенный персонал, в частности те, кто занимается информационной безопасностью или решениями по приобретению или поставке продукции или услуги, обладал достаточными компетенциями и квалификацией; d) обучать данный персонал аспектам информационной безопасности во взаимоотношениях с поставщиком с последующим проведением мероприятий по оценке полученных знаний; e) в рамках действующего законодательства обеспечивать проведение детальных проверок по уголовным делам и биографическим данным для персонала, планируемого на ключевые позиции во взаимоотношениях с поставщиком; f) определять резервные варианты для важнейших аспектов взаимоотношений с каждым поставщиком с целью недопущения прекращения данных взаимоотношений при увольнении (переходе на другую работу) сотрудников организаций, ответственных за взаимодействие | |
6.2.5 Процесс управления качеством
Приобретающая сторона | Поставщик |
a) Приобретающая сторона и поставщик должны установить процесс управления качеством при управлении информационной безопасностью в своих взаимоотношениях. Примечание - Целью данного процесса является обеспечение соответствия продукции и услуг требованиям по качеству и достижение удовлетворенности для организации-потребителя. При проведении внутренних операций по установлению этого процесса к приобретающей стороне и поставщику не предъявляются какие-либо специальные требования и не даются рекомендации по информационной безопасности, которые следует учитывать | |
Подписаться на обновления