ГОСТ Р ИСО/МЭК 27036-2-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования
6.3 Процессы проекта
Процессы проекта связаны с тщательным управлением и поддержкой проектов, охватывающих одного или более поставщиков. В частности, следующие процессы проекта поддерживают создание среды, в которой проводятся или планируются вопросы взаимоотношений с поставщиком и затрагиваются аспекты информационной безопасности:
- процесс планирования проекта;
- процесс оценки и контроля проекта;
- процесс управления решениями;
- процесс управления рисками;
- процесс управления конфигурацией;
- процесс управления информацией;
- процесс измерений.
6.3.1 Процесс планирования проекта
6.3.1.1 Задача
Для успешного управления информационной безопасностью соответствующими организациями должна быть решена следующая задача в рамках процесса планирования проекта:
Приобретающая сторона | Поставщик |
a) установить процесс планирования проекта, направленный на обеспечение информационной безопасности во взаимоотношениях с поставщиком | |
6.3.1.2 Действия
Следующие минимальные действия должны быть выполнены в рамках процесса планирования проекта для решения задач по 6.3.1.1:
Приобретающая сторона | Поставщик |
a) включать нижеследующее: 1) осуществлять воздействие на формирование проектных затрат, планов и списков требований информационной безопасности и на определение активов, используемых в рамках приобретения или поставки продукции или услуги; 2) осуществлять интеграцию требований информационной безопасности в соответствующие проектные роли, обязанности, подотчетности и компетенции; 3) обеспечивать безопасность информации ограниченного доступа, на которую могут воздействовать взаимоотношения с поставщиком, такой как финансовая информация, интеллектуальная собственность, информация о заказчиках или штатном персонале; 4) обеспечивать ресурсами, например финансовыми, которые призваны гарантировать защиту активов | |
6.3.2 Процесс оценки и контроля проекта
Приобретающая сторона | Поставщик |
a) Приобретающая сторона и поставщик должны установить процесс оценки и контроля проекта при управлении информационной безопасностью во взаимоотношениях с поставщиками. Примечание - Цель этого процесса состоит в том, чтобы определить статус проекта и непосредственно плана его выполнения, чтобы гарантировать, что для решения технических задач проект развивается согласно планам и срокам в пределах запланированных бюджетов. При проведении внутренних операций по установлению этого процесса к приобретающей стороне и поставщику не предъявляются какие-либо специальные требования и не даются рекомендации информационной безопасности, которые следует учитывать (адаптирован из ИСО/МЭК 15288 [1]) | |
6.3.3 Процесс управления решениями
Приобретающая сторона | Поставщик |
a) Приобретающая сторона и поставщик должны установить процесс управления решениями при управлении информационной безопасностью во взаимоотношениях с поставщиками. Примечание - Цель этого процесса состоит в том, чтобы при наличии альтернативы выбрать самый выгодный курс действий по проекту. При проведении внутренних операций по установлению этого процесса к приобретающей стороне и поставщику не предъявляются какие-либо специальные требования и не даются рекомендации информационной безопасности, которые следует учитывать (адаптирован из ИСО/МЭК 15288 [1]) | |
6.3.4 Процесс управления рисками
6.3.4.1 Задача
Для успешного управления информационной безопасностью соответствующими организациями должна быть решена следующая задача в рамках процесса управления рисками:
Приобретающая сторона | Поставщик |
a) постоянно рассматривать риски информационной безопасности во взаимоотношениях с поставщиками на протяжении всего жизненного цикла, включая периодические повторные проверки и проверки в случае значительных деловых, правовых, нормативных, архитектурных, договорных изменений и изменений в политике | |
6.3.4.2 Действия
Следующие минимальные действия должны быть выполнены для решения задачи по 6.3.4.1:
Приобретающая сторона | Поставщик |
a) определять, реализовывать, поддерживать и улучшать основы управления рисками в области информационной безопасности, которые определяют допустимость риска организации. Это может использоваться для того, чтобы определять, оценивать и трактовать риски, которые сопровождают: 1) существующие примеры приобретения или поставки продукции или услуг; 2) поставщиков или приобретающие стороны, вовлеченные в эти примеры; 3) приобретения или поставки продукции или услуг. Примечание - ИСО/МЭК 27005 [6], ИСО 31000 [7] и ИСО/МЭК 15288 [1] дают представление об управлении рисками;
b) прилагать усилия для того, чтобы основы управления рисками были определены: 1) согласно назначению организации с учетом законодательства, проводимой политики, нормативных, архитектурных и договорных требований, применимых к организации; | |
2) с учетом оценки поставщиков в связи с: i) прошлой историей, такой как предыдущие и текущие договоренности и спорная информация; ii) договорными соглашениями, такими как соглашения о взаимоотношениях с поставщиком и соглашения о неразглашении конфиденциальной информации; iii) последствиями для информационной безопасности применительно к приобретаемым продукции или услугам, включая обработанные активы приобретающей стороны, основную технологическую инфраструктуру, деловую зависимость и подключаемых субподрядчиков; iv) способностью поставщика к демонстрации уровня его зрелости в вопросах обеспечения информационной безопасности; 3) с учетом нижеприведенных аспектов при определении метода для оценки поставщиков: i) типа оценки для применения к поставщикам, такой как самооценка или независимая оценка, выполняемая третьим лицом; ii) уровня детализации и частоты выполнения оценки; | 2) с учетом оценки приобретающих сторон в связи с: i) прошлой историей, такой как предыдущие и текущие договоренности и спорная информация; ii) договорными соглашениями, такими как соглашения о взаимоотношениях с поставщиком и соглашения о неразглашении конфиденциальной информации; iii) последствиями для информационной безопасности применительно к поставляемым продукции или услугам, включая: 1. требования информационной безопасности, заданные в тендерной документации или соглашении по взаимоотношениям с поставщиками; 2. риски поставщика в области информационной безопасности, которые появляются из-за доступа приобретающей стороны к информации поставщика в случае, например, когда приобретающая сторона осуществляет контроль процесса производства у поставщика с доступом к конфиденциальной информации поставщика. |
c) применять нижеследующие способы управления рисками в области информационной безопасности: 1) классифицировать существующие случаи приобретения или поставки продукции или услуг; 2) классифицировать поставщиков или приобретающие стороны, вовлеченных в эти случаи, когда: i) определяется стратегия взаимоотношений с поставщиком или приобретающей стороной; ii) планируется приобретение или поставка продукции или услуги. Примечание - В случае, если организация сертифицирована по требованиям ИСО/МЭК 27001 [8], рекомендуется включать активы, появляющиеся от приобретения или поставки продукции или услуги, в реестр активов системы управления информационной безопасностью, чтобы гарантировать непрерывную оценку риска в области информационной безопасности и реагирование на этот риск | |
6.3.5 Процесс управления конфигурацией
Приобретающая сторона | Поставщик |
a) Если возможно, заказчик и поставщик должны установить процесс управления конфигурацией при управлении информационной безопасностью. Примечания 1 Цель этого процесса состоит в том, чтобы установить и поддерживать целостность всех идентифицированных результатов проекта или обработать и сделать их доступными заинтересованным сторонам. При проведении внутренних операций по установлению этого процесса не предъявляются какие-либо специальные требования и не даются рекомендации информационной безопасности к приобретающей стороне и поставщику, которые следует учитывать (адаптирован из ИСО/МЭК 15288 [1]). 2 При реализации процесса управления конфигурацией рекомендуется рассмотреть ИСО/МЭК 27002 [2], содержащий руководящие указания по управлению изменениями и процедурами контроля изменений | |
6.3.6 Процесс управления информацией
Приобретающая сторона | Поставщик |
a) Учитывая возможность наличия информации ограниченного доступа, приобретающая сторона и поставщик должны установить процесс управления информацией, которой можно обмениваться, с учетом ее конфиденциальности. Примечания 1 Цель процесса управления информацией состоит в том, чтобы своевременно обеспечить участвующие стороны содержательной, полной, достоверной и, если требуется, конфиденциальной информацией. При использовании этого процесса внутри организации какие-либо специальные требования и рекомендации по информационной безопасности применительно к приобретающей стороне и поставщику не предъявляются (адаптирован из ИСО/МЭК 15288 [1]). 2 Использование системы управления информационной безопасностью, созданной согласно ИСО/МЭК 27001 [8], может служить основой обеспечения адекватной информационной безопасности применительно к информационным обменам, в особенности для случаев изменений и инцидентов, происходящих непосредственно при осуществлении взаимоотношений | |
6.3.7 Процесс измерений
6.3.7.1 Задача
Для успешного управления информационной безопасностью соответствующими организациями должна быть решена следующая задача в рамках процесса измерений:
Приобретающая сторона | Поставщик |
a) собрать, проанализировать и подготовить отчет относительно необходимых мер по обеспечению информационной безопасности для приобретения или поставки продукции или услуги, чтобы продемонстрировать уровень зрелости информационной безопасности во взаимоотношениях с поставщиками и поддержать эффективное управление процессами | |
6.3.7.2 Действия
Следующие минимальные действия должны быть выполнены для решения задачи по 6.3.7.1:
Приобретающая сторона | Поставщик |
a) определять, реализовывать, поддерживать и улучшать основы измерений (оценки эффективности мер) информационной безопасности, которые могут использоваться при оценке приобретения или поставки продукции или услуги. Примечание - ИСО/МЭК 27004 [9] предоставляет руководящие указания по измерениям информационной безопасности, которые могут быть использованы для разработки и реализации определенных мер, связанных с информационной безопасностью во взаимоотношениях с поставщиками.
Следует прилагать усилия для того, чтобы основы измерений были определены согласно назначению организации с учетом законодательства, проводимой политики, нормативных, архитектурных и договорных требований, применимых к организации; b) применять действия по измерениям (оценке эффективности мер) информационной безопасности при подготовке отношений с поставщиком для согласования того, что должно быть измерено (оценено), какие показатели применять, с какой частотой проводить измерения (оценки) и формировать отчетность по измерениям, какие действия предпринимать, если значения оцениваемых показателей оказываются неудовлетворительными по установленным критериям | |
Подписаться на обновления