ГОСТ Р ИСО/МЭК 27036-2-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

Приобретающая сторона

a) создать план взаимоотношений с поставщиком, который документирует решение, принятое руководством для инициации приобретения продукции или услуги, с учетом аспектов информационной безопасности, связанных с этим приобретением

Приобретающая сторона

a) стратегия взаимоотношений с поставщиком;

b) управленческие мотивы, потребности и ожидания от приобретения продукции или услуги;

c) предполагаемая область применения продукции или услуг, которые планируется приобрести;

d) если применимо: существующая документация по управлению взаимоотношениями с поставщиком, например планы взаимоотношений с поставщиком и соглашения

Приобретающая сторона

a) выявлять и оценивать риски в части информационной безопасности, которые описывают в стратегии взаимоотношения с поставщиком и сопровождают потенциально приобретаемую продукцию или услугу, на основе системы управления рисками нарушения информационной безопасности. Приобретающая сторона должна обеспечивать оценку риска в области информационной безопасности, включая:

1) соразмерность критичности продукции или услуги, которые планируется приобретать;

2) учет правовых и нормативных ограничений, влияющих на продукцию или услугу, которые планируется приобрести, чтобы обеспечить получение официальных разрешений и лицензий до вступления в рабочие взаимоотношения с поставщиком. Следует внимательно отнестись к потенциальному воздействию продукции или услуги на информационную безопасность в отношении рисков в области информационной безопасности, связанных с существующими взаимоотношениями с поставщиком, особенно если существует высокая зависимость от поставщика;

b) определять допустимый уровень рисков, применимых к отношениям с потенциальным поставщиком;

c) определять и оценивать варианты реагирования на выявленные риски;

d) определять и реализовывать план реагирования на риски информационной безопасности (для выявленных и оцененных рисков), подлежащие снижению до допустимого уровня;

e) консультировать бизнес по вопросам оценки рисков нарушения информационной безопасности и формирования плана восстановления.

Примечание - Приобретение не должно проводиться при выявленных недопустимых рисках информационной безопасности, если они не могут быть снижены до допустимого уровня. Необходимо определить план взаимоотношений с поставщиком продукции или услуги, планируемой к приобретению, который соответствует стратегии взаимоотношений с поставщиком.

В частности, план взаимоотношений с поставщиком должен содержать следующее:

1) технические характеристики планируемой к приобретению продукции или услуги;

2) активы, такие как серверы, базы данных, приложения, сетевая инфраструктура, для которых актуально обеспечение информационной безопасности при использовании продукции или услуги, и связанные с ними владельцы;

3) классификацию информации приобретающей стороны, входные данные для классификации информации поставщика и других мер обеспечения информационной безопасности;

4) правовые и нормативные требования юрисдикции приобретающей стороны, а также области законодательства и правила, обязательные для потенциального поставщика, которые должны быть рассмотрены в процессе отбора поставщика, а именно:

i) экспортный контроль;

ii) законодательство о защите персональных данных и трудовое законодательство;

iii) интеллектуальная собственность третьих лиц;

iv) другие правовые и нормативные требования, такие как налоговое законодательство, ответственность за продукцию, полномочия по расследованию.

Если какие-либо разрешения или лицензии от внутренних или внешних органов требуются для соответствия юридическим и нормативным требованиям, они должны быть получены до вступления в рабочие взаимоотношения с поставщиком и отражены в договоре с поставщиком;

5) роли и обязанности в области информационной безопасности, возложенные на приобретающую сторону и специфичные для приобретаемой продукции или услуги;

6) информацию приобретающей стороны, которая предполагается к обмену потенциальными поставщиками продукции или услуги.

Примечание - Информация приобретающей стороны должна иметь назначенного владельца, ответственного за ее распространение, для обеспечения правильного применения при соответствующих правилах обработки;

7) минимальные требования к информационной безопасности, которые должны быть согласованы с выбранным поставщиком для приобретения продукции или услуги. Эти требования должны быть непосредственно выведены из оценки риска в области информационной безопасности и плана реагирования, а также из рамок требований к информационной безопасности, определенных в стратегии взаимоотношений с поставщиком. Эти требования также должны быть определены с учетом критичности продукции или услуги, чего можно добиться, основываясь на:

i) классификации информации, произведенной приобретающей стороной;

ii) требованиях к информационной безопасности, определенных в существующих планах взаимоотношений с поставщиком и соглашениях.

Все определенные требования должны быть классифицированы как "должны", чтобы отличать их от рекомендаций

Приобретающая сторона

a) оценка рисков информационной безопасности и план действий, связанный с продукцией или услугой, которые могут быть получены;

b) документально оформленное управленческое решение об утверждении оценки рисков в области информационной безопасности, план восстановления и решение о том, что приобретение продукции или услуги может быть инициировано. Решение не приобретать продукцию или услугу также должно быть задокументировано вместе с причинами в части информационной безопасности, которые побудили к этому решению;

c) план взаимоотношений с поставщиком