ГОСТ Р ИСО/МЭК 27036-2-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

Приобретающая сторона

Поставщик

a) выбрать поставщика, который обеспечит адекватную информационную безопасность для приобретаемой продукции или услуги

a) ответить на тендерный документ приобретающей стороны, учитывая риски в области информационной безопасности, связанные с поставляемой продукцией или услугой и выполнением требований к информационной безопасности, определенных в тендерном документе приобретающей стороны

Приобретающая сторона

Поставщик

a) стратегия взаимоотношений с поставщиком;

b) план взаимоотношений с поставщиком.

Если применимо:

c) существующие критерии отбора поставщика, определенные для других приобретаемой продукции или услуг;

d) существующие соглашения о конфиденциальности, определенные для других приобретаемой продукции или услуг

a) стратегия взаимоотношений с приобретающей стороной;

b) соглашение о конфиденциальности с приобретающей стороной;

c) тендерный документ приобретающей стороны

Приобретающая сторона

Поставщик

a) определять и внедрять критерии отбора поставщика на основе стратегии и плана взаимоотношений с поставщиком, содержащего технические характеристики продукции или услуги, которая может быть приобретена. Критерии отбора поставщика должны охватывать следующее:

1) принятие от поставщика требований информационной безопасности, определенных в тендерной документации;

2) уровень зрелости поставщика в области информационной безопасности:

i) эта зрелость может быть определена следующим образом: обращение к поставщику с просьбой провести сертификацию по ИСО/МЭК 27001 [8] или предоставить документацию по информационной безопасности, такую как документированные и проверенные планы обеспечения непрерывности бизнеса для обеспечения способности поставщика поддерживать параллельные запросы приобретающей стороны, а также управление инцидентами и план восстановления;

3) условия, на которых поставщик разрешает проведение аудита приобретающей стороной или аудитором уполномоченной третьей стороны для выяснения соответствия определенных требований к информационной безопасности;

a) пересматривать соглашения о конфиденциальности, чтобы убедиться в том, что оно защищает активы поставщика, такие как информация и информационные системы, передаваемые в процессе отбора поставщика. При отсутствии соглашения о конфиденциальности, предложенного приобретающей стороной, поставщик должен представлять свое собственное соглашение о конфиденциальности приобретающей стороне перед любым дальнейшим обменом информационными активами, которые могут повлиять на продукцию или услугу в процессе поставки.

Примечание - Для подготовки соглашения о конфиденциальности для поставляемой продукции или услуги следует в качестве основы использовать существующие соглашения о конфиденциальности;

b) приходить к согласию и подписывать соглашение о конфиденциальности приобретающей стороны;

c) получать тендерную документацию приобретающей стороны;

d) подтверждать, что разработка и поставка продукции или услуги будут следовать принятым деловым и техническим стандартам;

4) возможность передачи, когда продукция или услуга, которая может быть приобретена, была ранее произведена или применена приобретающей стороной или другим поставщиком;

5) отмена принятия (продукции или услуги) для соблюдения информационной безопасности в случае расторжения договора о взаимоотношениях с поставщиком;

6) управление возможностями поставщика для поставки продукции или услуги;

7) финансовые возможности поставщика, который может поставлять продукцию или услугу;

8) место нахождения поставщика, откуда продукция или услуга будут поставлены. Особое внимание следует уделять выявлению этих требований для того, чтобы:

i) определить любые потенциальные риски, связанные с правовыми и нормативными актами, вызванными разницей в законах и нормативных актах между приобретающей стороной и поставщиком.

Примечание - Расследования, связанные с иностранным законодательством, должны быть выполнены в случае перекрестной юрисдикции;

e) определять и оценивать риски в области информационной безопасности, которые сопровождают потенциальное предложение продукции или услуги, основанное на системе управления рисками в области информационной безопасности и стратегии взаимоотношений с приобретающей стороной;

f) предпринимать меры, гарантирующие, что потенциальная поставка продукции или услуги также не приведет к увеличению рисков информационной безопасности, связанных с существующими бизнес-процессами и взаимоотношениями с поставщиком. Определять допустимый уровень риска для поставки продукции или услуги;

g) определять и оценивать варианты реагирования на выявленные и оцененные риски;

h) разрабатывать и реализовывать план обеспечения информационной безопасности при реагировании на риски для выявленных и оцененных рисков, которые были выбраны для снижения до допустимого уровня риска.

Примечание - Поставка не должна иметь место при выявлении недопустимых рисков в области информационной безопасности, которые не могут быть сведены к допустимому уровню;

ii) обеспечить, чтобы правовые и нормативные обязательства поставщика не могли негативно повлиять на поставщика по соглашению о взаимоотношениях в части информационной безопасности;

iii) оценить угрозы со стороны окружающей среды, например уровень преступности на местном уровне или геополитические проблемы, и потенциал их воздействия.

Примечание - При определении и внедрении критериев отбора поставщика приобретаемой продукции или услуги могут также использоваться существующие критерии отбора поставщика, применяемые для другой продукции или услуги;

b) подготавливать соглашение о конфиденциальности для защиты активов приобретающей стороны (таких, как информация и информационные системы), передаваемых во время выполнения процесса отбора поставщика.

Примечания

1 При необходимости соглашение о конфиденциальности должно быть подписано приобретающей стороной и потенциальным поставщиком перед любым обменом информацией, касающейся приобретаемой продукции или услуги.

2 Существующие соглашения о конфиденциальности следует использовать в качестве основы для подготовки соглашения о конфиденциальности, касающегося приобретаемой продукции или услуги;

i) анализировать требования к информационной безопасности, определенные в тендерной документации для:

1) обеспечения соответствия этим требованиям;

2) определения того, что еще необходимо для обеспечения информационной безопасности и должно быть реализовано для разрешения проблем. Необходима оценка ресурсов (например, финансовых) для реализации этих мер и подтверждения того, что поставщик в состоянии удовлетворить требованиям тендерной документации;

j) пересматривать условия, в соответствии с которыми будет проводиться анализ приобретающей стороной или уполномоченным лицом третьей стороны для установления соответствия определенным требованиям в части информационной безопасности со стороны приобретающей стороны;

k) принимать решение об ответе на тендерный документ, основываясь на:

1) оценке риска информационной безопасности поставщика и плана восстановления, связанных с потенциальным предложением по продукции или услуге;

2) недостатках, которые необходимо устранить, чтобы удовлетворить требованиям к информационной безопасности, определенным в тендерной документации;

l) назначать лицо, ответственное за интеграцию в обеспечение надлежащей информационной безопасности, которое решает вопросы по требованиям и критериям информационной безопасности

c) подготавливать и представлять тендерную документацию потенциальным поставщикам. Тендерный документ составляется на основании плана взаимоотношений с поставщиком и должен содержать достаточную информацию. Поставщик в ответ должен подготовить свое предложение с обоснованием.

В частности, тендерный документ должен содержать следующее:

1) технические характеристики (например, объем, потребители, тип и характер) продукции или услуги;

2) требования к информационной безопасности, которым поставщик должен следовать при поставке продукции или услуги;

3) уровни обслуживания или ключевые показатели эффективности, которым поставщик должен следовать при поставке продукции или услуги;

4) потенциальные штрафы, которые могут быть наложены приобретающей стороной в случае несоблюдения требований информационной безопасности.

Примечание - Насколько это возможно, тендерный документ должен содержать только публичную или рассекреченную информацию;

d) осуществлять сбор документов, которые были переданы потенциальными поставщиком в ответ на тендерную документацию, и оценку их на основе критериев отбора поставщика.

Примечание - Для приобретения нестандартных услуг приобретающей стороне следует проверить, что управление, меры обеспечения информационной безопасности, уровни их реализации и обслуживания, предоставляемые поставщиком, соответствуют критериям отбора поставщика;

e) осуществлять выбор поставщика на основе оценки ответных документов.

Примечание - Приобретающей стороне следует предпочесть поставщика, который обеспечивает максимальную прозрачность по всем цепям поставок продукции или услуг и предоставляет гарантии того, что требования к информационной безопасности приобретающей стороны, определенные в тендерной документации, и условия будут выполнены

Приобретающая сторона

Поставщик

a) критерии отбора поставщика;

b) соглашение о конфиденциальности;

c) тендерная документация;

d) результаты оценки ответных документов;

e) выбор приобретающей стороной потенциального поставщика, который соответствует критериям отбора поставщика.

a) при необходимости - соглашение о конфиденциальности, подписанное приобретающей стороной;

b) ответный документ на тендерную документацию приобретающей стороны;

c) план реагирования на риски