БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 27036-2-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

7.3 Процесс соглашения во взаимоотношениях с поставщиком

7.3.1 Задача

Для успешного управления информационной безопасностью соответствующими организациями должна быть решена следующая задача в рамках процесса соглашения во взаимоотношениях с поставщиком:

 

Приобретающая сторона

Поставщик

a) установить и согласовать соглашение о взаимоотношениях с поставщиком, касающееся следующих вопросов:

1) ролей и обязанностей приобретающей стороны и поставщика в области информационной безопасности;

2) процесса передачи, когда продукция или услуга ранее эксплуатировались или производились стороной, отличной от поставщика;

3) управления изменениями в области информационной безопасности;

4) управления инцидентами в области информационной безопасности;

5) контроля соответствия и соблюдение обязательств;

6) процесса прекращения взаимоотношений с поставщиком

 

7.3.2 Входы

В процессе соглашения во взаимоотношениях с поставщиком для выполнения действий по информационной безопасности должны быть учтены следующие минимальные входы процесса:

 

Приобретающая сторона

Поставщик

a) стратегия взаимоотношений с поставщиком;

a) стратегия взаимоотношений с приобретающей стороной по тендерной документации;

b) тендерная документация приобретающей стороны;

c) ответный документ поставщика

 

7.3.3 Действия

Следующие минимальные действия должны быть выполнены для решения задач по 7.3.1:

 

Приобретающая сторона

Поставщик

a) определять с другой стороной соглашение о взаимоотношениях с поставщиком, специфичное для планируемой поставки продукции или услуги. Данное соглашение должно:

1) соответствовать тендерному документу приобретающей стороны и ответному документу поставщика. Это означает, что настоящее соглашение, в частности, должно содержать следующее:

i) требования к информационной безопасности, которые поставщик должен соблюдать;

ii) уровни обслуживания или ключевые показатели эффективности, которые должны соблюдаться во время предоставления продукции или услуги.

Примечание - Содержание договора о взаимоотношениях с поставщиком может быть получено из тендерного документа или из ответного документа;

 

2) содержать описание ролей и обязанностей в области информационной безопасности как приобретающей стороны, так и поставщика в рамках поставки продукции или услуги.

Примечание - Данные роли и обязанности должны быть возложены на компетентных лиц, регулярно проходящих необходимое обучение в сфере информационной безопасности;

 

3) содержать описание аспектов информационной безопасности субподрядных соглашений поставщика, влияющих на поставку продукции или услуги;

4) описывать процесс передачи при поставке продукции или услуги, когда она была ранее произведена или использована приобретающей стороной или другим поставщиком для обеспечения непрерывности бизнеса.

План передачи определяется путем указания требований к информационной безопасности, которым должны следовать как приобретающая сторона, так и поставщик в процессе поставки продукции или услуги. Этот план должен соответствовать требованиям к информационной безопасности высшего уровня, которые определяют в стратегиях взаимоотношений приобретающей стороны и поставщика. План передачи должен быть согласован обеими сторонами и задокументирован в соглашении о взаимоотношениях;

5) решать вопросы, связанные с обработкой изменений и инцидентов, нарушений или других событий, которые могут повлиять на информационную безопасность любой из сторон и которые затрагивают процесс поставки продукции или услуги. В таких вопросах, в частности:

i) определяется процедура управления изменениями информационной безопасности, согласованная приобретающей стороной и поставщиком, задокументированная в соглашении о взаимоотношениях с поставщиком для обеспечения необходимых изменений, которые влияют на информационную безопасность, и своевременно утверждаемая всеми сторонами;

ii) определяется процедура управления инцидентами в области информационной безопасности, согласованная приобретающей стороной и поставщиком, задокументированная в соглашении о взаимоотношениях с поставщиком для обеспечения реакции на инциденты в области информационной безопасности, возникающие во время поставки продукции или услуги. Инциденты немедленно выявляются, докладываются и расследуются с учетом требований правовых, нормативных и договорных документов.

Примечание - ИСО/МЭК 27035 [10] содержит рекомендации по управлению инцидентами в области информационной безопасности. Определение вышеуказанных процедур должно соответствовать требованиям к информационной безопасности высшего уровня, определенным в стратегиях взаимоотношений приобретающей стороны и поставщика;

 

6) указывать, как приобретающая сторона будет контролировать и обеспечивать соблюдение поставщиком установленных требований к информационной безопасности, а также как поставщик обязуется соблюдать данные требования к информационной безопасности. В частности, следующие аспекты должны быть определены и реализованы каждой из сторон и задокументированы в соглашении о взаимоотношениях:

i) для приобретающей стороны: специальный план для мониторинга и обеспечения соблюдения требований к информационной безопасности. Данный план должен описывать:

1. виды деятельности по мониторингу, такие как анализ и аудит рисков в области информационной безопасности, их периодичность выполнения и порядок представления отчетов с результатами мониторинга;

2. управление и последующее выполнение корректирующих действий, инициированных поставщиком;

ii) для поставщика: процесс идентификации, инициирования, управления, регистрации, отчетности и реализации корректирующих действий, вытекающих из результатов контроля соответствия, и соблюдение обязательств в деятельности приобретающей стороны. Этот процесс должен отвечать соответствующим требованиям к информационной безопасности высшего уровня и определяться в стратегии взаимоотношений с приобретающей стороной;

7) затрагивать вопросы интеллектуальной собственности на продукцию или услугу, которые могут быть предоставлены, и связанные с ними активы, которые будут созданы как приобретающей стороной, так и поставщиком;

8) содержать условия, при которых приобретающая сторона или поставщик вправе расторгнуть настоящее соглашение в период его действия, например из-за неспособности поставщика выполнить требования информационной безопасности, указанные в соглашении о взаимоотношениях с поставщиком. Использовать адресные штрафы, налагаемые на приобретающую сторону или поставщика в случае несоответствия требованиям информационной безопасности, оговоренным в соглашении о взаимоотношениях с поставщиком;

9) определять обязательства по информационной безопасности и требования к непрерывности услуги в отношении поставщика, ответственного за исполнение расторжения отношений. План прекращения должен быть разработан и согласован всеми заинтересованными сторонами и задокументирован в соглашении о взаимоотношениях. Определение плана прекращения должно соответствовать требованиям к информационной безопасности высшего уровня, оговоренным в стратегиях взаимоотношений всех заинтересованных сторон. В частности, план прекращения действия договора должен охватывать следующее:

i) определение требований к информационной безопасности, которым должны следовать как приобретающая сторона, так и поставщик, если было принято решение передать поставку продукции или услуги от приобретающей стороны обратно поставщику или направить другому поставщику;

ii) идентификацию активов (например, информации или информационных систем приобретающей стороны, информации или информационных систем поставщика), которые используются в рамках поставки продукции или услуги для выбора тех, которые будут:

1. возвращаться приобретающей стороне или направляться другому поставщику;

2. возвращаться поставщику;

3. уничтожаться или удерживаться приобретающей стороной или поставщиком;

iii) механизмы передачи, применяемые к активам, которые были идентифицированы для возвращения приобретающей стороне, либо направлены другому поставщику, либо возвращены поставщику;

iv) механизмы уничтожения, применяемые к активам, которые были идентифицированы как подлежащие уничтожению.

Примечание - Уничтожение может потребоваться в сроки, согласованные всеми заинтересованными сторонами или установленные действующим законодательством или постановлением уполномоченных органов. Оно может быть применено с использованием определенных механизмов защиты безопасности и согласовано как приобретающей стороной, так и поставщиком. Конкретное неразглашаемое соглашение также может быть определено и согласовано всеми заинтересованными сторонами для обеспечения защиты нераспределенных активов после прекращения взаимоотношений;

 

v) возможности для обеспечения гарантий, способных подтвердить, что уничтожение отобранных активов имело место. Гарантии должны сопровождаться свидетельством об уничтожении.

Примечание - Как покупатель, так и поставщик могут также потребовать независимой проверки того, что активы были должным образом уничтожены;

 

vi) длительность передачи с соответствующей подготовкой, которая будет проведена в случае принятия решения о передаче или поставке продукции или услуги обратно приобретающей стороне или пересылке ее другому поставщику;

vii) обязательство не разглашать конфиденциальную информацию в течение какого-то определенного периода времени после прекращения действия соглашения о взаимоотношениях;

viii) временной масштаб исполнения процедуры прекращения действия соглашения.

Примечание - Из-за последствий, связанных с безопасностью в разных организациях, различные сферы бизнеса, представляющие коммерческую, техническую и заготовительную деятельность, нуждаются в вовлечении в переговоры по соглашению о взаимоотношениях с поставщиками. Их участие в соглашении должно обеспечить учет интересов максимального количества организационных единиц, на которые оказывают влияние поставляемые продукция или услуга. Это является более комплексным подходом с точки зрения ответа на риски и проблемы в области информационной безопасности;

 

b) утверждать с другой стороной соглашение о взаимоотношениях с поставщиком

 

7.3.4 Выходные результаты

В процессе соглашения во взаимоотношениях с поставщиком следующие минимальные выходные результаты должны быть получены соответствующей стороной в итоге выполнения действий по информационной безопасности:

 

Приобретающая сторона

Поставщик

a) подписанное соглашение о взаимоотношениях с поставщиком.

Примечание - Подписанное соглашение о взаимоотношениях с поставщиком должно храниться таким образом, чтобы была обеспечена защита его прослеживаемости и целостности, а также доступности и конфиденциальности;

 

b) процедура управления изменениями информационной безопасности;

c) процедура управления инцидентами в области информационной безопасности;

d) план прекращения действия договора;

e) план передачи (если применимо).

Примечание - Общие методы обмена информацией (например, сетевое подключение, обмен сообщениями и форматы файлов, версии программного обеспечения, криптографические стандарты) также должны быть установлены для обеспечения связи между приобретающей стороной и поставщиком с надлежащей конфиденциальностью, целостностью и доступностью;

f) план и процедуры выполнения и контроля соответствия приобретающей стороны

f) процесс обработки корректирующих действий;

g) план выполнения и принятия мер по контролю соответствия

TelegramПодписаться на обновления
TOC