ГОСТ Р ИСО/МЭК 27036-2-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

Приобретающая сторона

Поставщик

a) поддерживать необходимый уровень информационной безопасности в течение периода исполнения взаимоотношений с поставщиком в соответствии с соглашением о взаимоотношениях с поставщиком и, в частности, учитывая следующее:

1) поставку продукции или услуги когда они были ранее использованы или изготовлены приобретающей стороной или другим поставщиком;

1) поддержку приобретающей стороны в процессе передачи продукции или услуги, когда они были ранее использованы или изготовлены приобретающей стороной или другим поставщиком;

2) обучение персонала, на которого распространяются требования информационной безопасности, определенные поставщиком в соглашении о взаимоотношениях;

3) управление изменениями и инцидентами, которые могут повлиять на информационную безопасность продукции или услуг;

4) контроль соответствия и вопросов соблюдения поставщиком обязательств по обеспечению информационной безопасности

4) поддержку приобретающей стороны в контроле соответствия и в вопросах соблюдения обязательств по обеспечению информационной безопасности

Приобретающая сторона

Поставщик

a) решение о том, кто будет выполнять мониторинг и обеспечение соблюдения требований поставщиком;

b) предыдущие результаты контроля соответствия, соблюдение поставщиком обязательств по обеспечению информационной безопасности и тенденции с течением времени

a) предыдущие результаты контроля соответствия и соблюдение обязательств по обеспечению информационной безопасности, осуществляемых приобретающей стороной по поставляемым продукции или услугам

Приобретающая сторона

Поставщик

a) убеждаться, что другая сторона получила соглашение о взаимоотношениях с поставщиком и полностью понимает содержащиеся в нем аспекты информационной безопасности;

b) осуществлять передачу продукции или услуги в соответствии с согласованным планом передачи и своевременно уведомлять другую сторону в случае возникновения непредвиденных обстоятельств во время этой деятельности;

c) управлять изменениями и инцидентами в области информационной безопасности в соответствии с согласованными процедурами;

d) регулярно обучать внутренний персонал, который может быть вовлечен в выполнение плана прекращения деятельности;

e) управлять другими изменениями (при уведомлении другой стороны), которые не подпадают под процедуру управления изменениями в области информационной безопасности и которые могут повлиять на поставку приобретаемой продукции или услуги, например такими, как:

1) изменение бизнеса, назначения или окружающей среды организации;

2) изменения, связанные с финансовыми возможностями организации;

3) изменение формы собственности организации или создание совместных предприятий;

4) изменение местоположения, из которого приобретается или поставляется продукция или услуга;

5) изменение уровня информационной безопасности организации, например получение или прекращение действия сертификата по ИСО/МЭК 27001 [8];

6) изменение способности поддерживать необходимые возможности обеспечения непрерывности бизнеса;

7) изменение правовых, нормативных и договорных требований, применимых к организации. Управление этими изменениями потребует от уведомляемой стороны выполнения следующих действий:

i) гарантий того, что риски в области информационной безопасности, связанные с данным изменением, определяются и оцениваются наряду с вариантами соответствующего реагирования на риски;

ii) гарантий того, что для выявленных и оцененных рисков в области информационной безопасности, план восстановления и снижения рисков был определен, согласован с заинтересованными сторонами и внедрен.

Примечание - Приобретение или поставка продукции или услуги должны быть прекращены, когда выявленные риски в части информационной безопасности не могут быть снижены до допустимого уровня;

iii) согласование с другой стороной изменений в договоре о взаимоотношениях с поставщиком, которые включают следующее:

1. процедура управления изменениями в части информационной безопасности;

2. порядок управления инцидентами в области информационной безопасности;

3. план прекращения договора;

8) утверждение обновленного соглашения о взаимоотношениях с поставщиком;

f) поддерживать контроль соответствия и соблюдение обязательств в мероприятиях по соответствующему плану и обработке корректирующих действий.

В случае изменений в рисках в области информационной безопасности или несоответствия по результатам аудита приобретающая сторона при поддержке поставщика должна:

1) определить и оценить последствия нарушения информационной безопасности, обусловленные этими изменениями, или несоответствия по результатам аудита;

2) определить, подлежат ли пересмотру аспекты информационной безопасности, определенные в соглашении о взаимоотношениях с поставщиком;

3) определить, какие корректирующие действия должны быть реализованы в пределах определенного и согласованного времени для извлечения приемлемого уровня информационной безопасности в рамках приобретения продукции или услуг;

f) поддерживать контроль соответствия и соблюдение обязательств в мероприятиях по соответствующему плану и обработке корректирующих действий.

Это означает, в частности, что поставщик должен:

1) утвердить выбор приобретающей стороной персонала или третьей стороны для выполнения оценки риска в области информационной безопасности или аудита для проверки соблюдения поставщиком требований соглашения о взаимоотношениях.

Примечание - Поставщик может отказаться от кандидата, предложенного приобретающей стороной, для выполнения оценки риска в области информационной безопасности или аудита;

2) оказать содействие приобретающей стороне в выполнении следующих действий, обусловленных изменениями в рисках в области информационной безопасности и по результатам аудита:

4) согласовать с поставщиком:

i) изменения, которые необходимо внести в аспекты информационной безопасности, определенные в соглашении о взаимоотношениях с поставщиком;

ii) осуществление корректирующих действий;

5) утвердить обновленное соглашение о взаимоотношениях с поставщиком

i) пересмотреть аспекты информационной безопасности, определенные в соглашении о взаимоотношениях с поставщиком;

ii) разработать корректирующие действия, которые должны быть реализованы в пределах определенного времени для продолжения предоставления приемлемой информационной безопасности (для информации и информационных систем) приобретающей стороны. Эти действия должны соответствовать процессу управления изменениями;

3) согласовать с приобретающей стороной:

i) изменения, которые необходимо внести в аспекты информационной безопасности, определенные в соглашении о взаимоотношениях с поставщиком;

ii) осуществление корректирующих действий;

4) утвердить обновленное соглашение о взаимоотношениях с поставщиком

Приобретающая сторона

Поставщик

a) оценка рисков в области информационной безопасности и аудиторские отчеты, связанные с контролем соответствия и соблюдением обязательств.

Если применимо:

b) оценка рисков в области информационной безопасности, связанных с изменениями, не охватываемыми процедурой управления изменениями в части информационной безопасности;

c) отчет о выполнении плана передачи;

d) история изменений в области информационной безопасности и связанные с ней отчеты;

e) история инцидентов в области информационной безопасности и связанные с ней отчеты;

f) подписанное обновленное соглашение о взаимоотношениях с поставщиком.

Примечание - Подписанное обновленное соглашение о взаимоотношениях с поставщиком при хранении должно быть защищено для поддержания его прослеживаемости и целостности, а также доступности и конфиденциальности;

g) перечень согласованных корректирующих действий и текущий статус (например, открыто, отозвано, выполнено)