ГОСТ Р ИСО/МЭК 27036-2-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

Приобретающая сторона

Поставщик

a) защитить поставку продукции или услуги во время прекращения процесса поставки, чтобы избежать любых воздействий на информационную безопасность, правовые и регуляторные последствия после уведомления о прекращении;

b) прекратить поставку продукции или услуги в соответствии с планом

Приобретающая сторона

Поставщик

a) управленческое решение приобретающей стороны или поставщика прекратить поставку продукции или услуги;

b) последняя доступная версия соглашения о взаимоотношениях с поставщиком, которая должна содержать план прекращения.

Если применимо:

c) существующие соглашения о неразглашении информации, заключенные с поставщиком

Приобретающая сторона

Поставщик

a) уточнить у стороны, принявшей решение прекратить поставку продукции или услуги, каковы мотивы (в части информационной безопасности), стоящие за этим решением. Если таковые имеются, сторона, уведомляемая о прекращении поставки продукции или услуги, должна выполнить следующие действия:

1) выявить и оценить риски в части информационной безопасности, связанные с заданными мотивациями в области информационной безопасности, наряду с вариантами соответствующего реагирования;

2) обеспечить, чтобы план реагирования на выявленные и оцененные риски, подлежащие снижению уровня информационной безопасности, был разработан и реализован.

Примечание - Если требуется внезапное прекращение поставки, должен быть активирован план непрерывности бизнеса в зависимости от важности поставки продукции или услуги, в отношении которой было принято решение о ее прекращении;

b) принять решение с поставщиком, должна ли быть отменена поставка продукции или услуг, передается ли она обратно приобретающей стороне или другому лицу;

c) определить и реализовать коммуникационный план для информирования внутреннего персонала и третьих сторон, вовлеченных в поставку продукции или услуги, о прекращении поставки;

d) назначить лицо, ответственное за прекращения поставки продукции или услуги, в соответствии с планом прекращения;

e) обеспечить своевременную инвентаризацию активов, которые используются в рамках поставки продукции или услуги;

f) выбрать и согласовать с другой стороной активы, которые будут:

1) возвращены приобретающей стороне или направлены другому поставщику;

2) возвращены поставщику;

3) уничтожены или удержаны приобретающей стороной или поставщиком;

g) оформить прекращение поставки продукции или услуги в соответствии с планом прекращения действия договора;

h) убедиться, что логические и физические права доступа, которые были необходимы для поставки продукции или услуги и предоставлены другой стороне для доступа и обработки внутренних активов, своевременно удалены;

i) прийти к согласию с другой стороной о завершающей поставке или прекращении действий по поставке продукции или услуг

Приобретающая сторона

Поставщик

a) коммуникационный план, связанный с прекращением поставки продукции или услуги;

b) назначение лица, ответственного за прекращение поставки продукции или услуги;

c) актуализированная инвентаризация активов, используемых в рамках поставки продукции или услуги;

d) отчет о выполнении плана прекращения поставки.

Если применимо:

e) план оценки и реагирования на риски в части информационной безопасности, связанные с прекращением поставки продукции или услуги;

f) отчет о выполнении плана передачи;

g) свидетельства об уничтожении активов;

h) отчет о выполнении удаления логических и физических прав доступа