ГОСТ Р ИСО/МЭК 27036-2-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

Приобретающая сторона

6.1.1 Процесс приобретения

a) Разработать стратегию взаимоотношений с поставщиком, которая:

1) основывается на допустимости риска в области информационной безопасности приобретающей стороны;

2) определяет основу информационной безопасности для использования при планировании, подготовке, управлении и прекращении приобретения продукции или услуги.

6.1.2 Процесс поставки

Нет.

6.2.1 Процесс управления моделью жизненного цикла

a) Установить процесс управления моделью жизненного цикла при управлении информационной безопасностью во взаимоотношениях с поставщиком.

6.2.2 Процесс управления инфраструктурой

Обеспечить инфраструктуру с возможностью управления информационной безопасностью в пределах взаимоотношений с поставщиком.

6.2.3 Процесс управления портфелем проектов

a) Для каждого отдельного проекта из тех проектов, в которые вовлечены поставщики или приобретающие стороны, установить этот процесс для рассмотрения информационной безопасности и общих последствий и зависимостей в бизнесе.

6.2.4 Процесс управления человеческими ресурсами

a) Гарантировать, что приобретающая сторона и поставщик обеспечены необходимыми человеческими ресурсами, имеющими компетенции, которые регулярно поддерживаются и соответствуют требованиям информационной безопасности во взаимоотношениях с поставщиком.

6.2.5 Процесс управления качеством

a) Установить процесс управления качеством при управлении информационной безопасностью во взаимоотношениях с поставщиком.

6.3.1 Процесс планирования проекта

a) Установить процесс планирования проекта, направленный на обеспечение информационной безопасности во взаимоотношениях с поставщиком.

6.3.2 Процесс оценки и контроля проекта

a) Установить процесс оценки и контроля проекта при управлении информационной безопасностью во взаимоотношениях с поставщиками.

6.3.3 Процесс управления решениями

a) Установить процесс управления решением при управлении информационной безопасностью во взаимоотношениях с поставщиками.

6.3.4 Процесс управления рисками

a) Постоянно рассматривать риски информационной безопасности во взаимоотношениях с поставщиками на протяжении всего жизненного цикла, включая периодические повторные проверки и проверки в случае значительных деловых, правовых, нормативных, архитектурных, договорных изменений и изменений в политике.

6.3.5 Процесс управления конфигурацией

a) Установить процесс управления конфигурацией при управлении информационной безопасностью.

6.3.6 Процесс управления информацией

a) Установить процесс управления информацией, которой можно обмениваться, с учетом ее конфиденциальности.

6.3.7 Процесс измерений

a) Собрать, проанализировать и подготовить отчет относительно необходимых мер по обеспечению информационной безопасности для приобретения или поставки продукции или услуги, чтобы продемонстрировать уровень зрелости информационной безопасности во взаимоотношениях с поставщиками и поддержать эффективное управление процессами.

6.4.1 Процесс определения архитектуры

a) Установить технические основы для устойчивого приобретения продукции или услуги, которые удовлетворяют целям взаимоотношений с поставщиком.

7.1 Процесс планирования взаимоотношений с поставщиком

a) Создать план взаимоотношений с поставщиком, который документирует решение, принятое руководством для инициации приобретения продукции или услуги, а также аспекты информационной безопасности, связанные с этим приобретением.

7.2 Процесс отбора поставщика

a) Выбрать поставщика, который обеспечит адекватную информационную безопасность для приобретаемой продукции или услуги.

7.3 Процесс соглашения во взаимоотношениях с поставщиком

a) Установить и согласовать соглашение о взаимоотношениях с поставщиком, касающееся следующих вопросов:

1) ролей и обязанностей приобретающей стороны и поставщика в области информационной безопасности;

2) процесса передачи, когда продукция или услуга ранее эксплуатировались или производились стороной, отличной от поставщика;

3) управления изменениями в области информационной безопасности;

4) управления инцидентами в области информационной безопасности;

5) контроля соответствия и соблюдения обязательств;

6) процесса прекращения взаимоотношений с поставщиком.

7.4 Процесс управления во взаимоотношениях с поставщиком

a) Поддерживать информационную безопасность в течение периода исполнения взаимоотношений с поставщиком в соответствии с соглашением о взаимоотношениях с поставщиком и, в частности, учитывая следующее:

1) поставку продукции или услуги, когда они были ранее использованы или изготовлены приобретающей стороной или другим поставщиком;

2) обучение персонала, на которого распространяются требования информационной безопасности, определенные поставщиком в соглашении о взаимоотношениях;

3) управление изменениями и инцидентами, которые могут повлиять на информационную безопасность продукции или услуг;

4) контроль и принудительное соблюдение поставщиком обязательств с обеспечением информационной безопасности.

7.5 Процесс прекращения взаимоотношений с поставщиком

a) Защитить поставку продукции или услуги во время прекращения процесса поставки, чтобы избежать любых воздействий на информационную безопасность, правовые и регуляторные последствия после уведомления о прекращении;

b) прекратить поставку продукции или услуги в соответствии с планом

Поставщик

6.1.1 Процесс приобретения

Нет.

6.1.2 Процесс поставки

a) Установить стратегию взаимоотношений с приобретающей стороной, которая:

1) основывается на допустимости риска поставщика в области информационной безопасности;

2) определяет основы информационной безопасности для использования при планировании, подготовке, управлении и прекращении поставки продукции или услуги.

6.2.1 Процесс управления моделью жизненного цикла

a) Установить процесс управления моделью жизненного цикла при управлении информационной безопасностью во взаимоотношениях с поставщиком.

6.2.2 Процесс управления инфраструктурой

Обеспечить инфраструктуру с возможностью управления информационной безопасностью в пределах взаимоотношений с поставщиком.

6.2.3 Процесс управления портфелем проектов

a) Для каждого отдельного проекта из тех проектов, в которые вовлечены поставщики или приобретающие стороны, установить этот процесс для рассмотрения информационной безопасности и общих последствий и зависимостей в бизнесе.

6.2.4 Процесс управления человеческими ресурсами

a) Гарантировать, что приобретающая сторона и поставщик обеспечены необходимыми человеческими ресурсами, имеющими компетенции, которые регулярно поддерживаются и соответствуют требованиям информационной безопасности во взаимоотношениях с поставщиком.

6.2.5 Процесс управления качеством

a) Установить процесс управления качеством при управлении информационной безопасностью во взаимоотношениях с поставщиком.

6.3.1 Процесс планирования проекта

a) Установить процесс планирования проекта, направленный на обеспечение информационной безопасности во взаимоотношениях с поставщиком.

6.3.2 Процесс оценки и контроля проекта

a) Установить процесс оценки и контроля проекта при управлении информационной безопасностью во взаимоотношениях с поставщиками.

6.3.3 Процесс управления решениями

a) Установить процесс управления решением при управлении информационной безопасностью во взаимоотношениях с поставщиками.

6.3.4 Процесс управления рисками

a) Постоянно рассматривать риски информационной безопасности во взаимоотношениях с поставщиками на протяжении всего жизненного цикла, включая периодические повторные проверки и проверки в случае значительных деловых, правовых, нормативных, архитектурных, договорных изменений и изменений в политике.

6.3.5 Процесс управления конфигурацией

a) Установить процесс управления конфигурацией при управлении информационной безопасностью.

6.3.6 Процесс управления информацией

a) Установить процесс управления информацией, которой можно обмениваться, с учетом ее конфиденциальности.

6.3.7 Процесс измерений

a) Собрать, проанализировать и подготовить отчет относительно необходимых мер по обеспечению информационной безопасности для приобретения или поставки продукции или услуги, чтобы продемонстрировать уровень зрелости информационной безопасности во взаимоотношениях с поставщиками и поддержать эффективное управление процессами.

6.4.1 Процесс определения архитектуры

a) Установить технические основы для устойчивого приобретения продукции или услуги, которые удовлетворяют целям взаимоотношений с поставщиком.

7.1 Процесс планирования взаимоотношений с поставщиком

Нет.

7.2 Процесс отбора поставщика

a) Ответить на тендерный документ приобретающей стороны, учитывая риски в области информационной безопасности, связанные с поставляемой продукцией или услугой и выполнением требований к информационной безопасности, определенных в тендерном документе приобретающей стороны.

7.3 Процесс соглашения во взаимоотношениях с поставщиком

a) Установить и согласовать соглашение о взаимоотношениях с поставщиком, касающееся следующих вопросов:

1) ролей и обязанностей приобретающей стороны и поставщика в области информационной безопасности;

2) процесса передачи, когда продукция или услуга ранее эксплуатировались или производились стороной, отличной от поставщика;

3) управления изменениями в области информационной безопасности;

4) управления инцидентами в области информационной безопасности;

5) контроля соответствия и соблюдения обязательств;

6) процесса прекращения взаимоотношений с поставщиком.

7.4 Процесс управления во взаимоотношениях с поставщиком

a) Поддерживать необходимый уровень информационной безопасности в течение периода исполнения взаимоотношений с поставщиком в соответствии с соглашением о взаимоотношениях с поставщиком и, в частности, учитывая следующее:

1) поддержку приобретающей стороны в процессе передачи продукции или услуги, когда они были ранее использованы или изготовлены приобретающей стороной или другим поставщиком;

2) обучение персонала, на который распространяются требования информационной безопасности, определенные поставщиком в соглашении о взаимоотношениях;

3) управление изменениями и инцидентами, которые могут повлиять на информационную безопасность продукции или услуг;

4) поддержку приобретающей стороны в контроле соответствия и в вопросах соблюдения обязательств по обеспечению информационной безопасности.

7.5 Процесс прекращения взаимоотношений с поставщиком

a) Защитить поставку продукции или услуги во время прекращения процесса поставки, чтобы избежать любых воздействий на информационную безопасность, правовые и регуляторные последствия после уведомления о прекращении;

b) прекратить поставку продукции или услуги в соответствии с планом