ГОСТ Р ИСО/МЭК 27036-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия
5.3 Риски в области информационной безопасности в отношениях с поставщиками и связанные с ними угрозы
Риски в области информационной безопасности в отношениях с поставщиками являются поводом для беспокойства не только для покупателя и поставщика, но и для заказчиков и других заинтересованных сторон. Это вопрос доверия к предпринимательской деятельности в обществе. Как поставщик, так и приобретающая сторона должны учитывать изначальные и остаточные риски в области информационной безопасности, связанные с установлением отношений с поставщиком.
Приобретающая сторона и поставщик несут равную ответственность за обеспечение надежности своего соглашения и за управление рисками в области информационной безопасности, которое включает в себя установление определенных ролей и ответственности за информационную безопасность и осуществление мер защиты информации.
Каждое отношение поставщика внутри организации устанавливаются с определенной целью. Число таких отношений, вероятно, будет расти с течением времени, что приведет к тому, что эти отношения не будут полностью управляться или контролироваться стороной, приобретающей услуги. В частности, крупные организации, как правило, имеют значительное число отношений с поставщиками, которые были установлены различными внутренними организациями с использованием различных процессов и договоренностей. Многие из этих связей имеют расширенные цепи поставок с несколькими уровнями. Эта множественность может привести к тому, что организации будет все труднее обеспечить надлежащее устранение рисков в области информационной безопасности, создаваемых такими отношениями с поставщиками.
Поставка и поддержка продукции или услуги может зависеть либо от передачи приобретающей стороны, либо от передачи поставщиком информации и/или информационных систем другой стороне. Эта информация должна быть надлежащим образом защищена путем заключения соглашения между приобретающей стороной и поставщиками. В этом соглашении должен быть определен взаимоприемлемый комплекс мер защиты информации и ответственности за его осуществление. Отсутствие такого соглашения может повлиять на информационную безопасность приобретающей стороны или поставщика из-за:
a) различных методов управления информационной безопасностью у приобретающей стороны и поставщика, пренебрежения отдельными видами рисков и соблюдения сложившейся практики или различных культурных традиций или организационных отношений, приводящих к несоответствию требований и мер безопасности приобретающей стороны и поставщика;
b) доверия к услугам и возможностям поставщика, разрабатываемым для обеспечения соответствия собственным требованиям к информационной безопасности приобретающей стороны, приводящего к непредусмотренной зависимости при управлении;
c) конфликтующих между собой или различных средств контроля информационной безопасности приобретающей стороны и поставщика, которые препятствуют или ослабляют информационную безопасность другой стороны.
Отношения с поставщиками могут создавать ряд рисков в области информационной безопасности как для приобретающей стороны, так и для поставщиков. Ниже приведены примеры таких рисков, которые следует учитывать на протяжении всего жизненного цикла отношений с поставщиком - от стадии планирования до стадии завершения:
a) отсутствие или слабая система управления:
1) приобретающая сторона теряет контроль над тем, как хранится, обрабатывается, передается, создается, изменяется и уничтожается информация;
2) поставщики, если запрет на это не оговорен в соглашении, могут передать часть ресурсов и процессов на аутсорсинг другому поставщику, тем самым уменьшая или ограничивая контроль приобретающей стороны и потенциально подвергая ее дополнительным рискам;
b) отсутствие достаточной коммуникации и недопонимание:
1) меры защиты информации, введенные поставщиком, не учитывают риски, выявленные приобретающей стороной, в результате чего последний становится уязвимым к рискам, которые, как предполагается, должны рассматриваться и управляться поставщиком;
2) требования приобретающей стороны к конфиденциальности, целостности и доступности не могут быть должным образом доведены до сведения поставщика и, следовательно, не соблюдаются надлежащим образом;
3) требования, касающиеся доступности/обеспечения непрерывности бизнеса для информации или информационных систем, которые поддерживают своевременную поставку товаров или услуг поставщиком приобретающей стороне, не могут быть определены, что приводит к перебоям в поставках;
4) поставщики не выделяют достаточных ресурсов, включая квалифицированный персонал, для защиты информации приобретающей стороны.
c) географические, социальные и культурные различия:
1) приобретающая сторона непреднамеренно нарушает законодательство или нормативные акты, что наносит ущерб репутации и приводит к финансовым штрафам;
2) ссылка на закон или стандарт в качестве требования в договоре допускает неверное истолкование приобретающей стороной и поставщиком, что приводит к спору;
3) услуга предоставляется в месте или неизвестном, или не разрешенном приобретающей стороной, что приводит к нарушению соблюдения нормативных требований.
Определенные риски в области информационной безопасности для информации и информационных систем приобретающей стороны и/или поставщика могут быть напрямую связаны с недостаточной осведомленностью о контроле, ответственности и подотчетности. Такие риски могут быть применимы к поставкам как продукции, так и услуг. В таблице 1 приведены примеры рисков в области информационной безопасности, связанных с приобретением продуктов. Риски в области информационной безопасности, связанные с услугами, обычно обусловлены доступом поставщиков к информации или информационным системам. В таблице 2 приведены примеры рисков, связанных с доступом поставщика к информации и информационным системам приобретающей стороны.
Таблица 1
Пример рисков в области информационной безопасности
при приобретении продуктов
N | Тип | Описание |
1 | Функция защиты информации | В случае, если поставляемые продукты имеют уязвимость, то производные продукты, услуги или процессы приобретающей стороны будут также уязвимы |
2 | Качество | Низкое качество поставляемой продукции может привести к ослаблению информационной безопасности производных продуктов, услуг и процессов приобретающей стороны |
3 | Права на интеллектуальную собственность | Неидентифицированные права на интеллектуальную собственность могут впоследствии вызвать спор в отношении производных продуктов или услуг приобретающей стороны |
4 | Подлинность | В случае поставки поддельных или "пиратских" продуктов, ожидания приобретающей стороны относительно функций информационной безопасности, а также качества и идентификации прав интеллектуальной собственности, находятся под угрозой в связи с вероятностью возникновения проблемы информационной безопасности и утраты доверия к деловым отношениям |
5 | Гарантии, доверие | Без обеспечения надлежащих характеристик информационной безопасности, качества продукции и идентификации прав интеллектуальной собственности и подлинности приобретающая сторона не может быть уверена в надежности продукции поставщика |
Таблица 2
Пример рисков в области информационной безопасности
при приобретении услуг
N | Тип | Описание | Примеры использования |
1 | Физический доступ на объекте | Поставщик имеет физический доступ к средствам обработки информации приобретающей стороны, но не имеет логического доступа | Услуги охраны, доставки, уборки или технического обслуживания оборудования |
2 | Доступ к информации и информационным системам на объекте | Персонал поставщика находится на месте и имеет логический доступ к информации и информационным системам приобретающей стороны, посредством использования оборудования последней | Аутсорсинговая экспертиза, проводимая на месте и интегрированная в команду приобретающей стороны |
3 | Удаленный доступ к внутренней информации и информационным системам | Поставщик имеет удаленный доступ к информации и информационным системам приобретающей стороны | Деятельность по удаленной разработке и техническому обслуживанию, удаленное управление информационными системами и оборудованием, логистика, работа колл-центра, автоматизированные системы управления объектами |
4 | Обработка информации за пределами объекта | Информация, находящаяся под ответственностью приобретающей стороны, обрабатывается поставщиком за пределами объекта, с использованием приложений и систем, находящихся под контролем и управлением поставщика | Консалтинг (маркетинговые исследования, стимулирование сбыта, технические исследования и др.), обработка информации, НИОКР, производство, хранение и архивирование, служба приложений, Бизнес-процесс как Услуга (BPaaS), такие как туристические или финансовые услуги, инфраструктура как услуга (IaaS) или Программное обеспечение как Услуга (SaaS) |
5 | Удаленные приложения | Приложения, управляемые приобретающей стороной, работают под управлением PaaS или IaaS | Поставщики платформы как услуги (PaaS), если поставщик предоставляет платформу разработки, или поставщики IaaS, если поставщик предоставляет сетевые, вычислительные и услуги хранения |
6 | Оборудование за пределами объекта | Оборудование, предназначенное для приобретающей стороны, и которая является его собственником, размещается за пределами объекта, на сайте поставщика | Информационные системы или оказываемая как услуга инфраструктура (IaaS) за пределами объекта |
7 | Хранение информации за пределами объекта | Приобретающая сторона передает хранение информации поставщику на аутсорсинг для хранения ее за пределами объекта или для архивирования | Использование службы хранения для поддержания резервных копий информации, генерируемой внутренней обработкой информации |
8 | Депонирование исходного кода | Услуги, связанные с артефактами поставщика, используемыми приобретающей стороной, депонируются доверенной третьей стороной и предоставляются приобретающей стороне при определенных обстоятельствах | Исходный код хранится независимой третьей стороной для поддержания полезности программного обеспечения приобретающей стороной в случае, если поставщик программного обеспечения выходит из бизнеса |
Подписаться на обновления