ГОСТ Р ИСО/МЭК 27036-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия

5.4 Управление рисками в области информационной безопасности в отношениях с поставщиками

В отношениях с поставщиком доступ приобретающей стороны или поставщика к информации другой организации или ее обработка могут создавать риски в области информационной безопасности как для приобретающей стороны, так и для поставщика. Приобретающая сторона и поставщик оценивают риски, выбирают, внедряют и поддерживают меры защиты информации для их снижения. В контексте отношений с поставщиками эти меры состоят из:

a) тех, которые непосредственно касаются рисков нарушения информационной безопасности, связанных с доступом и обработкой информации каждой организации;

b) тех, которые касаются качества продукции и услуг поставщика, которые влияют на риски нарушения информационной безопасности приобретающей стороны или ее заказчика;

c) тех, которые направлены на обеспечение a) или b) по отношению к другой организации, например, с помощью разработки требований к управлению и отчетности, мониторинга, аудита и сертификации.

Соглашение между приобретающей стороной и поставщиком обязывает обе организации осуществлять и поддерживать эти меры.

Независимо от характера предоставляемых продукции или услуги, прозрачность информационной безопасности должна рассматриваться как важная часть установления отношений с поставщиком для обеспечения управления рисками в области информационной безопасности для информации и информационных систем приобретающей стороны. Для выявления и управления этими рисками в области информационной безопасности приобретающая сторона должна получить гарантию того, что у поставщика внедрены адекватные системы управления и меры защиты информации. В случае, если это не обсуждается, приобретающая сторона должна выбрать продукт или услугу поставщика на основе критериев, которые включают требования к управлению информационной безопасностью и меры защиты информации для предотвращения или снижения рисков до допустимого уровня.