БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 27036-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия

5.5 Рассмотрение цепи поставок ИКТ

Принятие приобретающей стороной продукции, поставки и эксплуатации продукции и услуг поставщика должно основываться на критериях, обеспечивающих уровень информационной безопасности, который приобретающая сторона желает иметь в своей организации. Они могут включать в себя любое из следующих действий:

- управление рисками политической, правовой и информационной безопасностью, связанными с местной средой, которые влияют на информационную безопасность приобретающей стороны, включая непрерывность информации, информационных систем и услуг;

- обеспечение конфиденциальности информации физических и электронных документов и другой информации, относящейся к поставляемым продуктам и услугам;

- обеспечение целостности материалов и элементов для обеспечения надлежащего обращения, т.е. уникальная маркировка и защитные обозначения;

- обеспечение целостности программного обеспечения или другой электронной информации, относящейся к поставляемому продукту или услуге, чтобы гарантировать, что она не скомпрометирована, т.е. имеются криптографические хэш-функции или цифровые водяные знаки;

- управление физической безопасностью объектов, с которых осуществляется поставка продукции и услуг;

- управление информационной безопасностью, относящейся к любому аспекту деятельности поставщиков, взаимодействию поставщиков с поставщиками и взаимодействию поставщиков с другими приобретающими сторонами.

Для надлежащего управления информационной безопасностью в отношениях с поставщиками по всей цепи поставок ИКТ приобретающей стороне следует принять систему, включающую следующий набор стандартизированных общеорганизационных процессов приобретения продукции и услуг:

a) установить требования к информационной безопасности и соблюдению требований для безопасного обмена или совместного использования информации и информационных систем;

b) до момента приобретения оценить и контролировать риски в области информационной безопасности, связанные с цепью поставок;

c) установить процесс переговоров или повторных переговоров по соглашению о цепи поставок ИКТ или соглашениям, включающим требования к информационной безопасности и соблюдению требований, включая условия для осуществления права на аудит и ограничения поставщиков на фазе постконтроля на всех многочисленных уровнях цепи поставок ИКТ;

d) постоянно контролировать и отчитываться о работе поставщиков в рамках цепи поставок ИКТ, соблюдая требования информационной безопасности и соответствия, особенно в результате изменения отношений с поставщиком.

Эта структура должна быть гибкой, чтобы обеспечить возможность заключения целого ряда соглашений о цепи поставок ИКТ, которые могут быть адаптированы с учетом характера приобретаемых продукции или услуги и рисков, которые они, как ожидается, создадут.

TelegramПодписаться на обновления
TOC