БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 27036-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия

6.4 Обзор части 3: Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий

В отношениях поставщик - приобретающая сторона приобретаемые продукция или услуги ИКТ, не обязательно должны быть произведены или эксплуатироваться исключительно поставщиком. Например, продукт часто содержит детали, изготовленные другими поставщиками и предоставленные поставщику в качестве косвенных отношений с приобретающей стороной. Или, например, служба обработки информации может быть построена на других службах обработки информации в качестве базовой инфраструктуры. Так, у поставщика есть соглашение с другим поставщиком на обслуживание оборудования, хранение резервных копий вовне или даже на весь процесс резервного копирования, отданный на аутсорсинг. Таким образом, цепь поставок ИКТ формируется последовательными отношениями поставщиков с присущими им взаимозависимостями.

В цепи поставок управление обеспечением информационной безопасностью и контроль, осуществляемый поставщиком в непосредственных отношениях с приобретающей стороной, не всегда достаточны для управления рисками в области информационной безопасности продукции или услуги. Управление приобретающей стороной продуктом или услугой косвенного поставщика (который является поставщиком поставщика) может иметь важное значение для обеспечения информационной безопасности: для этого необходима прозрачность в цепи поставок.

И наоборот, поставщики могут также испытывать повышенные риски в области информационной безопасности, вызванные взаимосвязанностью систем приобретающей стороны и поставщика, которая иногда является результатом цепи поставок ИКТ. Например, покупатель может потребовать полного (инвазивного) аудита систем поставщика, что может привести к доступу покупателя к интеллектуальной собственности поставщика.

Часть 3 ИСО/МЭК 27036 содержит руководящие принципы для приобретающих сторон и поставщиков по управлению рисками в области информационной безопасности, связанными с цепью поставок продукции и услуг ИКТ. Он основывается на требованиях, изложенных в части 2, и содержит дополнительные методы, дополняющие требования высокого уровня, содержащиеся в части 2.

TelegramПодписаться на обновления
TOC