ГОСТ Р ИСО/МЭК 27036-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия

Введение

 

Серия ИСО/МЭК 27036 состоит из следующих частей под общим названием "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками".

- часть 1. Обзор и основные понятия;

- часть 2. Требования;

- часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий;

- часть 4. Рекомендации по обеспечению безопасности облачных услуг.

Большинство (если не все) организации во всем мире, независимо от их размера или ключевых сфер деятельности, взаимодействуют с различными видами поставщиков продукции и услуг.

Такие поставщики могут иметь или прямой, или косвенный доступ к информации и информационным системам приобретающей стороны, либо предоставлять элементы (программное обеспечение, аппаратные средства, процессы или человеческие ресурсы), которые будут задействованы в процессе обработки информации. У приобретающей стороны может также быть физический и/или логический доступ к информации поставщика, когда они осуществляют мониторинг или контролируют процессы производства и поставки от поставщика.

Таким образом, приобретающая сторона и поставщики могут являться друг для друга источником рисков в области информационной безопасности. Эти риски должны оцениваться и рассматриваться как организациями-получателями, так и организациями-поставщиками посредством надлежащего управления информационной безопасностью и реализацией соответствующих мер защиты информации. В большинстве случаев организации принимали международные стандарты ИСО/МЭК 27001 и/или ИСО/МЭК 27002 для управления своей информационной безопасностью. Эти международные стандарты должны также быть приняты при управлении в отношениях с поставщиками для осуществления эффективного контроля рисков в области информационной безопасности, свойственных этим отношениям.

Настоящий стандарт содержит дополнительные подробные указания по реализации мер защиты информации, касающихся отношений с поставщиками, которые описаны в ИСО/МЭК 27002 в качестве общих рекомендаций <1>.

--------------------------------

<1> Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

 

Отношения с поставщиками в контексте настоящего стандарта включают в себя любое отношение с поставщиком, которое может иметь последствия для информационной безопасности, например, информационные технологии, медицинские услуги, услуги по уборке помещений, консультационные услуги, партнерские отношения в области НИОКР (R&D), аутсорсинговые приложения или услуги облачных вычислений (такие как программное обеспечение, платформа или инфраструктура как услуга).

Как поставщик, так и приобретающая сторона должны нести равную ответственность чтобы достичь поставленных целей в отношениях поставщика с приобретающей стороной и адекватно реагировать на риски в области информационной безопасности, которые могут возникнуть. Ожидается, что обе стороны будут выполнять требования и инструкции настоящего стандарта. Кроме того, для поддержания отношений поставщика с приобретающей стороной должны быть реализованы основные процессы (например, управление, управление бизнесом, оперативное управление и управление персоналом). Эти процессы обеспечат поддержку с точки зрения информационной безопасности, а также достижение бизнес-целей.