ГОСТ Р ИСО/МЭК 27036-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия

5.2 Виды взаимоотношений с поставщиками

5.2.1 Взаимоотношения с поставщиками продукции

Когда приобретающая сторона вступает во взаимоотношения с поставщиком продукции, она зачастую приобретает продукты с заранее оговоренными спецификациями и сроком поставки для производства собственной продукции.

У поставщика может быть доступ к информации приобретающей стороны при поставке и поддержке продукта, что в результате может привести к возникновению рисков в области информационной безопасности в отношении информации приобретающей стороны. Невыполнение требований, уязвимости в программном обеспечении и сбои в работе продуктов, а также непреднамеренное раскрытие конфиденциальной информации также могут привести к возникновению рисков в области информационной безопасности приобретающей стороны.

Для управления этими рисками в области информационной безопасности приобретающая сторона может устанавливать правила доступа поставщика к своей информации. Приобретающая сторона может также пожелать контролировать элементы производственных процессов поставщика для поддержания качества продукции и снижения рисков в области информационной безопасности, связанных с уязвимостями, неисправностями или другими нарушениями требований. Это, в свою очередь, может представлять угрозу безопасности информации для поставщика, поскольку приобретающая сторона может иметь доступ к информации поставщика в ходе управлении элементами процессов поставщика.

Кроме того, приобретающая сторона может запросить гарантии в отношении спецификации продукции путем мониторинга или аудита производственных процессов или потребовать от поставщика пройти независимую сертификацию для подтверждения наличия надлежащей практики и требуемых процессов. Данные гарантии должны быть заранее согласованы между сторонами.

5.2.2 Взаимоотношения с поставщиками услуг

Когда приобретающая сторона заказывает услуги, поставщик, как правило, имеет доступ к информации покупателя. Это создает потенциальные риски в области информационной безопасности для приобретающей стороны. В случае аутсорсинга бизнес-процессов, например маркетинга, работы колл-центра или инфраструктуры ИКТ организации, значительная часть критически важной бизнес-информации приобретающей стороны может быть передана под управление поставщика. Другие же виды услуг, как правило, имеют ограниченный доступ к информации приобретающей стороны, например, такие виды услуг, как услуги по питанию и уборке помещений.

Для предоставления некоторых услуг требуется, чтобы информация приобретающей стороны находилась в пределах его объектов, зданий и была доступна поставщику как локально, так и удаленно. Или, например, в других случаях информация приобретающей стороны размещается на сайте поставщика. Эти особые условия могут повлиять на выбор средств мер защиты информации, применимых к приобретающей стороне или поставщику. Примеры того, как расположение может повлиять на доступ поставщика к информации приобретающей стороны, представлены в таблице 2.

Приобретая услуги, заказчики должны установить правила по контролю доступа поставщика к информации приобретающей стороны. Также они могут пожелать контролировать качество услуги для снижения рисков в области информационной безопасности, включая возможность со временем отвечать требованиям по удовлетворению потребностей доступности. Соглашение об уровне обслуживания - это общий способ согласования качества обслуживания. Для поставщика данное соглашение может являться инструментом для того, чтобы ознакомить приобретающую сторону с тем, как он будет удовлетворять ее требованиям качества.

Приобретающая сторона может пожелать получить гарантии в отношении качества услуг путем мониторинга или аудита процессов предоставления услуг поставщиком или потребовать от поставщика пройти независимую сертификацию для подтверждения наличия надлежащей практики и требуемых процессов. Данные гарантии должны быть заранее согласованы между сторонами.

5.2.3 Цепь поставок ИКТ

Цепь поставок ИКТ представляет собой совокупность организаций со связанным набором ресурсов и процессов, которые формируют последовательные отношения поставщиков продукции и услуг ИКТ. Продукт или услуга ИКТ могут состоять из компонентов, ресурсов и процессов, производимых поставщиком, которые могут полностью или частично быть произведены другим поставщиком. Таким образом, все необходимые услуги ИКТ могут предоставляться несколькими поставщиками. Как показано на рисунке 1, организация в цепи поставок ИКТ является приобретающей стороной на фазе постконтроля и поставщиком на фазе предконтроля. Организацию на фазе постконтроля, расположенную рядом, часто называют заказчиком с точки зрения организации, которая предоставляет ей продукты или услуги. Заказчик в конце цепи поставок ИКТ является конечным заказчиком или потребителем. Как правило, конечный заказчик имеет ограниченный контроль над требованиями к информационной безопасности своего непосредственного поставщика и не имеет контроля над требованиями к информационной безопасности за рамками непосредственно прямого поставщика.

 

 

Рисунок 1 - Взаимоотношения с поставщиками услуг

 

Приобретающие стороны и поставщики по всей цепи поставок ИКТ наследуют риски в области информационной безопасности, связанные с отношениями отдельных поставщиков продукции и услуг (см. 5.2.1 и 5.2.2). Однако приобретающей стороне сложно управлять этими рисками в области информационной безопасности посредством передачи, мониторинга и обеспечения своей информационной безопасности по всей цепи поставок ИКТ из-за ограниченной прозрачности и ограниченного доступа к поставщикам своих поставщиков.

5.2.4 Облачные вычисления

Облачные вычисления являются формой отношений с поставщиками, в которых услуга облачных вычислений в целом может быть получена от нескольких поставщиков. Цель облачных вычислений состоит в том, чтобы предоставить услуги по вычислениям и хранению на основе служебных программ или отдельных приложений и возможностей, основанных на бизнес-требованиях, предъявляемых к масштабируемости, доступности и адаптационной способности ожидаемых услуг. В услугах облачных вычислений поставщик обычно называется поставщиком облачных услуг, а приобретающая сторона - заказчиком облачных услуг. В некоторых случаях поставщик облачных услуг делегирует управление или контроль над компонентами, ресурсами и процессами заказчику облачных услуг в среде, потенциально используемой совместно с другими заказчиками облачных услуг, обычно называемой мультитенантной облачной средой. Когда с использованием облачных вычислений формируют цепь поставок ИКТ, например, когда заказчик использует SaaS, который построен поверх IaaS, положения информационной безопасности в цепи поставок ИКТ также применимы.