09. Свод норм и правил управления ИБ (ISO/IEC 27002-2013). Часть 5

11. Взаимоотношения с поставщиками

Взаимоотношения с поставщиками определяют следующие составляющие:
- ИБ в отношениях с поставщиками;
- управление оказанием услуг.

11.1. ИБ в отношениях с поставщиками

Цель: Обеспечить защиту активов организации, доступных поставщикам.

ИБ при взаимоотношении с поставщиками определяют следующие составляющие:
- политика ИБ в отношениях с поставщиками;
- включение ИБ в договор с поставщиками;
- ИКТ цепочки поставок.

Политика ИБ в отношениях с поставщиками

Меры и средства: для уменьшения рисков, связанных с доступом поставщика к активам организации, должны быть согласованы с поставщиком и задокументированы требования ИБ.

Рекомендации по реализации: организация должна в политике определить и обозначить меры ИБ конкретного доступа поставщика к информации организации.

Эти меры предусматривают внедрение как организацией, так и поставщиком, процессов и процедур, включающих:

- определение и документирование типов поставщиков, например, ИТ сервисы, программы логистики, финансовые сервисы, компоненты ИТ инфраструктуры, которым организация предоставит доступ к своей информации;

- стандартный процесс и жизненный цикл управления отношениями с поставщиком;

- определение типов информационного доступа, который получат разные типы поставщиков, и мониторинг и контроль доступа;

- минимум требований ИБ к каждому типу информации и типу доступа в качестве базы для индивидуальных соглашений с поставщиком на основании бизнес-требований организации и их профиля риска;

- процессы и процедуры мониторинга соблюдения установленных требований ИБ для каждого типа поставщика и типа доступа, включая третью сторону анализа и проверки продукта;

- точность и полнота мер защиты, дающая гарантию целостности информации или ее обработки другим участником;

- типы обязательств, применимых к поставщикам для защиты информации организации;

- обработка инцидентов и непредвиденных обстоятельств, связанных с доступом поставщика, включая обязанности как организации, так и поставщиков;

- устойчивость и, при необходимости, восстановление и резервные механизмы обеспечения доступности информации или ее обработки другой стороной;

- обучение персонала организации, занимающегося покупками, применяемым политикам, процессам и процедурам;

- обучение персонала организации, взаимодействующего с персоналом поставщика, правилам сотрудничества и поведения с учетом типа поставщика и уровня его доступа к системам и информации организации;

- условия, при которых требования и меры ИБ должны быть прописаны в соглашении, подписываемом обеими сторонами;

- управление необходимыми перемещениями информации, средств ее обработки и т.п. и гарантия того, что ИБ обеспечивается на протяжении перемещения.

Информация может быть подвержена риску поставщиком при неадекватном управлении ИБ. Следует определить и применить меры защиты для администрирования доступа поставщика к средствам обработки информации. Например, если специально требуется конфиденциальность информации, то могут заключаться соглашения о неразглашении.

Другим примером являются риски защиты данных, если соглашение с поставщиком содержит передачу информации за пределы организации или удаленный доступ к ней. Организация должна быть уверена, что правовая или договорная ответственность за защиту информации остается в организации.

Включение ИБ в договор с поставщиками

Меры и средства: все соответствующие требования ИБ должны быть установлены и согласованы с каждым поставщиком, который может иметь доступ, обрабатывать, хранить, передавать информацию организации или предоставлять компоненты ИТ инфраструктуры.

Рекомендации по реализации: договоренности с поставщиком должны быть оформлены и задокументированы для гарантии того, что между организацией и поставщиком нет недопонимания своих обязательств по выполнению соответствующих требований ИБ.

Следующие условия должны быть рассмотрены на предмет включения в договор для удовлетворения определенных требований ИБ:

- описание предоставляемой или доступной информации и методов предоставления или доступа к информации;

- классификация информации в соответствии со схемой классификации организации; при необходимости, сопоставление схем классификации организации и поставщика;

- правовые и нормативные требования, включая защиту данных, интелектуальную собственность, авторские права, и описание того, как в этом удостовериться;

- обязательство каждой стороны договора по внедрению согласованного пакета мер защиты, включая контроль доступа, анализ производительности, мониторинг, уведомление и аудит;

- правила допустимого использования информации, включая, при необходимости, недопустимое использование;

- подробный список персонала поставщика, имеющего право либо доступа или получения информации организации или процедур или условий авторизации, либо удаления прав доступа или получения информации организации персоналом поставщика;

- политики ИБ, соответствующие специфике договора;

- требования и процедуры управления инцидентами (особенно уведомление и сотрудничество при реагировании на инцидент);

- осведомленность и обучение требованиям специальных процедур и требованиям ИБ, например, реагирования на инцидент или процедур авторизации;

- соответствующие нормативы для субподряда, включая внедрение необходимых мер защиты;

- договорные партнеры, включая контактное лицо для решения вопросов ИБ;

- требования по отбору персонала поставщика, включая ответственности за проведение процедур отбора и уведомления, если отбор не завершен или результаты вызвали сомнение или беспокойство;

- право аудита мер защиты и процессов поставщика, вытекающих из договора;

- процессы устранения дефекта и решения конфликта;

- обязательство поставщика периодически предоставлять независимый отчет по эффективности мер защиты и договор на своевременную коррекцию соответствующих проблем, указанных в отчете;

- обязательства поставщика выполнять требования ИБ организации.

Договора могут значительно отличаться для разных организаций и разных типов поставщика. Тем не менее, они должны содержать все соответствующие риски и требования ИБ. Договора с поставщиком могут также предусматривать наличие других сторон (например, субподрядчиков).

Процедуры продолжения работы на случай неспособности поставщика поддерживать свои продукты или сервисы в договоре следует предусмотреть для предотвращения любой задержки в организации замены продуктов или сервисов.

ИКТ цепочки поставок

Меры и средства: договора с поставщиками должны включать требования по устранению рисков ИБ, связанных с цепочками поставок продуктов и сервисов информационно-коммуникационной технологии (ИКТ).

Рекомендации по реализации. Необходимо рассмотреть следующие темы для включения в договора с поставщиком в отношении безопасности цепочки поставок:

- определить требования ИБ для покупки ИКТ продуктов или сервисов в дополнение к общим требованиям ИБ в отношениях с поставщиками;

- для ИКТ сервисов - поставщики должны распространять требования ИБ по всей цепочке поставок, даже если части предоставляемого организации сервиса обеспечиваются субподрядчиком;

- для ИКТ продуктов - поставщики должны распространять требования ИБ по всей цепочке поставок, даже если эти продукты содержат компоненты, купленные у других поставщиков;

- внедрение процесса мониторинга и допустимых методов проверки поставляемых ИКТ продуктов и сервисов на соответствие установленным требованиям безопасности;

- внедрение процесса идентификации создаваемых за пределами организации компонентов продукта или сервиса, критичных для поддержки функциональности и поэтому требующих повышенного внимания и изучения, особенно если основной поставщик передает аспекты компонентов продукта или сервиса другим поставщикам;

- уверенность в том, что критичные компоненты и их происхождение может быть отслежено по цепочке поставок;

- уверенность в том, что поставляемые ИКТ продукты функционируют как ожидалось и без каких-либо неожиданных или нежелательных особенностей;

- определение правил распространения информации о цепочке поставок и любых возможных проблемах и компромиссах среди организации и поставщиков;

- внедрение специальных процессов управления жизненным циклом ИКТ компонента и доступностью и связанными рисками безопасности. Сюда входит управление рисками компонентов, которые больше не будут доступными из-за поставщиков, больше не будут в бизнесе или у поставщиков, больше не будут предоставлять эти компоненты из-за технических достижений...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика