Information technology. Security techniques. Information security for supplier relationships. Part 1. Overview and concepts
ОКС 35.040
Дата введения - 30 ноября 2021 г.
Введен впервые
Предисловие
1 Подготовлен Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН); Акционерным обществом "Научно-производственное объединение "Эшелон" (АО "НПО Эшелон") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 Внесен Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 418-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27036-1:2014 "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия" (ISO/IEC 27036-1:2014 "Information technology. Security techniques. Information security for supplier relationships. Part 1: Overview and concepts", IDT).
ИСО/МЭК 27036-1 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт, сведения о котором приведены в дополнительном приложении ДА
5 Введен впервые
6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав
Введение
Серия ИСО/МЭК 27036 состоит из следующих частей под общим названием "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками".
- часть 1. Обзор и основные понятия;
- часть 2. Требования;
- часть 3. Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий;
- часть 4. Рекомендации по обеспечению безопасности облачных услуг.
Большинство (если не все) организации во всем мире, независимо от их размера или ключевых сфер деятельности, взаимодействуют с различными видами поставщиков продукции и услуг.
Такие поставщики могут иметь или прямой, или косвенный доступ к информации и информационным системам приобретающей стороны, либо предоставлять элементы (программное обеспечение, аппаратные средства, процессы или человеческие ресурсы), которые будут задействованы в процессе обработки информации. У приобретающей стороны может также быть физический и/или логический доступ к информации поставщика, когда они осуществляют мониторинг или контролируют процессы производства и поставки от поставщика.
Таким образом, приобретающая сторона и поставщики могут являться друг для друга источником рисков в области информационной безопасности. Эти риски должны оцениваться и рассматриваться как организациями-получателями, так и организациями-поставщиками посредством надлежащего управления информационной безопасностью и реализацией соответствующих мер защиты информации. В большинстве случаев организации принимали международные стандарты ИСО/МЭК 27001 и/или ИСО/МЭК 27002 для управления своей информационной безопасностью. Эти международные стандарты должны также быть приняты при управлении в отношениях с поставщиками для осуществления эффективного контроля рисков в области информационной безопасности, свойственных этим отношениям.
Настоящий стандарт содержит дополнительные подробные указания по реализации мер защиты информации, касающихся отношений с поставщиками, которые описаны в ИСО/МЭК 27002 в качестве общих рекомендаций 1).
------------------------------
1)Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.
------------------------------
Отношения с поставщиками в контексте настоящего стандарта включают в себя любое отношение с поставщиком, которое может иметь последствия для информационной безопасности, например, информационные технологии, медицинские услуги, услуги по уборке помещений, консультационные услуги, партнерские отношения в области НИОКР (R&D), аутсорсинговые приложения или услуги облачных вычислений (такие как программное обеспечение, платформа или инфраструктура как услуга).
Как поставщик, так и приобретающая сторона должны нести равную ответственность чтобы достичь поставленных целей в отношениях поставщика с приобретающей стороной и адекватно реагировать на риски в области информационной безопасности, которые могут возникнуть. Ожидается, что обе стороны будут выполнять требования и инструкции настоящего стандарта. Кроме того, для поддержания отношений поставщика с приобретающей стороной должны быть реализованы основные процессы (например, управление, управление бизнесом, оперативное управление и управление персоналом). Эти процессы обеспечат поддержку с точки зрения информационной безопасности, а также достижение бизнес-целей.
1 Область применения
Настоящий стандарт является вводной частью ИСО/МЭК 27036. В ней содержится обзор руководящих положений, призванных помочь организациям в обеспечении безопасности их информации и информационных систем в контексте отношений с поставщиками. В настоящем стандарте также вводятся понятия, которые подробно описаны в других частях ИСО/МЭК 27036. В настоящем стандарте рассматриваются возможности как приобретающей стороны, так и поставщиков.
2 Нормативные ссылки
В настоящем стандарте использована нормативная ссылка на следующий стандарт. Для датированной ссылки применяют только указанное издание ссылочного стандарта, для недатированной - последнее издание (включая все изменения):
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:
3.1
приобретающая сторона (acquirer): Заинтересованная сторона, которая приобретает у поставщика продукт или услугу.
Примечание - Приобретение может включить или не включать обмен денежными средствами.
[ИСО/МЭК 15288:2008, 4.1, изменено - Исходное примечание было удалено, слово "получает", было удалено из определения, и было добавлено примечание] |
3.2
приобретение (acquisition): Процесс получения продукта или услуги. [ИСО/МЭК 15288:2008, 4.2, изменено - слово "система", было удалено] |
3.3
соглашение (agreement): Обоюдное подтверждение сроков и условий, согласно которым осуществляются рабочие отношения. [ИСО/МЭК 15288:2008, 4.4] |
3.4
жизненный цикл (life cycle): Развитие системы, продукта, услуги, проекта или иного рукотворного объекта от стадии замысла до момента прекращения его использования. [ИСО/МЭК 15288:2008, 4.11] |
3.5
фаза постконтроля (downstream): Погрузочно-разгрузочные работы, процессы и перемещение, когда продукты и услуги в цепи поставок находятся вне сферы контроля этой организации. [ИСО 28001:2007, 3.10, изменено - слово "товары" было заменено на "продукты и услуги" с целью заострить внимание на данном определении] |
3.6 аутсорсинг (outsourcing): Приобретение услуг (с или без продуктов) в поддержку бизнес-функции для осуществления деятельности с использованием ресурсов поставщика, а не приобретающей стороны.
3.7
процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы. [ИСО 9000:2005, 3.4.1, изменено - примечания были удалены] |
3.8 заинтересованная сторона (stakeholder): Физическое лицо или организация, заинтересованные в активах при отношениях с поставщиком.
Примечание - В целях настоящего стандарта актив является информацией, связанной с продуктами и услугами.
3.9
поставщик (supplier): Организация или физическое лицо, которое заключает соглашение с приобретающей стороной по предоставлению продукта или услуги.
Примечания 1 Другими терминами, обычно используемыми для обозначения поставщика являются: подрядчик, производитель, торговец или продавец. 2 Приобретающая сторона и поставщик могут являться частью одной и той же организации. 3 Типы поставщиков включают в себя те организации, которые допускают заключение соглашений с приобретающей стороной и те, которые этого не допускают. Например, таких как пользовательское соглашение, условия использования, или использование продуктов с открытым исходным кодом, защищенных авторским правом или результатов интеллектуальной деятельности.
[ИСО/МЭК 15288:2008, 4.30, изменено - Добавлено примечание 3] |
3.10 взаимоотношение с поставщиком (supplier relationship): Одно соглашение или несколько соглашений между приобретающей стороной и поставщиками о ведении бизнеса, поставке продуктов или услуг и получении коммерческой выгоды.
3.11
цепь поставок (supply chain): Совокупность организаций со взаимосвязанным набором ресурсов и процессов, каждая из которых выступает в качестве приобретающей стороны, поставщика или одновременно в качестве обеих сторон, для формирования последовательных отношений с поставщиками, установленных при размещении заказа на поставку, заключения договора или другого официального контракта на поставку.
Примечания 1 Цепь поставок может включать в себя продавцов, производственное оборудование, логистических провайдеров, внутренние распределительные центры, дистрибьюторов, оптовиков и другие организации, участвующие в производстве, обработке, транспортировке и доставке грузов и связанных с ними услуг. 2 Вид цепи поставок рассматривается с позиции приобретающей стороны.
[ИСО 28001:2007, 3.24, изменено - определение было изменено, чтобы в большей степени сфокусироваться на организации и отношениях; Было добавлено примечание 2] |
3.12
система (system): Комбинация взаимодействующих элементов, упорядоченных для достижения одной или нескольких поставленных целей.
Примечания 1 Систему можно рассматривать как продукт или как предоставляемые ею услуги. 2 На практике интерпретация данного термина зачастую уточняется с помощью ассоциативного существительного, например система самолета. В некоторых случаях слово система может заменяться контекстно-зависимым синонимом, например самолет, хотя это может впоследствии затруднить восприятие системных принципов.
[ИСО/МЭК 15288:2008, 4.31] |
3.13
доверие (trust): Отношения между двумя организациями и/или элементами, состоящие из ряда операций и политики безопасности, в которых элемент "х" доверяет элементу "y", если и только если "х" уверен, что "y" будет вести себя определенным образом (по отношению к операциям), не нарушающим данную политику безопасности. [ИСО/МЭК 13888-1:2009, 3.59, изменено - примечание было удалено] |
3.14
фаза предконтроля (upstream): Транспортировка, процессы и перемещение продукции и услуг, имеющих место до того, как организация принимает продукции и услуги под свой контроль в цепи поставок. [ISO 28001:2007, 3.27, изменено - слово "товары" было заменено на "продукции и услуги" с целью заострить внимание на данном изменении] |
3.15 прозрачность (visibility): Свойство системы или процесса, которое позволяет системным элементам и процессам быть задокументированными и доступными для мониторинга и контроля.
4 Сокращения
В настоящем стандарте применены следующие сокращения:
BPaaS - бизнес-процесс как услуга;
IaaS - инфраструктура как услуга;
ИКТ - информационно-коммуникационные технологии;
PaaS - платформа как услуга;
НИОКР - научно-исследовательские и опытно-конструкторские работы;
SaaS - программное обеспечение как услуга.
5 Определение проблемы и ключевые понятия
5.1 Мотивы установления отношений с поставщиками
Организации часто принимают решение о формировании и/или сохранении отношений с поставщиками исходя из множества бизнес-причин для того, чтобы воспользоваться преимуществами, которые они могут предоставить. Ниже вкратце изложены потенциальные мотивы для установления отношений с поставщиком:
a) сосредоточение внутренних ресурсов на основных бизнес-функциях, что может привести к сокращению затрат и повышению дохода от инвестиций (например, аутсорсинг услуг ИКТ);
b) приобретение краткосрочной или узкоспециализированной компетенции, которой организация еще не обладает (например, нанимая рекламную фирму) для достижения определенных бизнес-целей;
c) приобретение коммунальных или базовых услуг, которые являются общими или легкодоступными (например, электроэнергия и телекоммуникации) и которые не могут быть эффективно предоставлены организацией;
d) обеспечение возможности осуществления предпринимательской деятельности в другом географическом месте;
e) приобретение новых или заменяющих ИКТ продуктов или услуг (например, ноутбуков, принтеров, серверов, маршрутизаторов, программных приложений, емкости запоминающих устройств, сетевых подключений, услуг управления ИКТ и т.д.), которые обеспечивают производительность рабочей силы и другие потребности бизнеса в вычислениях.
Поставщики могут предоставлять множество продуктов или услуг, включая ИТ-аутсорсинг, профессиональные услуги, основные коммунальные услуги (техобслуживание оборудования, услуги охраны, услуги по уборке и доставке и т.д.), облачные вычислительные услуги, информационно-коммуникационные технологии (ИКТ), управление знаниями, НИОКР, производство, логистику, медицинское обслуживание, интернет-услуги и многие другие.
5.2 Виды взаимоотношений с поставщиками
5.2.1 Взаимоотношения с поставщиками продукции
Когда приобретающая сторона вступает во взаимоотношения с поставщиком продукции, она зачастую приобретает продукты с заранее оговоренными спецификациями и сроком поставки для производства собственной продукции.
У поставщика может быть доступ к информации приобретающей стороны при поставке и поддержке продукта, что в результате может привести к возникновению рисков в области информационной безопасности в отношении информации приобретающей стороны. Невыполнение требований, уязвимости в программном обеспечении и сбои в работе продуктов, а также непреднамеренное раскрытие конфиденциальной информации также могут привести к возникновению рисков в области информационной безопасности приобретающей стороны.
Для управления этими рисками в области информационной безопасности приобретающая сторона может устанавливать правила доступа поставщика к своей информации. Приобретающая сторона может также пожелать контролировать элементы производственных процессов поставщика для поддержания качества продукции и снижения рисков в области информационной безопасности, связанных с уязвимостями, неисправностями или другими нарушениями требований. Это, в свою очередь, может представлять угрозу безопасности информации для поставщика, поскольку приобретающая сторона может иметь доступ к информации поставщика в ходе управлении элементами процессов поставщика.
Кроме того, приобретающая сторона может запросить гарантии в отношении спецификации продукции путем мониторинга или аудита производственных процессов или потребовать от поставщика пройти независимую сертификацию для подтверждения наличия надлежащей практики и требуемых процессов. Данные гарантии должны быть заранее согласованы между сторонами.
5.2.2 Взаимоотношения с поставщиками услуг
Когда приобретающая сторона заказывает услуги, поставщик, как правило, имеет доступ к информации покупателя. Это создает потенциальные риски в области информационной безопасности для приобретающей стороны. В случае аутсорсинга бизнес-процессов, например маркетинга, работы колл-центра или инфраструктуры ИКТ организации, значительная часть критически важной бизнес-информации приобретающей стороны может быть передана под управление поставщика. Другие же виды услуг, как правило, имеют ограниченный доступ к информации приобретающей стороны, например, такие виды услуг, как услуги по питанию и уборке помещений.
Для предоставления некоторых услуг требуется, чтобы информация приобретающей стороны находилась в пределах его объектов, зданий и была доступна поставщику как локально, так и удаленно. Или, например, в других случаях информация приобретающей стороны размещается на сайте поставщика. Эти особые условия могут повлиять на выбор средств мер защиты информации, применимых к приобретающей стороне или поставщику. Примеры того, как расположение может повлиять на доступ поставщика к информации приобретающей стороны, представлены в таблице 2.
Приобретая услуги, заказчики должны установить правила по контролю доступа поставщика к информации приобретающей стороны. Также они могут пожелать контролировать качество услуги для снижения рисков в области информационной безопасности, включая возможность со временем отвечать требованиям по удовлетворению потребностей доступности. Соглашение об уровне обслуживания - это общий способ согласования качества обслуживания. Для поставщика данное соглашение может являться инструментом для того, чтобы ознакомить приобретающую сторону с тем, как он будет удовлетворять ее требованиям качества.
Приобретающая сторона может пожелать получить гарантии в отношении качества услуг путем мониторинга или аудита процессов предоставления услуг поставщиком или потребовать от поставщика пройти независимую сертификацию для подтверждения наличия надлежащей практики и требуемых процессов. Данные гарантии должны быть заранее согласованы между сторонами.
5.2.3 Цепь поставок ИКТ
Цепь поставок ИКТ представляет собой совокупность организаций со связанным набором ресурсов и процессов, которые формируют последовательные отношения поставщиков продукции и услуг ИКТ. Продукт или услуга ИКТ могут состоять из компонентов, ресурсов и процессов, производимых поставщиком, которые могут полностью или частично быть произведены другим поставщиком. Таким образом, все необходимые услуги ИКТ могут предоставляться несколькими поставщиками. Как показано на рисунке 1, организация в цепи поставок ИКТ является приобретающей стороной на фазе постконтроля и поставщиком на фазе предконтроля. Организацию на фазе постконтроля, расположенную рядом, часто называют заказчиком с точки зрения организации, которая предоставляет ей продукты или услуги. Заказчик в конце цепи поставок ИКТ является конечным заказчиком или потребителем. Как правило, конечный заказчик имеет ограниченный контроль над требованиями к информационной безопасности своего непосредственного поставщика и не имеет контроля над требованиями к информационной безопасности за рамками непосредственно прямого поставщика.
Рисунок 1 - Взаимоотношения с поставщиками услуг
Приобретающие стороны и поставщики по всей цепи поставок ИКТ наследуют риски в области информационной безопасности, связанные с отношениями отдельных поставщиков продукции и услуг (см. 5.2.1 и 5.2.2). Однако приобретающей стороне сложно управлять этими рисками в области информационной безопасности посредством передачи, мониторинга и обеспечения своей информационной безопасности по всей цепи поставок ИКТ из-за ограниченной прозрачности и ограниченного доступа к поставщикам своих поставщиков.
5.2.4 Облачные вычисления
Облачные вычисления являются формой отношений с поставщиками, в которых услуга облачных вычислений в целом может быть получена от нескольких поставщиков. Цель облачных вычислений состоит в том, чтобы предоставить услуги по вычислениям и хранению на основе служебных программ или отдельных приложений и возможностей, основанных на бизнес-требованиях, предъявляемых к масштабируемости, доступности и адаптационной способности ожидаемых услуг. В услугах облачных вычислений поставщик обычно называется поставщиком облачных услуг, а приобретающая сторона - заказчиком облачных услуг. В некоторых случаях поставщик облачных услуг делегирует управление или контроль над компонентами, ресурсами и процессами заказчику облачных услуг в среде, потенциально используемой совместно с другими заказчиками облачных услуг, обычно называемой мультитенантной облачной средой. Когда с использованием облачных вычислений формируют цепь поставок ИКТ, например, когда заказчик использует SaaS, который построен поверх IaaS, положения информационной безопасности в цепи поставок ИКТ также применимы.
5.3 Риски в области информационной безопасности в отношениях с поставщиками и связанные с ними угрозы
Риски в области информационной безопасности в отношениях с поставщиками являются поводом для беспокойства не только для покупателя и поставщика, но и для заказчиков и других заинтересованных сторон. Это вопрос доверия к предпринимательской деятельности в обществе. Как поставщик, так и приобретающая сторона должны учитывать изначальные и остаточные риски в области информационной безопасности, связанные с установлением отношений с поставщиком.
Приобретающая сторона и поставщик несут равную ответственность за обеспечение надежности своего соглашения и за управление рисками в области информационной безопасности, которое включает в себя установление определенных ролей и ответственности за информационную безопасность и осуществление мер защиты информации.
Каждое отношение поставщика внутри организации устанавливаются с определенной целью. Число таких отношений, вероятно, будет расти с течением времени, что приведет к тому, что эти отношения не будут полностью управляться или контролироваться стороной, приобретающей услуги. В частности, крупные организации, как правило, имеют значительное число отношений с поставщиками, которые были установлены различными внутренними организациями с использованием различных процессов и договоренностей. Многие из этих связей имеют расширенные цепи поставок с несколькими уровнями. Эта множественность может привести к тому, что организации будет все труднее обеспечить надлежащее устранение рисков в области информационной безопасности, создаваемых такими отношениями с поставщиками.
Поставка и поддержка продукции или услуги может зависеть либо от передачи приобретающей стороны, либо от передачи поставщиком информации и/или информационных систем другой стороне. Эта информация должна быть надлежащим образом защищена путем заключения соглашения между приобретающей стороной и поставщиками. В этом соглашении должен быть определен взаимоприемлемый комплекс мер защиты информации и ответственности за его осуществление. Отсутствие такого соглашения может повлиять на информационную безопасность приобретающей стороны или поставщика из-за:
a) различных методов управления информационной безопасностью у приобретающей стороны и поставщика, пренебрежения отдельными видами рисков и соблюдения сложившейся практики или различных культурных традиций или организационных отношений, приводящих к несоответствию требований и мер безопасности приобретающей стороны и поставщика;
b) доверия к услугам и возможностям поставщика, разрабатываемым для обеспечения соответствия собственным требованиям к информационной безопасности приобретающей стороны, приводящего к непредусмотренной зависимости при управлении;
с) конфликтующих между собой или различных средств контроля информационной безопасности приобретающей стороны и поставщика, которые препятствуют или ослабляют информационную безопасность другой стороны.
Отношения с поставщиками могут создавать ряд рисков в области информационной безопасности как для приобретающей стороны, так и для поставщиков. Ниже приведены примеры таких рисков, которые следует учитывать на протяжении всего жизненного цикла отношений с поставщиком - от стадии планирования до стадии завершения:
a) отсутствие или слабая система управления:
1) приобретающая сторона теряет контроль над тем, как хранится, обрабатывается, передается, создается, изменяется и уничтожается информация;
2) поставщики, если запрет на это не оговорен в соглашении, могут передать часть ресурсов и процессов на аутсорсинг другому поставщику, тем самым уменьшая или ограничивая контроль приобретающей стороны и потенциально подвергая ее дополнительным рискам;
b) отсутствие достаточной коммуникации и недопонимание:
1) меры защиты информации, введенные поставщиком, не учитывают риски, выявленные приобретающей стороной, в результате чего последний становится уязвимым к рискам, которые, как предполагается, должны рассматриваться и управляться поставщиком;
2) требования приобретающей стороны к конфиденциальности, целостности и доступности не могут быть должным образом доведены до сведения поставщика и, следовательно, не соблюдаются надлежащим образом;
3) требования, касающиеся доступности/обеспечения непрерывности бизнеса для информации или информационных систем, которые поддерживают своевременную поставку товаров или услуг поставщиком приобретающей стороне, не могут быть определены, что приводит к перебоям в поставках;
4) поставщики не выделяют достаточных ресурсов, включая квалифицированный персонал, для защиты информации приобретающей стороны.
c) географические, социальные и культурные различия:
1) приобретающая сторона непреднамеренно нарушает законодательство или нормативные акты, что наносит ущерб репутации и приводит к финансовым штрафам;
2) ссылка на закон или стандарт в качестве требования в договоре допускает неверное истолкование приобретающей стороной и поставщиком, что приводит к спору;
3) услуга предоставляется в месте или неизвестном, или не разрешенном приобретающей стороной, что приводит к нарушению соблюдения нормативных требований.
Определенные риски в области информационной безопасности для информации и информационных систем приобретающей стороны и/или поставщика могут быть напрямую связаны с недостаточной осведомленностью о контроле, ответственности и подотчетности. Такие риски могут быть применимы к поставкам как продукции, так и услуг. В таблице 1 приведены примеры рисков в области информационной безопасности, связанных с приобретением продуктов. Риски в области информационной безопасности, связанные с услугами, обычно обусловлены доступом поставщиков к информации или информационным системам. В таблице 2 приведены примеры рисков, связанных с доступом поставщика к информации и информационным системам приобретающей стороны.
Таблица 1 - Пример рисков в области информационной безопасности при приобретении продуктов
N |
Тип |
Описание |
1 |
Функция защиты информации |
В случае, если поставляемые продукты имеют уязвимость, то производные продукты, услуги или процессы приобретающей стороны будут также уязвимы |
2 |
Качество |
Низкое качество поставляемой продукции может привести к ослаблению информационной безопасности производных продуктов, услуг и процессов приобретающей стороны |
3 |
Права на интеллектуальную собственность |
Неидентифицированные права на интеллектуальную собственность могут впоследствии вызвать спор в отношении производных продуктов или услуг приобретающей стороны |
4 |
Подлинность |
В случае поставки поддельных или "пиратских" продуктов, ожидания приобретающей стороны относительно функций информационной безопасности, а также качества и идентификации прав интеллектуальной собственности, находятся под угрозой в связи с вероятностью возникновения проблемы информационной безопасности и утраты доверия к деловым отношениям |
5 |
Гарантии, доверие |
Без обеспечения надлежащих характеристик информационной безопасности, качества продукции и идентификации прав интеллектуальной собственности и подлинности приобретающая сторона не может быть уверена в надежности продукции поставщика |
Таблица 2 - Пример рисков в области информационной безопасности при приобретении услуг
N |
Тип |
Описание |
Примеры использования |
1 |
Физический доступ на объекте |
Поставщик имеет физический доступ к средствам обработки информации приобретающей стороны, но не имеет логического доступа |
Услуги охраны, доставки, уборки или технического обслуживания оборудования |
2 |
Доступ к информации и информационным системам на объекте |
Персонал поставщика находится на месте и имеет логический доступ к информации и информационным системам приобретающей стороны, посредством использования оборудования последней |
Аутсорсинговая экспертиза, проводимая на месте и интегрированная в команду приобретающей стороны |
3 |
Удаленный доступ к внутренней информации и информационным системам |
Поставщик имеет удаленный доступ к информации и информационным системам приобретающей стороны |
Деятельность по удаленной разработке и техническому обслуживанию, удаленное управление информационными системами и оборудованием, логистика, работа колл-центра, автоматизированные системы управления объектами |
4 |
Обработка информации за пределами объекта |
Информация, находящаяся под ответственностью приобретающей стороны, обрабатывается поставщиком за пределами объекта, с использованием приложений и систем, находящихся под контролем и управлением поставщика |
Консалтинг (маркетинговые исследования, стимулирование сбыта, технические исследования и др.), обработка информации, НИОКР, производство, хранение и архивирование, служба приложений, Бизнес-процесс как Услуга (BPaaS), такие как туристические или финансовые услуги, инфраструктура как услуга (IaaS) или Программное обеспечение как Услуга (SaaS) |
5 |
Удаленные приложения |
Приложения, управляемые приобретающей стороной, работают под управлением PaaS или IaaS |
Поставщики платформы как услуги (PaaS), если поставщик предоставляет платформу разработки, или поставщики IaaS, если поставщик предоставляет сетевые, вычислительные и услуги хранения |
6 |
Оборудование за пределами объекта |
Оборудование, предназначенное для приобретающей стороны, и которая является его собственником, размещается за пределами объекта, на сайте поставщика |
Информационные системы или оказываемая как услуга инфраструктура (IaaS) за пределами объекта |
7 |
Хранение информации за пределами объекта |
Приобретающая сторона передает хранение информации поставщику на аутсорсинг для хранения ее за пределами объекта или для архивирования |
Использование службы хранения для поддержания резервных копий информации, генерируемой внутренней обработкой информации |
8 |
Депонирование исходного кода |
Услуги, связанные с артефактами поставщика, используемыми приобретающей стороной, депонируются доверенной третьей стороной и предоставляются приобретающей стороне при определенных обстоятельствах |
Исходный код хранится независимой третьей стороной для поддержания полезности программного обеспечения приобретающей стороной в случае, если поставщик программного обеспечения выходит из бизнеса |
5.4 Управление рисками в области информационной безопасности в отношениях с поставщиками
В отношениях с поставщиком доступ приобретающей стороны или поставщика к информации другой организации или ее обработка могут создавать риски в области информационной безопасности как для приобретающей стороны, так и для поставщика. Приобретающая сторона и поставщик оценивают риски, выбирают, внедряют и поддерживают меры защиты информации для их снижения. В контексте отношений с поставщиками эти меры состоят из:
a) тех, которые непосредственно касаются рисков нарушения информационной безопасности, связанных с доступом и обработкой информации каждой организации;
b) тех, которые касаются качества продукции и услуг поставщика, которые влияют на риски нарушения информационной безопасности приобретающей стороны или ее заказчика;
c) тех, которые направлены на обеспечение а) или b) по отношению к другой организации, например, с помощью разработки требований к управлению и отчетности, мониторинга, аудита и сертификации.
Соглашение между приобретающей стороной и поставщиком обязывает обе организации осуществлять и поддерживать эти меры.
Независимо от характера предоставляемых продукции или услуги, прозрачность информационной безопасности должна рассматриваться как важная часть установления отношений с поставщиком для обеспечения управления рисками в области информационной безопасности для информации и информационных систем приобретающей стороны. Для выявления и управления этими рисками в области информационной безопасности приобретающая сторона должна получить гарантию того, что у поставщика внедрены адекватные системы управления и меры защиты информации. В случае, если это не обсуждается, приобретающая сторона должна выбрать продукт или услугу поставщика на основе критериев, которые включают требования к управлению информационной безопасностью и меры защиты информации для предотвращения или снижения рисков до допустимого уровня.
5.5 Рассмотрение цепи поставок ИКТ
Принятие приобретающей стороной продукции, поставки и эксплуатации продукции и услуг поставщика должно основываться на критериях, обеспечивающих уровень информационной безопасности, который приобретающая сторона желает иметь в своей организации. Они могут включать в себя любое из следующих действий:
- управление рисками политической, правовой и информационной безопасностью, связанными с местной средой, которые влияют на информационную безопасность приобретающей стороны, включая непрерывность информации, информационных систем и услуг;
- обеспечение конфиденциальности информации физических и электронных документов и другой информации, относящейся к поставляемым продуктам и услугам;
- обеспечение целостности материалов и элементов для обеспечения надлежащего обращения, т.е. уникальная маркировка и защитные обозначения;
- обеспечение целостности программного обеспечения или другой электронной информации, относящейся к поставляемому продукту или услуге, чтобы гарантировать, что она не скомпрометирована, т.е. имеются криптографические хэш-функции или цифровые водяные знаки;
- управление физической безопасностью объектов, с которых осуществляется поставка продукции и услуг;
- управление информационной безопасностью, относящейся к любому аспекту деятельности поставщиков, взаимодействию поставщиков с поставщиками и взаимодействию поставщиков с другими приобретающими сторонами.
Для надлежащего управления информационной безопасностью в отношениях с поставщиками по всей цепи поставок ИКТ приобретающей стороне следует принять систему, включающую следующий набор стандартизированных общеорганизационных процессов приобретения продукции и услуг:
a) установить требования к информационной безопасности и соблюдению требований для безопасного обмена или совместного использования информации и информационных систем;
b) до момента приобретения оценить и контролировать риски в области информационной безопасности, связанные с цепью поставок;
c) установить процесс переговоров или повторных переговоров по соглашению о цепи поставок ИКТ или соглашениям, включающим требования к информационной безопасности и соблюдению требований, включая условия для осуществления права на аудит и ограничения поставщиков на фазе постконтроля на всех многочисленных уровнях цепи поставок ИКТ;
d) постоянно контролировать и отчитываться о работе поставщиков в рамках цепи поставок ИКТ, соблюдая требования информационной безопасности и соответствия, особенно в результате изменения отношений с поставщиком.
Эта структура должна быть гибкой, чтобы обеспечить возможность заключения целого ряда соглашений о цепи поставок ИКТ, которые могут быть адаптированы с учетом характера приобретаемых продукции или услуги и рисков, которые они, как ожидается, создадут.
6 Общая структура и обзор ИСО/МЭК 27036
6.1 Назначение и структура
ИСО/МЭК 27036 - это стандарт, состоящий из нескольких частей, который содержит требования и рекомендации для приобретающих сторон и поставщиков по обеспечению безопасности информации в отношениях с поставщиками. На рисунке 2 представлена условная архитектура этого составного международного стандарта.
В частях 3 и 4 рассматриваются конкретные аспекты информационной безопасности во взаимоотношениях с поставщиками, включая проблемы, связанные с продукцией и услугами ИКТ (часть 3) и облачными услугами (часть 4).
Рисунок 2 - ИСО/МЭК 27036 Архитектура
6.2 Обзор части 1: Обзор и основные понятия
Часть 1 (настоящий стандарт) содержит обзор и основные понятия информационной безопасности в отношениях с поставщиками. Часть 1 является справочным документом.
6.3 Обзор части 2: Требования
Часть 2 обеспечивает высокоуровневую основу для установления требований и ожиданий в области информационной безопасности в отношениях с поставщиками. Данная структура включает в себя управление, процессы жизненного цикла и соответствующие заявления о требованиях высокого уровня. Часть 2 - это нормативный стандарт, который приобретающие стороны могут использовать в качестве источника требований к соглашению для определения, управления и мониторинга соглашений с поставщиками. Требования настоящего стандарта могут также служить в качестве дополнительных критериев и в целях сертификации по стандарту ИСО/МЭК 27001 или других схем сертификации, которые считаются уместными для приобретающей стороны. Например, приобретающая сторона может потребовать, чтобы поставщик был сертифицирован в соответствии со стандартом ИСО/МЭК 27001, включающим дополнительные требования и применения мер защиты информации в соответствии с ИСО/МЭК 27036 в отношении предлагаемых продуктов или услуг. Приобретающая сторона может либо использовать весь стандарт, либо извлекать его отдельные части для использования в качестве требований.
6.4 Обзор части 3: Рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий
В отношениях поставщик - приобретающая сторона приобретаемые продукция или услуги ИКТ, не обязательно должны быть произведены или эксплуатироваться исключительно поставщиком. Например, продукт часто содержит детали, изготовленные другими поставщиками и предоставленные поставщику в качестве косвенных отношений с приобретающей стороной. Или, например, служба обработки информации может быть построена на других службах обработки информации в качестве базовой инфраструктуры. Так, у поставщика есть соглашение с другим поставщиком на обслуживание оборудования, хранение резервных копий вовне или даже на весь процесс резервного копирования, отданный на аутсорсинг. Таким образом, цепь поставок ИКТ формируется последовательными отношениями поставщиков с присущими им взаимозависимостями.
В цепи поставок управление обеспечением информационной безопасностью и контроль, осуществляемый поставщиком в непосредственных отношениях с приобретающей стороной, не всегда достаточны для управления рисками в области информационной безопасности продукции или услуги. Управление приобретающей стороной продуктом или услугой косвенного поставщика (который является поставщиком поставщика) может иметь важное значение для обеспечения информационной безопасности: для этого необходима прозрачность в цепи поставок.
И наоборот, поставщики могут также испытывать повышенные риски в области информационной безопасности, вызванные взаимосвязанностью систем приобретающей стороны и поставщика, которая иногда является результатом цепи поставок ИКТ. Например, покупатель может потребовать полного (инвазивного) аудита систем поставщика, что может привести к доступу покупателя к интеллектуальной собственности поставщика.
Часть 3 ИСО/МЭК 27036 содержит руководящие принципы для приобретающих сторон и поставщиков по управлению рисками в области информационной безопасности, связанными с цепью поставок продукции и услуг ИКТ. Он основывается на требованиях, изложенных в части 2, и содержит дополнительные методы, дополняющие требования высокого уровня, содержащиеся в части 2.
6.5 Обзор части 4: Рекомендации по обеспечению безопасности облачных услуг
Организации используют услуги облачных вычислений, чтобы воспользоваться преимуществами положительного эффекта от масштаба, обеспечиваемого гибкими возможностями по оказанию услуг обработки и хранения. Эти возможности доступны благодаря модели использования или модели на основе полезности. Облачные вычисления могут предоставляться в различных моделях предоставления облачных услуг, например в IaaS, PaaS и SaaS. Однако это ведет к возникновению рисков в области информационной безопасности, связанных с более сложной взаимосвязанностью систем приобретающей стороны и поставщика. Как и в случае с рисками в области информационной безопасности в цепи поставок ИКТ, существует возможность отсутствия ясности в отношении ролей и обязанностей по управлению информационной безопасностью и осуществлению контроля.
Например, если информация при рабочих нагрузках облачных вычислений пересекает национальные границы или клиент облачной услуги не может контролировать предоставление облачной услуги, это может привести к рискам нарушения требований, законодательных или иных нормативных правовых актов со стороны любой приобретающей стороны или поставщика. Кроме того, мультиаренда и использование технологий (например, виртуализация и прикладные программные интерфейсы), может привести к новым рискам в области информационной безопасности и обеспечения конфиденциальности облачных заказчиков в результате неадекватного контроля доступа и отсутствия разделения заказчиков облачных услуг.
Часть 4 ИСО/МЭК 27036 содержит руководящие принципы информационной безопасности облачных вычислительных услуг, которые часто предоставляются по цепи поставок с точки зрения как приобретающей стороны, так и поставщика таких услуг. В частности, она включает в себя управление рисками в области информационной безопасности, связанными с облачными вычислительными услугами на протяжении всего жизненного цикла отношений с поставщиками. Она основывается на требованиях, изложенных в части 2, и содержит дополнительные методы, которые могут дополнить требования высокого уровня, содержащиеся в части 2, и рекомендации, содержащиеся в части 3.
Библиография
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27036-1-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 418-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2021 г.
Дата введения - 30 ноября 2021 г.