Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– политики ИБ, соответствующие специфике договора;
– требования и процедуры управления инцидентами (особенно уведомление и сотрудничество при реагировании на инцидент);
– осведомленность и обучение требованиям специальных процедур и требованиям ИБ, например, реагирования на инцидент или процедур авторизации;
– соответствующие нормативы для субподряда, включая внедрение необходимых мер защиты;
– договорные партнеры, включая контактное лицо для решения вопросов ИБ;
–
– право аудита мер защиты и процессов поставщика, вытекающих из договора;
– процессы устранения дефекта и решения конфликта;
– обязательство поставщика периодически предоставлять независимый отчет по эффективности мер защиты и договор на своевременную коррекцию соответствующих проблем, указанных в отчете;
– обязательства поставщика выполнять требования ИБ организации.
Договора могут значительно отличаться для разных организаций и разных типов поставщика. Тем не менее, они должны содержать все соответствующие риски и требования ИБ. Договора с поставщиком могут также предусматривать наличие других сторон (например, субподрядчиков).
Процедуры продолжения работы на случай неспособности поставщика поддерживать свои продукты или сервисы в договоре следует предусмотреть для предотвращения любой задержки в организации замены продуктов или сервисов.
ИКТ цепочки поставок
Меры и средства
Договора с поставщиками должны включать требования по устранению рисков ИБ, связанных с цепочками поставок продуктов и сервисов информационно-коммуникационной технологии (ИКТ).
Рекомендации по реализации
Необходимо рассмотреть следующие темы для включения в договора с поставщиком в отношении безопасности цепочки поставок:
– определить требования ИБ для покупки ИКТ продуктов или сервисов в дополнение к общим требованиям ИБ в отношениях с поставщиками;
– для ИКТ сервисов – поставщики должны распространять требования ИБ по всей цепочке поставок, даже если части предоставляемого организации сервиса обеспечиваются субподрядчиком;
– для ИКТ продуктов – поставщики должны распространять требования ИБ по всей цепочке поставок, даже если эти продукты содержат компоненты, купленные у других поставщиков;
– внедрение процесса мониторинга и допустимых методов проверки поставляемых ИКТ продуктов и сервисов на соответствие установленным требованиям безопасности;
– внедрение процесса идентификации создаваемых за пределами организации компонентов продукта или
– уверенность в том, что критичные компоненты и их происхождение может быть отслежено по цепочке поставок;
– уверенность в том, что поставляемые ИКТ продукты функционируют как ожидалось и без каких-либо неожиданных или нежелательных особенностей;
– определение правил распространения информации о цепочке поставок и любых возможных проблемах и компромиссах среди организации и поставщиков;
– внедрение специальных процессов управления жизненным циклом ИКТ компонента и доступностью и связанными рисками безопасности. Сюда входит управление рисками компонентов, которые больше не будут доступными из-за поставщиков, больше не будут в бизнесе или у поставщиков, больше не будут предоставлять эти компоненты из-за технических достижений.
Специальные методики управления риском ИКТ цепочки поставок создаются на базе общей ИБ, качества, управления проектом и методик разработки системы, но не заменяют их.
Организациям следует работать с поставщиками для понимания ИКТ цепочки поставок и других вопросов, имеющих важное влияние на предоставляемые продукты и сервисы. Организации могут повлиять на практики ИБ ИКТ цепочки поставок путем изъятия из договоров со своими поставщиками вопросов, которые должны рассматриваться другими поставщиками в ИКТ цепочке поставок.
Рассматриваемая ИКТ цепочка поставок включает в себя «облачный» компьютерный сервис.
11.2. Управление оказанием услуг
Цель: Поддерживать согласованный уровень ИБ и оказания услуг согласно договоров с поставщиками.
Управление оказанием услуг обеспечивают следующие меры:
– мониторинг и пересмотр услуг;
– управление изменениями услуг.
Мониторинг и пересмотр услуг
Меры и средства
Организация должна регулярно мониторить, пересматривать и проводить аудит оказания поставщиком услуг.
Рекомендации по реализации
Мониторинг и пересмотр услуг поставщика должен гарантировать, что требования ИБ и договорные условия соблюдаются, а инциденты и проблемы ИБ управляются надлежащим образом. Это включает процесс взаимосвязи управления услугами организации и поставщика для:
– мониторинга уровней оказания услуг для проверки соблюдения договоров;