Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Договора могут значительно отличаться для разных организаций и разных типов поставщика. Тем не менее, они должны содержать все соответствующие риски и требования ИБ. Договора с поставщиком могут также предусматривать наличие других сторон (например, субподрядчиков).

Процедуры продолжения работы на случай неспособности поставщика поддерживать свои продукты или сервисы в договоре следует предусмотреть для предотвращения любой задержки в организации замены продуктов или сервисов.

ИКТ цепочки поставок

Меры и средства

Договора с поставщиками должны включать требования по устранению рисков ИБ, связанных с цепочками поставок продуктов и сервисов информационно-коммуникационной технологии (ИКТ).

Рекомендации по реализации

Необходимо рассмотреть следующие темы для включения в договора с поставщиком в отношении безопасности цепочки поставок:

— определить требования ИБ для покупки ИКТ продуктов или сервисов в дополнение к общим требованиям ИБ в отношениях с поставщиками;

— для ИКТ сервисов — поставщики должны распространять требования ИБ по всей цепочке поставок, даже если части предоставляемого организации сервиса обеспечиваются субподрядчиком;

— для ИКТ продуктов — поставщики должны распространять требования ИБ по всей цепочке поставок, даже если эти продукты содержат компоненты, купленные у других поставщиков;

— внедрение процесса мониторинга и допустимых методов проверки поставляемых ИКТ продуктов и сервисов на соответствие установленным требованиям безопасности;

— внедрение процесса идентификации создаваемых за пределами организации компонентов продукта или сервиса, критичных для поддержки функциональности и поэтому требующих повышенного внимания и изучения, особенно если основной поставщик передает аспекты компонентов продукта или сервиса другим поставщикам;

— уверенность в том, что критичные компоненты и их происхождение может быть отслежено по цепочке поставок;

— уверенность в том, что поставляемые ИКТ продукты функционируют как ожидалось и без каких-либо неожиданных или нежелательных особенностей;

— определение правил распространения информации о цепочке поставок и любых возможных проблемах и компромиссах среди организации и поставщиков;

— внедрение специальных процессов управления жизненным циклом ИКТ компонента и доступностью и связанными рисками безопасности. Сюда входит управление рисками компонентов, которые больше не будут доступными из-за поставщиков, больше не будут в бизнесе или у поставщиков, больше не будут предоставлять эти компоненты из-за технических достижений.

Специальные методики управления риском ИКТ цепочки поставок создаются на базе общей ИБ, качества, управления проектом и методик разработки системы, но не заменяют их.

Организациям следует работать с поставщиками для понимания ИКТ цепочки поставок и других вопросов, имеющих важное влияние на предоставляемые продукты и сервисы. Организации могут повлиять на практики ИБ ИКТ цепочки поставок путем изъятия из договоров со своими поставщиками вопросов, которые должны рассматриваться другими поставщиками в ИКТ цепочке поставок.

Рассматриваемая ИКТ цепочка поставок включает в себя «облачный» компьютерный сервис.

11.2. Управление оказанием услуг

Цель: Поддерживать согласованный уровень ИБ и оказания услуг согласно договоров с поставщиками.

Управление оказанием услуг обеспечивают следующие меры:

— мониторинг и пересмотр услуг;

— управление изменениями услуг.

Мониторинг и пересмотр услуг

Меры и средства

Организация должна регулярно мониторить, пересматривать и проводить аудит оказания поставщиком услуг.

Рекомендации по реализации

Мониторинг и пересмотр услуг поставщика должен гарантировать, что требования ИБ и договорные условия соблюдаются, а инциденты и проблемы ИБ управляются надлежащим образом. Это включает процесс взаимосвязи управления услугами организации и поставщика для:

— мониторинга уровней оказания услуг для проверки соблюдения договоров;

— анализа отчетов поставщика об оказании услуг и проведения регулярных рабочих встреч согласно договоров;

— проведения аудитов поставщиков в соответствии с отчетами независимых аудиторов, по возможности, и принятия мер по указанным в них вопросам;

— обеспечения информации об инцидентах ИБ и анализа этой информации в соответствии с договорами и соответствующими руководствами и процедурами;

— анализа результатов аудита поставщика и записей о событиях ИБ, эксплуатационных проблемах, отказах и отслеживаниях недостатков, относящихся к оказывемым услугам;

— решения всех выявленных проблем и управления ими;

— пересмотра аспектов ИБ в отношениях со своими поставщиками;

— гарантии того, что поставщик обеспечивает достаточную дееспособность сервиса с учетом рабочих планов, разработанных для поддержки согласованных уровней непрерывности услуг в случае сбоя или отказа основного сервиса.