– управление необходимыми перемещениями информации, средств ее обработки и т. п. и гарантия того, что ИБ обеспечивается на протяжении перемещения.

Информация может быть подвержена риску поставщиком при неадекватном управлении ИБ. Следует определить и применить меры защиты для администрирования доступа поставщика к средствам обработки информации. Например, если специально требуется конфиденциальность информации, то могут заключаться соглашения о неразглашении.

Другим примером являются риски защиты данных, если соглашение с поставщиком содержит передачу информации за пределы организации или удаленный доступ к ней. Организация должна быть уверена, что правовая или договорная ответственность за защиту информации остается в организации.

Включение ИБ в договор с поставщиками

Меры и средства

Все соответствующие требования ИБ должны быть установлены и согласованы с каждым поставщиком, который может иметь доступ, обрабатывать, хранить, передавать информацию организации или предоставлять компоненты ИТ инфраструктуры.

Рекомендации по реализации

Договоренности с поставщиком должны быть оформлены и задокументированы для гарантии того, что между организацией и поставщиком нет недопонимания своих обязательств по выполнению соответствующих требований ИБ.

Следующие условия должны быть рассмотрены на предмет включения в договор для удовлетворения определенных требований ИБ:

– описание предоставляемой или доступной информации и методов предоставления или доступа к информации;

– классификация информации в соответствии со схемой классификации организации; при необходимости, сопоставление схем классификации организации и поставщика;

– правовые и нормативные требования, включая защиту данных, интелектуальную собственность, авторские права, и описание того, как в этом удостовериться;

– обязательство каждой стороны договора по внедрению согласованного пакета мер защиты, включая контроль доступа, анализ производительности, мониторинг, уведомление и аудит;

– правила допустимого использования информации, включая, при необходимости, недопустимое использование;

– подробный список персонала поставщика, имеющего право либо доступа или получения информации организации или процедур или условий авторизации, либо удаления прав доступа или получения информации организации персоналом поставщика;

– политики ИБ, соответствующие специфике договора;

– требования и процедуры управления инцидентами (особенно уведомление и сотрудничество при реагировании на инцидент);

– осведомленность и обучение требованиям специальных процедур и требованиям ИБ, например, реагирования на инцидент или процедур авторизации;

– соответствующие нормативы для субподряда, включая внедрение необходимых мер защиты;

– договорные партнеры, включая контактное лицо для решения вопросов ИБ;

– требования по отбору персонала поставщика, включая ответственности за проведение процедур отбора и уведомления, если отбор не завершен или результаты вызвали сомнение или беспокойство;

– право аудита мер защиты и процессов поставщика, вытекающих из договора;

– процессы устранения дефекта и решения конфликта;

– обязательство поставщика периодически предоставлять независимый отчет по эффективности мер защиты и договор на своевременную коррекцию соответствующих проблем, указанных в отчете;

– обязательства поставщика выполнять требования ИБ организации.

Договора могут значительно отличаться для разных организаций и разных типов поставщика. Тем не менее, они должны содержать все соответствующие риски и требования ИБ. Договора с поставщиком могут также предусматривать наличие других сторон (например, субподрядчиков).

Процедуры продолжения работы на случай неспособности поставщика поддерживать свои продукты или сервисы в договоре следует предусмотреть для предотвращения любой задержки в организации замены продуктов или сервисов.

ИКТ цепочки поставок

Меры и средства

Договора с поставщиками должны включать требования по устранению рисков ИБ, связанных с цепочками поставок продуктов и сервисов информационно-коммуникационной технологии (ИКТ).

Рекомендации по реализации

Необходимо рассмотреть следующие темы для включения в договора с поставщиком в отношении безопасности цепочки поставок:

– определить требования ИБ для покупки ИКТ продуктов или сервисов в дополнение к общим требованиям ИБ в отношениях с поставщиками;