20 декабря 2019
—
заканчивается
15 февраля 2020
Проект
Разработчик
Технический комитет
Международные аналоги
Идентичен международному стандарту ИСО/МЭК 27036-3:2013 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 3. Руководящие указания по безопасности информационных и коммуникационных технологий цепи поставок», IDT ISO/IEC 27036-3:2013 (ISO/IEC 27036-3:2013 «Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for ICT supply chain security»)
ОКС/МКС/ISO
ОКС 35.030
Описание
Часть 3 стандарта ИСО/МЭК 27036 предоставляет приобретающей стороне и поставщикам продукции и услуг в цепи поставок ИКТ руководство по:
- а) получению информации о рисках информационной безопасности, вызванных физически рассредоточенными и многоуровневыми цепями поставок ИКТ, и управлению ими;
- b) реагированию на риски, связанные с глобальной цепью поставок ИКТ для продукции и услуг ИКТ, которые могут оказать влияние на информационную безопасность организаций, использующих эти продукция и услуги. Эти риски могут быть связаны как с организационными, так и с техническими аспектами (например, внедрение вредоносного кода или наличие контрафактных информационных технологий (ИТ) продуктов);
- c) интеграции процессов и методов обеспечения информационной безопасности в процессы жизненного цикла системы и программного обеспечения, описанные в стандартах ИСО/МЭК 15288 и ИСО/МЭК 12207, при одновременной поддержке средств управления информационной безопасностью, описанных в стандарте ИСО/МЭК 27002.
Приглашаем обсудить проект ГОСТ Р по безопасности информационных и коммуникационных технологий
Публичное обсуждение проекта продлится до 15 февраля 2020 г.
Стандарт содержит рекомендации для приобретающих сторон и поставщиков продукции и услуг информационно-коммуникационных технологий (ИКТ) по снижению или управлению рисками информационной безопасности. В стандарте определяются бизнес-обоснование безопасности цепи поставок ИКТ, конкретные риски и типы отношений, а также способы развития организационного потенциала для управления аспектами информационной безопасности и включения подхода жизненного цикла для управления рисками, подкрепляемого конкретными мерами контроля и практикой. Ожидается, что его применение приведет к: