ГОСТ Р ИСО/МЭК (проект, первая редакция). Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 3. Руководящие указания по безопасности информационных и коммуникационных технологий цепи поставок

20 декабря 2019 — заканчивается 15 февраля 2020

Проект

Разработчик

Федеральное государственное учреждение «Федеральный исследовательский центр «Информатика и управление» Российской академии наук»

Технический комитет

Технический комитет по стандартизации 022 "Информационные технологии"

Международные аналоги

Идентичен международному стандарту ИСО/МЭК 27036-3:2013 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 3. Руководящие указания по безопасности информационных и коммуникационных технологий цепи поставок», IDT ISO/IEC 27036-3:2013 (ISO/IEC 27036-3:2013 «Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for ICT supply chain security»)

ОКС/МКС/ISO

ОКС 35.030

Описание

Часть 3 стандарта ИСО/МЭК 27036 предоставляет приобретающей стороне и поставщикам продукции и услуг в цепи поставок ИКТ руководство по:

а) получению информации о рисках информационной безопасности, вызванных физически рассредоточенными и многоуровневыми цепями поставок ИКТ, и управлению ими;
b) реагированию на риски, связанные с глобальной цепью поставок ИКТ для продукции и услуг ИКТ, которые могут оказать влияние на информационную безопасность организаций, использующих эти продукция и услуги. Эти риски могут быть связаны как с организационными, так и с техническими аспектами (например, внедрение вредоносного кода или наличие контрафактных информационных технологий (ИТ) продуктов);
c) интеграции процессов и методов обеспечения информационной безопасности в процессы жизненного цикла системы и программного обеспечения, описанные в стандартах ИСО/МЭК 15288 и ИСО/МЭК 12207, при одновременной поддержке средств управления информационной безопасностью, описанных в стандарте ИСО/МЭК 27002.

Файлы проекта

Проект_ГОСТ_Р_ИСО_МЭК_27036-3.pdf

Форма замечаний к проекту

1 обсуждение

Приглашаем обсудить проект ГОСТ Р по безопасности информационных и коммуникационных технологий

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Стандарт содержит рекомендации для приобретающих сторон и поставщиков продукции и услуг информационно-коммуникационных технологий (ИКТ) по снижению или управлению рисками информационной безопасности. В стандарте определяются бизнес-обоснование безопасности цепи поставок ИКТ, конкретные риски и типы отношений, а также способы развития организационного потенциала для управления аспектами информационной безопасности и включения подхода жизненного цикла для управления рисками, подкрепляемого конкретными мерами контроля и практикой. Ожидается, что его применение приведет к:

повышению прозрачности и прослеживаемости цепи поставок ИКТ для повышения потенциала информационной безопасности;
более глубокому пониманию приобретающей стороной того, откуда берется их продукция или услуги, и методов, используемых для разработки, комплексирования или применения этой продукции или услуг, для повышения эффективности выполнения требований информационной безопасности;
в случае компрометации информационной безопасности - наличию информации о том, что могло быть скомпрометировано и кем могут быть вовлеченные в это субъекты.