ГОСТ Р ИСОЛИЭК 17799—2005
При обменах информацией по вопросам информационной безопасности следует обеспечивать
защиту конфиденциальной информации организации от несанкционированного доступа.
4.1.7Независимая проверка (аудит) информационной безопасности
Документ политики информационной безопасности (подраздел 3.1)устанавливает цели иобязан
ностив областиинформационнойбезопасности. Еговыполнениедолжно проверятьсяв интересахобес
печенияуверенностивтом.чторазработанныев организациимероприятиядолжным образом отражают
политику и что она является выполнимой и эффективной (подраздел 12.2).
Такая проверка (аудит) может быть выполнена внутренним аудитом, независимым менеджером
или стороннейорганизацией, специализирующейсянатакихпроверках, при этом специалисты, привле
каемые к проверке, должны обладать соответствующими навыками и опытом.
4.2Обеспечение безопасности при наличии доступа к информационным системам сторон
них организаций
Цель: поддерживать безопасность средств обработки информацииорганизации иинформацион
ных активов при доступе третьих сторон.
Доступксредствам обработки информацииорганизациитретьихсторондолженконтролироваться.
Там. где есть потребностьбизнеса в таком доступе третьей стороны, следует производитьоценку
риска, определять последствия для безопасности и устанавливать требования к мероприятиям по
управлению информационной безопасностью. Такие мероприятия следует согласовывать и опреде
лять в контракте с третьей стороной.
Контракты, разрешающиедоступ третьейстороне, должны включатьпроцедуруопределения прав
и условий доступа других участников.
Настоящий стандарт можетиспользоваться какосновадля составления такихконтрактов, а также
при рассмотрении и привлечении сторонних организаций для обработки информации (outsourcing).
4.2.1 Определение рисков, связанных с наличием доступа сторонних лиц и организаций к
информационным системам
4.2.1.1 Типы доступа
Определение типа доступа, предоставленного третьей стороне, имеет особое значение. Напри
мер. рискидоступа черезсетевоесоединениеотличаютсяотрисков, связанныхсфизическимдоступом.
Типами доступа, которые следует рассматривать, являются:
- физический — к офисным помещениям, компьютерным комнатам, серверным;
- логический — к базам данных, информационным системам организации.
4.2.1.2 Обоснования для доступа
Третьейстороне можетбытьпредоставлендоступ порядупричин. Например, сторонним компани
ям. оказывающим услуги организациям, но не расположенным территориально в том же месте, может
быть предоставлен физический и логический доступ, как. например:
- сотрудникам третьей стороны, отвечающим заобслуживаниеаппаратныхсредств ипрограммно
го обеспечения, которым необходим доступ на уровне систем или более низком уровне прикладной
функциональности:
- торговым и деловым партнерам, которым может потребоваться обмен информацией, доступ к
информационным системам или общим базам данных.
Информация организации может быть подвержена риску нарушения безопасности при доступе
третьихсторон с неадекватным управлением безопасностью. Там. где есть производственная необхо
димость контактов с третьей стороной, следует проводить оценку риска, чтобы идентифицировать тре
бования иопределить мероприятияпоуправлению информационной безопасностью. При этом следует
принимать во внимание тип требуемого доступа, ценность информации, мероприятия по управлению
информационной безопасностью, используемые третьей стороной, и последствия этого доступа для
информационной безопасности организации.
4.2.1.3 Подрядчики, выполняющие работы в помещениях в организации
Третьи стороны, размещенные в помещениях организации более срока, определенного в их кон
тракте. могутослабитьбезопасность. Категориисотрудниковтретьейстороны, размещаемыхв помеще
ниях организации:
- сотрудники, осуществляющие поддержку и сопровождение аппаратных средств и программного
обеспечения;
- сотрудники, осуществляющие уборку, обеспечивающие питание, охрану и другие услуги:
- студенты и лица, работающие по трудовым соглашениям:
- консультанты.
5