ГОСТ Р ИСО/МЭК 17799—2005
Важно предусмотреть мероприятия по управлению информационной безопасностью, необходи
мые для управления доступом к средствам обработки информации третьей стороны. Все требования
безопасности, связанные с доступом третьей стороны или мероприятиями по управлению информаци
онной безопасностью, следует отражать в контракте с третьей стороной (4.2.2). Например, если
существует специальная потребность в обеспечении конфиденциальности информации, следует
заключить соглашение о ее неразглашении (6.1.3).
Недопустимо предоставлять третьей стороне доступ к информации и средствам ее обработки до
тех пор. пока неустановлены соответствующие мероприятия поуправлению информационнойбезопас
ностью и не подписан контракт, определяющий условия предоставления связи или доступа.
4.2.2Включение требований безопасности в договоры со сторонними лицами и организа
циями
Все действия, связанные с привлечением третьей стороны к средствам обработки информации
организации, должны быть основаны на официальном контракте, содержащем или ссылающемся на
них, и должны обеспечиваться в соответствии с попитикой и стандартами безопасности организации.
Контрактдолжен обеспечивать уверенность в том. что нет никакого недопонимания между сторонами.
Организации также должны предусмотреть возмещение своих возможных убытков со стороны
контрагента. В контракт включаются следующие положения:
а) общая политика информационной безопасности;
б) защита активов, включая:
1) процедуры по защите активов организации, в том числе информации и программного обес
печения:
2) процедуры для определения компрометации активов, например, вследствие потери или
модификации данных;
3) мероприятияпообеспечениювозвращенияили уничтоженияинформациииактивовпоокон-
чании контракта или в установленное время в течение действия контракта;
4) целостность идоступность активов;
5) ограничения на копирование и раскрытие информации;
в) описание каждой предоставляемой услуги;
г) определение необходимого и неприемлемого уровня обслуживания;
д) условия доставки сотрудников к месту работы, при необходимости;
е) соответствующие обязательства сторон в рамках контракта:
ж) обязательства относительно юридических вопросов, например, законодательства о защи
те данных с учетом различных национальных законодательств, особенно если контракт относится к
сотрудничеству с организациями в других странах (12.1);
з) права интеллектуальной собственности (IPRs) и авторские права (12.1.2), а также право
вая защита любой совместной работы (6.1.3);
и) соглашения по управлению доступом, охватывающие:
1) разрешенные методы доступа, атакже управление и использование уникальных идентифи
каторов, типа пользовательских ID и паролей:
2) процесс авторизации в отношении доступа и привилегий пользователей:
3) требованиеактуализацииспискалиц, имеющихправоиспользоватьпредоставляемыеуслу
ги. а также соответствующего списка прав и привилегий;
к) определение измеряемых показателей эффективности, а также их мониторинг и предо
ставление отчетности:
л) право мониторинга действий пользователей и блокировки доступа;
м) право проводить проверки (аудит) договорных обязанностей или делегировать проведе
ние такого аудита третьей стороне:
н) определение процесса информирования о возникающих проблемах в случае непредви
денных обстоятельств;
о) обязанности, касающиеся установки и сопровождения аппаратных средств и программно
го обеспечения;
п) четкая структура подотчетности и согласованные форматы представления отчетов;
р) ясный и определенный процесс управления изменениями;
с) любые необходимые способы ограничения физического доступа и процедуры для обеспе
чения уверенности в том, что эти меры эффективны;
т) обучение пользователя и администратора методам и процедурам безопасности;
у) мероприятия по управлению информационной безопасностью для обеспечения защиты
от вредоносного программного обеспечения (см. 8.3);
6