ГОСТ Р ИСО/МЭК 17799—2005
ф)процедуры отчетности, уведомления и расследования инцидентов нарушения информа
ционной безопасности и выявления слабых звеньев системы безопасности:
х) привлечение третьей стороны вместе с субподрядчиками.
4.3 Привлечение сторонних организаций к обработке информации (аутсорсинг)
Цель: обеспечение информационной безопасности, когда ответственность за обработку инфор
мации передана другой организации.
Договоренности, связанные с привлечением третьих сторон, должны учитывать оценки рисков,
мероприятия поуправлению информационнойбезопасностью ипроцедуры вотношенииинформацион
ных систем, сетей и/или настольных компьютеров и должны быть отражены в контракте.
4.3.1 Включение требований безопасности в договоры на оказание услуг по обработке
информации сторонними организациями (аутсорсингу)
Требования безопасности в случае, когда организация передает для управления и контроля все
или некоторые из своихинформационныхсистем, сетей и/илиперсональныхкомпьютеров, следуетука
зать в контракте, согласованном между сторонами и учитывающем.
- выполнение требований законодательства, например, в отношении защиты данных:
-достижение договоренностей, обеспечивающих уверенность в том. что все стороны, включая
субподрядчиков, осведомлены о своих обязанностях, касающихся безопасности:
- как будут обеспечиваться и тестироваться параметры целостности и конфиденциальности биз
нес-активов организации;
- типы физическихилогическихметодов поуправлению информационнойбезопасностью, исполь
зуемых при предоставлении необходимогодоступа к чувствительнойслужебной информацииорганиза
ции сторонним пользователям;
- обеспечение доступности сервисов в случае бедствия:
- уровнифизическойбезопасности, которыедолжны бытьобеспечены вотношенииоборудования,
используемого в рамках аутсорсинга.
- право на проведение аудита.
Условия, приведенныевпун кте4.2.2. следуеттакже рассматриватькакчасть контракта. Необходи
мо. чтобы контрактом была предусмотрена возможностьдальнейшейдетализациии реализации требо
ваний и процедур безопасности в согласованном между сторонами плане мероприятий в области
безопасности.
Несмотря нато, что контракты попривлечению третьихсторон могут включатьрядсложныхвопро
сов, правила и рекомендации по управлению информационной безопасностью, включенные в настоя
щий стандарт, должны служить отправной точкой при согласовании структуры и содержания плана по
управлению безопасностью.
5 Классификация и управление активами
5.1 Учет активов
Цель: обеспечение соответствующей защиты активов организации.
Все основные информационные активы должны быть учтены и закреплены за ответственными
владельцами.
Учет активов помогает обеспечивать уверенность в их надлежащей защите. Необходимо иденти
фицироватьвладельцеввсехосновныхактивови определитьихответственностьза поддержание соот
ветствующих мероприятий по управлению информационной безопасностью. Осуществление
мероприятий по управлению информационной безопасностью может быть делегировано, но ответ
ственность должна оставаться за назначенным владельцем актива.
5.1.1 Инвентаризация активов
Описание активовдаетуверенностьвтом.чтообеспечиваетсяэффективная защитаактивов, ионо
может также потребоваться для целей обеспечения безопасности труда, страхования или решения
финансовых вопросов (управление активами). Процесс составления описи активов — важный аспект
управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их
относительной ценности и важности. Основываясь наэтой информации, организация может обеспечи
вать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует состав
лять и поддерживать для важных активов, связанных с каждой информационной системой. Каждый
актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности (5.2), его
владельцыдолжны быть авторизованы, а данные о нихдокументированы. Крометого, должнобытьука-
7