ГОСТ Р ИСО/МЭК 27002-2012
Рекомендация по реализации
Там, где есть необходимость разрешения доступа сторонней организации к
средствам обработки информации или информации организации, следует проводить
оценку риска (см. 4) с целью определения каких-либо потребностей в специальных мерах
и средствах контроля и управления. При определении рисков, связанных с доступом
сторонних организаций, следует учитывать:
a) средства обработки информации, необходимые сторонним организациям для
доступа;
b
) тип доступа к информации и средствам обработки информации, который будет
предоставлен сторонним организациям, например:
1) физический доступ, например к офисам, машинным залам, картотекам;
2) логический доступ, например к базам данных, информационным системам
организации;
3) возможность сетевого соединения между сетью (сетями) организации и
сторонней организации, например неразъемное соединение, удаленный доступ;
4) осуществление доступа на месте или вне места эксплуатации;
c) ценность и чувствительность используемой информации, ее критичность для
операций бизнеса;
d) мерыи средстваконтроляи управления,необходимые длязащиты
информации, не предназначенной для доступа сторонним организациям;
e) персонал сторонней организации, участвующий в обработке информации
организации;
f) каким образом организация или персонал, авторизованные на получение
доступа, могут быть идентифицированы, авторизация проверена и как часто это
необходимо подтверждать;
д) различные способы и меры и средства контроля и управления, применяемые
стороннимиорганизациямиприхранении,обработке,передаче,совместном
использовании и обмене информацией;
h)влияние непредоставления требуемого доступа сторонней организации и ввода
или получения сторонней организацией неточной или ложной информации;
21