ГОСТ Р ИСО/МЭК 27011—2012
6.2.3 Рассмотрение требований безопасности вдоговорах с третьей
стороной
Мера исредство контроля и управления
Договоры с третьей стороной, привлеченной к доступу, обработке, передаче
или управлению информацией или средствами обработки информации организации,
или к дополнению продуктов или услуг к средствам обработки информации, должны
охватывать все соответствующие требования безопасности.
Рекомендация по реализации
Договор должен обеспечивать уверенность в том, что нет никакого
недопонимания между организацией и третьей стороной. Организации должны
убедиться, что третья сторона сможет возместить возможные убытки.
Следующие условия должны быть рассмотрены на предмет включения в
договорс целью удовлетворенияустановленных требований безопасности
(см. 6.2.1):
a) политика информационной безопасности;
b
) меры и средства контроля и управления для обеспечения уверенности в
защите активов, включая:
1) процедуры по защите активов организации, в том числе информацию,
программное обеспечение и аппаратные средства;
2) какие-либо меры и средства контроля и управления, а также
инструменты необходимой физической защиты;
3) мерыисредстваконтроляи управлениядляобеспечения
уверенности в защите от вредоносного программного средства (см. 10.4.1);
4) процедуры по определению компрометации активов, например,
вследствиепотериилимодификацииинформации,программного
обеспечения и аппаратных средств;
5) меры и средства контроля и управления по обеспечению уверенности
в возврате или уничтожении информации и активов по окончании договора
или в согласованное время в течение срока действия договора;
6) конфиденциальность, целостность, доступность и любое другое
значимое свойство (см. 2.5 в ИСО/МЭК 27002) активов;
7) ограничениянакопированиеиразглашениеинформации,и
применение соглашений о конфиденциальности (см. 6.1.5);
18