ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

4.2.2 Включение требований безопасности в договоры со сторонними лицами и организациями

Все действия, связанные с привлечением третьей стороны к средствам обработки информации организации, должны быть основаны на официальном контракте, содержащем или ссылающемся на них, и должны обеспечиваться в соответствии с политикой и стандартами безопасности организации. Контракт должен обеспечивать уверенность в том, что нет никакого недопонимания между сторонами. Организации также должны предусмотреть возмещение своих возможных убытков со стороны контрагента. В контракт включаются следующие положения:

а) общая политика информационной безопасности;

б) защита активов, включая:

1) процедуры по защите активов организации, в том числе информации и программного обеспечения;

2) процедуры для определения компрометации активов, например, вследствие потери или модификации данных;

3) мероприятия по обеспечению возвращения или уничтожения информации и активов по окончании контракта или в установленное время в течение действия контракта;

4) целостность и доступность активов;

5) ограничения на копирование и раскрытие информации;

в) описание каждой предоставляемой услуги;

г) определение необходимого и неприемлемого уровня обслуживания;

д) условия доставки сотрудников к месту работы, при необходимости;

е) соответствующие обязательства сторон в рамках контракта;

ж) обязательства относительно юридических вопросов, например, законодательства о защите данных с учетом различных национальных законодательств, особенно если контракт относится к сотрудничеству с организациями в других странах (12.1);

з) права интеллектуальной собственности (IPRs) и авторские права (12.1.2), а также правовая защита любой совместной работы (6.1.3);

и) соглашения по управлению доступом, охватывающие:

1) разрешенные методы доступа, а также управление и использование уникальных идентификаторов, типа пользовательских ID и паролей;

2) процесс авторизации в отношении доступа и привилегий пользователей;

3) требование актуализации списка лиц, имеющих право использовать предоставляемые услуги, а также соответствующего списка прав и привилегий;

к) определение измеряемых показателей эффективности, а также их мониторинг и предоставление отчетности;

л) право мониторинга действий пользователей и блокировки доступа;

м) право проводить проверки (аудит) договорных обязанностей или делегировать проведение такого аудита третьей стороне;

н) определение процесса информирования о возникающих проблемах в случае непредвиденных обстоятельств;

о) обязанности, касающиеся установки и сопровождения аппаратных средств и программного обеспечения;

п) четкая структура подотчетности и согласованные форматы представления отчетов;

р) ясный и определенный процесс управления изменениями;

с) любые необходимые способы ограничения физического доступа и процедуры для обеспечения уверенности в том, что эти меры эффективны;

т) обучение пользователя и администратора методам и процедурам безопасности;

у) мероприятия по управлению информационной безопасностью для обеспечения защиты от вредоносного программного обеспечения (см. 8.3);

ф) процедуры отчетности, уведомления и расследования инцидентов нарушения информационной безопасности и выявления слабых звеньев системы безопасности;

х) привлечение третьей стороны вместе с субподрядчиками.

4.3 Привлечение сторонних организаций к обработке информации (аутсорсинг)

Цель: обеспечение информационной безопасности, когда ответственность за обработку информации передана другой организации.

Договоренности, связанные с привлечением третьих сторон, должны учитывать оценки рисков, мероприятия по управлению информационной безопасностью и процедуры в отношении информационных систем, сетей и/или настольных компьютеров и должны быть отражены в контракте.