ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

Цель: поддерживать безопасность средств обработки информации организации и информационных активов при доступе третьих сторон.

Доступ к средствам обработки информации организации третьих сторон должен контролироваться.

Там, где есть потребность бизнеса в таком доступе третьей стороны, следует производить оценку риска, определять последствия для безопасности и устанавливать требования к мероприятиям по управлению информационной безопасностью. Такие мероприятия следует согласовывать и определять в контракте с третьей стороной.

Контракты, разрешающие доступ третьей стороне, должны включать процедуру определения прав и условий доступа других участников.

Настоящий стандарт может использоваться как основа для составления таких контрактов, а также при рассмотрении и привлечении сторонних организаций для обработки информации (outsourcing).

4.2.1 Определение рисков, связанных с наличием доступа сторонних лиц и организаций к информационным системам

4.2.1.1 Типы доступа

Определение типа доступа, предоставленного третьей стороне, имеет особое значение. Например, риски доступа через сетевое соединение отличаются от рисков, связанных с физическим доступом.

Типами доступа, которые следует рассматривать, являются:

- физический - к офисным помещениям, компьютерным комнатам, серверным;

- логический - к базам данных, информационным системам организации.

4.2.1.2 Обоснования для доступа

Третьей стороне может быть предоставлен доступ по ряду причин. Например, сторонним компаниям, оказывающим услуги организациям, но не расположенным территориально в том же месте, может быть предоставлен физический и логический доступ, как, например:

- сотрудникам третьей стороны, отвечающим за обслуживание аппаратных средств и программного обеспечения, которым необходим доступ на уровне систем или более низком уровне прикладной функциональности;

- торговым и деловым партнерам, которым может потребоваться обмен информацией, доступ к информационным системам или общим базам данных.

Информация организации может быть подвержена риску нарушения безопасности при доступе третьих сторон с неадекватным управлением безопасностью. Там, где есть производственная необходимость контактов с третьей стороной, следует проводить оценку риска, чтобы идентифицировать требования и определить мероприятия по управлению информационной безопасностью. При этом следует принимать во внимание тип требуемого доступа, ценность информации, мероприятия по управлению информационной безопасностью, используемые третьей стороной, и последствия этого доступа для информационной безопасности организации.

4.2.1.3 Подрядчики, выполняющие работы в помещениях в организации

Третьи стороны, размещенные в помещениях организации более срока, определенного в их контракте, могут ослабить безопасность. Категории сотрудников третьей стороны, размещаемых в помещениях организации:

- сотрудники, осуществляющие поддержку и сопровождение аппаратных средств и программного обеспечения;

- сотрудники, осуществляющие уборку, обеспечивающие питание, охрану и другие услуги;

- студенты и лица, работающие по трудовым соглашениям;

- консультанты.

Важно предусмотреть мероприятия по управлению информационной безопасностью, необходимые для управления доступом к средствам обработки информации третьей стороны. Все требования безопасности, связанные с доступом третьей стороны или мероприятиями по управлению информационной безопасностью, следует отражать в контракте с третьей стороной (4.2.2). Например, если существует специальная потребность в обеспечении конфиденциальности информации, следует заключить соглашение о ее неразглашении (6.1.3).

Недопустимо предоставлять третьей стороне доступ к информации и средствам ее обработки до тех пор, пока не установлены соответствующие мероприятия по управлению информационной безопасностью и не подписан контракт, определяющий условия предоставления связи или доступа.