4.2.2 Включение требований безопасности в договоры со сторонними лицами и организациями Все действия, связанные с привлечением третьей стороны к средствам обработки информации организации, должны быть основаны на официальном контракте, содержащем или ссылающемся на них, и должны обеспечиваться в соответствии с политикой и стандартами безопасности организации. Контракт должен обеспечивать уверенность в том, что нет никакого недопонимания между сторонами. Организации также должны предусмотреть возмещение своих возможных убытков со стороны контрагента. В контракт включаются следующие положения: а) общая политика информационной безопасности; б) защита активов, включая: 1) процедуры по защите активов организации, в том числе информации и программного обеспечения; 2) процедуры для определения компрометации активов, например, вследствие потери или модификации данных; 3) мероприятия по обеспечению возвращения или уничтожения информации и активов по окончании контракта или в установленное время в течение действия контракта; 4) целостность и доступность активов; 5) ограничения на копирование и раскрытие информации; в) описание каждой предоставляемой услуги; г) определение необходимого и неприемлемого уровня обслуживания; д) условия доставки сотрудников к месту работы, при необходимости; е) соответствующие обязательства сторон в рамках контракта; ж) обязательства относительно юридических вопросов, например, законодательства о защите данных с учетом различных национальных законодательств, особенно если контракт относится к сотрудничеству с организациями в других странах (12.1); з) права интеллектуальной собственности (IPRs) и авторские права (12.1.2), а также правовая защита любой совместной работы (6.1.3); и) соглашения по управлению доступом, охватывающие: 1) разрешенные методы доступа, а также управление и использование уникальных идентификаторов, типа пользовательских ID и паролей; 2) процесс авторизации в отношении доступа и привилегий пользователей; 3) требование актуализации списка лиц, имеющих право использовать предоставляемые услуги, а также соответствующего списка прав и привилегий; к) определение измеряемых показателей эффективности, а также их мониторинг и предоставление отчетности; л) право мониторинга действий пользователей и блокировки доступа; м) право проводить проверки (аудит) договорных обязанностей или делегировать проведение такого аудита третьей стороне; н) определение процесса информирования о возникающих проблемах в случае непредвиденных обстоятельств; о) обязанности, касающиеся установки и сопровождения аппаратных средств и программного обеспечения; п) четкая структура подотчетности и согласованные форматы представления отчетов; р) ясный и определенный процесс управления изменениями; с) любые необходимые способы ограничения физического доступа и процедуры для обеспечения уверенности в том, что эти меры эффективны; т) обучение пользователя и администратора методам и процедурам безопасности; у) мероприятия по управлению информационной безопасностью для обеспечения защиты от вредоносного программного обеспечения (см. 8.3); ф) процедуры отчетности, уведомления и расследования инцидентов нарушения информационной безопасности и выявления слабых звеньев системы безопасности; х) привлечение третьей стороны вместе с субподрядчиками. 4.3 Привлечение сторонних организаций к обработке информации (аутсорсинг) Цель: обеспечение информационной безопасности, когда ответственность за обработку информации передана другой организации. Договоренности, связанные с привлечением третьих сторон, должны учитывать оценки рисков, мероприятия по управлению информационной безопасностью и процедуры в отношении информационных систем, сетей и/или настольных компьютеров и должны быть отражены в контракте. Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |