Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Организационные аспекты информационной безопасности Организация информационной безопасности (BS ISO/IEC 27002:2005 RU, раздел 6)
Protectiva Compliance Manager
Навигация
 

Организация информационной безопасности (BS ISO/IEC 27002:2005 RU, раздел 6)

Операции с документом
Внутренняя организация, Взаимодействие с внешними сторонами.

Внутренняя организация

Цель:   Управлять информационной безопасностью в организации.

Должна быть определена структура управления для инициирования и контроля внедрения информационной безопасности в организации.

Руководство должно утвердить политику информационной безопасности, назначить роли по обеспечению безопасности, а также координировать и анализировать процессы внедрения механизмов безопасности в организации.

В случае необходимости, в организации следует определить доступный способ получения помощи от специалиста по вопросам информационной безопасности. Для обеспечения соответствия тенденциям развития отрасли, отслеживания изменений стандартов и методов оценки,  обеспечения подходящих точек взаимодействия в случае инцидентов безопасности, должны быть установлены контакты с внешними специалистами или группами по вопросам безопасности, включая регулирующие органы. Должен поощряться мульти-дисциплинарный подход к обеспечению информационной безопасности. 

Приверженность руководства информационной безопасности

 

Механизм контроля

Руководство должно активно поддерживать безопасность в организации путем четкого управления, демонстрируемой приверженности, явного назначения и подтверждения ответственности за информационную безопасность.

Руководство по внедрению

Руководство должно:

  • убедиться в том, что цели информационной безопасности определены, отвечают требованиям организации и интегрированы в значимые процессы;
  • определить, пересматривать и утверждать политику информационной безопасности;
  • предоставить четкие указания и видимую поддержку инициатив в области безопасности;
  • выделить ресурсы, необходимые для обеспечения информационной безопасности;
  • утвердить назначение индивидуальных ролей и ответственности за информационную безопасность в организации;
  • инициировать выполнение планов и программ по поддержанию осведомленности в вопросах информационной безопасности;
  • убедиться в том, что внедрение механизмов контроля информационной безопасности координируется по всей организации.

Руководство должно определить потребности во внешних или внутренних консультациях по вопросам информационной безопасности, а также анализировать и координировать результаты таких консультаций по всей организации.

В зависимости от размера организации, эти обязанности могут исполняться предназначенным для этого управляющим комитетом или существующим руководящим органом, таким как совет директоров.

Другая информация

Дополнительная информация содержится в ISO/IEC 13335-1:2004.

Координация информационной безопасности

 

Механизм контроля

Действия по обеспечению информационной безопасности должны координироваться представителями различных подразделений организации с соответствующими ролями и функциональными обязанностями.

Руководство по внедрению

Обычно координация информационной безопасности должна включать в себя координацию и взаимодействие руководителей, пользователей, администраторов, проектировщиков приложений, аудиторов и персонал службы безопасности, а также знания специалистов в таких областях, как страхование, законодательство, управление персоналом, ИТ или управление рисками.

Эти действия должны: 

  • гарантировать, что действия по обеспечению безопасности выполняются в соответствии с политикой информационной безопасности;
  • определять как следует поступать с несоответствиями;
  • утверждать методологии и процессы обеспечения информационной безопасности, такие как управление рисками и классификация информации;
  • определять существенные изменения угроз и подверженность информации и средств ее обработки этим угрозам;
  • оценивать адекватность и координировать внедрение механизмов контроля информационной безопасности;
  • эффективно продвигать обучение, тренинги и программы повышения осведомленности в области информационной безопасности по всей организации;
  • анализировать информацию, полученную в ходе мониторинга и анализа инцидентов информационной безопасности, и рекомендовать необходимые меры в ответ на выявленные инциденты информационной безопасности.

Если в организации не используется отдельная кросс-функциональная группа, например, потому что такая группа не соответствует размерам организации, описанные выше действия должны выполняться другой руководящей структурой или отдельным руководителем.

Распределение ответственности за информационную безопасность

 

Механизм контроля

Все области ответственности за информационную безопасность должны быть четко определены.

Руководство по внедрению

Распределение ответственности за информационную безопасность должно осуществляться в соответствии с политикой информационной безопасности. Ответственность за защиту отдельных ресурсов и за выполнение конкретных процессов безопасности должна быть четко определена. Там, где это необходимо, эта ответственность должна быть дополнена более подробным руководством для отдельных площадок и средств обработки информации. Локальная ответственность за защиту ресурсов и за выполнение конкретных процессов обеспечения безопасности, таких как планирование непрерывности бизнеса, должна быть четко определена.

Лица, ответственные за информационную безопасность, могут делегировать другим отдельные задачи по обеспечению безопасности. Несмотря на это, они сохраняют ответственность и должны убедиться в том, что любые делегируемые задачи выполняются корректно.

Области персональной ответственности должны быть четко установлены, в частности должно быть сделано следующее:

  • ресурсы и процессы обеспечения безопасности, связанные с каждой конкретной системой, должны быть идентифицированы и четко определены;
  • должны быть назначены лица, ответственные за каждый ресурс или процесс обеспечения безопасности, и подробности этой ответственности должны быть документированы;
  • уровни авторизации должны быть четко определены и документированы.

Другая информация

Во многих организациях будет назначен менеджер по информационной безопасности, на которого будет возложена общая ответственность за разработку и внедрение системы безопасности, а также за поддержку идентификации механизмов контроля.    

Однако ответственность за выделение ресурсов и внедрение механизмов контроля часто будет оставаться за отдельными руководителями. Одной из распространенных практик является назначение владельца для каждого ресурса, который становится ответственным за его каждодневную защиту.           

Процесс авторизации для средств обработки информации

 

Механизм контроля

Должен быть определен и реализован процесс авторизации руководством новых средств обработки информации.

Руководство по внедрению

Должны быть рассмотрены следующие рекомендации для процесса авторизации:

  • назначение и использование новых средств обработки информации должны быть утверждены соответствующими руководителями. С целью обеспечения соответствия всем значимым политикам и требованиям безопасности, также должно быть получено разрешение руководителя, ответственного за поддержания локального окружения безопасности информационной системы;
  • там, где это необходимо, аппаратное и программное обеспечение должны проверяться на совместимость с другими компонентами системы;
  • использование персональных или личных средств обработки информации, таких как ноутбуки, домашние компьютеры или карманные устройства, для обработки бизнес информации может привести к новым уязвимостям и, потому, необходимые механизмы контроля должны быть идентифицированы и реализованы.

Соглашения о конфиденциальности

 

Механизм контроля

Должны быть идентифицированы и регулярно пересматриваться требования, предъявляемые к соглашениям о конфиденциальности или неразглашении, отражающие потребности организации в защите информации.

Руководство по внедрению

Соглашения о конфиденциальности или неразглашении должны отражать требование по защите конфиденциальной информации при помощи законных методов. Для идентификации требований для соглашений о конфиденциальности или неразглашении надо рассматривать следующие элементы:

  • определение информации, подлежащей защите (например, конфиденциальной информации);
  • ожидаемое время действия соглашения, включая случаи, когда конфиденциальность должна обеспечиваться неограниченное время;
  • действия, которые необходимо предпринять, после завершения срока действия соглашения;
  • ответственность и действия подписавшихся сторон по избежанию несанкционированного раскрытия информации (такие как, «принцип необходимого знания»);
  • право собственности на информацию, коммерческую тайну и интеллектуальную собственность, а также как это связано с защитой конфиденциальной информации;
  • разрешенные способы использования конфиденциальной информации и права подписавшихся сторон на использование информации;
  • право осуществлять аудит и мониторинг действий над конфиденциальной информацией;
  • процесс оповещения и информирования о несанкционированном раскрытии или утечке конфиденциальной информации;
  • условия возврата или уничтожения информации после прекращения действия соглашения; и
  • действия, которые должны предприниматься в случае нарушения условий этого соглашения.

В зависимости от требований безопасности организации, в соглашениях о конфиденциальности или неразглашении могут понадобиться также другие элементы.

Соглашения о конфиденциальности или неразглашении должны полностью соответствовать действующему законодательству и нормативной базе, применимым в данной юрисдикции.

Требования, предъявляемые к соглашениям о конфиденциальности или неразглашении должны пересматриваться периодически, а также в случае изменений, влияющих на эти требования.

Дополнительная информация

Соглашения о конфиденциальности и неразглашении защищают информацию организации, а также информируют подписавшие их стороны об ответственности за защиту, использование и раскрытие информации ответственным и санкционированным образом.

В различных обстоятельствах организации может потребоваться использовать разные формы соглашений о конфиденциальности или неразглашении.

Контакт с регулирующими органами

 

Механизм контроля

Должны поддерживаться необходимые контакты с регулирующими органами.

Руководство по внедрению

В организациях должны быть процедуры, определяющие когда и кто должен контактировать с регулирующими органами (такими как правоохранительные органы, пожарные службы, органы надзора), а также как должно осуществляться своевременное оповещение об обнаруженных инцидентах информационной безопасности, если существуют подозрения в нарушении законодательства.

Организациям, подвергшимся атаке со стороны Интернет, может потребоваться принятие мер со стороны третьих сторон (таких как Интернет провайдер или телекоммуникационный оператор) в отношении источника атаки.

Дополнительная информация

Такие контакты могут потребоваться для поддержки процессов управления инцидентами информационной безопасности или процессов планирования непрерывности бизнеса и аварийного восстановления. Контакты с регулирующими органами также полезны для подготовки к предстоящим изменениям законодательства или нормативной базы, которым организация должна следовать. Контакты с другими государственными органами включают в себя контакты с коммунальными службами, службами экстренной помощи, медицинскими службами и службами безопасности, например, пожарными службами (для обеспечения непрерывности бизнеса), телекоммуникационными провайдерами (для обеспечения маршрутизации и доступности), водными службами (для обеспечения средствами охлаждения оборудования).

Контакты со специализированными группами

 

Механизм контроля

Должны поддерживаться необходимые контакты со специализированными группами или другими форумами специалистов по безопасности и профессиональными ассоциациями.

Руководство по внедрению

Членство в специализированных группах или форумах должно рассматриваться как средство для:

  • совершенствования знаний о лучшей практике и поддержания осведомленности о последних тенденциях в области безопасности;
  • обеспечения полного и современного понимания окружения информационной безопасности;
  • получения ранних предупреждений, рекомендаций и программных коррекций, относящихся к атакам и уязвимостям;
  • получения доступа к рекомендациям специалистов по информационной безопасности;
  • совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;
  • предоставление соответствующих контактных точек во время инцидентов информационной безопасности.

Дополнительная информация

Для совершенствования взаимодействия и координации вопросов безопасности могут быть введены соглашения о совместном использовании информации. Такие соглашения должны определять требования по защите конфиденциальной информации.

Независимая проверка информационной безопасности

 

Механизм контроля

Подход организации к управлению информационной безопасностью и его реализация (например, цели контроля, механизмы контроля, политики, процессы и процедуры информационной безопасности) должны подвергаться независимой проверке через запланированные интервалы времени или в случае существенных изменений в реализации механизмов безопасности.

Руководство по внедрению

Независимая проверка должна быть инициирована руководством. Такая независимая проверка необходима для обеспечения постоянной пригодности, адекватности и эффективности применяемого в организации подхода к управлению информационной безопасностью. Проверка должна включать в себя оценку возможностей для совершенствования и необходимости изменения подхода к обеспечению безопасности, включая политику и цели контроля.

Такая проверка должна выполняться людьми, которые являются независимыми от проверяемой области, например службой внутреннего аудита, независимым менеджером или сторонней организацией, специализирующейся на подобных проверках. Люди, выполняющие эти проверки, должны обладать необходимым опытом и навыками.

Результаты независимой проверки должны быть запротоколированы и доведены до  сведения руководства, которое инициировало проверку.  Эти протоколы должны сохраняться.

Если в ходе независимой проверки установлено, что подход организации к управлению информационной безопасностью или его реализация являются неадекватными или не соответствуют директивам информационной безопасности, приведенным в документированной политике информационной безопасности, руководство должно рассмотреть применение корректирующих мер.

Дополнительная информация

Область, которую руководители должны регулярно проверять, может также подвергаться независимым проверкам. Методы проверки могут включать в себя интервьюирование руководства, проверку записей или анализ документированных политик безопасности. ISO 19011:2002, Руководство по аудиту систем управления качеством и/или окружающей средой, может также предоставить полезные инструкции по выполнению независимой проверки, включая введение и реализацию программы проведения проверки. Раздел 15.3 определяет механизмы контроля, применимые к независимой проверке действующих информационных систем, и использование средств системного аудита.

Внешние стороны

Цель:   Поддерживать безопасность средств обработки информации организации и информационных ресурсов, которые используются, обрабатываются, передаются или управляются внешними сторонами.

Уровень безопасности информации и средств ее обработки не должен понижаться после внедрения продуктов или сервисов, предоставляемых сторонней организацией.

Любой доступ к средствам обработки информации организации, а также обработка и передача информации внешним сторонам должны контролироваться.

Если существует деловая необходимость в предоставлении доступа к информации организации или средствам ее обработки или в получении/предоставлении продукта или сервиса от сторонней организации, следует провести оценку рисков для определения возможных последствий для безопасности и требований в области контроля. Механизмы контроля должны быть согласованы и прописаны в договоре, заключаемом со сторонней организацией.

Идентификация рисков, связанных с внешними сторонами

 

Механизм контроля

Риски в отношении информации организации и средств ее обработки со стороны бизнес процессов, в которых участвуют внешние стороны, должны быть идентифицированы, а также должны быть внедрены необходимые механизмы контроля прежде, чем будет предоставляться доступ.

Руководство по внедрению

Когда существует необходимость в предоставлении внешней стороне доступа к средствам обработки информации или к информационным ресурсам организации, должна проводиться оценка рисков с целью идентификации всех требований к наличию специфических механизмов контроля. При идентификации рисков, связанных с доступом внешних сторон, должны приниматься во внимание следующие вопросы:

  • средства обработки информации, к которым требуется предоставить доступ внешней стороне;
  • вид доступа, который внешняя сторона будет иметь к информации и средствам ее обработки, например:
    • физический доступ, например, к офисам, компьютерным залам, шкафам с документами;
    • логический доступ, например, к базам данных организации или информационным системам;
    • связи между сетями организации и сетями внешних сторон, например, постоянное соединение, удаленный доступ;
    • осуществляется ли доступ из офиса или со стороны;
  • ценность и конфиденциальность информации, а также ее критичность для функционирования бизнеса;
  • механизмы контроля, необходимые для защиты информации, которая не предназначена для доступа внешних сторон;
  • персонал внешней стороны, задействованный в работе с информацией организации;
  • каким образом идентифицируется организация или персонал, авторизованный для получения доступа, как осуществляется проверка авторизации и как часто требуется повторное получение подтверждений;
  • различные меры и механизмы контроля, применяемые внешней стороной при хранении, обработке, передаче, совместном использовании и обмене информацией;
  • последствия непредоставления доступа внешней стороне, когда ей это необходимо, а также последствия ввода или получения внешней стороной неточной или вводящей в заблуждение информации;
  • практики и процедуры по управлению инцидентами информационной безопасности и потенциальным ущербом, а также необходимые условия продолжения доступа внешней стороной в случае инцидента информационной безопасности;
  • требования законодательства и нормативной базы и другие контрактные обязательства, относящиеся к внешней стороне, которые должны приниматься во внимание;
  • каким образом принимаемые меры затрагивают интересы всех акционеров.

Доступ к информации организации не должен предоставляться внешним сторонам до тех пор, пока не внедрены соответствующие механизмы контроля и, там, где это целесообразно, не подписан договор, определяющий условия установки связи и осуществления доступа, а также рабочие договоренности.

В общем случае, все требования безопасности при работе с внешними сторонами или внутренние механизмы безопасности, должны быть отражены в соглашении внешней стороной.

Должно гарантироваться, что внешняя сторона осведомлена о своих обязанностях и принимает ответственность и обязательства, связанные с осуществлением доступа, обработкой, передачей и управлением информацией организации и средствами ее обработки.

Дополнительная информация

Информация может быть подвержена риску, если доступ к ней осуществляется внешними сторонами, не имеющими адекватной системы управления безопасностью. Должны быть идентифицированы и внедрены механизмы контроля для администрирования доступа внешних сторон к средствам обработки информации. Например, если существует особая необходимость в обеспечении конфиденциальности информации, должны использоваться соглашения о неразглашении.

Организации могут столкнуться с рисками, связанными с процессами взаимодействия, управления и обмена информацией с другими организациями, если применяется высокая степень аутсорсинга или, если в процесс вовлечены несколько внешних сторон.

Механизмы контроля охватывают соглашения с различными внешними сторонами, включающие, например:

  • провайдеры сервисов, такие как Интернет провайдеры, сетевые провайдеры, телефонные сервисы, сервисы технической поддержки и сопровождения;
  • управляемые сервисы безопасности;
  • клиенты;
  • аутсорсинг оборудования и/или операций, например, ИТ системы, сервисы сбора данных, операции центра обработки звонков;
  • консультанты и аудиторы в области управления и бизнеса;
  • разработчики и поставщики, например, программных продуктов и ИТ систем;
  • уборка, снабжение и другие вспомогательные службы, находящиеся на аутсорсинге;
  • временный персонал, работающие по найму студенты и другие внештатные должности.

Такие соглашения могут помочь в уменьшении рисков, связанных с внешними сторонами.

Требования безопасности при работе с клиентами

 

Механизм контроля

Все идентифицированные требования безопасности должны быть выполнены, прежде чем клиентам будет предоставлен доступ к информации или ресурсам организации.

Руководство по внедрению

Для выполнения требований безопасности, прежде чем клиентам будет предоставлен доступ к каким-либо ресурсам организации, должны быть рассмотрены следующие вопросы (в зависимости от типа и пределов предоставляемого доступа не все из них могут применяться):

  • защита ресурсов, включая:
    • процедуры для защиты ресурсов организации, включая информацию и программное обеспечение, а также управление известными уязвимостями;
    • процедуры для определения того, происходила ли какая-либо компрометация ресурсов, например, потеря или модификация данных;
    • целостность;
    • ограничения на копирование или раскрытие информации;
  • описание предоставляемого продукта или сервиса;
  • различные причины, требования и преимущества клиентского доступа;
  • политика контроля доступа, охватывающая:
    • разрешенные методы доступа, а также контроль и использование уникальных идентификаторов, таких как идентификаторы и пароли пользователей;
    • процесс авторизации доступа пользователей и привилегии;
    • заявление о том, что любой доступ, который не был явным образом авторизован, является запрещенным;
    • процесс отмены прав доступа или прерывания соединений между системами;
  • соглашения об отчетности, оповещении и расследовании случаев предоставления ошибочной информации (например, персональных данных), инцидентов информационной безопасности и нарушений  безопасности;
  • описание каждого предоставляемого сервиса;
  • целевой уровень сервиса и неприемлемые уровни сервиса;
  • право на осуществление мониторинга и отмену любых действий, затрагивающих ресурсы организации;
  • соответствующие обязательства организации и клиента;
  • ответственность в отношении законодательных вопросов и каким образом обеспечивается соблюдение требований законодательства, например, законодательства о защите данных, особенно принимая во внимание различия в системах национальных законодательств, если соглашение предусматривает взаимодействие с клиентами из других стран;
  • права интеллектуальной собственности и назначение авторских прав, а также защита любой совместной работы.

Дополнительная информация

Требования безопасности, связанные с доступом клиентов к ресурсам организации, могут существенно варьироваться от того, к какой информации и средствам ее обработки осуществляется доступ. Эти требования безопасности могут отражаться в соглашениях, заключаемых с клиентами, содержащих все идентифицированные риски и требования безопасности.

Соглашение с внешними сторонами могут также затрагивать другие стороны. Соглашения, предоставляющие доступ внешней стороне, должны предусматривать назначение других уполномоченных сторон и условия для получения ими доступа и их участия.

Требования безопасности в договорах с третьими сторонами

 

Механизм контроля

Соглашения с третьими сторонами, предусматривающие получение ими доступа, обработку, передачу и управление информацией организации и средствами ее обработки или добавление продуктов или сервисов в средства обработки информации, должны охватывать все существенные требования безопасности.

Руководство по внедрению

Соглашение должно гарантировать отсутствие недопонимания между организацией и третьей стороной. Организация должна предусмотреть возмещение убытков от третьей стороны. С целью удовлетворения идентифицированным требованиям безопасности, следует рассматривать следующие условия для включения в соглашение:

  • политика информационной безопасности;
  • механизмы контроля для обеспечения защиты ресурсов, включая:
    • процедуры защиты ресурсов организации, включая информацию, программное обеспечение и технические средства;
    • любые необходимы механизмы и средства физической защиты;
    • механизмы контроля для обеспечения защиты от вредоносного программного обеспечения;
    • процедуры выявления фактов компрометации ресурсов, например, произошедшей потери или модификации данных, программного обеспечения или оборудования;
    • механизмы контроля для обеспечения возврата или уничтожения информации и ресурсов на завершающем этапе работ или ином согласованном моменте времени на протяжении срока действия соглашения;
    • конфиденциальность, целостность, доступность и любые другие существенные свойства ресурсов;
    • ограничения на копирование и раскрытие информации, а также на использование соглашений о конфиденциальности;
  • обучение пользователя и администратора методам и процедурам безопасности;
  • получение гарантий осведомленности пользователя о его ответственности за информационную безопасность и о других вопросах информационной безопасности;
  • обеспечение перемещения сотрудников, там, где это допустимо;
  • ответственность за установку и сопровождение аппаратного и программного обеспечения;
  • четкая структура и согласованный формат отчетов;
  • четкий и точно определенный процесс управления изменениями;
  • политика контроля доступа, охватывающая:
    • различные причины, требования и преимущества, обуславливающие необходимость предоставления доступа третьей стороне;
    • разрешенные методы доступа, механизмы контроля, использование уникальных идентификаторов, таких как идентификаторы пользователей и пароли;
    • процесс авторизации доступа и назначения привилегий пользователю;
    • требование по ведению перечня лиц, которым разрешено использование доступных сервисов, а также их прав и привилегий, допускающих такое использование;
    • заявление о запрещении любого доступа, который не был разрешен явным образом;
    • процесс отмены прав доступа или прерывания соединения между системами;
  • соглашения относительно отчетности, оповещения и расследования инцидентов и нарушений безопасности, а также нарушений требований, определяемых этим соглашением;
  • описание предоставляемого продукта или сервиса, а также описание информации, которая должна быть сделана доступной, вместе с ее классификацией безопасности;
  • требуемый уровень сервиса и неприемлемые уровни сервиса;
  • определение критериев измерения производительности, их мониторинг и отчетность;
  • право на осуществление мониторинга и отмену любых действий в отношении ресурсов организации;
  • право на проведение аудита выполнения договорных обязательств или на проведение такого аудита третьей стороной, а также на инвентаризацию прав, предоставляемых аудиторам;
  • создание процесса разрешения проблем;
  • требования непрерывности сервиса, включая меры, направленные на обеспечение доступности и надежности, в соответствии с приоритетами бизнеса организации;
  • соответствующие обязательства сторон по выполнению условий соглашения;
  • ответственность в отношении юридических вопросов и каким образом обеспечивается выполнение требований законодательства, например, законодательства по защите данных, особенно принимая во внимание различные системы национальных законодательств, если соглашение подразумевает взаимодействие с организациями в других странах;
  • передача прав интеллектуальной собственности и авторских прав, а также защита коллективной работы;
  • привлечение третьей стороны вместе с субподрядчиками и механизмы безопасности, которые эти субподрядчики должны реализовать;
  • условия пересмотра/прекращения действия соглашения:
    • должен существовать план на случай, если одна из сторон пожелает разорвать отношения до окончания срока действия соглашений;
    • пересмотр соглашений в случае изменения требований безопасности организации;
    • текущая документация на списки ресурсов, лицензии, соглашения или права, имеющие к ним отношение.

Дополнительная информация

Соглашения могут существенно отличаться для разных организаций и среди различных типов третьих сторон. Поэтому следует позаботиться о включении в эти соглашения всех идентифицированных рисков и требований безопасности. Там, где это необходимо, требуемые механизмы контроля и процедуры могут быть вынесены в  отдельный план управления безопасностью.

Если управление информационной безопасностью находится на аутсорсинге, соглашения должны определять каким образом третья сторона будет гарантировать поддержание адекватного уровня безопасности, определенного в ходе оценки рисков, и каким образом безопасность будет адаптироваться для идентификации и реагирования на изменения рисков.

Некоторые различия между аутсорсингом и другими формами предоставления сервиса третьей стороной, включают в себя вопросы обязательств, планирования переходного периода и возможное прерывание операций во время этого периода, соглашения о действиях в чрезвычайных ситуациях и проведение проверок выполнения обязательств, а также сбор и управление информацией об инцидентах безопасности. Поэтому важно, чтобы организация планировала и управляла переходом на аутсорсинг и имела наготове подходящие процессы для управления изменениями и пересмотра/прекращения действия соглашений.

Для того чтобы избежать задержек в предоставлении замены сервисов в случае, если третья сторона более не может предоставлять свои сервисы, в соглашении должны быть предусмотрены процедуры для продолжения обработки данных.

Соглашения с третьими сторонами могут также затрагивать другие стороны. Соглашения, предоставляющие доступ третьей стороне, должны включать в себя разрешение для назначения других пригодных сторон и условия их доступа и участия.

В общем случае соглашения первоначально разрабатываются организацией. В некоторых обстоятельствах могут возникать ситуации, когда соглашение может быть разработано и навязано организации третьей стороной. Организации должна убедиться в том, что ее собственная безопасность не затрагивается без необходимости требованиями третьей стороны, оговариваемыми в навязанных соглашениях.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex