Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Стандарт Банка России № СТО БР... Р. 7 п. 1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018

Управление риском нарушения информационной безопасности при аутсорсинге

Р. 7 п. 1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.2.7
A.14.2.7 Разработка с использованием аутсорсинга 
Мера обеспечения информационной безопасности: Организация должна осуществлять надзор и мониторинг разработки систем, выполняемой подрядчиками 
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.2.7
14.2.7 Разработка с использованием аутсорсинга

Мера обеспечения ИБ
Организация должна осуществлять надзор за разработкой систем, выполняемой подрядчиками, и ее мониторинг.

Руководство по применению
В тех случаях, когда разработка системы осуществляется сторонними организациями, для всей цепочки поставок организации необходимо учесть следующее:
  • a) лицензионные соглашения, права на код и интеллектуальную собственность, связанные с находящимися на аутсорсинге разработками (см. 18.1.2);
  • b) договорные требования к безопасным методам проектирования, программирования и тестирования (см. 14.2.1);
  • c) предоставление утвержденной модели угроз внешнему разработчику;
  • d) приемочные испытания на качество и точность результатов;
  • e) предоставление доказательств того, что были применены пороговые критерии безопасности для установления минимально приемлемых уровней защищенности и конфиденциальности;
  • f) предоставление доказательств того, что было выполнено тестирование в достаточном объеме, чтобы подтвердить отсутствие преднамеренного или непреднамеренного вредоносного содержимого в поставляемых продуктах;
  • g) предоставление доказательств того, что было проведено достаточное тестирование для защиты от известных уязвимостей;
  • h) механизмы условного депонирования, например, если исходный код больше недоступен;
  • i) закрепленное в договоре право на аудит процессов и мер разработки;
  • j) действующая документация среды сборки, используемая для создания конечных продуктов;
  • k) организация несет ответственность за соблюдение действующего законодательства и проверку эффективности мер обеспечения ИБ.

Дополнительная информация
Дополнительную информацию об отношениях с поставщиками можно найти в ИСО/МЭК 27036 [21], [22], [23].

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.