1. Главная
  2. Стандарты Молдовы
  3. STM
  4. Ст ISO IEC 27036-3-2023

ISO IEC 27036-3-2023 PDF

Ст ISO IEC 27036-3-2023

Название на английском:
St ISO IEC 27036-3-2023

Название на русском:
Ст ISO IEC 27036-3-2023

Описание на русском:

Оригинальный стандарт ISO IEC 27036-3-2023 в PDF полная версия. Дополнительная инфо + превью по запросу

Описание на английском:
Original standard ISO IEC 27036-3-2023 in PDF full version. Additional info + preview on request
Статус документа:
Действующий
Формат:
Электронный (PDF)
Срок поставки (английская версия):
1 рабочий день
Срок поставки (русская версия):
365 рабочих дня(ей)
Артикул (SKU):
stiso26002
Выберите версию документа:
3 000 руб.

Полное наименование и описание

ISO/IEC 27036-3:2023 — Cybersecurity — Supplier relationships — Part 3: Guidelines for hardware, software, and services supply chain security. Документ даёт рекомендации для заказчиков и поставщиков аппаратного и программного обеспечения, а также услуг по выявлению, оценке и управлению информационной безопасностью в физически распределённых и многоуровневых цепочках поставок, а также по интеграции мер безопасности в жизненные циклы систем и программного обеспечения.

Аннотация

Стандарт описывает практики для получения видимости цепочки поставок, оценки рисков, включения требований информационной безопасности в соглашения и процессы жизненного цикла (согласование с ISO/IEC/IEEE 15288, ISO/IEC/IEEE 12207 и ISO/IEC 27002). Не охватывает вопросы непрерывности бизнеса/резилиентности (отдельно рассматриваются в ISO/IEC 27031).

Общая информация

  • Статус: Published (международный стандарт).
  • Дата публикации: 13 июня 2023 г. (издание 2023 / 2-е издание; часть вошла в пакет 27036).
  • Организация-издатель: ISO и IEC (совместная публикация); разработка — комитет ISO/IEC JTC 1/SC 27.
  • ICS / категории: 35.030 (IT Security).
  • Редакция / версия: Edition 2 (2023).
  • Количество страниц: 35 стр. (прибл.).

Область применения

Руководство предназначено для организаций, приобретающих или поставляющих аппаратные средства, программное обеспечение и услуги, где требуется учитывать риски информационной безопасности, вызванные сложной, многоуровневой и распределённой цепочкой поставок. Описывает процессы управления видимостью цепочки поставок, оценкой уязвимостей, определением требований безопасности в контрактах и интеграцией мер безопасности в жизненный цикл разработки и эксплуатации.

Ключевые темы и требования

  • Получение видимости цепочки поставок и идентификация участников (производители, субпоставщики, сервис-провайдеры).
  • Оценка и управление рисками информационной безопасности, специфичными для аппаратного/программного обеспечения и сервисов.
  • Интеграция требований безопасности в процесс разработки и жизненный цикл (связь с ISO/IEC/IEEE 15288 и 12207, опора на ISO/IEC 27002).
  • Определение и включение в договоры обязательных мер безопасности, гарантий целостности и поставки компонентов.
  • Контроль поставщиков: аудит, оценка соответствия, тестирование поставляемого ПО/оборудования и управление уязвимостями.
  • Процессы уведомления и совместного реагирования на инциденты в пределах цепочки поставок.
  • Управление компонентами сторонних разработчиков и обеспечение происхождения (provenance) и целостности.
  • Юридические и нормативные требования, которые могут влиять на цепочку поставок (экспорт, соответствие, локализация данных и т. п.).

Применение и пользователи

Рекомендации полезны для команд по закупкам, менеджеров по информационной безопасности (CISO, ISMS), архитекторов решений, ответственных за управление цепочками поставок, поставщиков HW/SW и сервисов, интеграторов, аудиторов и регуляторов. Стандарт применим к B2B-контрактам и сложным системам, где требуется формализованный подход к управлению рисками поставщиков.

Связанные стандарты

Часть серии ISO/IEC 27036 (включая части 1 и 2) и смежные документы ISO/IEC 27000‑серии (в частности ISO/IEC 27002, ISO/IEC 27031 для вопросов готовности/непрерывности, а также ISO/IEC/IEEE 15288 и 12207 для процессов жизненного цикла). Для обзора пакета ISO/IEC 27036 и соседних изданий смотрите выпуски частей 1, 2 и 4.

Ключевые слова

цепочка поставок, supply chain security, безопасность поставщиков, аппаратное обеспечение, программное обеспечение, управление рисками, жизненный цикл, поставщики, договора, управление уязвимостями.

FAQ

В: Что это за стандарт?

О: Международный стандарт, дающий практические рекомендации по обеспечению информационной безопасности в цепочках поставок аппаратного и программного обеспечения и сервисов (ISO/IEC 27036-3:2023).

В: Что он регулирует?

О: Не является обязательным законом документом; он предлагает руководящие принципы и передовые практики для видимости цепочек поставок, оценки и управления рисками, включения требований безопасности в контракты и интеграции мер безопасности в процессы жизненного цикла.

В: Кто обычно использует?

О: Заказчики (acquirers), поставщики HW/SW/услуг, команды по закупкам, специалисты по инфобезу, архитекторы, интеграторы, аудиторы и регуляторы в организациях, где требуется формализованный контроль рисков цепочки поставок.

В: Он актуален или заменён?

О: Издание 2023 года — актуальная редакция (2‑е издание). Оно заменяет предыдущее издание 2013 года для части 3.

В: Это часть серии?

О: Да — это часть серии ISO/IEC 27036 (несколько частей, в том числе части, посвящённые концепциям, требованиям и специфическим областям, таким как облачные сервисы).

В: Какие ключевые слова?

О: supply chain security, цепочка поставок, поставщики, HW, SW, управление рисками, жизненный цикл, требования в договорах, аудит поставщиков.