APGINTI.🇱🇹

GV.SC-01 GV.SC-02 GV.SC-03 GV.SC-04 GV.SC-05 GV.SC-06 GV.SC-07 GV.SC-08 GV.SC-09 GV.SC-10

Kibernetinio saugumo tiekimo grandinės rizikos valdymas (SC)

Organizacijos suinteresuotosios šalys nustato, įdiegia, valdo, stebi ir tobulina kibernetinės tiekimo grandinės rizikos valdymo procesus

GV.SC-01

Kibernetinio saugumo tiekimo grandinės rizikos valdymo programa, strategija, tikslai, politika ir procesai yra sukurti ir patvirtinti organizacijos suinteresuotųjų šalių

  1. Sukurkite strategiją, kuri išreiškia kibernetinio saugumo tiekimo grandinės rizikos valdymo programos tikslus;
  2. Sukurkite kibernetinio saugumo tiekimo grandinės rizikos valdymo programą, įskaitant planą (su etapais), politikas ir procedūras, kurios vadovauja programos įgyvendinimui ir tobulinimui, ir pasidalykite politikomis bei procedūromis su suinteresuotomis šalimis organizacijoje;
  3. Sukurkite ir įgyvendinkite programos procesus, pagrįstus strategija, tikslais, politikomis ir procedūromis, dėl kurių sutaria ir kurias vykdo su suinteresuotos šalys organizacijoje;
  4. Sukurkite tarporganizacinį mechanizmą, kuris užtikrintų funkcijų suderinamumą, prisidedančių prie kibernetinio saugumo tiekimo grandinės rizikos valdymo, pavyzdžiui, kibernetinio saugumo, IT, operacijų, teisės, žmogiškųjų išteklių ir inžinerijos.
Nuoroda į originalą

GV.SC-02

Kibernetinio saugumo tiekimo grandinės rizikos valdymo programa, strategija, tikslai, politika ir procesai sukuriami ir patvirtinami organizacijos suinteresuotųjų šalių

  1. Nustatykite vieną ar daugiau konkrečių vaidmenų ar pareigų, atsakingų ir atskaitingų už kibernetinio saugumo tiekimo grandinės rizikos valdymo veiklų planavimą, resursų paskirstymą ir vykdymą;
  2. Dokumentuokite kibernetinio saugumo tiekimo grandinės rizikos valdymo vaidmenis ir atsakomybes politikoje;
  3. Sukurkite atsakomybių matricas, kad dokumentuotumėte, kas bus atsakingas ir atskaitingas už kibernetinio saugumo tiekimo grandinės rizikos valdymo veiklas ir kaip tos komandos bei asmenys bus konsultuojami ir informuojami;
  4. Įtraukite kibernetinio saugumo tiekimo grandinės rizikos valdymo atsakomybes ir veiklos reikalavimus į personalo aprašymus, kad būtų užtikrintas aiškumas ir pagerinta atskaitomybė;
  5. Dokumentuokite veiklos tikslus personalui, turinčiam specifines kibernetinio saugumo rizikos valdymo atsakomybes, ir periodiškai juos vertinkite, kad parodytumėte ir pagerintumėte veiklą;
  6. Sukurkite vaidmenis ir atsakomybes tiekėjams, klientams ir verslo partneriams, kad būtų sprendžiamos bendros atsakomybės už atitinkamas kibernetinio saugumo rizikas, ir integruokite juos į organizacijos politikas bei taikomas trečiųjų šalių sutartis;
  7. Organizacijos viduje komunikuokite kibernetinio saugumo tiekimo grandinės rizikos valdymo vaidmenis ir atsakomybes, susijusias su trečiosiomis šalimis;
  8. Nustatykite taisykles ir protokolus informacijos dalijimosi ir ataskaitų teikimo procesams tarp organizacijos ir jos tiekėjų.
Nuoroda į originalą

GV.SC-03

Kibernetinio saugumo tiekimo grandinės rizikos valdymas integruojamas į kibernetinio saugumo ir įmonės rizikos valdymo, rizikos vertinimo ir tobulinimo procesus

  1. Nustatykite sritis, kuriose kibernetinio saugumo ir įmonės rizikos valdymo klausimai sutampa ir persidengia;
  2. Sukurkite integruotus kibernetinio saugumo rizikos valdymo ir kibernetinio saugumo tiekimo grandinės rizikos valdymo kontrolės rinkinius;
  3. Integruokite kibernetinio saugumo tiekimo grandinės rizikos valdymą į tobulinimo procesus;
  4. Eskaluokite reikšmingas kibernetinio saugumo rizikas tiekimo grandinėse aukščiausiam vadovų lygiui ir spręskite jas įmonės rizikos valdymo lygiu.
Nuoroda į originalą

GV.SC-04

Išsiaiškinami tiekėjai i ir skirstomi pagal svarbą

  1. Sukurkite tiekėjų kritiškumo kriterijus, remdamiesi, pavyzdžiui, tiekėjų apdorojamų ar turimų duomenų jautrumu, prieigos prie organizacijos sistemų laipsniu ir produktų ar paslaugų svarba organizacijos misijai;
  2. Registruokite visus tiekėjus ir remdamiesi svarbos kriterijais suteikite tiekėjams pirmenybę.
Nuoroda į originalą

GV.SC-05

Nustatomi reikalavimai, susiję su kibernetinio saugumo rizika tiekimo grandinėse, nustatomi prioritetai ir integruojami į sutartis ir kitokio pobūdžio susitarimus su tiekėjais ir kitomis susijusiomis trečiosiomis šalimis

  1. Nustatykite saugumo reikalavimus tiekėjams, produktams ir paslaugoms, atitinkančius jų kritiškumo lygį ir galimą poveikį, jei jie būtų pažeisti;
  2. Į standartinę sutarčių kalbą įtraukite visus kibernetinio saugumo ir tiekimo grandinės reikalavimus, kurių privalo laikytis trečiosios šalys, ir kaip galima patikrinti šių reikalavimų laikymąsi;
  3. Sutartyse apibrėžkite informacijos dalijimosi taisykles bei protokolus tarp organizacijos, jos tiekėjų ir antrinio lygio tiekėjų;
  4. Valdykite riziką, įtraukdami saugumo reikalavimus į sutartis, atsižvelgdami į jų kritiškumą ir galimą poveikį, jei jie būtų pažeisti;
  5. Apibrėžkite saugumo reikalavimus paslaugų lygio sutartyse (SLA), kad būtų galima stebėti tiekėjų priimtiną saugumo veiklą per visą tiekėjo santykių ciklą;
  6. Sutartyje reikalaukite, kad tiekėjai atskleistų savo produktų ir paslaugų kibernetinio saugumo funkcijas, savybes ir pažeidžiamumus per visą produkto gyvavimo ciklą arba paslaugos teikimo laikotarpį;
  7. Sutartyje reikalauti, kad tiekėjai pateiktų ir palaikytų aktualų kritinių produktų komponentų inventorių (pvz., programinės ar aparatinės įrangos medžiagų sąrašą);
  8. Sutartyje reikalaukite, kad tiekėjai tikrintų savo darbuotojus ir apsisaugotų nuo vidinių grėsmių;
  9. Sutartyje reikalaukite, kad tiekėjai pateiktų priimtinos saugumo praktikos vykdymo įrodymus, pavyzdžiui, savęs patvirtinimo, atitikties žinomiems standartams, sertifikavimo ar patikrinimo būdu;
  10. Sutartyse ir kituose susitarimuose nurodykite organizacijos, jos tiekėjų ir jų tiekimo grandinių teises bei atsakomybes, susijusias su galimomis kibernetinio saugumo rizikomis.
Nuoroda į originalą

GV.SC-06

Prieš užmezgant formalius santykius su tiekėjais ar kitomis trečiosiomis šalimis, atliekami planavimo ir išsamaus patikrinimo veiksmai, kad būtų sumažinta rizika

  1. Atlikite kruopštų būsimų tiekėjų patikrinimą, atitinkantį pirkimų planavimą ir proporcingą kiekvieno tiekėjo santykių rizikos lygiui, kritiškumui ir sudėtingumui;
  2. Įvertinkite būsimų tiekėjų technologijų ir kibernetinio saugumo galimybių tinkamumą bei jų rizikos valdymo praktikas;
  3. Atlikite tiekėjų rizikos vertinimus pagal verslo ir taikomus kibernetinio saugumo reikalavimus;
  4. Įvertinkite kritinių produktų autentiškumą, vientisumą ir saugumą prieš jų įsigijimą ir naudojimą.
Nuoroda į originalą

GV.SC-07

Santykių metu suprantama, registruojama, nustatomi prioritetai, vertinama tiekėjo, jo produktų ir paslaugų bei kitų trečiųjų šalių keliama rizika ir į ją reaguojama

  1. Pakoreguokite vertinimo formatus ir dažnumą, atsižvelgdami į trečiosios šalies reputaciją ir jų teikiamų produktų ar paslaugų svarbą;
  2. Įvertinkite trečiųjų šalių pateiktus įrodymus apie atitiktį sutartiniams kibernetinio saugumo reikalavimams, tokius kaip savarankiški patvirtinimai, garantijos, sertifikatai ir kiti dokumentai;
  3. Stebėkite kritinius tiekėjus, kad jie visą tiekėjo santykių ciklą vykdytų savo saugumo įsipareigojimus, naudodami įvairius metodus ir technikas, tokius kaip patikrinimai, auditai, testai ar kitos vertinimo formos;
  4. Stebėkite kritinius tiekėjus, paslaugas ir produktus dėl jų rizikos profilių pokyčių ir atitinkamai iš naujo įvertinkite tiekėjo svarbą ir rizikos poveikį;
  5. Planuokite netikėtus tiekėjų ir tiekimo grandinės sutrikimus, kad būtų užtikrintas verslo tęstinumas.
Nuoroda į originalą

GV.SC-08

Susiję tiekėjai ir kitos trečiosios šalys įtraukiamos į incidentų planavimo, reagavimo ir atkūrimo veiklą

  1. Apibrėžkite ir naudokite taisykles bei protokolus, skirtus pranešti apie incidentų reagavimo ir atkūrimo veiklas bei jų būseną tarp organizacijos ir jos tiekėjų;
  2. Nustatykite ir dokumentuokite organizacijos ir jos tiekėjų roles bei atsakomybes, susijusias su reagavimu į incidentus;
  3. Įtraukite kritinius tiekėjus į incidentų reagavimo pratybas ir simuliacijas;
  4. Apibrėžkite ir koordinuokite krizinės komunikacijos metodus bei protokolus tarp organizacijos ir jos kritinių tiekėjų;
  5. Vykdykite bendras pamokų, išmoktų po incidentų, sesijas su kritiniais tiekėjais.
Nuoroda į originalą

GV.SC-09

Tiekimo grandinės saugumo praktika integruojama į kibernetinio saugumo ir įmonės rizikos valdymo programas, o jos veiksmingumas stebimas per visą technologinio produkto ir paslaugos gyvavimo ciklą

  1. Politikoje ir procedūrose reikalaukite visų įsigytų technologinių produktų ir paslaugų kilmės įrašų;
  2. Periodiškai teikite vadovams rizikos ataskaitas apie tai, kaip įrodoma, kad įsigyti komponentai nepažeisti ir autentiški;
  3. Reguliariai bendraukite tarp kibernetinio saugumo rizikos valdytojų ir operacijų personalo apie būtinybę įsigyti programinės įrangos pataisas, atnaujinimus ir patobulinimus tik iš autentiškų ir patikimų programinės įrangos tiekėjų;
  4. Peržiūrėkite politikas, kad jos reikalautų patvirtinto tiekėjo personalo atlikti priežiūrą tiekėjo produktams;
  5. Politikoje ir procedūrose reikalaukite tikrinti kritinės aparatinės įrangos atnaujinimus dėl neleistinų pakeitimų.
Nuoroda į originalą

GV.SC-10

Kibernetinio saugumo tiekimo grandinės rizikos valdymo planuose numatomos nuostatos dėl veiksmų, kurie vykdomi po partnerystės ar paslaugų sutarties užbaigimo

  1. Sukurkite procesus, skirtus nutraukti kritinius santykius tiek įprastomis, tiek nepalankiomis aplinkybėmis;
  2. Apibrėžkite ir įgyvendinkite planus, skirtus komponentų gyvavimo ciklo pabaigos techninės priežiūros palaikymui ir pasenimui;
  3. Tikrinkite, ar tiekėjo prieiga prie organizacijos išteklių nedelsiant deaktyvuojama, kai ji nebereikalinga;
  4. Patikrinkite, ar turtas su organizacijos duomenimis yra grąžinamas arba tinkamai sunaikinamas laiku, kontroliuojamai ir saugiai;
  5. Sukurti ir įgyvendinti santykių su tiekėjais nutraukimo ar pakeitimo planą, kuriame būtų atsižvelgta į tiekimo grandinės saugumo riziką ir atsparumą;
  6. Sumažinkite rizikas duomenims ir sistemoms, kylančias baigus santykius su tiekėju;
  7. Valdykite duomenų nutekėjimo rizikas, susijusias su tiekėjo santykių pabaiga.
Nuoroda į originalą
VALDYTI

10 elementų šiame aplanke.

NIST CSF 2.0 Funkcijos

Grafiko Vaizdas