Skip to content 
Wprowadzenie do serii ISO 27036
Normy z serii ISO/IEC 270xx to zbiór wielu dobrych praktyk z obszaru „Information security, cybersecurity and privacy protection”, bo tak teraz nazywa się zestaw norm będących dziełem grupy roboczej ISO/IEC JTC 1/SC 27/WG 1. Jedną z nich jest wydana w czerwcu br. norma ISO/IEC/IEEE 27036-3 Cybersecurity — Supplier relationships — Part 3: Guidelines for hardware, software, and services supply chain security. Przeszła ona praktycznie bez echa w świecie certyfikacji (ISO 27001), ale także konsultingu, czy też beneficjentów posiadających systemy zarządzania, a którzy w znaczący sposób opierają swoje usługi na udziale w łańcuchu wartości swoich dostawców, i są oni elementem naszej ciągłości działania (ISO 22301). Można powiedzieć, że norma ta ma już 3 „siostry” w ramach podgrupy:
- ISO/IEC 27036-2:2022 Cybersecurity — Supplier relationships — Part 2: Requirements,
- ISO/IEC 27036-4:2016 Information technology — Security techniques — Information security for supplier relationships — Part 4: Guidelines for security of cloud services,
- ISO/IEC 27036-1:2021 Cybersecurity — Supplier relationships — Part 1: Overview and concepts.
Ale dopiero ta norma wypełniła swoimi wytycznymi zagadnienia bezpieczeństwa łańcucha dostaw sprzętu, oprogramowania i usług. Ten temat będzie jednym z kluczowych wyzwań przy wdrażaniu wymagań dyrektywy NIS2. Właśnie podczas niedawnego KSCForum w Zakopanem pod nadzorem EY mieliśmy możliwość poćwiczyć w grze ten temat, w której gracze wcielili się w role pracowników firmy farmaceutycznej i dostawców. Przećwiczyliśmy jakie wyzwania mogą czekać nas z dostawcami przy dyrektywie NIS2, aby lepiej zrozumieć złożoność procesu identyfikacji dostawców, szacowania ryzyka czy identyfikowania podatności w łańcuchu dostaw.
Po co jest norma ISO/IEC/IEEE 27036-3?
Jak na pisano we wprowadzeniu do publikacji tej normy „…sprzęt i oprogramowanie oraz usługi informatyczne są opracowywane, integrowane i dostarczane na całym świecie za pośrednictwem głębokich i fizycznie rozproszonych łańcuchów dostaw. Łańcuch dostaw może być strukturą punkt-punkt lub wiele-do-wielu i może być również określany jako sieć dostaw. Sprzęt i oprogramowanie są montowane z wielu komponentów dostarczanych przez wielu dostawców. Usługi informatyczne w całej relacji z dostawcą są również świadczone na wielu poziomach outsourcingu i łańcucha dostaw. Nabywcy nie mają wglądu w praktyki dostawców sprzętu, oprogramowania i usług poza pierwszym lub ewentualnie drugim ogniwem łańcucha dostaw. Wraz ze znacznym wzrostem liczby organizacji i osób, które „dotykają” sprzętu, oprogramowania lub usług, widoczność praktyk, za pomocą których te produkty i usługi są łączone, dramatycznie spadła. Ten brak widoczności, przejrzystości i identyfikowalności w łańcuchu dostaw sprzętu, oprogramowania i usług stwarza ryzyko dla organizacji nabywających.
Norma ISO/IEC/IEEE 27036-3 zawiera wytyczne dla nabywców i dostawców sprzętu, oprogramowania i usług w zakresie ograniczania lub zarządzania ryzykiem związanym z bezpieczeństwem informacji. Określa ona uzasadnienie biznesowe dla bezpieczeństwa łańcucha dostaw sprzętu, oprogramowania i usług, konkretne rodzaje ryzyka i relacji, a także sposób rozwijania zdolności organizacyjnych do zarządzania aspektami bezpieczeństwa informacji i włączenia podejścia opartego na cyklu życia do zarządzania ryzykiem wspieranym przez określone kontrole i praktyki. Oczekuje się, że jego zastosowanie doprowadzi do:
- zwiększenia widoczności i identyfikowalności łańcucha dostaw sprzętu, oprogramowania i usług w celu zwiększenia możliwości w zakresie bezpieczeństwa informacji;
- lepsze zrozumienie przez nabywców, skąd pochodzą ich produkty lub usługi, a także praktyk stosowanych przy opracowywaniu, integracji lub obsłudze tych produktów lub usług, w celu usprawnienia wdrażania wymogów bezpieczeństwa informacji;
- w przypadku naruszenia bezpieczeństwa informacji, dostępność informacji o tym, co mogło zostać naruszone i kim mogą być zaangażowane podmioty…”
Mamy więc do wykorzystania przy ocenie ryzyka ciekawe narzędzie, które jako wytyczne mogą pomóc nam w ocenie ryzyka w łańcuchu dostaw pod kątem bezpieczeństwa informacji (ISO 27001), jak również ciągłości działania (ISO 22301).
Dla kogo jest norma
ISO/IEC/IEEE 27036-3?
Nie ma żadnych ograniczeń co do zastosowania normy do różnych rodzajów organizacji, które nabywają lub dostarczają sprzęt, oprogramowanie i usługi. Wytyczne koncentrują się przede wszystkim na początkowym powiązaniu pierwszego nabywcy i dostawcy, ale główne kroki powinny być stosowane w całym łańcuchu, począwszy od momentu, gdy pierwszy dostawca staje się nabywcą. Ta zmiana ról i zastosowanie tych samych kroków dla każdego nowego ogniwa w łańcuchu nabywca-dostawca jest podstawową intencją tego dokumentu. Postępując zgodnie normą, można komunikować implikacje związane z bezpieczeństwem informacji między organizacjami w łańcuchu. Pomaga to zidentyfikować zagrożenia bezpieczeństwa informacji i ich przyczyny oraz może zwiększyć przejrzystość w całym łańcuchu. Kwestie bezpieczeństwa informacji (ISO 27001) oraz ciągłości działania (ISO 22301) związane z relacjami z dostawcami obejmują szeroki zakres scenariuszy. Organizacje pragnące zwiększyć zaufanie w łańcuchu dostaw sprzętu, oprogramowania i usług powinny zdefiniować granice zaufania. Powinny ocenić ryzyko związane z ich działaniami w łańcuchu dostaw, a następnie zdefiniować i wdrożyć odpowiednie techniki identyfikacji i ograniczania ryzyka w celu zmniejszenia podatności na zagrożenia wprowadzane przez ich łańcuch dostaw sprzętu, oprogramowania i usług.
Ramy i mechanizmy kontroli określone w normach ISO/IEC 27001 i ISO/IEC 27002 stanowią przydatny punkt wyjścia do określenia odpowiednich wymogów dla nabywców i dostawców. Seria ISO/IEC/IEEE 27036 zawiera dalsze szczegóły dotyczące sposobu nawiązywania i monitorowania relacji z dostawcami. Ponadto norma ta została opracowana w taki sposób, aby była zharmonizowana z normami ISO/IEC/IEEE 15288 i ISO/IEC/IEEE 12207 dotyczącymi cyklu życia oprogramowania. Warto też przy okazji pamiętać o ciągłości działania (ISO 22301) naszych procesów, gdy uzależnienie od dostawców ma znaczący wpływ na ich funkcjonowanie bez zakłóceń.
Zachęcamy do lektury i Zapraszamy do współpracy
Zespół Centre of Excellence & QSCert
Bibliografia:
- ISO/IEC/IEEE 27036-3 Cybersecurity — Supplier relationships — Part 3: Guidelines for hardware, software, and services supply chain security, https://www.iso.org/en/contents/data/standard/08/28/82890.html ,
- ISO/IEC/IEEE 15288:2023 Systems and software engineering — System life cycle processes, https://www.iso.org/en/contents/data/standard/08/17/81702.html