Журнал "Системы Безопасности" № 5‘2025

Б И З Н Е С . И Д Е И И М Н Е Н И Я 114 О дним из ключевых элементов эффективной системы управления рисками ИБ является контроль за деятельностью подрядчиков. Учи- тывая, что подрядчики все чаще становятся век- тором кибератак, организациям необходимо системно подходить к оценке и мониторингу своих контрагентов. Согласно анализу ланд- шафта угроз за 2024 г., в 17% расследованных инцидентов была зафиксирована компромета- ция именно через поставщиков услуг. Злоумыш- ленники чаще всего использовали взломанные учетные записи компаний малого и среднего бизнеса, оказывающих услуги жертве. Если раньше действия подрядчиков оставались "за кадром", то теперь регуляторы настойчиво требуют контроля при взаимодействии с под- рядными организации. К примеру: l ЦБ РФ интегрировал управление рисками при взаимодействии с подрядчиками в требова- ния к операционной надежности – для финансовых организаций это уже не "жела- тельно", а "обязательно"; l ФСТЭК России в приказе от 11.04.2025 г. № 117 (вступает в действие с 1 марта 2026 г.) впервые четко закрепил: защита информации при работе с подрядчиками – не рекоменда- ция, а обязательный элемент защиты госу- дарственных информационных систем. Мы рекомендуем разделять контроль на два ключевых этапа: до заключения договора и после. Такой подход позволяет не только мини- мизировать риски на старте взаимодействия, но и обеспечить их непрерывный контроль. Сначала – сбор информации Цель этого этапа – собрать исчерпывающую информацию о предстоящем взаимодействии с подрядчиком. Прежде всего необходимо четко определить, с какими категориями данных инфор- мационных систем подрядчику предстоит взаимо- действовать. Для этого целесообразно задать ряд уточняющих вопросов, которые позволят выявить характер и масштабы взаимодействия с подрядчи- ком: l Какие услуги подрядчик будет оказывать вашей компании? l Какие данные в процессе оказания услуг под- рядчик будет обрабатывать? l Относятся ли эти к категории защищаемой информации вашей организации? Являются ли они персональными данными? l Решение о том, являются ли данные ПДн, принимает компания или подрядчик? l Будет ли подрядчик иметь доступ во внутрен- ний контур вашей компании? l Планируется ли интеграция информационных систем подрядчика и вашей компании? l Планируется ли передача защищаемой информации подрядчику? Если да, то как именно (например, по электронной почте)? l Будет ли подрядчик осуществлять сбор пер- сональных данных самостоятельно? Если да, то где размещены базы данных, используе- мые для сбора персональных данных? l Если обработка ПДн будет в информацион- ных системах подрядчика, необходимо полу- чить информацию в части категорий субъек- тов ПДн (например, работники вашей компа- нии, клиенты), которые будут обрабатываться в таких информационных системах, и в части объема записей категорий субъектов ПДн. l Передает ли подрядчик защищаемую инфор- мацию в сторонние организации? Если да, то какую информацию? С какой целью осу- ществляется такая передача? Проверка подрядчика до заключения договора Цель этого этапа – оценить уровень зрелости подрядчика в процессах обеспечения ИБ, в том числе защиты и обработки ПДн, чтобы принять обоснованное решение о целесообразности заключения договора и определить необходи- мый уровень контроля. Не все подрядчики представляют одинаковый уровень риска ИБ. Именно поэтому дифферен- циация подрядчиков по критичности становится ключевым элементом стратегии управления рисками. Для определения уровня критичности подрядчика можно использовать следующие критерии: l доступ к критичным информационным систе- мам организации, которая привлекает под- рядчика; l наличие привилегированного доступа; l возможность привлечения субподрядных организаций для выполнения работ; l влияние услуги подрядчика на реализацию критичных бизнес-процессов. В зависимости от уровня критичности приме- няются разные методы проверки. При низком может быть достаточно получения информации из общедоступных источников. При высоком – проверка фактической реализации установлен- ных требований ИБ или проведение тестирова- ния на проникновение. К таким способам про- верки могут относиться: l изучение общедоступных источников, в том числе интернет-ресурсов подрядчика; l заполнение специальных анкет (чек-листов); l запрос документации и свидетельств – включает сбор и анализ материалов, под- тверждающих соответствие подрядчика тре- бованиям ИБ: отчетов о проведенных ауди- тах ИБ, сертификатов (например, внедрение системы управления ИБ в соответствии с требованиями стандартов ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001), аттестат соот- ветствия требованиям ФСТЭК России, внут- реннее регламенты подрядчика в области ИБ и др.; О собое внимание нужно обратить на обработку специальной категории ПДн, касающихся расовой, нацио- нальной принадлежности, политиче- ских взглядов, религиозных или философских убеждений, состояния здоровья и биометрических ПДн. Н ужно обратить внимание на транс- граничную передачу персональных данных в процессах взаимодействия с подрядчиком. В ажно, чтобы сбор ПДн был органи- зован с использованием баз данных на территории РФ. октябрь – ноябрь 2025 www.secuteck.ru Павел Новожилов Руководитель отдела аудита соответствия требованиям информационной безопасности компании "Инфосистемы Джет" Как не нарваться на штраф при взаимодействии с подрядчиками: ключевые особенности контроля в области ИБ Сегодня почти невозможно вести бизнес без привлечения сторонних организаций, а значит, без передачи персональных данных (ПДн). По ФЗ 152 от 27.07.2006 № 152 даже предоставление доступа к ПДн уже считается их передачей. Компания, кото- рая поручила подрядчику обработку ПДн, несет полную ответственность за его дей- ствия: если утечка произойдет по вине третьей стороны, штраф получит именно тот, кто предоставил данные. При выборе подрядчика компании часто смотрят только на репутацию и финансовую надежность, игнорируя соответствие требованиям информационной безопасности (ИБ) и законодательству о защите ПДн. Рассказываем, как правильно проверять под- рядчиков и на что обращать внимание при заключении договора.