Журнал "Системы Безопасности" № 5‘2025

Б И З Н Е С . И Д Е И И М Н Е Н И Я 115 l выезды на территорию подрядчика (наиболее затратный с точки зрения ресурсов, необхо- димый для критичных подрядчиков, но поз- воляющий получить объективную картину зрелости подрядчика). Если подрядчик будет обрабатывать ПДн, необходимо проверить: l интернет-ресурс подрядчика (при его наличии); l реестр компаний, обрабатывающих ПДн, который ведется Роскомнадзором, в части направления подрядчиком уведомления об обработке ПДн; l документ, определяющий политику об обра- ботке ПДн; l результаты проверок Роскомнадзора; l интернет-ресурсы по постановлениям об административных правонарушениях в части обработки ПДн. На что стоит обратить внимание при проверке подрядчика в части организации обработки ПДн, указано в таблице. А вот что важно при проверке подрядчика в части процессов ИБ: l информация по утечкам данных, в том числе в даркнете; l наличие лицензий в области ИБ (например, ФСТЭК и ФСБ); l наличие независимых сертификаций в обла- сти ИБ (например, PCI DSS, ГОСТ 27001, ISO 27001 и др.); l наличие аттестатов соответствия ФСТЭК Рос- сии по требованиям ИБ; l наличие заключений внешних организаций по результатам аудитов в области ИБ, тести- рований на проникновения и других. На основании собранных данных проводится анализ полученной информации в соответствии с разработанной моделью оценки подрядчиков с разным количеством контрольных процедур для разных уровней критичности. Каждый параметр оценивается баллами, из которых формируется итоговый показатель, учитываемый при приня- тии решения о заключении договора. До заключения договора с подрядчиком необходимо также документально проработать и закрепить следующие моменты: l как будет выстроен процесс предоставления и отзыва доступа работников подрядчика в информационные системы организации; l как будет реализована интеграция информа- ционных систем подрядчика и организации; l как будет реализован процесс контроля выполнения установленных требований ИБ в соответствии с уровнем критичности со сто- роны организации; l как будет выстроен процесс взаимодействия с подрядчиком, если обращения будут касаться обработки ПДн подрядчиком от самого субъ- екта ПДн или Роскомнадзора (с четкими сро- ками предоставления информации подрядчи- ком для подготовки ответа, учитывая ФЗ-152); l как будет выстроен процесс уничтожения ПДн по достижении цели обработки ПДн или после отзыва согласия на обработку ПДн; l как будет выстроен процесс управления инци- дентами ИБ в случае утечки ПДн со стороны подрядчика; l как будет выстроен процесс переноса ПДн из баз данных, если обработка ПДн осуществлялась только в информационных системах подрядчика (на уровне ФЗ-152 таких требований нет, в отличие от GDPR, но необходимо предусмот- реть такое взаимодействие, например, в случаях обработки ПДн облачным провайдером). Контроль подрядчика после заключения договора Риски становятся наиболее реальными именно после того, как подрядчик получает доступ к вашим системам и данным. Поэтому контроль должен быть непрерывным, а не разовым. Способы проверки могут повторять этап до заключения договора, но теперь они направле- ны на мониторинг реального состояния дел. Дополнительно рекомендуются: l регулярный мониторинг публичных источни- ков на предмет утечек данных, штрафов от регуляторов и негативной информации; l регулярные выездные проверки критически важных подрядчиков, особенно после значи- мых изменений (смена дата-центра, ИТ-плат- формы, слияния, смена руководства по ИБ/ИТ); l использование специализированных серви- сов для автоматизированной проверки кибербезопасности контрагентов и монито- ринга их внешнего периметра. Киберустойчивость начинается с подрядчиков Подрядчики перестали быть просто "внешними исполнителями". В современной архитектуре безопасности они не поставщики услуг, а эле- менты киберустойчивости. Подход к работе с подрядчиками должен быть кардинально пересмотрен: вопросы ИБ и обработки ПДн в соответствии с ФЗ-152 и иными норматив- ными актами больше нельзя считать второсте- пенными. Необходим системный подход к взаимодей- ствию с подрядчиками. Например, за основу можно взять подход, который включает: l классификацию по уровню критичности – не все подрядчики одинаково опасны; l формализованную оценку до подписания договора – с баллами, минимальными поро- гами, чек-листами и прочим; l непрерывный мониторинг на всем сроке взаимодействия, ведения реестра подрядных организаций; l особое внимание – подрядчикам, работающим с ПДн, поскольку компания, предоставившая данные, несет за них полную ответственность. Такой подход позволяет не только минимизи- ровать риски, но и выстроить долгосрочные, доверительные отношения с подрядчиками на основе прозрачных и единых требований к без- опасности. В конечном счете киберустойчивость организации зависит от того, насколько ответ- ственно вы подходите к выбору и управлению своими внешними партнерами. n www.secuteck.ru октябрь – ноябрь 2025 Объект проверки Что проверять? Интернет-ресурс подрядчика (при наличии) проверяется с целью получения общего пред- ставления в части организации обработки ПДн. Если будут выявлены нарушения, можно предположить, что подрядчик в целом не уделяет внимание таким базовым вопросам органи- зации обработки ПДн l Месторасположение веб-серверов интернет-ресурса подрядчика (требование о локализации ПДн касается баз данных, на практике регуляторы обращают внимание и на геолокацию веб-серверов, так как именно через них осуществляется первичный сбор ПДн). l Наличие согласия на обработку cookie-файлов при входе на интернет-ресурс подрядчика (в случае если осуществляется обработка cookie-файлов). l Использование сервиса Google Analytics на интернет-ресурсе подрядчика (использование данного сервиса является трансгра- ничной передачей ПДн. При такой передаче необходимо направ- лять уведомление в Роскомнадзор). l Наличие форм ввода ПДн (например, форма обратной связи или регистрации) на интернет-ресурсе подрядчика. Проверка нали- чия согласия на обработку ПДн на формах ввода, ссылки на доку- мент, определяющий политику в отношении обработки ПДн, про- верка текста согласия на обработку ПДн в части указания цели обработки, типов ПДн, на которые осуществляется сбор согла- сий, сроков обработки, передачи третьим лицам Сайт Роскомнадзора l Направлено ли уведомление со стороны подрядчика. l По какой форме оно направлено (устаревшая форма ИСПДн может указывать на отсутствие актуализации). l Когда последний раз вносились изменения в уведомление. l Совпадают ли цели обработки с целями, указанными в документе, определяющем политику в отношении обработки ПДн подрядчика Документ, определяющий политику в отношении обработки ПДн, про- веряется с целью получения обще- го представления в части организа- ции обработки ПДн подрядчиком l Цели обработки ПДн. l Типы обрабатываемых ПДн по каждой цели. l Категории субъектов ПДн. l Правовые основания обработки ПДн. l Сроки обработки ПДн Интернет-ресурсы по постановле- ниям об административных право- нарушениях в части обработки ПДн Наличие информации о нарушениях по статьям 13.11, 13.12 Кодек- са об административных правонарушениях РФ, по статье 272.1 Уго- ловного кодекса РФ в отношении работников подрядчика Таблица. Проверка подрядчика в части организации обработки ПДн Ваше мнение и вопросы по статье направляйте на ss @groteck.ru