Федеральная служба по техническому и экспортному контролю (ФСТЭК) России с 2026 года будет предъявлять к подрядчикам значимых объектов критической информационной инфраструктуры (ЗО КИИ) требования по обеспечению информационной безопасности (ИБ). Как сообщила начальник управления ФСТЭК Елена Торбенко, отсутствие контроля за действиями организаций-подрядчиков стало для рынка проблемой.
Сейчас в договорах с заказчикам не прописаны обязанности, ответственность, а организация-подрядчик, как правило, не ознакомлена с внутренней документацией компании-заказчика. В таком случае требования по безопасности не выполняются, сказала она.
Торбенко также рассказала, что за 10 месяцев 2025 года ФСТЭК проверила более 700 объектов ЗО КИИ и выявила 1100 нарушений требований законодательства в части оценки обеспечения безопасности.
Одним из самых актуальных нарушений Торбенко сочла применение средств защиты информации (СЗИ) из недружественных стран, несмотря на указ президента, согласно которому с 1 января 2025 года вводится запрет на использование ПО и «железа» из недружественных стран.
С 2026 году за выявленные нарушения будут составляться протоколы и приниматься решения об административной ответственности должностных или юридических лиц, отметила Торбенко.
Как пишут «Ведомости», за 10 месяцев 2025 года как минимум каждая 10-я кибератака в стране была реализована именно через уязвимость подрядчиков. Причем успешными эти атаки часто бывают именно потому, что уровень защиты у подрядчиков оказывается на порядок ниже, чем у крупных инфраструктурных организаций.
Требование по обеспечению высокого уровня кибербезопасности для подрядчиков ЗО КИИ – логичное развитие закона 187-ФЗ, которое призвано закрыть один из ключевых каналов кибератак, говорит руководитель ИБ-направления «Телеком биржи» Александр Блезнеков. Скорее всего, новые нормы обяжут подрядчиков, работающих с ЗО КИИ, соблюдать те же профильные приказы ФСТЭК, что выданы для субъектов КИИ. В частности, придется создать систему безопасности ЗО КИИ, установить конкретные технические и организационные меры защиты (это идентификация и аутентификация, управление доступом, антивирусная защита, обнаружение вторжений, реагирование на инциденты).
Ранее сообщалось, что в Госдуму внесен законопроект, ужесточающий ответственность хакеров за кибератаки и одновременно освобождающий от нее лиц, обеспечивающих эксплуатацию и функционирование объектов КИИ.