Сегодня почти невозможно вести бизнес без привлечения сторонних организаций, а значит, без передачи персональных данных (ПДн). По ФЗ 152 от 27.07.2006 № 152 даже предоставление доступа к ПДн уже считается их передачей. Компания, которая поручила подрядчику обработку ПДн, несет полную ответственность за его действия: если утечка произойдет по вине третьей стороны, штраф получит именно тот, кто предоставил данные.
При выборе подрядчика компании часто смотрят только на репутацию и финансовую надежность, игнорируя соответствие требованиям информационной безопасности (ИБ) и законодательству о защите ПДн. Рассказываем, как правильно проверять подрядчиков и на что обращать внимание при заключении договора.
Павел Новожилов
Руководитель отдела аудита соответствия требованиям информационной безопасности компании "Инфосистемы Джет"
Одним из ключевых элементов эффективной системы управления рисками ИБ является контроль за деятельностью подрядчиков. Учитывая, что подрядчики все чаще становятся вектором кибератак, организациям необходимо системно подходить к оценке и мониторингу своих контрагентов. Согласно анализу ландшафта угроз за 2024 г., в 17% расследованных инцидентов была зафиксирована компрометация именно через поставщиков услуг. Злоумышленники чаще всего использовали взломанные учетные записи компаний малого и среднего бизнеса, оказывающих услуги жертве.
Если раньше действия подрядчиков оставались "за кадром", то теперь регуляторы настойчиво требуют контроля при взаимодействии с подрядными организации. К примеру:
- ЦБ РФ интегрировал управление рисками при взаимодействии с подрядчиками в требования к операционной надежности – для финансовых организаций это уже не "желательно", а "обязательно";
- ФСТЭК России в приказе от 11.04.2025 г. № 117 (вступает в действие с 1 марта 2026 г.) впервые четко закрепил: защита информации при работе с подрядчиками – не рекомендация, а обязательный элемент защиты государственных информационных систем.
Мы рекомендуем разделять контроль на два ключевых этапа: до заключения договора и после. Такой подход позволяет не только минимизировать риски на старте взаимодействия, но и обеспечить их непрерывный контроль.
Сначала – сбор информации
Цель этого этапа – собрать исчерпывающую информацию о предстоящем взаимодействии с подрядчиком. Прежде всего необходимо четко определить, с какими категориями данных информационных систем подрядчику предстоит взаимодействовать. Для этого целесообразно задать ряд уточняющих вопросов, которые позволят выявить характер и масштабы взаимодействия с подрядчиком:
- Какие услуги подрядчик будет оказывать вашей компании?
- Какие данные в процессе оказания услуг подрядчик будет обрабатывать?
- Относятся ли эти к категории защищаемой информации вашей организации? Являются ли они персональными данными?
- Решение о том, являются ли данные ПДн, принимает компания или подрядчик?
- Будет ли подрядчик иметь доступ во внутренний контур вашей компании?
- Планируется ли интеграция информационных систем подрядчика и вашей компании?
- Планируется ли передача защищаемой информации подрядчику? Если да, то как именно (например, по электронной почте)?
- Будет ли подрядчик осуществлять сбор персональных данных самостоятельно? Если да, то где размещены базы данных, используемые для сбора персональных данных?
- Если обработка ПДн будет в информационных системах подрядчика, необходимо получить информацию в части категорий субъектов ПДн (например, работники вашей компании, клиенты), которые будут обрабатываться в таких информационных системах, и в части объема записей категорий субъектов ПДн.
- Передает ли подрядчик защищаемую информацию в сторонние организации? Если да, то какую информацию? С какой целью осуществляется такая передача?
Проверка подрядчика до заключения договора
Цель этого этапа – оценить уровень зрелости подрядчика в процессах обеспечения ИБ, в том числе защиты и обработки ПДн, чтобы принять обоснованное решение о целесообразности заключения договора и определить необходимый уровень контроля.
Не все подрядчики представляют одинаковый уровень риска ИБ. Именно поэтому дифференциация подрядчиков по критичности становится ключевым элементом стратегии управления рисками. Для определения уровня критичности подрядчика можно использовать следующие критерии:
- доступ к критичным информационным системам организации, которая привлекает подрядчика;
- наличие привилегированного доступа;
- возможность привлечения субподрядных организаций для выполнения работ;
- влияние услуги подрядчика на реализацию критичных бизнес-процессов.
В зависимости от уровня критичности применяются разные методы проверки. При низком может быть достаточно получения информации из общедоступных источников. При высоком – проверка фактической реализации установленных требований ИБ или проведение тестирования на проникновение. К таким способам проверки могут относиться:
- изучение общедоступных источников, в том числе интернет-ресурсов подрядчика;
- заполнение специальных анкет (чек-листов);
- запрос документации и свидетельств – включает сбор и анализ материалов, подтверждающих соответствие подрядчика требованиям ИБ: отчетов о проведенных аудитах ИБ, сертификатов (например, внедрение системы управления ИБ в соответствии с требованиями стандартов ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001), аттестат соответствия требованиям ФСТЭК России, внутреннее регламенты подрядчика в области ИБ и др.;
- выезды на территорию подрядчика (наиболее затратный с точки зрения ресурсов, необходимый для критичных подрядчиков, но позволяющий получить объективную картину зрелости подрядчика).
Если подрядчик будет обрабатывать ПДн, необходимо проверить:
- интернет-ресурс подрядчика (при его наличии);
- реестр компаний, обрабатывающих ПДн, который ведется Роскомнадзором, в части направления подрядчиком уведомления об обработке ПДн;
- документ, определяющий политику об обработке ПДн;
- результаты проверок Роскомнадзора;
- интернет-ресурсы по постановлениям об административных правонарушениях в части обработки ПДн.
На что стоит обратить внимание при проверке подрядчика в части организации обработки ПДн, указано в таблице.
А вот что важно при проверке подрядчика в части процессов ИБ:
- информация по утечкам данных, в том числе в даркнете;
- наличие лицензий в области ИБ (например, ФСТЭК и ФСБ);
- наличие независимых сертификаций в области ИБ (например, PCI DSS, ГОСТ 27001, ISO 27001 и др.);
- наличие аттестатов соответствия ФСТЭК России по требованиям ИБ;
- наличие заключений внешних организаций по результатам аудитов в области ИБ, тестирований на проникновения и других.
На основании собранных данных проводится анализ полученной информации в соответствии с разработанной моделью оценки подрядчиков с разным количеством контрольных процедур для разных уровней критичности. Каждый параметр оценивается баллами, из которых формируется итоговый показатель, учитываемый при принятии решения о заключении договора.
До заключения договора с подрядчиком необходимо также документально проработать и закрепить следующие моменты:
- как будет выстроен процесс предоставления и отзыва доступа работников подрядчика в информационные системы организации;
- как будет реализована интеграция информационных систем подрядчика и организации;
- как будет реализован процесс контроля выполнения установленных требований ИБ в соответствии с уровнем критичности со стороны организации;
- как будет выстроен процесс взаимодействия с подрядчиком, если обращения будут касаться обработки ПДн подрядчиком от самого субъекта ПДн или Роскомнадзора (с четкими сроками предоставления информации подрядчиком для подготовки ответа, учитывая ФЗ-152);
- как будет выстроен процесс уничтожения ПДн по достижении цели обработки ПДн или после отзыва согласия на обработку ПДн;
- как будет выстроен процесс управления инцидентами ИБ в случае утечки ПДн со стороны подрядчика;
- как будет выстроен процесс переноса ПДн из баз данных, если обработка ПДн осуществлялась только в информационных системах подрядчика (на уровне ФЗ-152 таких требований нет, в отличие от GDPR, но необходимо предусмотреть такое взаимодействие, например, в случаях обработки ПДн облачным провайдером).
Контроль подрядчика после заключения договора
Риски становятся наиболее реальными именно после того, как подрядчик получает доступ к вашим системам и данным. Поэтому контроль должен быть непрерывным, а не разовым.
Способы проверки могут повторять этап до заключения договора, но теперь они направлены на мониторинг реального состояния дел.
Дополнительно рекомендуются:
- регулярный мониторинг публичных источников на предмет утечек данных, штрафов от регуляторов и негативной информации;
- регулярные выездные проверки критически важных подрядчиков, особенно после значимых изменений (смена дата-центра, ИТ-платформы, слияния, смена руководства по ИБ/ИТ);
- использование специализированных сервисов для автоматизированной проверки кибербезопасности контрагентов и мониторинга их внешнего периметра.
Киберустойчивость начинается с подрядчиков
Подрядчики перестали быть просто "внешними исполнителями". В современной архитектуре безопасности они не поставщики услуг, а элементы киберустойчивости. Подход к работе с подрядчиками должен быть кардинально пересмотрен: вопросы ИБ и обработки ПДн в соответствии с ФЗ-152 и иными нормативными актами больше нельзя считать второстепенными.
Необходим системный подход к взаимодействию с подрядчиками. Например, за основу можно взять подход, который включает:
- классификацию по уровню критичности – не все подрядчики одинаково опасны;
- формализованную оценку до подписания договора – с баллами, минимальными порогами, чек-листами и прочим;
- непрерывный мониторинг на всем сроке взаимодействия, ведения реестра подрядных организаций;
- особое внимание – подрядчикам, работающим с ПДн, поскольку компания, предоставившая данные, несет за них полную ответственность.
Такой подход позволяет не только минимизировать риски, но и выстроить долгосрочные, доверительные отношения с подрядчиками на основе прозрачных и единых требований к безопасности. В конечном счете киберустойчивость организации зависит от того, насколько ответственно вы подходите к выбору и управлению своими внешними партнерами.
Иллюстрация к статье сгенерирована нейросетью Kandinsky