Безопасная работа с подрядчиками: как не стать жертвой

Безопасная работа с подрядчиками: как не стать жертвой

Продолжение цикла о Приказе ФСТЭК №117. Раньше — внутренние документы, уязвимости и обновления. Сегодня — подрядчики: вендор МИС, интеграторы, аутсорс IT. Именно через них часто приходит инцидент.

В чём проблема

Подрядчики — разработчики и владельцы МИС, системные интеграторы, аутсорс IT, облачные сервисы — получают доступ к вашим информационным системам или к передаваемой информации. Через них злоумышленники нередко проникают внутрь: слабый VPN, «временный» пароль администратора, копия базы «для теста».

Пример из практики: подрядчик обновлял МИС, скопировал базу пациентов «для отладки» на ноутбук. Через месяц данные утекли. По закону отвечает и подрядчик, и ваша организация — вы оператор ИС и, если в базе ПДн, оператор персональных данных.

Помните два контура: №117 (защита ИС) и 152-ФЗ (ПДн) — параллельно. 187-ФЗ / КИИ — третий слой для медорганизации с МИС. Передача работ подрядчику не снимает ответственность с главврача / директора и заместителя по ИБ (Указ №250, ПП №1272).

№117 даёт чёткие правила — п. 16, 26, 58, п. 14 «д».

Подрядчик обязан соблюдать вашу Политику — и не только её

П. 16 №117: подрядные организации ознакамливаются с Политикой защиты информации в части, их касающейся. Обязанность соблюдать политику — в документах, на основании которых даётся доступ или передаётся информация (договор, допсоглашение, SLA, акт).

П. 26: то же для внутренних стандартов и регламентов — доводите до подрядчика и закрепляете в договоре.

Что включить в договор с вендором МИС / IT-подрядчиком:

• подрядчик ознакомлен с политикой, стандартами и регламентами (в приложении — перечень или ссылка на актуальные версии);
• соблюдает их при доступе, обработке, хранении и передаче информации;
• отвечает за действия своих сотрудников и субподрядчиков;
• за нарушение — неустойка, расторжение доступа, возмещение ущерба (по договору).

Без этого на проверке первым делом запросят: «Где договор и регламент доступа подрядчиков?» При инциденте оператор отвечает перед регулятором и пациентами; взыскать убытки с подрядчика можно если это предусмотрено договором .

Копировать информацию без явного разрешения — нельзя

П. 58 №117: подрядчик не вправе копировать информацию, к которой получил доступ, если копирование не предусмотрено в ваших документах.

Запрещено по умолчанию: флешка, личный ноутбук, личное облако, «скину себе на почту для проверки».

Исключение — только явное: в договоре или письменном разрешении ответственного за защиту информации / зама по ИБ — закрытый перечень случаев (например, копия обезличенной базы на изолированный стенд).

Для МО: запрет особенно критичен для ЭМК, диагнозов, СНИЛС, медицинских изображений.

Разработка и тест — только в «песочнице», не в боевой МИС

Самое частое нарушение: инженер вендора «поправляет код» на рабочем сервере в часы приёма.

П. 58 №117: разработка (развитие) и тестирование ПО подрядчиком в эксплуатируемых ИС не допускаются. Нужны выделенные изолированные стенды разработки и/или тестирования. Доступ к стендам — по регламенту, с контролем и журналами.

Что делать медорганизации:

• физически или логически отделить стенд от prod-сети с МИС;
• по возможности — обезличенная копия МИС, не боевая база;
• если отдельного стенда нет — тестовый контур вендора по письменному регламенту; prod не трогаем;
• после работ — проверка, что данные не унесли со стенда.

Это же место, где сходятся выпуски про обновления (патч сначала на копии) и уязвимости (24 ч / 7 дней — не «подождём вендора на prod»).

Если подрядчик обрабатывает ваши данные у себя

Облачная CRM, колл-центр записи, телемедицина «как сервис», хостинг выгрузок — данные лежат в ИС подрядчика.

П. 58 №117: в ваших стандартах и регламентах (договор может на них ссылаться) вы определяете:

• состав информации (ФИО, СНИЛС, диагнозы, служебные сведения, врачебная тайна, ДСП);
• цели защиты (конфиденциальность, целостность, доступность);
• класс защищённости K1/K2/K3 и УЗ1–УЗ3 — по той же логике, что для своих ИС (см. выпуск про акт классификации).

Подрядчик обязан принять меры защиты в соответствии с заданными целями и классом.

Параллельно — 152-ФЗ: если передаёте ПДн пациентов — нужен договор поручения оператора (ст. 6): цели, перечень действий, меры защиты, запрет передачи третьим лицам без оснований, аудит и уничтожение по окончании. №117 не заменяет 152-ФЗ.

Доступ к вашей ИС: не «разовый пароль»

В регламенте (п. 14 «д») пропишите:

• заявка и согласование (зам по ИБ / ответственное лицо);
• срок доступа — только на время работ;
• минимально необходимые права (не «admin на всё»);
• отдельные учётные записи подрядчика, не общий пароль;
• VPN / jump-сервер, логирование, при возможности — запись привилегированных сессий;
• отзыв доступа сразу после завершения работ;
• запрет доступа «по пропуску без учётки».

П. 48: не смешивать в одной учётке роли админа, разработчика и админа безопасности — актуально и для учёток вендора МИС.

Лицензия ФСТЭК — не у всех подрядчиков

П. 24 №117: для работ по защите информации оператор может привлечь организацию с лицензией на техническую защиту конфиденциальной информации (99-ФЗ). Типично — интегратор СЗИ, аутсорс ИБ, разработка модели угроз «под ключ».

Вендор МИС на поддержке и патчах не обязан быть лицензиатом ФСТЭК — но обязан соблюдать ваши документы и регламент доступа. Приёмка работ лицензиата — на вашей стороне (п. 24).

Если подрядчик сам пишет код для вашей ИС — в ТЗ можно включить требования безопасной разработки по ГОСТ Р 56939-2024 (п. 50).

Если подрядчик нарушил правила

1. Зафиксировать (логи, акт, переписка).
2. Немедленно отключить доступ.
3. Оценить инцидент: утечка ПДн, остановка МИС, компрометация ЭМК.
4. Уведомления — по основаниям, не «всегда во ФСТЭК»:

Роскомнадзор / субъекты ПДн — при утечке персональных данных (152-ФЗ);
ФСТЭК / НКЦКИ — при компьютерном инциденте на объекте КИИ (187-ФЗ);
ФСТЭК — при уязвимости не в БДУ (п. 38, выпуск про уязвимости).

1. Претензия и регресс к подрядчику — по договору.

Что будет, если проигнорировать

Ст. 13.12 КоАП — за нарушение требований по защите информации, в том числе контроля подрядчиков. Для организаций — штрафы обычно десятки–сотни тысяч рублей (по составу). Не путайте со ст. 13.11 КоАП по ПДн — там санкции жёстче.

Предписание ФСТЭК — пересмотреть договоры, регламенты, доступы.

Утечка через подрядчика — 152-ФЗ, 13.11, гражданские иски пациентов; при тяжких последствиях — уголовные риски. Оператор отвечает первым; к подрядчику — по договору.

Чек-лист для руководителя и юриста

• В договоре — политика, стандарты, регламенты (п. 16, 26).
• Копирование запрещено, кроме явно оговорённых случаев (п. 58).
• Разработка и тест — только на изолированном стенде, не в prod-МИС (п. 58).
• Данные у подрядчика — состав, цели, K1–K3 в стандартах/регламенте + договор поручения по 152-ФЗ для ПДн.
• Доступ — заявка, срок, минимальные права, журналы, отзыв (п. 14 «д»).
• Лицензия ФСТЭК — у подрядчика, который ведёт лицензируемые работы по защите (п. 24), не у любого вендора «по умолчанию».

Итог

Подрядчик — не «чужие люди за забором», а часть вашего периметра. Вендор МИС для больницы часто важнее любого внутреннего отдела по уровню доступа.

Три правила: всё в договоре и регламенте; рабочую ИС не трогаем; ПДн и K1–K3 — явно, не «на словах».

В следующем выпуске: обучение сотрудников и цифровая гигиена — обязательные требования №117 (п. 56–57): периодичность, проверка знаний, практические тренировки.

Проверьте готовность по №117 — в тесте есть блок про подрядчиков; консультация по договорам с вендором МИС: synlawtech.ru

Подпишитесь на канал, чтобы не пропустить продолжение серии. Кейсы — в комментариях.