На аудитах по ИБ мы все чаще видим ситуацию: компания уверена, что ее системы под контролем, но фактически ключи от инфраструктуры находятся у подрядчика.
Разберем кейс.
У компании есть несколько ИСПДн, одна из них — основная самописная система для клиентов и партнеров. Для нее был определен 2 уровень защищенности.
При сборе исходных данных выяснилось: система полностью находится под управлением подрядчика, от серверной инфраструктуры до доступов.
Подрядчик уверял, что все безопасно и дополнительные средства защиты не нужны: система размещена в ЦОДе, значит, ее защищают средства ЦОДа.
Ответственный со стороны компании тоже был спокоен, т.к. подрядчик давний, работает давно, значит, рисков нет.
Но размещение в ЦОДе не означает, что конкретная ИСПДн защищена. А доверие к подрядчику не заменяет контроль, договорные требования и понимание, кто и с какими правами работает в системе.
В кейсе выявились сразу несколько проблем:
➡️ подрядчик имел полный доступ к информационной системе
➡️ в компании не было контроля за его действиями
➡️ подрядчик не был заинтересован выполнять требования по ИБ
➡️ никто внутри компании точно не понимал, какие работы он проводит
Главный риск здесь — утечка или инцидент через подрядчика. Если злоумышленник атакует подрядчика и через его доступы попадает в вашу систему, ответственность все равно остается на компании. Особенно если речь идет об ИСПДн и персональных данных клиентов или партнеров.
ЧТО СДЕЛАТЬ ЗА 30 ДНЕЙ БЕЗ ОСТАНОВКИ БИЗНЕСА
1️⃣ Проверить подрядчика
Запросите подтверждения, что он проходит ИБ-проверки: аудит, пентест, оценку эффективности или другие мероприятия. Если подтверждений нет, закрепите требования по ИБ в допсоглашении или пересмотрите договор.
2️⃣ Определить зоны ответственности
Подрядчик не должен контролировать всю инфраструктуру без границ. Зафиксируйте, какие системы он администрирует, какие действия выполняет и какие доступы можно отозвать при инциденте или расторжении договора.
3️⃣ Оформить поручение на обработку ПДн
Если подрядчик получает доступ к персональным данным, с ним должно быть оформлено поручение на обработку ПДн. Иначе доступ фактически есть, а правовая модель не закрыта.
4️⃣ Пересмотреть доступы
Оставьте подрядчику только те права, которые нужны для работ по договору. Если он администрирует критичную инфраструктуру, введите регулярный контроль: отчеты, встречи, фиксацию изменений и проверку действий.
5️⃣ Добавить уведомление об инцидентах
В договоре должна быть обязанность подрядчика сообщать об инцидентах ИБ на своей стороне. Если риск приходит через подрядчика, компания должна узнать об этом до того, как пострадают данные или инфраструктура.
Передать администрирование подрядчику можно. Передать ему ответственность за ИБ нет.
Даже если у компании нет собственной ИБ-команды, безопасность ИСПДн остается ее зоной ответственности. Если подрядчик администрирует системы, доступы давно не проверялись, а договор не обновлялся, начните с аудита доступов, договора и зон ответственности. Б-152 поможет вернуть контроль без остановки бизнеса.
