«Передавая данные подрядчику, вы отдаёте работу, но не ответственность: перед клиентом и регулятором отвечаете вы» — руководитель проектов по ИБ Щербаков Антон По ч. 5 ст. 6 152-ФЗ оператор отвечает перед субъектом за действия того, кому поручил обработку. В январе 2026 Верховный суд подтвердил штраф ведомству за утечку, куда зашли через незащищённый канал подрядчика: оператор отвечает, даже когда взломали не его. А в 42% инцидентов через поставщиков атака начиналась раньше, чем заказчик успевал поставить патч Что делать: — Оформить не «договор о сотрудничестве», а поручение по ч. 3 ст. 6: перечень ПДн, цели, требования к защите и право на проверку — Пользоваться этим правом: запрашивать меры защиты и отчеты об уничтожении данных — Дать минимум доступа, логировать и мониторить действия подрядчика — Держать план на 0-day в ПО поставщика — патч часто опаздывает Отдать можно функцию, но не риск: подрядчик — это расширение вашего периметра @tomhunter Наш канал в MAX