.png)
Последние несколько лет наблюдается тревожная тенденция: подрядчики всё чаще становятся слабым звеном в безопасности собственных клиентов и «парадной дверью в инфраструктуру» для злоумышленников.
Причин может быть несколько: сам подрядчик недостаточно вкладывается в собственную информационную безопасность, компании-клиенты не уделяют должного внимания контролю подрядчиков, придерживаясь позиции «доверять подрядчику, зачем проверять», нет единого подхода к тому, как можно обезопасить себя; регуляторы, каждый в своей сфере, делают собственные акценты.
Понимая важность существующих сложностей, а также принимая во внимание непрекращающиеся инциденты, связанные с атаками через подрядчиков, Ассоциация АБИСС совместно с компанией «Инфосистемы Джет» подготовили методические рекомендации для безопасной работы с подрядчиками. Цель документа — создать единый подход к процессу безопасной работы с подрядчиками для повышения защищенности компаний от атак типа «атака через поставщика» и доверия к исполнителю при привлечении аутсорсинга и сторонней экспертизы.
«Мы долго наблюдали за рынком и видели одну и ту же проблему: компании либо совсем не проверяют подрядчиков, либо делают это формально. При этом регуляторы в разных сферах выдвигают свои требования, и у бизнеса нет единой картинки, как выстроить процесс. Наши рекомендации — это попытка собрать всё воедино и дать практический инструмент, который можно сразу внедрить. Не "галочку поставить", а реально снизить риски», — комментирует ведущий консультант по информационной безопасности, Анна Коробецкая.
«Инициативы АБИСС — это всегда результат совместной работы членов ассоциации, и в этом заключается ключевая ценность нашего взаимодействия. Как показывает практика, объединенные усилия могут превращаться в реальные, востребованные инструменты для рынка ИБ. И тому яркий пример — методология управления поставщиками услуг, разработанная совместно с компанией "Инфосистемы Джет". В 2026 году АБИСС продолжит развивать свои инициативы. В планах — создание методики управления поставщиками программного обеспечения. Ее актуальность обусловлена ростом угроз, связанных с цепочками поставок, и ужесточением регуляторных требований в области безопасной разработки ПО. Параллельно продолжим развитие сертификации ИБ-аудиторов на базе Системы добровольной сертификации АБИСС», — дополняет Анастасия Харыбина, председатель Ассоциации АБИСС.
Разработанный документ дает представление об основных этапах взаимодействия с подрядчиками и требованиях, направленных на защиту ИТ-ресурсов и данных компании в случае компрометации подрядчика. Набор предлагаемых мер сосредоточен на минимизации рисков ИБ, связанных с несанкционированным доступом к ИТ-инфраструктуре и данным компании через её подрядчика.
В рекомендациях можно найти:
- описание жизненного цикла взаимодействия с подрядчиком, который поможет выстроить процесс внутри компании;
- требования и подход к проведению оценки ИБ подрядчика;
- экспресс чек-лист для оценки ИБ подрядчика, чтобы понять соответствует ли подрядчик минимальным требованиям.
Рекомендации будут полезны при работе с подрядчиками, которые:
- получают доступ к конфиденциальной информации, информационным системам или ИТ-инфраструктуре;
- привлекаются для администрирования, настроек или внедрений;
- берут на реализацию бизнес-процессы или целые ИТ-функции;
- предоставляют серверные мощности.
Документ пригодится тем, кто на деле сталкивается с подрядчиками:
- ИБ-специалисты найдут практические меры и критерии оценки подрядчиков;
- закупщики смогут заранее закладывать требования по ИБ в тендерную документацию;
- юристы найдут в документе ориентиры, что дополнительно прописать в зоны ответственности.
Документ уже доступен на сайте ассоциации АБИСС.
.jpg)
.png)