Чек-лист проверки контрагента по информационной безопасности

1Due diligence контрагентов: почему недостаточно проверки по ИНН

Стандартная проверка контрагента по ИНН через налоговые сервисы показывает юридический статус компании, наличие задолженностей и судебных дел. Но она ничего не говорит о том, как подрядчик защищает информацию, к которой получает доступ.

Если подрядчик имеет доступ к вашей информационной системе с привилегированными правами, его уязвимости становятся вашими уязвимостями. Приказ ФСТЭК №117 прямо требует установить в договорах требования к подрядчикам по защите от угроз через их инфраструктуру (критерий k13).

Обязательный

Критерий k13

требования к подрядчикам в договорах

10%

Группа «Организация»

вес в расчёте ПСЗ

01.03.2026

Вступление в силу

приказ ФСТЭК №117

2Как проверить надёжность контрагента по требованиям ФСТЭК №117

Приказ ФСТЭК №117 устанавливает 13 критериев оценки состояния защищённости, сгруппированных в 4 блока. Для проверки контрагента наиболее значимы следующие критерии:

Критерий	Что проверяется	Зачем проверять у подрядчика
k13	Требования к подрядчикам в договорах	Прямое требование — должны быть меры по защите от угроз через инфраструктуру подрядчика
k21–k24	Парольная политика, MFA, контроль учётных записей	Если подрядчик имеет УЗ в вашей ИС — его парольная гигиена критична
k31–k32	Межсетевой экран, отсутствие критических уязвимостей	Уязвимости у подрядчика = путь в вашу инфраструктуру
k43	Регламент реагирования на инциденты	При инциденте у подрядчика вы должны узнать об этом первыми

Подробнее о критериях

Полный перечень 13 критериев с формулой расчёта ПСЗ — в нашем руководстве по приказу ФСТЭК №117. Там же — онлайн-калькулятор для моментального расчёта.

3Чек-лист проверки контрагента по ИБ: 15 пунктов

Ниже — практический чек-лист для оценки надёжности контрагента по информационной безопасности. Пункты сгруппированы по степени критичности.

Обязательные пункты (must-have)

Первые 8 пунктов — минимальный набор требований для подрядчиков с доступом к ИС. Без их выполнения сотрудничество несёт высокие риски.

В договоре есть требования по защите от угроз через инфраструктуру подрядчика (k13)

У подрядчика назначен ответственный за информационную безопасность

Действует парольная политика, соответствующая требованиям

Реализована многофакторная аутентификация для привилегированных пользователей

Отсутствуют учётные записи с паролями по умолчанию

На сетевом периметре установлены межсетевые экраны L3/L4

Критические уязвимости на периметре устраняются в течение 30 дней

Утверждён регламент реагирования на инциденты ИБ

Реализован централизованный сбор событий безопасности

Централизованный антивирус установлен на ≥80% устройств

Обеспечена проверка вложений в электронных письмах

Реализована защита от DDoS-атак на уровне L3/L4

Критические уязвимости на серверах устраняются в течение 90 дней

Отсутствуют активные УЗ уволенных сотрудников

Подрядчик готов к повторной оценке по запросу заказчика

Критичные vs рекомендуемые

Пункты без отступа — обязательные для подрядчиков тиров «КИИ — Критический» и «Высокий». Пункты с отступом — рекомендуемые, повышающие рейтинг надёжности контрагента.

4Автоматизация проверки: от Excel к рейтингу надёжности

При небольшом количестве подрядчиков (1–3) чек-лист можно заполнять вручную. Но по мере роста числа контрагентов ручной подход создаёт проблемы:

Ручной подход (Excel)

Рассылка анкет по email, ручной подсчёт баллов, хранение в таблице. Подходит для 1–3 подрядчиков. Минус: долго, нет истории, легко забыть о переоценке.

Полуавтоматический

Шаблон анкеты в Google Forms + формула подсчёта. Подходит для 3–10 подрядчиков. Минус: нет тиров, нет персональных ссылок.

Автоматический (наш сервис)

Персональная ссылка для каждого подрядчика, автоматический расчёт ПСЗ по 13 критериям, тиры критичности, история оценок. Бесплатно, без ограничений.

Бесплатная автоматизация

На портале 117fstec.credos.ru вы можете создать персональные ссылки для подрядчиков. Подрядчик проходит оценку по 13 критериям, а вы видите рейтинг надёжности контрагента в личном кабинете — с историей и разбивкой по группам.

5Начните проверку подрядчиков

Используйте наш бесплатный сервис для проверки контрагентов по требованиям ФСТЭК №117. Создайте ссылку-приглашение, отправьте подрядчику, получите рейтинг надёжности.

Запустить проверку подрядчиковРассчитать КЗИ