.PNG)
1Риски аутсорсинга: почему цепочка поставок — слабое звено
Современная организация взаимодействует с десятками подрядчиков: ИТ-аутсорсеры, провайдеры облачных услуг, разработчики ПО, сервисные компании. Каждый из них может стать точкой входа для злоумышленника, если его уровень защищённости недостаточен.
Приказ ФСТЭК №117 впервые на уровне нормативного акта устанавливает требование к контролю безопасности цепочки поставок. Критерий k13 прямо обязывает включать в договоры с подрядчиками требования по защите от угроз через их инфраструктуру.
13
Критериев ПСЗ
приказ ФСТЭК №117
35%
Вес «Защита ИС»
максимальный среди групп
30%
Вес «Мониторинг»
второй по значимости
2Приказ ФСТЭК №117: требования к оценке рисков контрагентов
Показатель состояния защищённости (ПСЗ) рассчитывается по 13 критериям, объединённым в 4 группы. Для оценки рисков контрагентов ключевое значение имеют критерии из всех четырёх групп — потому что подрядчик, получивший доступ к вашей ИС, должен соблюдать те же стандарты безопасности.
| Группа | Вес | Критерии | Риск при невыполнении |
|---|---|---|---|
| Организация и управление | 10% | k11, k12, k13 | Нет ответственного за ИБ, нет требований к подрядчикам |
| Защита пользователей | 25% | k21, k22, k23, k24 | Слабые пароли, нет MFA, активные УЗ уволенных |
| Защита информационных систем | 35% | k31–k36 | Открытый периметр, критические уязвимости, нет антивируса |
| Мониторинг и реагирование | 30% | k41, k42, k43 | Инцидент не обнаружен, нет регламента реагирования |
Ключевой риск
3Матрица рисков контрагентов: метод оценки
Для систематизации оценки рисков контрагентов используется двухфакторная модель: уровень доступа (тир критичности подрядчика) и уровень защищённости (ПСЗ по результатам оценки).
| Тир / ПСЗ → | ПСЗ ≥ 1.0 | 0.75 < ПСЗ < 1.0 | ПСЗ ≤ 0.75 |
|---|---|---|---|
| 1. КИИ — Критический | Допустимый риск | Высокий риск — план устранения | Неприемлемый — пересмотр |
| 2. Высокий | Допустимый риск | Средний — мониторинг | Высокий — ограничения |
| 3. Средний | Низкий риск | Допустимый — рекомендации | Средний — план устранения |
| 4. Низкий | Минимальный | Низкий | Допустимый — рекомендации |
Как читать матрицу
Тиры критичности определяются при добавлении подрядчика в систему:
1. КИИ — Критический
Доступ к значимым объектам КИИ по 187-ФЗ. Максимальный контроль.
2. Высокий
Доступ к ИСПДн, ГИС, АСУ ТП. Полная оценка ПСЗ обязательна.
3. Средний
Доступ к корпоративной сети. Стандартная оценка.
4. Низкий
Только физический доступ, без ИС. Базовые требования.
4Система управления рисками ИБ: от ручного к автоматическому
Управление рисками поставщиков можно организовать вручную или с помощью специализированного сервиса. Сравним подходы:
| Параметр | Ручной (Excel) | Автоматический |
|---|---|---|
| Время на одного подрядчика | 2–4 часа (анкета + подсчёт) | 5 минут (создать ссылку) |
| Расчёт ПСЗ | Формула вручную, риск ошибок | Автоматический по 13 критериям |
| Тиры критичности | Нужно определять вручную | Встроенная классификация |
| История оценок | Ведётся вручную в таблице | Автоматическое версионирование |
| Стоимость | Бесплатно, но трудоёмко | Бесплатно на 117fstec.credos.ru |
13
Критериев оценки
с учётом весов групп
0 ₽
Стоимость
бесплатный сервис
4
Тиров критичности
от КИИ до Низкого
5Начните оценку рисков контрагентов
Оценка рисков контрагентов по приказу ФСТЭК №117 — это не разовое мероприятие, а непрерывный процесс. Начните с определения тиров критичности для ваших подрядчиков, затем проведите первую оценку ПСЗ. Наш сервис поможет автоматизировать этот процесс.
Шаг 1. Определите тиры
Классифицируйте подрядчиков по уровню доступа к вашим ИС (КИИ / Высокий / Средний / Низкий).
Шаг 2. Создайте ссылки
Для каждого подрядчика создайте персональную ссылку на прохождение оценки.
Шаг 3. Оцените результаты
Проанализируйте ПСЗ и уровень риска по матрице. Определите меры для подрядчиков с высоким риском.
Шаг 4. Контролируйте динамику
Периодически запрашивайте переоценку. Сравнивайте результаты с предыдущими.
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также запустите проверку подрядчиков по требованиям 117 приказа.
Дмитрий Елисеев
Специалист по информационной безопасности
С 2024 года специализируется на комплексных аудитах ИБ. Проекты — защита ПДн в МФЦ МО, безопасность в банковской сфере.
