.PNG)
1Контроль подрядчиков: зачем оценивать поставщиков
С 1 марта 2026 года вступает в силу приказ ФСТЭК России № 117 от 11.04.2025, который впервые на нормативном уровне устанавливает требования к контролю подрядчиков, имеющих доступ к информационным системам. Среди 13 критериев показателя состояния защищённости (ПСЗ) есть прямое требование к работе с подрядными организациями.
Критерий k13 приказа ФСТЭК №117
Контроль работы подрядчиков — это не формальность, а обязательное условие для операторов ГИС, субъектов КИИ и организаций, обрабатывающих персональные данные. Без системы контроля подрядчиков невозможно обеспечить полное соответствие требованиям 117 приказа.
13
Критериев ПСЗ
в 4 группах оценки
10%
Вес группы «Организация»
включает критерий k13
01.03.2026
Вступление в силу
приказ ФСТЭК №117
2Как рассчитать рейтинг поставщика: критерии оценки
Рейтинг поставщика формируется на основе оценки его уровня защищённости по тем же критериям, что используются для расчёта ПСЗ по приказу ФСТЭК №117. Каждая группа критериев имеет свой вес, что позволяет объективно оценить надёжность контрагента.
| Группа критериев | Вес | Что проверяется |
|---|---|---|
| 1. Организация и управление | 10% | Ответственный за ИБ, подразделение ИБ, требования к подрядчикам в договорах |
| 2. Защита пользователей | 25% | Парольная политика, MFA для привилегированных УЗ, контроль учётных записей |
| 3. Защита информационных систем | 35% | Межсетевой экран, управление уязвимостями, антивирус, защита от DDoS |
| 4. Мониторинг и реагирование | 30% | Сбор событий ИБ, анализ инцидентов, регламент реагирования |
Формула расчёта
3Система рейтинга поставщиков: уровни оценки
По результатам расчёта ПСЗ подрядчик получает один из трёх уровней оценки. Эти уровни определяются автоматически и показывают, насколько контрагент соответствует требованиям информационной безопасности.
Минимальный базовый (ПСЗ ≥ 1.0)
Все обязательные меры выполнены. Подрядчик соответствует требованиям 117 приказа. Сотрудничество без ограничений.
Низкий (ПСЗ от 0.75 до 1.0)
Часть мер не реализована. Рекомендуется запросить план устранения замечаний и установить сроки доработки.
Критический (ПСЗ ≤ 0.75)
Существенные пробелы в защите. Высокий риск инцидентов через инфраструктуру подрядчика. Требуются срочные меры или пересмотр сотрудничества.
Помимо уровня ПСЗ, каждому подрядчику присваивается тир критичности в зависимости от уровня доступа к информационным системам заказчика.
| Тир | Уровень доступа | Рекомендации |
|---|---|---|
| 1. КИИ — Критический | Доступ к значимым объектам КИИ (187-ФЗ) | Максимальный контроль, обязательный аудит, SLA по ИБ |
| 2. Высокий | Доступ к ИСПДн, ГИС, АСУ ТП | Полная оценка ПСЗ, ежегодная переоценка |
| 3. Средний | Доступ к корпоративной сети и ИС | Стандартная оценка, мониторинг изменений |
| 4. Низкий | Нет доступа к ИС, только физический доступ | Упрощённая оценка, базовые требования |
4Реестр проверенных поставщиков: как вести
Реестр проверенных поставщиков — это систематизированный перечень контрагентов с результатами оценки их соответствия требованиям ИБ. Ведение реестра позволяет отслеживать динамику, контролировать сроки переоценки и принимать обоснованные решения о сотрудничестве.
Идентификация подрядчика
ИНН, наименование, контактные данные ответственного за ИБ
Тир критичности
Уровень доступа к ИС заказчика (КИИ / Высокий / Средний / Низкий)
Результат оценки ПСЗ
Числовое значение и уровень (минимальный базовый / низкий / критический)
Дата последней оценки
Для контроля актуальности результатов
История оценок
Динамика изменений — улучшается или ухудшается защищённость подрядчика
Замечания и рекомендации
Какие критерии не выполнены, план устранения
Ручной подход vs автоматизация
5Бесплатный сервис проверки контрагентов
На нашем портале вы можете бесплатно проверить подрядчиков по требованиям приказа ФСТЭК №117. Сервис автоматизирует весь процесс: от отправки приглашения до расчёта рейтинга.
Персональные ссылки
Каждому подрядчику — уникальная ссылка для прохождения оценки
Автоматический скоринг
Расчёт ПСЗ по 13 критериям с учётом весов групп
Тиры критичности
Классификация подрядчиков по уровню доступа к ИС
Отчёты и история
Результаты оценок, динамика, экспорт данных
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также запустите проверку подрядчиков по требованиям 117 приказа.
Кирилл Терещенко
Специалист по информационной безопасности
С 2020 года специализируется на аттестации ГИС и категорировании КИИ. Аттестация ГИС министерств РФ.
