.PNG)
1Почему подрядчик — главная угроза в 2025–2026 годах
В 2025 году атаки через цепочку поставок стали массовым явлением. По данным аналитиков, 64% крупных корпораций столкнулись с инцидентами, в которых начальной точкой проникновения стал подрядчик, интегратор или поставщик услуг. Традиционный договор с требованиями по информационной безопасности уже не защищает — он лишь фиксирует ответственность после инцидента.
64%
Корпораций атакованы через подрядчика
+78%
Рост атак через цепочку поставок за 2024 г.
197 дней
Среднее время обнаружения инцидента
до 500 млн ₽
Штраф за повторную утечку ПДн
Приказ ФСТЭК России № 117 от 11.04.2025 впервые на нормативном уровне закрепил обязанности заказчика по контролю подрядчиков. Теперь это не рекомендация — это требование, за неисполнение которого организации несут регуляторную ответственность.
2Что обязан сделать заказчик по 117 приказу
117 приказ ФСТЭК устанавливает три ключевые обязанности заказчика в части работы с подрядчиками:
Требования в договоры и ТЗ
Обязательное включение условий по информационной безопасности в договоры на выполнение работ и техническое задание. Подрядчик должен знать, чего от него требуют.
Разграничение доступа
Доступ подрядчика предоставляется только к тем ресурсам, которые необходимы для выполнения конкретных работ. Принцип минимальных привилегий — обязателен.
Мониторинг в реальном времени
Контроль действий внешних специалистов в режиме реального времени. PAM-системы, журналирование, видеозапись сессий — это теперь требование, а не опция.
Методический документ ФСТЭК конкретизирует технические меры: идентификация и аутентификация (ИА), управление доступом персонала (УП), регистрация событий безопасности (РС), защита информационной системы (ЗИС). Критерий к13 методики расчёта КЗИ напрямую проверяет наличие требований к подрядчикам в договорах.
Ключевое требование
3Классификация подрядчиков: 4 типа с разными рисками
117 приказ предполагает дифференцированный подход к подрядчикам в зависимости от характера их работ и уровня доступа к информационным системам. Понимание типа подрядчика определяет набор контрмер.
| Тип подрядчика | Уровень доступа | Ключевой риск |
|---|---|---|
| Инфраструктурные (ЦОД, облака, связь) | Глобальный — вся среда хранения | Компрометация всей инфраструктуры |
| Сервисные (техподдержка, аутсорс) | Административный — поддержка ПО | Деструктивные изменения в ИС |
| Разработчики (создание и доработка ПО) | Прикладной — исходный код | Внедрение недокументированных функций |
| Аудиторы и консалтинг | Информационный — документация | Утечка схем сети и векторов атак |
Для каждого типа подрядчика набор требований будет отличаться. Инфраструктурный подрядчик требует максимального контроля и отдельного сегмента сети; разработчик — проверки кода и изоляции от боевых систем; аудитор — режима конфиденциальности и контроля документооборота.
4Юридический фундамент: что включить в договор
117 приказ требует включения условий по ИБ непосредственно в текст договора и техническое задание. Четыре обязательных пункта, которые должны быть в каждом договоре с подрядчиком, имеющим доступ к ИС:
| Пункт договора | Суть требования | Цель по 117 приказу |
|---|---|---|
| Право на аудит | Проверка площадки подрядчика заказчиком в любое время | Комплаенс-контроль |
| Уведомление об инцидентах | Срок: не более 3 часов с момента обнаружения | Оперативное реагирование |
| Удалённый доступ | Только через согласованные СКЗИ — никаких AnyDesk и TeamViewer | Изоляция инфраструктуры |
| Финансовые санкции | Финансовая ответственность за нарушение регламента ИБ | Мотивация соблюдения норм |
Про удалённый доступ
5Как выбрать подрядчика: чек-лист заказчика
Оценка подрядчика начинается на этапе выбора — ещё до подписания договора. Четыре критерия, которые должен проверить заказчик:
Лицензии ФСТЭК на ТЗКИ
Наличие действующей лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. Проверяется на официальном сайте регулятора.
Квалификация инженеров
Дипломы о высшем образовании в области ИБ, актуальные сертификаты ФСТЭК, CISSP, CEH или аналогичные. Должна быть документально подтверждена.
Ответы на анкету ИБ
Заполнение специализированного опросника о зрелости процессов ИБ: политики, процедуры, технические средства защиты, обучение персонала.
Наличие средств защиты информации
Подрядчик должен использовать сертифицированные СЗИ на своей инфраструктуре. Использование несертифицированных средств — нарушение ч. 2 ст. 13.12 КоАП.
«Красные флаги» при выборе подрядчика: настаивает на AnyDesk/TeamViewer вместо VPN на СКЗИ; требует общих учётных записей без персонализации; отказывается демонстрировать настройки своих СЗИ и журналы подключений.
6Алгоритм взаимодействия: Выбор → Договор → Допуск → Работа
117 приказ предполагает жизненный цикл взаимодействия с подрядчиком, разбитый на четыре последовательных этапа. Пропуск любого из них создаёт уязвимость.
1. Выбор: проверка лицензий и репутации
На этапе закупки: проверка лицензий ФСТЭК, квалификации инженеров, анкета ИБ, репутация на рынке. Фиксируем требования в конкурсной документации.
2. Договор: ИБ-пункты в контракте и ТЗ
Включение обязательных условий по ИБ в текст договора. Право на аудит, уведомление об инцидентах, ограничения на используемые инструменты, финансовые санкции.
3. Допуск: PAM и MFA
Настройка доступа только через PAM-систему. Обязательная многофакторная аутентификация. Персональные учётные записи с минимальными привилегиями. Ограниченный срок доступа.
4. Работа: постоянный мониторинг и аудит
Непрерывный мониторинг действий подрядчика: SIEM, видеозапись сессий, регулярный аудит журналов. Ежеквартальная переоценка уровня доступа.
7Последствия нарушений по 117 приказу
Несоблюдение требований 117 приказа влечёт административную ответственность по нескольким статьям КоАП:
Несертифицированные СЗИ — ч. 2 ст. 13.12 КоАП
Штраф 50 000–100 000 рублей + возможна конфискация несертифицированных средств защиты. Применяется в том числе если подрядчик использует несертифицированные СЗИ при работах.
Повторная утечка ПДн — ч. 15 ст. 13.11 КоАП
Оборотный штраф 1–3% годовой выручки, но не менее 20 000 000 и не более 500 000 000 рублей. Введён ФЗ-420 с 30.11.2024.
Реестр недобросовестных поставщиков
При нарушениях, повлёкших инциденты, организация-подрядчик может быть включена в реестр с запретом на участие в государственных закупках сроком до 2 лет.
Важно
8Как автоматизировать оценку подрядчика
Ручная проверка каждого подрядчика по чек-листу занимает часы. При десятках контрагентов процесс становится неуправляемым. Сервис 117fstec.credos.ru автоматизирует ключевые этапы:
Шаг 1: добавьте подрядчика
Укажите название, ИНН и уровень критичности (КИИ / высокий / средний / низкий). Система создаёт персональную ссылку.
Шаг 2: отправьте ссылку
Подрядчик получает ссылку по email или в мессенджере — без регистрации в системе.
Шаг 3: подрядчик проходит оценку
Анкета по 13 критериям ФСТЭК №117 с автоматическим расчётом показателя защищённости (ПЗ).
Шаг 4: получите результат
На почту приходит уведомление с баллом ПЗ и уровнем защищённости. Вся история оценок — в дашборде.
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также запустите проверку подрядчиков по требованиям 117 приказа.
Дмитрий Колесник
Директор по информационной безопасности
CISO КРЕДО-С. С 2010 года консультирует органы власти и крупнейшие предприятия по защите информации.
