Проверка подрядчиков по ИБ — требования 117 приказа ФСТЭК

Зачем проверять подрядчиков по ИБ — требования 117 приказа ФСТЭК

Почему контроль подрядчиков стал обязательным, что требует 117 приказ ФСТЭК и как организовать процесс оценки рисков третьих сторон.

13 февраля 2026 г.

7 мин чтения

Дмитрий Колесник · Директор по информационной безопасности

1Проблема: подрядчики как вектор атаки

По данным исследований, более 60% инцидентов информационной безопасности связаны с действиями или уязвимостями третьих сторон — подрядчиков, поставщиков, аутсорсеров. При этом большинство организаций не имеют формализованной процедуры оценки ИБ-рисков контрагентов.

60%+

Инцидентов через подрядчиков

~80%

Организаций без процедуры проверки

197 дней

Среднее время обнаружения утечки

+78% за год

Рост атак через цепочку поставок

2Что требует 117 приказ ФСТЭК

Приказ ФСТЭК России № 117 от 11.04.2025 впервые на нормативном уровне устанавливает требования к контролю цепочки поставок и оценке рисков, связанных с подрядчиками. Среди 16 критериев показателя защищённости (КЗИ) есть прямые требования к управлению рисками третьих сторон.

Ключевое требование

Операторы ГИС и субъекты КИИ обязаны обеспечить контроль за соблюдением требований безопасности подрядчиками, имеющими доступ к информационным системам и данным. Отсутствие такого контроля снижает показатель защищённости.

3Кого это касается

Субъекты КИИ (187-ФЗ)

Обязательная оценка подрядчиков

Операторы ГИС

Требования 117 приказа ФСТЭК

Операторы ПДн

152-ФЗ, передача данных третьим лицам

Финансовые организации

ГОСТ 57580, контроль аутсорсинга

Организации с ISO 27001

Annex A, управление поставщиками

4Как проверять подрядчиков: подходы

Существует несколько подходов к организации процесса проверки контрагентов по ИБ. Выбор зависит от масштаба организации и количества подрядчиков.

Анкетирование

Отправка опросника подрядчику — самый распространённый подход

Аудит на месте

Выездная проверка — дорого, для критичных подрядчиков

Скоринг

Автоматическая оценка по открытым данным и ответам на анкету

Непрерывный мониторинг

Отслеживание изменений в ИБ-статусе контрагента

Наш подход

Мы разрабатываем инструмент, который позволит сгенерировать ссылку-приглашение для подрядчика. Подрядчик проходит оценку, а вы видите результат в личном кабинете — скоринг соответствия требованиям ФСТЭК, карту рисков и рекомендации.

5Что дальше

В этом разделе мы будем публиковать материалы по теме управления рисками третьих сторон: методологии оценки, чек-листы проверки, шаблоны анкет и практические кейсы.

Рассчитать КЗИ по 117 приказу