«Инфосистемы Джет» и Ассоциация АБИСС разработали методические рекомендации для безопасной работы с подрядчиками

3 мин
«Инфосистемы Джет» и Ассоциация АБИСС разработали методические рекомендации для безопасной работы с подрядчиками

Последние несколько лет наблюдается тревожная тренд: подрядчики всё чаще становятся слабым звеном в безопасности собственных клиентов и «парадной дверью в инфраструктуру» для злоумышленников. Причин может быть некоторое количество: сам подрядчик нев достаточной степени вкладывается в собственную информационную защита, компании-клиенты не уделяют должного внимания контролю подрядчиков, придерживаясь позиции «доверять подрядчику, зачем проверять», нет единого подхода к тому, как можно обезопасить себя; регуляторы, каждый в своей сфере, делают собственные акценты. 

Понимая важность существующих сложностей, а также принимая во внимание непрекращающиеся инциденты, связанные с атаками через подрядчиков, Ассоциация АБИСС совместно с компанией «Инфосистемы Джет» подготовили методические рекомендации для безопасной работы с подрядчиками. Цель документа — создать единый решение к процессу безопасной работы с подрядчиками для повышения защищенности компаний от атак типа «атака через поставщика» и доверия к исполнителю при привлечении аутсорсинга и сторонней экспертизы.

«Мы долго наблюдали за рынком и видели одну и ту же проблему: компании либо совсем не проверяют подрядчиков, либо делают это формально. Одновременно регуляторы в разных сферах выдвигают свои требования, и у бизнеса нет единой картинки, как выстроить процесс. Наши рекомендации – это попытка собрать всё воедино и дать практический средство, который можно сразу внедрить. Не «галочку поставить», а реально снизить риски», комментирует ведущий консультант по информационной безопасности, Анна Коробецкая, «Инфосистемы Джет».

«Инициативы АБИСС — это всегда итог совместной работы членов ассоциации, и в этом заключается ключевая ценность нашего взаимодействия. Как показывает практика, объединенные усилия могут превращаться в реальные, востребованные инструменты для рынка ИБ. И тому яркий пример — методология управления поставщиками услуг, разработанная совместно с компанией «Инфосистемы Джет». В 2026 году АБИСС продолжит развивать свои инициативы. В планах — разработка методики управления поставщиками программного обеспечения. Ее актуальность обусловлена ростом угроз, связанных с цепочками поставок, и ужесточением регуляторных требований в области безопасной разработки ПО. Параллельно продолжим развитие сертификации ИБ-аудиторов на базе Системы добровольной сертификации АБИСС», дополняет Анастасия Харыбина, председатель Ассоциации АБИСС.

Разработанный документ дает представление об основных этапах взаимодействия с подрядчиками и требованиях, направленных на защиту ИТ-ресурсов и данных компании в случае компрометации подрядчика. Набор предлагаемых мер сосредоточен на минимизации рисков ИБ, связанных с несанкционированным доступом к ИТ-инфраструктуре и данным компании через её подрядчика.

В рекомендациях можно найти:

●      описание жизненного цикла взаимодействия с подрядчиком, который поможет выстроить процесс внутри компании;

●      требования и решение к проведению оценки ИБ подрядчика;

●      экспресс чек-лист для оценки ИБ подрядчика, чтобы понять соответствует ли подрядчик минимальным требованиям.

Рекомендации будут полезны при работе с подрядчиками, которые:

●      зарабатывают доступ к конфиденциальной информации, информационным системам или ИТ-инфраструктуре;

●      привлекаются для администрирования, настроек или внедрений;

●      берут на реализацию бизнес-процессы или целые ИТ-функции;

●      предоставляют серверные мощности.

Документ пригодится тем, кто на деле сталкивается с подрядчиками:

●      ИБ-специалисты найдут практические меры и критерии оценки подрядчиков;

●      закупщики смогут заранее закладывать требования по ИБ в тендерную документацию;

●      юристы найдут в документе ориентиры, что дополнительно прописать в зоны ответственности.

Документ уже доступен на сайте ассоциации АБИСС.

Читают сейчас

PET-скан представил рак. Claude сказал: 90%, что это ложная тревога — и оказался прав

33 минуты назад

PET-скан представил рак. Claude сказал: 90%, что это ложная тревога — и оказался прав

Конно Христу оптимизировал свое здоровье как мог: кольцо Oura, браслет Whoop, под сотню биомаркеров в крови каждый год на протяжении четырех лет. В 35 лет, на пике формы, он услышал диагноз — агрессив

56 минут назад

В Якутии представили бесплатное программа для тренировки стрельбы из лука с отслеживанием прогресса спортсменов

В Якутии представили мобильное программа для улучшения стрельбы из лука. Презентация прошла на пресс-конференции, посвящённой предстоящему чемпионату России. Программа разработано за почти один год. О

Grok 4.5 обучили на данных Cursor — Маск пообещал, что «будет не хуже Opus»

3 часа назад

Grok 4.5 обучили на данных Cursor — Маск пообещал, что «будет не хуже Opus»

Илон Маск заявил в X, что Grok 4.5 ушла в закрытую бету в SpaceX и Tesla. Новинка построена на foundation-модели V9 на 1,5 трлн параметров, а в дополнительное обучение добавили данные Cursor — популяр

4 часа назад

Akrites: 20 ИТ-гигантов объединились, чтобы защитить опенсорс от ИИ-атак

Linux Foundation анонсировала Akrites — скоординированную отраслевую инициативу по защите критически важного открытого ПО от ИИ-угроз. Ознакомиться далее

Google ужесточит режим «Расширенной защиты» в Android

4 часа назад

Google ужесточит режим «Расширенной защиты» в Android

Режим «Расширенной защиты» — это наивысший уровень безопасности устройства Android. Он включает в себя ряд средств защиты от вредоносных приложений, онлайн-атак и других угроз. Google готовится сделат