2026 годОтвет: в данный момент в нормативных правовых актах (далее – НПА) в сфере критической информационной инфраструктуры (далее – КИИ) отсутствуют четкие требования к подрядным организациям, осуществляющим работы на значимых объектах КИИ. Мероприятия, необходимые для обеспечения защиты информации при взаимодействии с подрядными организациями (подрядчиками), закреплены в
Требованиях о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11.04.2025 № 117 (далее – Требования к ГИС).
Требованиями к ГИС и
Составом и содержанием мероприятий и мер по защите информации, содержащейся в информационных системах, утвержденным ФСТЭК России 12.04.2026 (далее – Методика ГИС) на данный момент можно руководствоваться как «лучшей практикой».
Согласно
Требованиям по обеспечению безопасности значимых объектов КИИ, утвержденным приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ), а также Требованиям к ГИС, можно выделить следующие аспекты, которые важно учитывать при взаимодействии с подрядчиками:
- В договорах с подрядными организациями должны быть предусмотрены пункты, касающиеся:
- необходимости выполнения подрядчиком Требований к СБ на участках взаимодействия контура объекта КИИ с инфраструктурой подрядчика;
- необходимости обеспечения подрядными организациями защиты информации, к которой получен доступ, а также установления ответственности за нарушение данных требований;
- механизма присоединения подрядной организации к конкретным документам субъекта КИИ по защите информации (либо включение этих стандартов и регламентов в договор целиком).
2. Необходимо ознакомить представителей подрядной организации с внутренними документами по защите информации субъекта КИИ под подпись. При этом обязанность подрядной организации по выполнению внутренних стандартов и регламентов по защите информации должна быть определена в документах субъекта КИИ.
3. При обслуживании инфраструктуры субъекта КИИ со стороны подрядной организации необходимо учитывать, что в соответствии с п. 31 Требований к СБ в значимом объекте КИИ не допускается наличие удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта КИИ, а также работниками его дочерних и зависимых обществ. В случае невозможности отключения удаленного доступа – должны применяться организационные и технические меры по обеспечению безопасности такого доступа. Удаленный доступ работников подрядных организаций к объекту КИИ в таком случае должен осуществляться с использованием криптографических средств защиты информации, обеспечивающих защиту каналов передачи данных, и только с программно-аппаратных средств, размещенных на территории Российской Федерации.
4. В процессе идентификации, аутентификации, управления доступом представителей подрядной организации на объекте КИИ необходимо учитывать требования:
- минимальных полномочий – для доступа работников подрядных организаций должны быть созданы отдельные учетные записи с правами доступа, минимально необходимыми для выполнения условий договора;
- если представитель подрядчика имеет удаленный доступ к объекту КИИ как непривилегированный пользователь, т. е. пользователь без административных прав, необходимо обеспечить применение таким пользователей парольной либо усиленной (двухфакторной) аутентификации;
- для привилегированных учетных записей должно быть обеспечено применение строгой аутентификации или усиленной многофакторной аутентификации.
5. Если подрядчик – разработчик программного обеспечения (далее – ПО), обеспечивающего выполнение функций объекта КИИ по назначению, субъект КИИ в соответствии с п. 29.3 – 29.4 Требований к СБ должен проконтролировать выполнение подрядчиком следующих требований:
- требования по безопасной разработке ПО в соответствии с ГОСТ Р 56939-2024 (на данный момент выполнение указанного ГОСТ в полном объеме не требуется, отдельные требования могут быть включены в техническое задание на разработку ПО);
- требования к испытаниям по выявлению уязвимостей в ПО;
- требования к поддержке безопасности ПО.
6. В случае, если подрядчик оказывает услуги по защите значимого объекта КИИ от компьютерных атак, направленных на отказ в обслуживании, субъект КИИ должен проконтролировать выполнение такой подрядной организацией технических мер, указанных в п. 22.2 Требований к СБ, а также реализовать организационные меры в соответствии с п. 26.2 Требований к СБ, включая:
- определение порядка взаимодействия с провайдером хостинга или подрядной организацией, предоставляющей услуги связи, по совместному блокированию атак, направленных на отказ в обслуживании, и разграничению зон ответственности при таком блокировании – проработку SLA (Service Level Agreement);
- контроль за локализацией программно-аппаратных средств подрядчика, участвующих в контроле, фильтрации и блокировании сетевых запросов, обладающих признаками атак, направленных на отказ в обслуживании, на территории Российской Федерации.