Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
Соответствие 187-ФЗ при аутсорсинге ИТ-услуг на объектах КИИ: распределение ответственности и контроль подрядчиков
4 февраля 2026
Перед многими субъектами КИИ стоит вопрос: как сочетать требования регуляторов с установившейся практикой ИТ-аутсорсинга? Передача функций по обслуживанию систем сторонним компаниям — это эффективный бизнес-инструмент, однако в цифровом поле КИИ он создает дополнительные юридические и техногенные риски. Специфика 187-ФЗ такова, что передача функций не означает передачу ответственности перед государством.
В данной статье мы разберем, как грамотно выстроить отношения с подрядчиком, чтобы соблюсти требования законодательства, и на примере кейса определим точки контроля.
Перед многими субъектами КИИ стоит вопрос: как сочетать требования регуляторов с установившейся практикой ИТ-аутсорсинга? Передача функций по обслуживанию систем сторонним компаниям — это эффективный бизнес-инструмент, однако в цифровом поле КИИ он создает дополнительные юридические и техногенные риски. Специфика 187-ФЗ такова, что передача функций не означает передачу ответственности перед государством.
В данной статье мы разберем, как грамотно выстроить отношения с подрядчиком, чтобы соблюсти требования законодательства, и на примере кейса определим точки контроля.
Субъект КИИ и подрядчик: кто несет ответственность?
Субъектами КИИ являются государственные органы, учреждения и юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в отраслях, определенных п. 8 ст. 2 187-ФЗ.
Важно понимать: делегирование функций по поддержке ИТ-инфраструктуры не означает автоматическую передачу ответственности перед государством. Это накладывает на подрядчика определенные обязательства, но не освобождает субъекта КИИ от необходимости контроля за обеспечением безопасности объектов КИИ.
Основной риск аутсорсинга в КИИ заключается в «размытии» зон ответственности. Если в договоре четко не прописаны обязанности сторон по защите информации, то при возникновении инцидента или в ходе проверки ФСТЭК России субъект КИИ может столкнуться с серьезными санкциями — от административных штрафов до уголовной ответственности в случае тяжких последствий.
Важно понимать: делегирование функций по поддержке ИТ-инфраструктуры не означает автоматическую передачу ответственности перед государством. Это накладывает на подрядчика определенные обязательства, но не освобождает субъекта КИИ от необходимости контроля за обеспечением безопасности объектов КИИ.
Основной риск аутсорсинга в КИИ заключается в «размытии» зон ответственности. Если в договоре четко не прописаны обязанности сторон по защите информации, то при возникновении инцидента или в ходе проверки ФСТЭК России субъект КИИ может столкнуться с серьезными санкциями — от административных штрафов до уголовной ответственности в случае тяжких последствий.
Категорирование и роль эксплуатирующей организации
Процесс категорирования объектов КИИ — это фундамент безопасности. Даже если систему обслуживает подрядчик, обязанность по созданию комиссии и присвоению категории значимости лежит на субъекте КИИ.
Однако, как показывает практика, подрядчик должен быть глубоко интегрирован в этот процесс. Подрядчик будет иметь статус эксплуатирующей организации, что требует указания в сведениях о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (п. 4 формы, утвержденной приказом ФСТЭК России № 236).
Если подрядчик фактически управляет инфраструктурой объекта КИИ, он обязан предоставить субъекту КИИ все необходимые технические данные для корректной оценки показателей значимости. Без этой информации субъект КИИ не сможет объективно оценить возможный ущерб от нарушения функционирования объекта КИИ.
Однако, как показывает практика, подрядчик должен быть глубоко интегрирован в этот процесс. Подрядчик будет иметь статус эксплуатирующей организации, что требует указания в сведениях о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (п. 4 формы, утвержденной приказом ФСТЭК России № 236).
Если подрядчик фактически управляет инфраструктурой объекта КИИ, он обязан предоставить субъекту КИИ все необходимые технические данные для корректной оценки показателей значимости. Без этой информации субъект КИИ не сможет объективно оценить возможный ущерб от нарушения функционирования объекта КИИ.
Кейс: объект КИИ на аутсорсинге
Рассмотрим типовую ситуацию. Субъект КИИ использует электронную систему для проведения обязательных осмотров сотрудников перед сменами. При этом сами осмотры проводит медицинская организация-подрядчик на территории субъекта КИИ.
Кто есть кто?
Кто есть кто?
- Субъект КИИ: организация-владелец системы (заказчик).
- Эксплуатирующая организация (подрядчик): медицинская организация, которая непосредственно работает в системе и обеспечивает выполнение функции (медосмотр).
Что необходимо учесть для комплаенса?
Во-первых, наличие подрядчика должно быть отражено в результатах категорирования.
Во-вторых, взаимодействие сторон должно быть детально описано в договоре. Если этого не сделать, субъект КИИ остается «беззащитным» в случае инцидента, так как не сможет доказать, что нарушение произошло по вине исполнителя, нарушившего конкретные требования безопасности.
Во-вторых, взаимодействие сторон должно быть детально описано в договоре. Если этого не сделать, субъект КИИ остается «беззащитным» в случае инцидента, так как не сможет доказать, что нарушение произошло по вине исполнителя, нарушившего конкретные требования безопасности.
Распределение функций в договоре: чек-лист
Договор на эксплуатацию объекта КИИ или техническую поддержку должен содержать специальный раздел (или дополнительное соглашение) по ИБ. В нем необходимо зафиксировать следующие положения.
1. Зоны ответственности за технические меры
Необходимо детально расписать, кто отвечает за:
Информация об инцидентах на объектах КИИ должна передаваться в НКЦКИ в течение установленного срока. Если подрядчик обнаружил подозрительную активность в системе, он должен иметь четкий регламент:
Подрядчик должен подтвердить, что его персонал обладает необходимой квалификацией для работы с объектами КИИ. Нередки случаи, когда субъект КИИ требует от подрядчика наличия лицензий ФСТЭК России или ФСБ России на определенные виды деятельности (например, на мониторинг ИБ или техническую защиту конфиденциальной информации). Также целесообразно включить пункты о соблюдении подрядчиком требований организационно-распорядительных документов субъекта КИИ в области ИБ.
4. Право на аудит
Субъект КИИ должен иметь возможность контролировать, как подрядчик выполняет требования по безопасности. Это может быть право на проведение плановых проверок (аудитов) или обязанность подрядчика предоставлять отчеты о состоянии защищенности системы.
1. Зоны ответственности за технические меры
Необходимо детально расписать, кто отвечает за:
- установку и обновление СрЗИ;
- антивирусную защиту и управление обновлениями ПО;
- разграничение прав доступа (кто создает учетные записи, как отзываются права при увольнении сотрудника подрядчика);
- резервное копирование данных.
Информация об инцидентах на объектах КИИ должна передаваться в НКЦКИ в течение установленного срока. Если подрядчик обнаружил подозрительную активность в системе, он должен иметь четкий регламент:
- в какие сроки и по каким каналам связи уведомить субъект КИИ;
- какие данные предоставить для анализа инцидента;
- какую роль подрядчик играет в локализации угрозы.
Подрядчик должен подтвердить, что его персонал обладает необходимой квалификацией для работы с объектами КИИ. Нередки случаи, когда субъект КИИ требует от подрядчика наличия лицензий ФСТЭК России или ФСБ России на определенные виды деятельности (например, на мониторинг ИБ или техническую защиту конфиденциальной информации). Также целесообразно включить пункты о соблюдении подрядчиком требований организационно-распорядительных документов субъекта КИИ в области ИБ.
4. Право на аудит
Субъект КИИ должен иметь возможность контролировать, как подрядчик выполняет требования по безопасности. Это может быть право на проведение плановых проверок (аудитов) или обязанность подрядчика предоставлять отчеты о состоянии защищенности системы.
Контроль подрядчика: практические рекомендации
Контроль не должен быть номинальным. Для эффективного соответствия 187-ФЗ рекомендуется:
- Провести инвентаризацию доступов, поскольку часто подрядчики используют удаленный доступ (VPN) для поддержки систем, что является «входной дверью» для злоумышленников. Субъект КИИ должен контролировать и логировать все действия подрядчика в своей сети.
- Регламентировать использование личных устройств. Если сотрудники подрядчика приходят на территорию со своими ноутбуками или подключают внешние носители к системе, это должно быть либо запрещено, либо строго регламентировано в соответствии с приказами ФСТЭК России № 235 и № 239.
- Любые изменения в конфигурации объекта КИИ, проводимые подрядчиком, должны проходить процедуру согласования с ИТ-службой или отделом ИБ субъекта КИИ.
Выводы
Аутсорсинг на объектах КИИ — это не только удобство, но и юридический вызов. Субъект КИИ остается «крайним» перед лицом закона, поэтому его задача — превратить подрядчика из «черного ящика» в прозрачного и подотчетного партнера.
Для соответствия 187-ФЗ при эксплуатации ИТ-сервисов необходимо:
Автор: Светлана Мадина, аналитик направления аудитов и соответствия требованиям ИБ
Статью также можно прочитать на портале CISOCLUB.
Для соответствия 187-ФЗ при эксплуатации ИТ-сервисов необходимо:
- четко зафиксировать статус подрядчика как эксплуатирующей организации;
- интегрировать требования по безопасности непосредственно в текст договора;
- установить регламенты взаимодействия при инцидентах;
- осуществлять непрерывный контроль за действиями внешнего персонала.
Автор: Светлана Мадина, аналитик направления аудитов и соответствия требованиям ИБ
Статью также можно прочитать на портале CISOCLUB.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных