СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
УЦСБ
30 января
#Статьи #ИБ

Соответствие 187-ФЗ при аутсорсинге ИТ-услуг на объектах КИИ: распределение ответственности и контроль подрядчиков

Соответствие 187-ФЗ при аутсорсинге ИТ-услуг на объектах КИИ: распределение ответственности и контроль подрядчиков

Изображение: recraft

Перед многими субъектами КИИ стоит вопрос: как сочетать требования регуляторов с установившейся практикой ИТ-аутсорсинга? Передача функций по обслуживанию систем сторонним компаниям — это эффективный бизнес-инструмент, однако в цифровом поле КИИ он создает дополнительные юридические и техногенные риски. Специфика 187-ФЗ такова, что передача функций не означает передачу ответственности перед государством.

В данной статье мы разберем, как грамотно выстроить отношения с подрядчиком, чтобы соблюсти требования законодательства, и на примере кейса определим точки контроля.

Субъект КИИ и подрядчик: кто несет ответственность?

Субъектами КИИ являются государственные органы, учреждения и юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в отраслях, определенных п. 8 ст. 2 187-ФЗ.

Важно понимать: делегирование функций по поддержке ИТ-инфраструктуры не означает автоматическую передачу ответственности перед государством. Это накладывает на подрядчика определенные обязательства, но не освобождает субъекта КИИ от необходимости контроля за обеспечением безопасности объектов КИИ.

Основной риск аутсорсинга в КИИ заключается в «размытии» зон ответственности. Если в договоре четко не прописаны обязанности сторон по защите информации, то при возникновении инцидента или в ходе проверки ФСТЭК России субъект КИИ может столкнуться с серьезными санкциями — от административных штрафов до уголовной ответственности в случае тяжких последствий.

Категорирование и роль эксплуатирующей организации

Процесс категорирования объектов КИИ — это фундамент безопасности. Даже если систему обслуживает подрядчик, обязанность по созданию комиссии и присвоению категории значимости лежит на субъекте КИИ.

Однако, как показывает практика, подрядчик должен быть глубоко интегрирован в этот процесс. Подрядчик будет иметь статус эксплуатирующей организации, что требует указания в сведениях о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (п. 4 формы, утвержденной приказом ФСТЭК России № 236).

Если подрядчик фактически управляет инфраструктурой объекта КИИ, он обязан предоставить субъекту КИИ все необходимые технические данные для корректной оценки показателей значимости. Без этой информации субъект КИИ не сможет объективно оценить возможный ущерб от нарушения функционирования объекта КИИ.

Кейс: объект КИИ на аутсорсинге

Рассмотрим типовую ситуацию. Субъект КИИ использует электронную систему для проведения обязательных осмотров сотрудников перед сменами. При этом сами осмотры проводит медицинская организация-подрядчик на территории субъекта КИИ.

Кто есть кто?

  1. Субъект КИИ: организация-владелец системы (заказчик).
  2. Эксплуатирующая организация (подрядчик): медицинская организация, которая непосредственно работает в системе и обеспечивает выполнение функции (медосмотр).

Что необходимо учесть для комплаенса?

Во-первых, наличие подрядчика должно быть отражено в результатах категорирования.

Во-вторых, взаимодействие сторон должно быть детально описано в договоре. Если этого не сделать, субъект КИИ остается «беззащитным» в случае инцидента, так как не сможет доказать, что нарушение произошло по вине исполнителя, нарушившего конкретные требования безопасности.

Распределение функций в договоре: чек-лист

Договор на эксплуатацию объекта КИИ или техническую поддержку должен содержать специальный раздел (или дополнительное соглашение) по ИБ. В нем необходимо зафиксировать следующие положения.

1. Зоны ответственности за технические меры

Необходимо детально расписать, кто отвечает за:

  • установку и обновление СрЗИ;
  • антивирусную защиту и управление обновлениями ПО;
  • разграничение прав доступа (кто создает учетные записи, как отзываются права при увольнении сотрудника подрядчика);
  • резервное копирование данных.

2. Регламент реагирования на инциденты и взаимодействие с ГосСОПКА

Информация об инцидентах на объектах КИИ должна передаваться в НКЦКИ в течение установленного срока. Если подрядчик обнаружил подозрительную активность в системе, он должен иметь четкий регламент:

  • в какие сроки и по каким каналам связи уведомить субъект КИИ;
  • какие данные предоставить для анализа инцидента;
  • какую роль подрядчик играет в локализации угрозы.

3. Правовые меры и комплаенс

Подрядчик должен подтвердить, что его персонал обладает необходимой квалификацией для работы с объектами КИИ. Нередки случаи, когда субъект КИИ требует от подрядчика наличия лицензий ФСТЭК России или ФСБ России на определенные виды деятельности (например, на мониторинг ИБ или техническую защиту конфиденциальной информации). Также целесообразно включить пункты о соблюдении подрядчиком требований организационно-распорядительных документов субъекта КИИ в области ИБ.

4. Право на аудит

Субъект КИИ должен иметь возможность контролировать, как подрядчик выполняет требования по безопасности. Это может быть право на проведение плановых проверок (аудитов) или обязанность подрядчика предоставлять отчеты о состоянии защищенности системы.

Контроль подрядчика: практические рекомендации

Контроль не должен быть номинальным. Для эффективного соответствия 187-ФЗ рекомендуется:

  1. Провести инвентаризацию доступов, поскольку часто подрядчики используют удаленный доступ (VPN) для поддержки систем, что является «входной дверью» для злоумышленников. Субъект КИИ должен контролировать и логировать все действия подрядчика в своей сети.
  2. Регламентировать использование личных устройств. Если сотрудники подрядчика приходят на территорию со своими ноутбуками или подключают внешние носители к системе, это должно быть либо запрещено, либо строго регламентировано в соответствии с приказами ФСТЭК России № 235 и № 239.
  3. Любые изменения в конфигурации объекта КИИ, проводимые подрядчиком, должны проходить процедуру согласования с ИТ-службой или отделом ИБ субъекта КИИ.

Выводы

Аутсорсинг на объектах КИИ — это не только удобство, но и юридический вызов. Субъект КИИ остается «крайним» перед лицом закона, поэтому его задача — превратить подрядчика из «черного ящика» в прозрачного и подотчетного партнера.

Для соответствия 187-ФЗ при эксплуатации ИТ-сервисов необходимо:

  • четко зафиксировать статус подрядчика как эксплуатирующей организации;
  • интегрировать требования по безопасности непосредственно в текст договора;
  • установить регламенты взаимодействия при инцидентах;
  • осуществлять непрерывный контроль за действиями внешнего персонала.

Только через четкое распределение функций, формализацию правовых мер и внедрение технических инструментов непрерывного контроля можно обеспечить устойчивое функционирование объектов КИИ и минимизировать правовые риски для субъекта КИИ. Такой подход превращает ИБ из «бумажного» соответствия в реальный механизм защиты и стабильности деятельности.

Автор: Светлана Мадина, аналитик направления аудитов и соответствия требованиям ИБ ИТ-компании УЦСБ.

УЦСБ
Автор: УЦСБ
Компания УЦСБ специализируется на создании, модернизации и обслуживании базовых инфраструктурных элементов предприятий и организаций, включая: информационные и инженерно-технические системы, решения по обеспечению информационной и технической безопасности.
Комментарии: