Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Карточка защитной меры
Меры Включение в договора с подрядн...
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Включение в договора с подрядными организациями требований по информационной безопасности

2 16
Цель: обеспечение информационной безопасности компании при осуществлении подрядными организациями работ в инфраструктуре Заказчика.

В документе необходимо определить список требований к подрядчику (исполнителю) по реализации им мер защиты информации по обеспечению конфиденциальности, целостности и доступности персональных данных (или иных конфиденциальных данных), безопасности их обработки в зоне своей ответственности в ходе оказания услуг (выполнения работ). 
Нужно учесть следующие требования:
  • Для защиты от несанкционированного доступа Исполнитель в зоне своей ответственности обязан принимать все необходимые организационные и технические меры, в т.ч. установленные локальными нормативными актами компании (заказчиком).
  • Исполнитель должен определить перечень работников, для которых предполагается удаленный доступ к информационной инфраструктуре компании, а также перечень информации и информационных ресурсов, расположенных в информационной инфраструктуре компании, к которым будет предоставляться удаленный доступ (в случае необходимости) и согласовать с заказчиком.
  • Перечень учетных записей инженеров подрядной организации, которым предоставляется удаленный сетевой доступ к информационным системам, необходимо сделать поименным и согласовать обеими сторонами. 
  • Учётные записи и АРМ для инженеров подрядных организаций должны иметь доступ только к тем серверам и информационным ресурсам, которые необходимы для выполнения текущих работ. В частности, учётные записи и АРМ для инженеров подрядных организаций не должны иметь доступ в иные сети за пределы объекта выполнения работ.
  • Обязать подрядную организацию уведомлять заказчика о наступлении в ее инфраструктуре компьютерных инцидентов и принимать необходимые меры по ликвидации их последствий, а также недопущению компрометации клиентских конфиденциальных материалов и аутентификационных данных, используемых в инфраструктуре заказчика. 
Пример требований и рекомендации НКЦКИ по минимизации возможных угроз безопасности информации приведены во вложении.

Варианты утверждения:
  • Как документ в виде дополнительного соглашения для уже действующих договоров с контрагентами;
  • Как раздел основного договора с контрагентом.
  • Как отдельный документ, например Соглашение о неразглашении конфиденциальной информации, NDA
Рекомендации к заполнению карточки:

  • Приложите скан-копию шаблона разработанного документа в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.
  • Добавить шаблон регулярной контрольной задачи на проверку действующих договоров с контрагентами.
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Постоянно
Ответственный
Не определено
Инструменты
Не определено

Для просмотра файла необходимо авторизоваться!

Шаблон NDA.docx

Для просмотра файла необходимо авторизоваться!

Требования к Подрядчику.docx

Для просмотра файла необходимо авторизоваться!

Рекомендации по минимизации возможных угроз безопасности информации.docx

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Отсутствует
Средние
Низкая
Неизвестно
Неизвестно
6 - Низкая

OPEX

?
Отсутствует
Средние
Низкая
Неизвестно
Неизвестно

Связанные риски

Ничего не найдено

Заметки

2
18 часов назад
Community
Рекомендации по минимизации возможных угроз безопасности информации при работе с подрядчиками
 1. Рекомендации при проведении локальных технических работ

  • Для проведения локальных технических работ целесообразно использовать АРМ, владельцами которых является заказчик этих работ. АРМ должны входить в контур системы управления информационной безопасностью, на них должны распространятся процессы по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. 
  • Учётные записи и АРМ для инженеров подрядных организаций должны иметь доступ только к тем серверам и информационным ресурсам, которые необходимы для выполнения текущих работ. В частности, учётные записи и АРМ для инженеров подрядных организаций не должны иметь доступ в иные сети за пределы объекта выполнения работ. Например, ограничение доступа в сеть Интернет может быть реализовано следующими доступными способами в рамках политики информационной безопасности заказчиков технических работ: − на уровне прав учетной записи, предоставляемой инженерам подрядной организации; − на уровне механизмов операционной системы АРМ внутри защищаемого периметра, с которого допустили к работам инженеров подрядных организаций; − на уровне настроек телекоммуникационного оборудования и/или сетевых средств для АРМ внутри защищаемого периметра, с которого допустили к работам инженеров подрядной организаций. 
  • На АРМ должна быть ограничена возможность загрузки с внешних носителей. 
  • На АРМ должен быть ограничен доступ пользователей к настройкам BIOS/UEFI. 
  • На АРМ должно быть установлено и запущено средство антивирусной защиты, лицензии и базы данных сигнатур которого должны быть в актуальном состоянии. 
  • На АРМ и в информационных системах должно быть настроено автоматическое завершение сессии (выход при бездействии учетной записи более десяти минут).
2. Рекомендации при проведении технических работ посредством удаленного сетевого доступа

  • Удаленный сетевой доступ должен осуществляться с применением средств шифрования, при этом обмен ключами шифрования необходимо осуществлять по алгоритмам, исключающим их раскрытие сторонним лицам. Маршруты сетевого трафика не должны проходить по сторонним сетям в незашифрованном виде. Перечень IP-адресов, с которых может осуществляться подключение, должен контролироваться средствами межсетевого экранирования. 
  • Использовать принцип наименьших привилегий для учетных записей инженеров подрядных организаций. 
  • Должен вестись учет всех изменений ИТ инфраструктуры в виде актов или протоколов о проведенных работах (в электронном или письменном виде). 
  • Перечень учетных записей инженеров подрядной организации, которым предоставляется удаленный сетевой доступ к информационным системам, необходимо сделать поименным и согласовать обеими сторонами. 
  • К руководству подрядной организации необходимо предъявить требование о том, что его инженеры для удаленного сетевого доступа должны использовать средства вычислительной техники, которые не используются в личных целях и к которым применяются корпоративные меры по информационной безопасности.
  • По возможности исключить для удаленного доступа виртуальные выделенные сервера, расположенные в сторонних компаниях. 
  • Парольные фразы и иные аутентификационные данные инженеров должны храниться в зашифрованном виде, а доступ к ним должен осуществляться исключительно лицами из согласованного перечня. 
  • Все парольные фразы должны соответствовать установленному в организации уровню стойкости к атакам типа «Bruteforce», срок их замены должен быть не более одного календарного месяца. 
  • Необходимо исключить возможность использования для организации канала удаленного сетевого доступа proxy-серверов. Такие каналы не должны проходить через иностранные сегменты сети Интернет без применения российских средств криптографической защиты. 
  • Все информационные системы, к которым предоставляется удаленный сетевой доступ, должны входить в контур системы управления информационной безопасностью, принятой в организации. 
  • Возможность удаленного сетевого доступа должна предоставляться организации только на период проведения работ, а по их завершению доступ должен быть ограничен. 
  • Необходимо обязать подрядную организацию уведомлять заказчика о наступлении в ее инфраструктуре компьютерных инцидентов и принимать необходимые меры по ликвидации их последствий, а также недопущению компрометации клиентских конфиденциальных материалов и аутентификационных данных, используемых в инфраструктуре заказчика. 
  • Предусмотреть мероприятия по инспекции подрядными организациями или разработчиком исходных кодов библиотек или компонентов, разработанных сторонними разработчиками, перед их обновлением у заказчика. 
  • Все обновления программного обеспечения, по возможности, должны первоначально испытываться в тестовой (резервной) среде, а после завершения его проверки применяться в основной инфраструктуре. 
  • При передаче подрядной организации документальных материалов, содержащих сведения о критичных компонентах информационно-телекоммуникационной сети заказчика, необходимо руководствоваться принципом минимальной достаточности. 
  • При необходимости передачи подрядной организации тестовых массивов данных целесообразно использовать специально сгенерированные материалы, не содержащие конфиденциальную информацию или реальные персональные данные. 
  • Предусмотреть в договорах на выполнение работ положения об ответственности подрядной организации в случае, если компрометация ее инфраструктуры стала причиной причинения вреда информационным системам заказчика, либо произошла утрата или разглашение каких-либо конфиденциальных материалов. 
  • Необходимо сегментировать ИТС организации и исключить доступность локальных ресурсов и СВТ из ДМЗ. 
  • Организовать процесс резервного копирования критичных сервисов в изолированном сегменте ИТС, если такой отсутствует. 
  • На всех АРМ должно быть установлено и запущено средство антивирусной защиты, лицензии и базы данных сигнатур которого должны быть в актуальном состоянии.
  • Во избежание инцидентов, связанных с атаками через доверенные внешние каналы взаимодействия, целесообразно использовать механизмы двухфакторной аутентификации при подключении к корпоративной сети и/или при авторизации в корпоративных системах для тех специалистов, которые осуществляют работу за пределами защищаемого периметра, а также поддерживать перечень таких специалистов в актуальном состоянии.
18 часов назад
Community
Требования к исполнителю
1. Исполнитель обязуется: 
1.1. Использовать только лицензионную операционную систему и программное обеспечение. 
1.2. Установить и использовать современное антивирусное программное обеспечение, предназначенное для сканирования и быстрого удаления или перемещения в карантин вирусов и других вредоносных программ из любых систем или устройств. 
1.3. Установить и использовать межсетевой экран, ограничивающий взаимодействие устройств Исполнителя и внешних сетей только разрешенными потоками информации. 
1.4. Использовать при работе стойкие пароли или многофакторную аутентификацию. 
1.5. Регулярно производить обновление операционных систем и средств защиты.
1.6. Использовать криптостойкое шифрование или другие надежные методы для защиты конфиденциальной информации и персональных данных по месту хранения. 
1.7. Не хранить конфиденциальную информацию и персональные данные в электронном виде за пределами сетевой среды Исполнителя (или собственной компьютерной сети Заказчика), если устройство хранения данных (например, облако, ленточный накопитель, ноутбук, карта памяти, компьютерный диск и т. д.) не защищено криптостойким шифрованием или другим надежным методом защиты. 
1.8. Не хранить конфиденциальную информацию и персональные данные на съемных носителях (например, флеш-накопителях USB, картах памяти, ленточных накопителях, компакт-дисках или внешних жестких дисках), за исключением следующих случаев: 
  • с целью резервного копирования, обеспечения непрерывности деятельности, послеаварийного восстановления и обмена данными, как допускается и требуется в соответствии с договором, и 
  • при использовании криптостойкого шифрования или других надежных методов защиты. 
1.9. В случае наличия или предоставления Исполнителю в связи с Договором возможности подключения к ресурсам конфиденциальной информации и персональных данных: 
  • использовать для подключения ресурсов конфиденциальной информации и персональных данных к ресурсам подрядчика только взаимно согласованные материально-технические средства и методики. 
  • не подключаться к ресурсам конфиденциальной информации и персональных данных без предварительного согласия Заказчика. 
1.10. Обеспечивать соблюдение принципа наименьших привилегий, согласно которому доступ ограничивается только командами, информацией, системами и другими ресурсами, необходимыми для выполнения задач по проекту. 
1.11. Настроить системы на выполнение автоматического тайм-аута по истечении максимального периода бездействия (15 минут). 
1.12. В случае наличия или предоставления Заказчику в связи с Договором возможности подключения к ресурсам конфиденциальной информации и персональных данных в дополнение к прочим правам, предусмотренным настоящим документом, разрешать Заказчику следующее:
  • собирать информацию, связанную с доступом, в том числе доступом Исполнителя, к ресурсам конфиденциальной информации и персональных данных. Заказчик имеет право без дополнительного уведомления собирать, сохранять и анализировать такую информацию с целью выявления потенциальных угроз безопасности. Такая информация может включать данные файлов трассировки, статистические данные, сетевые адреса, а также просмотренные или переданные фактические данные или страницы. 
  • незамедлительно приостанавливать или прерывать подключение к ресурсам конфиденциальной информации и персональных данных, если Заказчик по своему единоличному усмотрению считает, что имело место нарушение безопасности, несанкционированный доступ или неправомерное использование информационных объектов Заказчика или какой-либо информации, систем или других ресурсов Заказчика. 
1.13. Использовать криптостойкое шифрование или другой надежный метод защиты для передачи конфиденциальной информации и персональных данных за пределы контролируемых Заказчиком или Исполнителем сетей или при передаче конфиденциальной информации и персональных данных в любой незащищенной сети. При передаче учетных данных (учетную запись и пароль) передавать их в отдельных сообщениях. 
1.14. По запросу Заказчика и без взимания дополнительной платы предоставить копии любой конфиденциальной информации и персональных данных Заказчика в течение тридцати (30) дней после даты такого запроса. Исполнитель также обязуется вернуть, или, по решению Заказчика, уничтожить всю конфиденциальную информацию и персональные данные, в том числе все копии на электронных и бумажных носителях, как это предусмотрено в Договоре, или, если не предусмотрено в Договоре, в течение девяноста (90) дней после наступления первого из следующих событий: 
  • окончания срока действия или прекращения действия Договора.
  • получения запроса Заказчика о возврате конфиденциальной информации и персональных данных или (в) даты, когда подрядчику больше не требуется конфиденциальная информация и персональные данные для предоставления услуг и реализации продуктов в соответствии с Договором. 
1.15. В случае если Заказчик выберет вместо возврата конфиденциальной информации и персональных данных ее уничтожение, в письменном виде подтвердить факт полного и безвозвратного уничтожения конфиденциальной информации и персональных данных. Полностью уничтожить все копии конфиденциальной информации и персональных данных во всех местах и системах, где хранится конфиденциальная информация и персональные данные, в том числе системах ранее утвержденных третьих лиц подрядчика. Такая информация должна быть уничтожена с соблюдением процедуры полного уничтожения (например, с использованием рекомендованного производителем средства размагничивания для задействованной системы). До уничтожения Исполнитель обязуется соблюдать все применимые технические и организационные меры безопасности для защиты безопасности, анонимности и конфиденциальности персональных данных и конфиденциальной информации.
1.16. Обеспечить реагирование на инциденты и связанные с ним процедуры, незамедлительно и ни в коем случае не позднее чем через двадцать четыре (24) часа сообщать Заказчику о любых предполагаемых или подтвержденных атаках, вторжениях, случаях несанкционированного доступа, потере или других инцидентах, касающихся информации, систем или других ресурсов Заказчика. 
1.17. После первоначального оповещения Заказчика регулярно предоставлять актуальную информацию о ходе реагирования на инцидент, в том числе, помимо прочего, информировать о мерах, принятых для устранения такого инцидента, через взаимно согласованные промежутки времени на протяжении всего срока существования инцидента, и в разумно возможный кратчайший срок после устранения инцидента предоставить Заказчику письменный отчет, содержащий описание инцидента, меры, принятые Исполнителем в ходе реагирования, и планы дальнейших действий Исполнителя по предотвращению подобных инцидентов. 
1.18. Не разглашать публично сведения о любых подобных нарушениях неприкосновенности информации, систем или других ресурсов Заказчика без получения предварительного согласования Заказчика. 

2. Ответственность Исполнителя.
2.1. Ответственность за соблюдение настоящих требований, несет Исполнитель. В случае нарушения Исполнителем либо привлеченным им третьим лицом настоящих требований, Заказчик оставляет за собой право приостановить доступ к корпоративной сети до момента устранения Исполнителем нарушений. При повторном нарушении Исполнителем требований, Заказчик вправе расторгнуть Договор с Исполнителем и/или применить санкции, предусмотренные Договором. 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.