3.16. Обеспечение защиты информации при взаимодействии с подрядными организациями (ЗП)
Цель: Исключение возможности несанкционированного доступа или воздействий на информационные системы и содержащуюся в них информацию через взаимодействующие с информационными системами программно-аппаратные средства подрядных организаций или каналы передачи данных и интерфейсы, используемые для доступа подрядных организаций к информационным системам.
Требования к реализации: Должны быть определены информационные системы, программные, программно-аппаратные средства и состав информации, к которым подрядным организациям предоставляется доступ для выполнения условий договора, и обеспечен контроль доступа подрядных организаций к информационным системам, программным, программно-аппаратным средствам и информации.
В договорах или иных документах, на основании которых подрядным организациям предоставлен доступ к информационным системам или передана содержащаяся в них информация, должна быть предусмотрена необходимость обеспечения подрядными организациями защиты информации, к которой получен доступ, а также установлена ответственность за нарушения данных требований оператора. Не допускается копирование подрядными организациями информации, к которой им предоставлен доступ, в случае если это не предусмотрено в договорах или иных документах, на основании которых получен доступ к информационным системам.
Предоставление доступа к информационным системам, программным, программно-аппаратным средствам и информации работникам подрядных организаций осуществляется по заявке подразделения, обеспечивающего функционирование информационных систем, согласованной со структурным подразделением, специалистами по защите информации, или с использованием систем управления привилегированными учетными записями.
Для доступа работников подрядных организаций должны быть созданы отдельные учетные записи с правами доступа, минимально необходимыми для выполнения условий договора.
Подрядные организации должны осуществлять использование созданных для них учетных записей в соответствии с настоящим методическим документом, внутренними регламентами и стандартами по защите информации.
Должен осуществляться мониторинг и регистрация действий учетных записей, выделенных для подрядных организаций. При обнаружении попыток нарушения правил разграничения доступа или иных действий, не предусмотренных договором с подрядной организацией, учетные записи подрядных организаций незамедлительно блокируются.
В случае использования работниками подрядных организаций в ходе проведения работ по обслуживанию, сопровождению, иных регламентных работ в информационных системах отдельных программно-аппаратных средств в таких средствах должны использоваться средства защиты информации, исключающие несанкционированный доступ к ним.
В информационных системах, отдельных программно-аппаратных средствах подрядных организаций, в которых осуществляются обработка и хранение полученной в результате предоставленного доступа информации, должны быть приняты меры по защите информации.
Порядок вывода разработанного программного обеспечения из контуров разработки и (или) тестирования в эксплуатируемые информационные системы оператора определяется во внутренних регламентах по защите информации, которые должны быть доведены до работников подрядных организаций в части, их касающейся.
Разработка (развитие) и (или) тестирование программного обеспечения подрядными организациями непосредственно в контуре промышленной эксплуатации информационных систем оператора (обладателя информации) не допускается. Для проведения работ по разработке (развитию) и (или) тестированию программного обеспечения работникам подрядных организаций должен быть предоставлен доступ к специально выделенным для проведения таких работ стендам разработки и (или) тестирования. Контроль доступа подрядных организаций к стендам разработки (развития) и (или) тестирования должен осуществляться в соответствии с внутренними регламентами по защите информации.
Удаленный доступ работников подрядных организаций к информационным системам и содержащейся в них информации осуществляется с использованием шифровальных (криптографических) средств защиты информации, обеспечивающих защиту каналов передачи данных.
Удаленный доступ подрядных организаций к информационным системам должен осуществляться только с программно-аппаратных средств, размещенных на территории Российской Федерации.
В договорах или иных документах, на основании которых подрядным организациям предоставлен доступ к информационным системам или передана содержащаяся в них информация, должна быть предусмотрена необходимость обеспечения подрядными организациями защиты информации, к которой получен доступ, а также установлена ответственность за нарушения данных требований оператора.
В случае если в результате предоставленного доступа в информационных системах подрядных организаций осуществляется обработка и хранение полученной информации, в них должны быть приняты меры по защите информации в соответствии с настоящим методическим документом. Состав информации, цели ее защиты и классы защищенности, в соответствии с которыми подрядными организациями должны быть приняты меры по защите информации во взаимодействующих информационных системах, согласуются с оператором (обладателем информации).
Требования к документированию: Внутренний регламент по предоставлению работникам подрядных организаций доступа к информационным системам и содержащейся в них информации должен содержать:
цели предоставления подрядным организациям доступа к информационным системам и содержащейся в них информации, категории подрядных организаций, которым возможно предоставление доступа к информационным системам и содержащейся в них информации;
перечень информационных систем, сегментов информационных систем, отдельных программно-аппаратных средств, стендов разработки и тестирования, а также категории информации, к которым подрядным организациям предоставляется доступ;
виды доступа подрядных организаций к информационным системам и содержащейся в них информации, функции и полномочия подрядных организаций при каждом виде доступа;
основания и порядок предоставления доступа подрядных организаций к информационным системам и содержащейся в них информации;
условия предоставления доступа подрядных организаций к информационным системам и содержащейся в них информации, в том числе меры по защите программно-аппаратных средств, информационных систем, каналов передачи данных, используемых подрядными организациями;
обязанности и ответственность подрядных организаций при обработке и хранении информации оператора (обладателя), в том числе порядок удаления информации;
перечень подразделений (работников), ответственных за контроль выполнения подрядными организациями требований по защите информации, и порядок проведения контроля.
1) должно быть обеспечено централизованное управление учетными записями (группами учетных записей) подрядных организаций и их аутентификационной информацией;
2) должны применяться средства, системы геопозиционирования программно-аппаратных средств, обеспечивающие определение места, из которого осуществляется удаленный доступ;
3) должен быть обеспечен контроль загружаемых подрядными организациями в информационные системы файлов на наличие в них вредоносного программного обеспечения, а также контроль выгружаемых подрядными организациями файлов.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875