Денис Полянский, директор по клиентской безопасности Selectel: Необходимо максимально распространить свою ИБ-стратегию на подрядчика

Денис Полянский, директор по клиентской безопасности Selectel, рассказал порталу Cyber Media о том, на что стоит обратить внимание при работе с подрядчиками с точки зрения информационной безопасности, как минимизировать риски при взаимодействии систем двух компаний и какие ИБ-инструменты помогут организовать защищенную работу с контрагентами.

Cyber Media: На что стоит обратить внимание при выборе подрядчиков с точки зрения кибербезопасности?

Денис Полянский: Если компания интересуется уровнем информационной безопасности подрядчика, скорее всего, рассматривается долгосрочное сотрудничество. Поэтому очень важно обращать внимание именно на то, насколько контрагент согласен совместно проходить этот путь.

Вот на что стоит обратить внимание при выборе подрядчика с точки зрения ИБ:

1. Готовность компании обсуждать общие принципы информационной безопасности, гарантийные обязательства и информирование об инцидентах.
2. Посмотреть, что в целом компания делает в отношении информационной безопасности – ждет ли запрос извне или проактивно приводит себя в соответствие ИБ-требованиям, проводит обучение сотрудников, выполняет стандарты, нормы и процедуры, проходит аудиты. Хороший пример – «‎процессные»‎ сертификации, такие как PCI DSS или SOС. Они свидетельствуют о системном подходе компании к вопросам ИБ. Еще более позитивный момент, если компания учитывает и отраслевые особенности обеспечения ИБ, проходит сертификацию по расширениям «‎базового стандарта»‎ ISO 27001, 27017, 27018.
3. Готов ли подрядчик применять рекомендуемые вами инструменты информационной безопасности. Подрядчику можно предоставить обучающие материалы для сотрудников или совместно провести обучение по кибергигиене и повышению квалификации ИБ-отдела.

Чаще всего компании важно максимально распространить уже принятые процедуры и политики на контрагента, а также понять, согласен ли контрагент вести совместную работу над вопросами безопасного взаимодействия.

Cyber Media: Какие инструменты помогут безопасно взаимодействовать с контрагентами?

Денис Полянский: Если говорить о технических мерах, то в идеальном варианте речь идет об отдельных инструментах для доступа подрядчика к системам компании. Это могут быть выделенные каналы, в том числе – как возможный вариант – отдельные сотрудники, имеющие право взаимодействия от лица компании. Только у таких специалистов будет разрешение на обмен информацией и доступ к ресурсам компании.

Кроме того, это могут быть стандартные меры по защищенному удаленному доступу и шифрованию, отдельные шлюзы доступа и так далее. Зачастую схема аналогична той, по которой доступ к системам компании предоставляется удаленным сотрудникам.

Инструментами безопасного взаимодействия с контрагентами могут быть:

• Site-To-Site или Client-to-Site VPN;
• access-серверы, которые проверяют клиентский доступ на соответствие политикам ИБ, использование электронной цифровой подписи и шифрование при пересылке документов;
• специализированные шлюзы удаленного доступа;
• защищенная почта;
• встроенные инструменты безопасности в системах электронного документооборота.

Cyber Media: Какие существуют ИБ-риски при работе с подрядчиками и как их минимизировать?

Денис Полянский: Основными рисками со стороны поставщика услуги являются несоблюдение стандартов, пренебрежительное отношение к требованиям информационной безопасности со стороны заказчика, игнорирование рекомендаций или нарушение условий пользования сервисом. Если заказчик подвергнется кибератаке, будет затронута инфраструктура сервис-провайдера и, возможно, других клиентов.

Для минимизации рисков необходимо документально закрепить обязанности подрядчика и набор требований, который он должен соблюдать с точки зрения информационной безопасности. Идеальной ситуацией является вариант, в котором подрядчик готов перенять рекомендации заказчика или разработать их совместно.

Cyber Media: Как обезопасить себя при работе с несколькими подрядчиками? Какие данные и в каком виде им можно передавать, а какие не стоит?

Денис Полянский: Стоит максимально унифицировать все вышеописанные подходы к безопасности. Единые требования позволяют снизить риск ошибки при взаимодействии с большим количеством подрядчиков. Также важно предусмотреть порядок действий по окончании работы с подрядчиком, чтобы при прекращении коммуникаций выполнить все ИБ-процедуры, включая закрытие доступа к информационным системам.

Говоря о передаче данных, стоит исходить из целей подрядчика по их обработке, а также придерживаться принципа передачи минимально необходимого, но в то же время достаточного набора данных. Также стоит обратить внимание на наличие сертификации по работе с тем или иным типом данных. Например, сертификация PCI DSS говорит о соблюдении подрядчиком мер по обеспечению безопасности платежных данных и понимании, как с ними необходимо работать. Следовательно, компаниям, которым требуется передача данных такого типа, уже намного проще и безопаснее работать с таким подрядчиком.