13 ИБ-вопросов поставщику ИТ-услуг. Карточки SecPost
ИТ-поставщик сегодня — это не просто исполнитель, а полноценная часть инфраструктуры заказчика с доступом к данным, учетным записям и сервисам. Самые опасные инциденты случаются не из-за «громких взломов», а из-за провалов процессов: лишних прав, уязвимого сброса доступа через поддержку или забытых OAuth-токенов. SecPost собрал 13 вопросов, которые помогут CISO оценить ИБ-квалификацию подрядчика до подписания договора и зафиксировать ответственность.
ИТ-поставщик сегодня — это не просто «исполнитель работ», а часть ИТ-инфраструктуры заказчика. Он получает доступы, работает с учетными записями, хранит или обрабатывает данные и влияет на доступность сервисов. Если у подрядчика происходит инцидент, последствия почти всегда отражаются на заказчике: простои, утечки, затраты на восстановление и репутационные потери.
Самые неприятные случаи часто связаны не с «громким взломом», а с провалом процессов: лишние права, уязвимый сброс доступа через поддержку, забытые OAuth-токены, ошибки при онбординге и офбординге. Поэтому оценивать ИБ-устойчивость поставщика и фиксировать требования к безопасности важно еще до подписания договора, пока у заказчика остаются рычаги влияния.
Поэтому директор по информационной безопасности должен участвовать в выборе ИТ-поставщика и подготовке договора не формально, а по сути. Ниже — 13 вопросов, которые помогут быстро оценить ИБ-квалификацию поставщика и понять, какие условия стоит закрепить в договоре до начала работ.
Задача этих 13-ти вопросов — заранее понять, где проходят границы риска и ответственности. Если поставщик не может подтвердить меры безопасности, не готов показывать работу процессов на практике и не фиксирует обязательства по доступам и уведомлениям в договоре, то риски в критический момент останутся на стороне заказчика.
Читайте также
