Критические формулировки ИБ в SLA и NDA с подрядчиками: защитись от убытков

С 1 марта 2026 года вступает в силу приказ ФСТЭК России № 117, который полностью переформатирует подход государственных и муниципальных организаций к управлению информационной безопасностью. Одно из ключевых изменений касается расширения требований на подрядные организации — выполнение мер по информационной безопасности становится обязательным условием договоров с подрядчиками. Это означает, что организации-заказчики должны уже сейчас пересмотреть свои соглашения с исполнителями, добавив критически важные формулировки в SLA и NDA, чтобы обеспечить юридическую защиту и возможность предъявления претензий при нарушениях.

Почему новые требования к подрядчикам стали критическим приоритетом

Приказ № 117 уделяет особое внимание контролю подрядчиков не случайно. Многие громкие инциденты информационной безопасности происходят именно через уязвимости в системах подрядчиков, имеющих доступ к информационным ресурсам заказчика. Новые требования распространяются на широкий круг исполнителей: разработчиков программного обеспечения, работающих с государственными органами; сервисные компании, занимающиеся поддержкой и защитой информационных систем в госсекторе; организации, которые получают информацию из государственных информационных систем (например, банки). Для государственных органов и учреждений, выступающих в роли заказчика, это означает необходимость разработки регламентов предоставления доступа к информационным системам для подрядных организаций и включения в технические задания требований по безопасной разработке. Но самое важное — это правильное оформление договорных отношений, которые должны содержать четкие формулировки по информационной безопасности.

Ключевые формулировки для SLA: что должно быть обязательно

Service Level Agreement (SLA) — это документ, который определяет уровень обслуживания и ответственность подрядчика. В контексте новых требований информационной безопасности, SLA должен содержать несколько критических блоков.

Обязательства по соответствию стандартам защиты информации

Первый и наиболее важный блок должен четко устанавливать, что подрядчик обязан обеспечивать защиту информации в соответствии с требованиями приказа ФСТЭК № 117. Рекомендуется включить формулировку типа: «Подрядчик гарантирует, что все информационные системы, сети и процессы, используемые при выполнении работ по настоящему договору, будут защищены в соответствии с требованиями приказа ФСТЭК России № 117 от 11 апреля 2025 года, включая технические, организационные и правовые меры безопасности». Важно также указать, что подрядчик несет полную ответственность за реализацию базовых мер защиты: идентификацию и аутентификацию пользователей, управление доступом (включая привилегированный доступ), защиту конечных точек, регистрацию и мониторинг событий безопасности, защиту каналов связи и антивирусную защиту. Эти требования должны быть детализированы в приложении к SLA с указанием конкретных технических решений и подходов.

Требования к мониторингу и регулярной оценке защищенности

Приказ № 117 устанавливает обязательное регулярное проведение мониторинга защищенности не реже одного раза в полгода, а также оценку уровня зрелости систем защиты информации не реже одного раза в два года. Ваш SLA должен отражать эти требования: «Подрядчик обязан проводить мониторинг защищенности информационных систем не реже одного раза в полгода и предоставлять заказчику отчеты о результатах. Результаты мониторинга должны включать описание выявленных уязвимостей, оценку их критичности и план устранения». Кроме того, необходимо установить сроки устранения выявленных уязвимостей. Согласно требованиям приказа, для критических уязвимостей это должно быть не более 24 часов, для высоких — не более 7 дней. В SLA следует прямо указать: «Подрядчик обязан устранять критические уязвимости в течение 24 часов с момента их выявления, высокие уязвимости — в течение 7 дней, средние — в течение 30 дней, низкие — в течение 90 дней. При невозможности устранения в указанные сроки подрядчик должен немедленно уведомить заказчика и предоставить план альтернативных мер по снижению риска».

Процедуры реагирования на инциденты и уведомления

SLA должен содержать четкие процедуры реагирования на инциденты информационной безопасности. Приказ № 117 требует немедленного уведомления ИБ-службы о фактах нарушения. Соответствующая формулировка: «Подрядчик обязан немедленно (в течение одного часа) уведомить заказчика о любых инцидентах информационной безопасности, включая несанкционированный доступ, утечки данных, отказ в обслуживании или любые другие события, которые могут повлиять на конфиденциальность, целостность или доступность информации. Уведомление должно содержать описание инцидента, предварительную оценку влияния и первоначальные меры по его устранению». Важно также установить требование к документированию всех инцидентов: «Подрядчик обязан вести журнал всех инцидентов информационной безопасности с указанием даты, времени, описания события, принятых мер и результатов расследования. Этот журнал должен быть доступен заказчику для проверки в любое время».

Критические формулировки для NDA: защита от утечек и несанкционированного доступа

Non-Disclosure Agreement (NDA) или соглашение о конфиденциальности должно быть дополнено специальными положениями, которые отражают требования приказа № 117 к защите информации.

Определение конфиденциальной информации и статуса доступа

NDA должен четко определить, какая информация считается конфиденциальной и какие требования к доступу применяются. Рекомендуемая формулировка: «Конфиденциальной информацией считается любая информация, содержащаяся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий и государственных учреждений, включая персональные данные, коммерческую тайну, сведения ограниченного доступа. Подрядчик обязан обращаться с такой информацией в соответствии с требованиями приказа ФСТЭК № 117 и действующим законодательством Российской Федерации». Необходимо также установить требования к управлению доступом: «Подрядчик обязан предоставлять доступ к конфиденциальной информации только тем сотрудникам, которые необходимы для выполнения работ по договору. Каждый сотрудник подрядчика, имеющий доступ к конфиденциальной информации, должен быть уведомлен о требованиях конфиденциальности и подписать отдельное соглашение о неразглашении. Подрядчик обязан вести реестр всех лиц, имеющих доступ к конфиденциальной информации, и немедленно отзывать доступ при увольнении или переводе сотрудника».

Обязательства по защите персональных данных и информации ограниченного доступа

Приказ № 117 уделяет особое внимание защите персональных данных и информации ограниченного доступа. NDA должен содержать специальное положение: «Подрядчик признает, что информация, к которой он получает доступ, может содержать персональные данные граждан Российской Федерации и иную информацию ограниченного доступа. Подрядчик обязан обрабатывать такую информацию в соответствии с требованиями Федерального закона «О защите персональных данных», приказа ФСТЭК № 117 и иных применимых нормативных документов. Подрядчик не имеет права передавать, разглашать или использовать такую информацию для целей, не предусмотренных договором, под угрозой привлечения к уголовной и гражданской ответственности». Следует также указать требования к техническим мерам защиты: «Подрядчик обязан хранить конфиденциальную информацию в зашифрованном виде, как при передаче, так и при хранении. При передаче информации по сетям связи должны использоваться защищенные каналы с использованием криптографических методов защиты. При хранении информации на носителях данных должно применяться шифрование с использованием алгоритмов, одобренных органами власти Российской Федерации».

Процедуры уничтожения информации и аудита соответствия

NDA должен содержать четкие процедуры для обращения с информацией после завершения работ: «По завершении работ по договору или при расторжении договора подрядчик обязан немедленно вернуть заказчику всю конфиденциальную информацию или, если возврат невозможен, уничтожить ее способом, исключающим возможность восстановления. Подрядчик обязан предоставить заказчику письменное подтверждение об уничтожении информации, подписанное ответственным лицом и содержащее дату и описание метода уничтожения». Важно также установить право заказчика на аудит: «Заказчик имеет право в любое время проводить аудит соответствия подрядчика требованиям данного соглашения, включая проверку технических и организационных мер защиты информации, проверку журналов доступа и инцидентов. Подрядчик обязан предоставить заказчику полный доступ к необходимой информации и документации для проведения такого аудита».

Практические рекомендации по внедрению и контролю

Добавление формулировок по информационной безопасности в договоры — это только первый шаг. Организациям необходимо также разработать процедуры контроля за выполнением этих требований. Во-первых, перед заключением договора с подрядчиком следует провести проверку его готовности к выполнению требований информационной безопасности. Это включает проверку наличия у подрядчика системы управления информационной безопасностью, наличия ответственного специалиста по ИБ, документирования политик и процедур безопасности. Во-вторых, необходимо регулярно проверять соответствие подрядчика установленным требованиям. Это может включать запрос отчетов о проведенных мониторингах защищенности, проверку журналов инцидентов, проведение аудитов на месте подрядчика. В-третьих, следует установить механизм штрафных санкций за нарушение требований информационной безопасности. Это может быть снижение платежей, штрафы или расторжение договора в случае серьезных нарушений. Организациям рекомендуется уже сейчас начать пересмотр всех существующих договоров с подрядчиками и добавление необходимых формулировок по информационной безопасности. Приказ № 117 вступает в силу 1 марта 2026 года, поэтому у организаций есть ограниченное время на подготовку. Своевременное внедрение правильных формулировок в SLA и NDA позволит организациям защитить свои информационные активы, обеспечить соответствие новому законодательству и избежать штрафов и репутационных ущербов в случае инцидентов информационной безопасности.