При взаимодействии с какими-либо субъектами/контрагентами зачастую возникает вопрос о том, насколько это взаимодействие регулируемо с точки зрения обеспечения ИБ.
Так, например, в пресловутом 152-ФЗ существует ч. 3 ст. 6, указывающая операторам, что необходимо включать в соглашение с обработчиком ПДн. Для выполнения законодательства этого будет достаточно, достаточно ли это для обеспечения желаемого нами уровня безопасности?
Исходными данными здесь будет являться та информация, которая передается (либо к которой предоставляется доступ) контрагенту. Критичность данной информации по идее и должна определять, какими мерами в отношении контрагента мы можем обезопасить себя и свою информацию.
Поэтому предлагается довольно простая методика по определению достаточности предъявляемых к контрагенту требований на основании критичности информации.
Положим в нашем распоряжении имеются следующие категории информации: ПДн, КТ, КТ2 и КТ3 (примем это как более "секретную" коммерческую тайну).
Тогда можно построить следующую таблицу:
| Категория \ Уровень требований | Отсутствуют | Существуют законодательные требования | Стандартный NDA | Расширенное соглашение по обеспечению ИБ |
| ПДн | Отсутствует | Средний | Высокий | Высокий |
| КТ | Отсутствует | Низкий | Средний | Высокий |
| КТ2 | Отсутствует | Низкий | Средний | Высокий |
| КТ3 | Отсутствует | Низкий | Низкий | Высокий |
Исходя из тех данных, которые мы передаем контрагенту, и текущего уровня требований к контрагенту, зафикированных в договоре/соглашении с контрагентом, по таблице можно определить уровень "регулируемости" взаимодействия, и далее уже от него возможно отталкиваться при определении необходимости каких-то дополнительных мер-требований к контрагенту.
