Комментарии 24
А заголовки списков категорий точно не перепутаны? Странно как-то "не смотреть" разработчиков ПО, но в то же время проверять поставщиков АХО-шных расходников.
Как я вижу кто-то из большой "зелёной" компании перешел в "синюю" и утянул с собой отработанные методики по взаимодействию с третьими лицами :)
Ну а если серьёзно, то распространение и применение таких методик хорошо отражается на уровне зрелости информационной безопасности компании.
Казалось, лет 5 назад тема уже была актуальной для защиты компаний, но подобные материалы не попадались еще. Спасибо, Дмитрий!
Вечно актуальная боль для бизнеса, а как общаться безопасно с контрагентами, полезно и нужная практика, в роудмап бы еще добавить в части сканинга даст састом, в случаях если вы что-то себе забираете у контрагента)
От имени нескольких юрлиц, делающих покупки на озоне скажу, что закрывающие доки по Эдо можно получить только если каждый раз после покупки пинать техподдержку. Вот бы пофиксил это баг)))
Хорошая статья и самое главное, что .. вы уже в пути и движетесь в правильном направлении !
А что вы в итоге делаете с компаниями, у которых есть некоторые важные огрехи, например нет службы ИБ или антивирусов? Даете им рекомендации по исправлению или у себя режете какие-то привилегии?
Привет!
Хороший вопрос)
Ситуации разные. Если это закупка идет, т.е. есть пул предполагаемых поставщиков, то со своей стороны после анализа даем рекомендации с кем можно работать, а с кем не рекомендуется. Если отсутствует реализация базовых доменов ИБ, то вероятность что данный контрагент будет с нами работать довольно низкая. Еще есть зависимости от формата нашего взаимодействия, т.е. когда есть или нет интеграции, доступы и прочее. По итогу появляется результат анализа и ответ)
А сами поставщики в итоге знают, что им чего-то не хватает для более плотного сотрудничества? Например компания хочет расти и заполнили анкету. А вы в итоге их отбраковываете. И они не знают, почему. Или все же даете обратную связь, что вы не дотягиваете по уровню ИБ и вам надо подтянуть это и это.
Ну и так же вопрос, проверяете ли вы как-то реальность того, что они отвечают?
Бываю моменты, когда контрагент так и пишет, что сейчас этого нет, но до старта проекты мы обязуемся реализовать это и это.
Проверка реальности может быть проведена, но это будет занимать значительные ресурсы. Опять же другие подписанные документы определяют эту возможность, что да, мы можем запросить дополнительные материалы.
Интересная статья. На практике насколько часто анкетирование помогает выявлять потенциально опасных контрагентов?
Привет!
Спасибо!
На практике достаточно много партнеров, у которых нет как базовых процессов внутри компании, так и по части SDLC, например нет сканов регулярных на известные уязвимости (CWE и OWASP) и даже ,базового процесса поиска ошибок и оперативного устранения.
Но так же отмечу, что приходят компании с высоким уровнем организации процессов ИБ, о чем они не стесняясь пишут подробно. Это супер!
привет!
для контрагентов, которые уже развиты и попадают под "базовые" условия статья отличная!
А почему "закупка железа" в категории "не смотрим" ? Сейчас большинство "железа" (если это, конечно, не стойки для стеллажей) имеет собственное ПО. С теми же проблемами, что ПО, закупаемое непосредствено.
Привет!
Да, железо может иметь собственное ПО, но продают его как правило не разработчики и тут есть свои сложности. Закупаемое железо с ПО проверяется другиси командами. Потому в общем потоке это не смотрим. Такое железо при закупках уже понятно какое именно нужно и необхоидимы проверки пройдены. Спасибо за вопрос) мы пробовали проверять эту категории, но много чего не подходит под наш вид проверки контрагента.
Спасибо! Очень интересная статья, отлично написана!
КУСь нашего контрагента