«Ростелеком» ввёл повышенные требования по ИБ к своим подрядчикам для противодействия атакам на цепочку поставок
«Ростелеком» сообщил о введении повышенных требования по информационной безопасности к своим подрядчикам, чтобы противодействовать стремительно нарастающей волне атак на цепочку поставок (supply chain aftacks).
Сотрудники компаний-подрядчиков, которые имеют доступ к инфраструктуре «Ростелекома», теперь обязаны быть ознакомленными и следовать всем требованиям обновлённого ИБ-регламента компании. Кроме того, «Ростелеком» оставляет за собой право контролировать соблюдение требований и отзывать права доступа к информационным системам в случае выявления нарушений.
Компания также ввела требования об уведомлении её о значимых инцидентах информационной безопасности и мерах их устранения. Дочерние организации «Ростелекома» теперь тоже приравниваются к внешним подрядчикам и также обязаны соблюдать новые требования по безопасности.
В дополнение к повышенным требованиям по ИБ, в «Ростелекоме» усилили комплекс мер для защиты собственной цифровой инфраструктуры, задействованной в процессах удалённого доступа и взаимодействии со сторонними компаниями.
Например, доступ работников подрядчиков к системам «Ростелекома» теперь осуществляется только через специально настроенные jump-хосты (защищённый промежуточный сервер, используемый для централизованного и контролируемого доступа к другим системам внутри защищённой сети) и системы управления привилегированным доступом (PAM) (решения, предназначенные для контроля, мониторинга и ограничения прав доступа к критически важным системам и данным только для авторизованных пользователей).
Также теперь подключиться подрядчикам к инфраструктуре «Ростелекома» можно исключительно с территории Российской Федерации.
«В условиях растущих киберугроз, чтобы оставаться надёжным цифровым партнёром для государства, бизнеса и общества, мы обязаны обеспечивать максимальную защиту своей цифровой инфраструктуры. Усиление требований к подрядчикам — это необходимый шаг в этом направлении. Хочу отметить, что мы не только выдвигаем требования для повышения защищённости собственной инфраструктуры, но и работаем и над тем, чтобы наши партнёры и подрядчики тоже соответствовали высоким стандартам безопасности, помогая и консультируя их в вопросах информационной безопасности», — сообщил директор департамента методологии информационной безопасности «Ростелекома» Михаил Савельев.