Skip to main content

Навігація

Каталог

Обізнаність з безпеки Конфіденційність і відповідність Безпека AI та LLM Реальні інциденти
Безпека застосунків Скоро
Безпека API Скоро
Безпека хмари Скоро

Можливості

Інтерактивне 3D-навчання SCORM Cloud LMS Людський ризик-скоринг Ризик-орієнтована автоматизація Усі можливості

Симуляції

Фішинг-симуляції Смішинг-симуляції
Вішинг-симуляції Скоро

Компанія

Партнери Про нас Блог

Правова інформація

Безпека та відповідність Політика конфіденційності Умови використання
English Українська
Замовити демо

Навчання з безпеки для підрядників

Охопіть кожного зовнішнього працівника, який має доступ до ваших даних, систем чи клієнтів. Призначення на кожне залучення, пакети доказів відповідно до BAA та доставка SCORM у LMS вендора або в нашу окрему хмару.

Чому навчання підрядників і вендорів повинно бути в обсязі

Більшість корпоративних інцидентів безпеки за останні пʼять років були повʼязані з третьою стороною. Підрядники, технічні фахівці MSP, оператори BPO-кол-центрів, фрілансери та консультанти часто мають доступ до тих самих даних і систем, що й штатні співробітники, але вони перебувають поза HR-онбордингом і стандартним списком призначень навчання. Аудитори це помічають.

HIPAA Business Associate Agreements, FTC Safeguards Rule, ISO 27001 Annex A.5.20 щодо відносин з постачальниками та NIST 800-171 control 3.2 однаково вимагають навчання з безпеки на рівні робочої сили для не-співробітників, які мають доступ до захищених даних. Зобовʼязання лежить на вас, а не на вендорі, і підписання BAA не передає його.

RansomLeak проводить ті самі інтерактивні симуляції для підрядників і вендорів, що й для вашої прямої робочої сили. Призначення обмежені обсягом кожного залучення, мають термін дії, привʼязаний до контракту, та формують пакети доказів, які власник відносин може передати безпосередньо аудитору або команді управління ризиками третіх сторін.

Як це працює

1

Визначте групи зовнішньої робочої сили

Складіть карту кожної категорії не-співробітників, які мають доступ до даних, систем чи приміщень. Типові списки включають технічних фахівців MSP, операторів BPO-кол-центрів, контрактних розробників, маркетингових фрілансерів, аудиторські фірми, а також вендорів біомедичного обладнання чи обслуговування. Кожна група отримує власний шаблон призначення.

2

Обмежте обсяг за відносинами з третьою стороною

Скоротіть навчальну програму до того, що потрібно конкретному залученню. Платіжному BPO потрібні фішинг, BEC та робота з PII. Контрактному розробнику потрібні теми, суміжні з безпечним кодуванням, плюс гігієна облікових даних і OAuth. Пропустіть те, що не релевантне контракту.

3

Доставка через SCORM у LMS вендора або в окрему хмару

Експортуйте SCORM 1.2 або 2004 пакети у власну LMS вендора для партнерів зі зрілою функцією навчання й розвитку. Для менших вендорів та індивідуальних підрядників наша окрема хмара забезпечує SSO, MFA та пряму реєстрацію без жодної LMS на їхньому боці.

4

Призначення з обмеженим терміном, привʼязані до початку залучення

Кожне призначення має дедлайн виконання, привʼязаний до дати початку контракту, з нагадуваннями підряднику та власнику відносин. Призначення, термін дії яких закінчується, автоматично запускають оновлення під час продовження контракту.

5

Доставка пакета доказів власнику відносин

Коли підрядник завершує навчання, власник відносин у вашій компанії отримує пакет доказів за конкретне залучення: записи про виконання, оцінки, час виконання та карту охоплення тем. Пакет потрапляє у файл вендора поряд з BAA або DPA.

Що ви отримуєте

Записи про виконання для кожного підрядника

Кожен зовнішній працівник має іменний запис про виконання, привʼязаний до конкретного залучення, з можливістю експорту у PDF, CSV та Excel. Записи зберігаються після завершення контракту, тому аудит через роки все одно бачитиме повний слід.

Пакети доказів для власників відносин з вендорами

Внутрішній власник кожних відносин з вендором отримує самообслуговуваний пакет доказів після завершення. Жодних затримок з боку центральної команди безпеки, коли закупівлі чи юристи запитують файл.

Записи відповідно до BAA та DPA

Записи відповідають мові навчання робочої сили в HIPAA Business Associate Agreements, GDPR Data Processing Agreements та клаузулі про кваліфікований персонал у FTC Safeguards Rule. Один артефакт задовольняє всі три.

Відстеження термінів для оновлення

Дашборди показують, у яких підрядників навчання закінчується протягом наступних 30, 60 та 90 днів. Оновлення спрацьовують автоматично, коли контракти продовжуються, з нагадуваннями власнику відносин.

Паритет охоплення зі співробітниками

Показники фішингу та відсотки виконання для зовнішньої робочої сили потрапляють у ті самі дашборди, що й для співробітників, тому звіт ради з кібербезпеки показує повну картину, а не лише підмножину, яка випадково знаходиться у вашій HRIS.

Підібрані вправи для сценарію підрядників

Послідовність вправ, яку ми рекомендуємо для цього сценарію, з каталогу 100+.

Виявлення фішингових листів

Зовнішні працівники часто мають вищі показники кліків на фішинг, ніж співробітники, тому що вони перебувають поза email-захисними шлюзами. Це найефективніша стартова вправа.

Читати посібник

Компрометація ділової електронної пошти

Вендори та підрядники з фінансовим або інвойсинг-доступом є прямими цілями BEC-шахрайства. Втрати від банківських переказів через скомпрометованих вендорів є найбільшою категорією BEC.

Читати посібник

Робота з документами PII

BPO-партнери, аудиторські фірми та контрактні рецензенти працюють з чутливими документами. Ця вправа відпрацьовує редагування й мінімальне розкриття до того, як файли покинуть ваше середовище.

Читати посібник

Безпечний обмін файлами

Підрядники за замовчуванням використовують той інструмент обміну, до якого звикли. Практика спрямовує їх до ваших затверджених каналів і подалі від особистого Dropbox чи Gmail-вкладень.

Читати посібник

Налаштування та гігієна MFA

Більшість інцидентів через третіх сторін у 2024 та 2025 роках були повʼязані з акаунтом підрядника без MFA або зі слабкими звичками щодо push-повідомлень. Закриває найбільший прогалину в доступі зовнішніх працівників.

Читати посібник

Обовʼязки робочої сили з безпеки

Встановлює базові спільні очікування. Зовнішні працівники залишають залучення, розуміючи, що лежить на них, а що на вашій команді безпеки, що зменшує неоднозначність під час інцидентів.

Читати посібник
Переглянути повний каталог 100+ вправ

Загрози, які охоплює цей сценарій

Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.

Business Email Compromise

Social Engineering

Поширені запитання

Чому навчати підрядників і вендорів замість того, щоб довіряти їхнім власним програмам?

Обовʼязок з навчання за HIPAA BAAs, FTC Safeguards Rule, ISO 27001 A.5.20 та NIST 800-171 лежить на контролері даних, а не на процесорі. Ви можете вимагати від вендора навчати свій персонал, але ви все одно повинні надати аудитору докази, що навчання на рівні робочої сили відбулося. Зробити це самостійно швидше, ніж збирати сертифікати з кожного постачальника.

Як ви призначаєте навчання підрядникам, у яких немає корпоративного email?

Два варіанти. Для вендорів з власною LMS ми надсилаємо SCORM 1.2 або 2004 пакети, і вони керують реєстрацією та відстеженням. Для індивідуальних підрядників і малих вендорів наша окрема хмара використовує особистий email або email домену вендора з SSO або magic-link MFA. Корпоративний email не потрібен.

Чи може підрядник завершити навчання до того, як отримає доступ до систем?

Так, і більшість команд безпеки встановлюють це як умову. Власник відносин запускає призначення під час підписання контракту, підрядник завершує його перед видачею доступу, і пакет доказів повертається у процес керування доступом як обовʼязкова перевірка.

Як це задовольняє пункт про навчання у BAA або DPA?

Кожен запис про виконання відповідає мові конкретного пункту. Для BAAs це вимоги щодо навчання робочої сили та мінімально необхідного доступу за 45 CFR § 164.308 та 164.514. Для DPAs це Article 32 GDPR. Аудиторський слід показує іменних осіб, дати, оцінки та охоплені теми.

Що робити, якщо підрядник відмовляється завершити навчання?

Більшість компаній роблять виконання контрактною умовою: немає виконання, немає доступу до систем, немає виплати за етапом. Платформа відстежує, хто виконав, а хто ні, з нагадуваннями, що ескалуються до власника відносин і до закупівель після налаштованого порогу.

Чи працює та сама бібліотека вправ і для співробітників, і для підрядників?

Так. Каталог однаковий. Що змінюється, це шаблон призначення: підрядники зазвичай отримують меншу підмножину, орієнтовану на дані та системи, до яких вони мають доступ, тоді як співробітники отримують повну програму. Звітність розділяє ці дві групи, тому рада бачить охоплення як внутрішньої, так і зовнішньої робочої сили.

Як довго записи про виконання залишаються доступними після завершення контракту?

Безстроково. Записи зберігаються після припинення контракту, тому аудит через два чи три роки все одно бачитиме докази. Експортуйте у PDF, CSV або Excel будь-коли, і записи зберігають оригінальні часові мітки виконання та оцінки.

Першоджерела

Цитовані вище.

Дотичні матеріали

Вимоги до навчання з безпеки HIPAA

Читати статтю

Вимоги до навчання співробітників за GDPR

Читати статтю

Вимоги до навчання за FTC Safeguards Rule

Читати статтю

Навчання з відповідності для регульованих галузей

Читати статтю

Посібник з навчання обізнаності щодо безпеки

Читати статтю

Подивіться RansomLeak в дії

Спробуйте безкоштовні вправи або замовте демо, щоб побачити аналітику, експорт SCORM, SSO та індивідуальний контент у вашому середовищі.

Замовити демо Спробувати безкоштовні вправи