Run-as-daemon.ru

Субъективная оценка качества: ❌ "Отчёт недостаточно детальный" (если выполнены формальные критерии) ❌ "Roadmap не такой, как мы хотели" ❌ "Приоритизация неправильная" (это экспертное мнение Исполнителя) Проблемы после аудита: ❌ "Вы не нашли проблему X" (найденную позже) ❌ "После внедрения ваших рекомендаций что-то сломалось" ❌ "Нас взломали через уязвимость, которую вы не нашли"

ПАКЕТ «ГЛУБОКИЙ»

📋 СТРОГИЙ SCOPE УСЛУГИ ЧТО ВХОДИТ (исчерпывающий перечень) 1. ВСЁ ИЗ ПАКЕТА «СТАНДАРТНЫЙ» (35 000 ₽) Включено полностью без изменений: Security Assessment (сканирование уязвимостей до 50 IP) Performance Assessment (профилирование до 5 приложений) Reliability Assessment (SPOF анализ, DR оценка) Architecture Assessment (диаграммы, capacity planning 6 мес) FinOps (анализ до 2 облачных провайдеров) DevOps процессы (CI/CD, […]

Category: ,

Описание

📋 СТРОГИЙ SCOPE УСЛУГИ

ЧТО ВХОДИТ (исчерпывающий перечень)

1. ВСЁ ИЗ ПАКЕТА «СТАНДАРТНЫЙ» (35 000 ₽)

Включено полностью без изменений:

  • Security Assessment (сканирование уязвимостей до 50 IP)
  • Performance Assessment (профилирование до 5 приложений)
  • Reliability Assessment (SPOF анализ, DR оценка)
  • Architecture Assessment (диаграммы, capacity planning 6 мес)
  • FinOps (анализ до 2 облачных провайдеров)
  • DevOps процессы (CI/CD, IaC оценка)

Количественные лимиты пакета «Стандартный» увеличены:

  • Серверы: до 50 (вместо 10)
  • IP для сканирования: до 50 (вместо 10)
  • Домены SSL/TLS: до 20 (вместо 5)
  • Приложения profiling: до 5 (вместо 3)
  • Базы данных: до 3 (вместо 1)
  • Облачные провайдеры: до 2 (без доплаты)

2. PENETRATION TESTING (Этичный хакинг)

СТРОГО ОГРАНИЧЕННЫЙ SCOPE:

2.1. Что входит в Pentest:

  • Network Penetration Testing (внешний периметр):
    • Сканирование открытых портов и сервисов
    • Эксплуатация известных уязвимостей (CVE с публичными exploits)
    • Проверка brute-force защиты (SSH, RDP, web-формы)
    • Тестирование firewall rules
    • Limit: до 10 IP-адресов внешнего периметра
  • Web Application Penetration Testing:
    • OWASP Top 10 проверки (SQL injection, XSS, CSRF, etc.)
    • Authentication/Authorization bypass попытки
    • Session management тестирование
    • File upload vulnerabilities
    • Limit: до 3 web-приложений
    • Limit: до 100 URL endpoints на приложение
  • Wireless Security (если применимо):
    • WiFi security проверка (WPA2/WPA3)
    • Rogue AP detection
    • Только если офис доступен физически

2.2. Что НЕ входит в Pentest:

  • Social Engineering (фишинг, pretexting, vishing)
  • Physical Security (взлом замков, проникновение в офис)
  • Red Team Exercise (полная симуляция APT атаки)
  • Mobile Application Pentest (iOS/Android)
  • Zero-day research (поиск новых уязвимостей)
  • Post-exploitation (закрепление, lateral movement после успешного взлома)
  • Denial of Service тестирование (можем положить систему)
  • Эксплуатация уязвимостей без согласования (каждый exploit требует одобрения)

2.3. Методология Pentest:

  • OWASP Testing Guide v4.2
  • PTES (Penetration Testing Execution Standard)
  • Разрешённые инструменты: Metasploit, Burp Suite, OWASP ZAP, Nmap, SQLmap
  • ROE (Rules of Engagement) согласовываются отдельным документом до начала

2.4. Ограничения Pentest:

  • ⚠️ Тестирование проводится только в согласованное время (обычно нерабочие часы)
  • ⚠️ Без DoS атак и действий, способных нарушить работу систем
  • ⚠️ Только на согласованные цели (список в ROE документе)
  • ⚠️ Прекращение по требованию Заказчика в любой момент
  • ⚠️ Исполнитель не несёт ответственности за случайный downtime во время Pentest (риск Заказчика)

2.5. Deliverables Pentest:

  • Отчёт: список найденных уязвимостей с proof-of-concept
  • Severity rating (Critical/High/Medium/Low по CVSS v3.1)
  • Шаги воспроизведения (для каждой уязвимости)
  • Рекомендации по устранению
  • Executive summary для нетехнической аудитории

3. COMPLIANCE АУДИТ

3.1. ФЗ-152 «О персональных данных»

Что входит:

  • ✅ Проверка по 30 основным требованиям ФЗ-152
  • ✅ Оценка категорий ПДн (биометрические, специальные, общие)
  • ✅ Проверка технических мер защиты
  • ✅ Оценка организационных мер (политики, приказы)
  • ✅ Аудит согласий на обработку ПДн
  • ✅ Gap Analysis: что не хватает до соответствия

Что НЕ входит:

  • ❌ Составление всех необходимых документов (Политика, Приказы, Положения)
  • ❌ Разработка модели угроз (требует отдельного заказа)
  • ❌ Категорирование информационной системы (УЗ 1/2/3/4)
  • ❌ Аттестация по требованиям ФСТЭК/ФСБ
  • ❌ Юридическая консультация по применению закона
  • ❌ Представительство при проверках Роскомнадзора

Deliverable:

  • Отчёт о соответствии ФЗ-152 (15-25 страниц)
  • Чек-лист требований (выполнено/не выполнено)
  • Roadmap для достижения compliance
  • Оценка стоимости приведения к соответствию

3.2. ISO 27001 (Information Security Management System)

Что входит:

  • Gap Analysis по 114 контролям Annex A ISO 27001:2022
  • ✅ Оценка зрелости ISMS (0-5 уровень)
  • ✅ Проверка наличия обязательной документации
  • ✅ Risk assessment методология (есть ли, правильная ли)
  • ✅ Проверка управления инцидентами безопасности
  • ✅ Оценка готовности к сертификации

Что НЕ входит:

  • ❌ Разработка ISMS (политики, процедуры, регламенты)
  • ❌ Проведение полного Risk Assessment
  • ❌ Внедрение ISO 27001
  • ❌ Подготовка к аудиту сертификации
  • ❌ Сертификационный аудит (это делают сертифицирующие органы)

Deliverable:

  • ISO 27001 Gap Analysis Report (20-30 страниц)
  • Maturity assessment (по каждому из 114 контролей)
  • Roadmap к сертификации (12-24 месяца)
  • Оценка стоимости внедрения

3.3. PCI DSS (Payment Card Industry Data Security Standard)

Что входит:

  • ✅ Проверка по 12 требованиям PCI DSS v4.0
  • ✅ Scope definition (какие системы обрабатывают card data)
  • ✅ Network segmentation review (правильная ли изоляция)
  • ✅ Проверка хранения/передачи card data
  • ✅ Gap Analysis (что не соответствует)
  • ✅ Applicable только для Level 2-4 merchants (самооценка)

Что НЕ входит:

  • PCI DSS Level 1 compliance (требует QSA аудита, мы не QSA)
  • ❌ Разработка политик и процедур PCI DSS
  • ❌ Внедрение технических контролей
  • ❌ Заполнение SAQ (Self-Assessment Questionnaire)
  • ❌ Quarterly ASV scans (это отдельная услуга)
  • ❌ Представительство перед acquiring bank

Deliverable:

  • PCI DSS Gap Analysis (15-20 страниц)
  • Compliance score по каждому из 12 требований
  • Roadmap к compliance
  • Scope diagram (какие системы in-scope)

⚠️ ВАЖНО: Мы НЕ являемся QSA (Qualified Security Assessor). Наш аудит — это pre-assessment для самопроверки, НЕ официальная сертификация.

3.4. GDPR (General Data Protection Regulation)

Применимо только если:

  • У вас есть клиенты/пользователи из EU
  • Или вы обрабатываете данные резидентов EU

Что входит:

  • ✅ Проверка по основным принципам GDPR (lawfulness, fairness, transparency и др.)
  • ✅ Data mapping (какие персональные данные собираете)
  • ✅ Проверка legal basis для обработки
  • ✅ Rights of data subjects (можете ли обеспечить)
  • ✅ Data breach procedures
  • ✅ Gap Analysis

Что НЕ входит:

  • ❌ Юридическая интерпретация GDPR (нужен EU lawyer)
  • ❌ Data Protection Impact Assessment (DPIA)
  • ❌ Назначение DPO (Data Protection Officer)
  • ❌ Составление всех необходимых legal documents
  • ❌ Представительство перед EU регуляторами

Deliverable:

  • GDPR Gap Analysis (10-15 страниц)
  • Data flow map
  • Рекомендации по compliance

4. LOAD TESTING И СТРЕСС-ТЕСТИРОВАНИЕ

4.1. Load Testing (Нагрузочное тестирование)

Что входит:

  • ✅ Тестирование до 3 (трёх) endpoints/сервисов
  • ✅ Simulation нагрузки: до 10,000 одновременных пользователей
  • ✅ Длительность теста: до 2 часов на endpoint
  • ✅ Метрики: Response Time, Throughput, Error Rate
  • ✅ Определение bottlenecks (где падает производительность)
  • ✅ Рекомендации по оптимизации

Инструменты:

  • Apache JMeter, Gatling, Locust, k6

Что НЕ входит:

  • ❌ Тестирование более 3 endpoints (доплата 15 000 ₽ за каждый)
  • ❌ Simulation более 10K пользователей (доплата за infrastructure)
  • ❌ Длительные тесты (>2 часа) — soak testing
  • ❌ Geographical distributed load (из разных регионов мира)
  • ❌ Исправление найденных проблем производительности

Ограничения:

  • ⚠️ Тестирование только на staging/test окружении
  • ⚠️ Или на production в согласованное время (обычно ночью) и на свой риск Заказчика
  • ⚠️ Исполнитель не несёт ответственности за downtime во время load testing

4.2. Stress Testing (Тестирование на отказ)

Что входит:

  • ✅ Постепенное увеличение нагрузки до точки отказа
  • ✅ Определение breaking point (при какой нагрузке ломается)
  • ✅ Проверка recovery (как система восстанавливается)
  • До 1 (одного) сервиса

Что НЕ входит:

  • ❌ Stress testing на production (слишком рискованно)
  • ❌ Chaos engineering (намеренное убийство процессов/серверов)
  • ❌ Disaster recovery полное тестирование

Ограничения:

  • ⚠️ Только на test/staging окружении
  • ⚠️ Заказчик обязан иметь backup перед stress testing
  • ⚠️ Риск поломки системы — на Заказчике

5. РАСШИРЕННЫЙ ОТЧЁТ И DELIVERABLES

5.1. PDF-отчёт (100-150 страниц)

Гарантируем:

  • ✅ Объём: 100-150 страниц формата A4
  • ✅ Структура:
    • Executive Summary (3-5 страниц)
    • Методология (3-4 страницы)
    • Текущее состояние (10-15 страниц)
    • Security Assessment (20-30 страниц)
    • Penetration Testing Report (15-25 страниц)
    • Performance & Reliability (15-20 страниц)
    • FinOps детальный (15-20 страниц)
    • Compliance Reports (20-30 страниц суммарно)
    • DevOps & Processes (10-15 страниц)
    • Strategic Roadmap (10-15 страниц)
    • Приложения (скрипты, диаграммы, таблицы)
  • Минимум 80 (восемьдесят) находок с описанием и рекомендациями
  • 2 раунда правок (в течение 5 рабочих дней на каждый)

НЕ гарантируем:

  • ❌ Конкретное количество находок свыше 80
  • ❌ Более 2 раундов правок (дополнительные — 10 000 ₽/раунд)
  • ❌ Адаптацию под специфичный корпоративный шаблон (доплата 15 000 ₽)

5.2. Интерактивные дашборды

Гарантируем:

  • ✅ Платформа: Grafana Cloud
  • ✅ Доступ: 90 календарных дней
  • ✅ Дашборды: Security, Performance, FinOps, Compliance (минимум 5)
  • ✅ Read-only для до 10 пользователей
  • ✅ Export в PDF/PNG

НЕ гарантируем:

  • ❌ Доступ более 90 дней (продление 5 000 ₽/месяц)
  • ❌ Real-time обновления после даты аудита

5.3. Стратегическая Roadmap (12-24 месяца)

Гарантируем:

  • ✅ Детальный план на 12 месяцев (помесячно)
  • ✅ High-level план на 12-24 месяца (поквартально)
  • ✅ Приоритизация по: риск, ROI, dependencies
  • ✅ Оценка времени и бюджета для каждого этапа
  • ✅ Milestone-based roadmap (чёткие вехи)

НЕ гарантируем:

  • ❌ Что roadmap останется актуальной через 12 месяцев (бизнес меняется)
  • ❌ Детальный project plan с задачами уровня Jira (это работа PM)

5.4. Консультации (3 часа)

Гарантируем:

  • 3 (три) часа видео-консультаций (Zoom/Meet/Teams)
  • ✅ Можно разбить на несколько сессий (3×1ч или 1×3ч)
  • ✅ Темы: разбор отчёта, приоритизация, помощь с планированием
  • ✅ Срок проведения: в течение 30 календарных дней после отчёта

НЕ гарантируем:

  • ❌ Более 3 часов (дополнительные — 10 000 ₽/час)
  • ❌ Hands-on помощь с внедрением (это отдельная услуга)

5.5. Поддержка (90 дней)

Гарантируем:

  • ✅ Email-поддержка 90 календарных дней
  • ✅ Время ответа: до 24 часов в рабочие дни
  • ✅ Неограниченное количество вопросов
  • ✅ Приоритетная поддержка (отвечаем раньше клиентов других пакетов)

НЕ гарантируем:

  • ❌ Ответы в выходные/праздники
  • ❌ Ответы <24 часов (срочные — доплата)
  • ❌ Hands-on работу (написание кода, применение изменений)

ЧТО НЕ ВХОДИТ (Жёсткие исключения)

КАТЕГОРИЧЕСКИ НЕ ВХОДИТ:

1. Внедрение и исправления

  • ❌ Исполнитель НЕ вносит изменений в инфраструктуру
  • ❌ Исполнитель НЕ исправляет найденные проблемы
  • ❌ Исполнитель НЕ настраивает системы
  • ❌ Услуга строго консультативная

2. Разработка документации

  • ❌ Написание политик безопасности
  • ❌ Создание процедур и регламентов
  • ❌ Runbooks и playbooks
  • ❌ Compliance документация (для ФЗ-152, ISO и др.)

3. Обучение персонала

  • ❌ Тренинги для команды
  • ❌ Воркшопы
  • ❌ Менторинг

4. Сертификация

  • ❌ Официальная сертификация ISO 27001 (нужен сертифицирующий орган)
  • ❌ PCI DSS QSA аудит (мы не QSA)
  • ❌ Аттестация ФСТЭК/ФСБ
  • ❌ Прохождение проверок регуляторов

5. Ongoing услуги

  • ❌ Мониторинг после аудита
  • ❌ Incident response (реагирование на инциденты)
  • ❌ Managed Security Services
  • ❌ Retainer/абонентское обслуживание (это отдельный договор)

6. Специфичные области

  • ❌ Application development
  • ❌ Code writing (кроме example скриптов)
  • ❌ Data migration
  • ❌ Hardware procurement
  • ❌ Юридические услуги

КОЛИЧЕСТВЕННЫЕ ЛИМИТЫ (с доплатами)

Параметр Лимит базовый Доплата за превышение
Серверы/Инстансы До 50 +10 000 ₽ за каждые 10 серверов
IP для vulnerability scan До 50 +5 000 ₽ за каждые 10 IP
IP для Pentest До 10 +15 000 ₽ за каждые 5 IP
Web-приложения для Pentest До 3 +20 000 ₽ за каждое приложение
Endpoints для Load Testing До 3 +15 000 ₽ за каждый endpoint
Приложения для profiling До 5 +10 000 ₽ за каждое
Базы данных До 3 +8 000 ₽ за каждую БД
Облачные провайдеры FinOps До 2 +12 000 ₽ за каждого
Раунды правок отчёта 2 +10 000 ₽ за раунд
Часы консультаций 3 +10 000 ₽ за час
Дни поддержки 90 +5 000 ₽ за каждые 30 дней

🛡️ ЮРИДИЧЕСКИЕ ГАРАНТИИ (Максимальная защита Исполнителя)

1. ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ (Жёсткое)

1.1. Максимальная ответственность

ИСПОЛНИТЕЛЬ НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ:

  • Не возмещает убытки свыше 75 000 рублей (стоимость Договора)
  • Не возмещает косвенные убытки (упущенная выгода, потеря репутации, потеря клиентов, штрафы от третьих лиц)
  • Не возмещает моральный вред
  • Не возмещает штрафы от регуляторов (Роскомнадзор, ФСТЭК и др.)

ИСКЛЮЧЕНИЯ: Ограничение НЕ применяется только при:

  • Умысле Исполнителя (доказанном в суде)
  • Нарушении NDA с доказанным ущербом

1.2. За что Исполнитель НЕ отвечает (exhaustive list)

ИСПОЛНИТЕЛЬ НЕ НЕСЁТ ОТВЕТСТВЕННОСТИ ЗА:

Решения Заказчика:

  • ❌ Любые действия/бездействия Заказчика на основе отчёта
  • ❌ Решения о приоритизации (что внедрять, что нет)
  • ❌ Решения о бюджетировании
  • ❌ Выбор подрядчиков для внедрения

Применение рекомендаций:

  • ❌ Результаты внедрения рекомендаций
  • ❌ Downtime при применении рекомендаций
  • ❌ Конфликты конфигураций
  • ❌ Ошибки при применении скриптов (применение на свой риск)
  • ❌ «Сломали что-то, следуя вашим советам»

Неполнота аудита:

  • ❌ Проблемы, не найденные в аудите (100% coverage невозможен)
  • ❌ Уязвимости, появившиеся после даты аудита
  • ❌ Проблемы в системах, не входивших в scope
  • ❌ Проблемы, невозможные к обнаружению без специального оборудования/доступов

Проблемы из-за неполных доступов:

  • ❌ Неполнота результатов, если доступы были ограничены
  • ❌ «Вы не нашли проблему в системе X» — если доступа к X не было

Действия третьих лиц:

  • ❌ Взломы/атаки после аудита
  • ❌ Действия подрядчиков Заказчика
  • ❌ Ошибки вендоров/провайдеров

Изменения после аудита:

  • ❌ Проблемы, возникшие из-за изменений инфраструктуры после аудита
  • ❌ Новые сервисы/серверы, добавленные после
  • ❌ Обновления ПО после аудита

Специфичные для Pentest:

  • ❌ Downtime/сбои во время penetration testing
  • ❌ Повреждение данных во время тестирования (крайне маловероятно, но риск есть)
  • ❌ Срабатывание IDS/IPS/firewall и блокировка IP Исполнителя

Специфичные для Load Testing:

  • ❌ Downtime во время load/stress testing
  • ❌ Перерасход облачных ресурсов из-за testing
  • ❌ Ложное срабатывание DDoS protection

Специфичные для Compliance:

  • ❌ Юридическая интерпретация законов (мы не юристы)
  • ❌ Решения регуляторов (Роскомнадзор, ФСТЭК)
  • ❌ Штрафы за несоответствие
  • ❌ Не получение сертификации (мы делаем pre-assessment, не саму сертификацию)

1.3. Форс-мажор (расширенный список)

К форс-мажору ТАКЖЕ относятся:

  • 🔥 Массовые кибератаки (WannaCry-подобные)
  • 🔥 Блокировки сервисов (GitHub, cloud providers и т.д.)
  • 🔥 Отзыв лицензий на инструменты (Nessus, Burp Suite)
  • 🔥 Изменения законодательства, запрещающие pentest
  • 🔥 Блокировка IP-адресов Исполнителя провайдерами/регуляторами

Не является форс-мажором:

  • ❌ Болезнь специалиста (найдём замену)
  • ❌ Увольнение специалиста (найдём нового)
  • ❌ Поломка оборудования Исполнителя (есть backup)

2. ГАРАНТИЯ ВОЗВРАТА (Высокий порог)

2.1. Условия возврата (Изменённые)

Сценарий Условие Возврат
«Критически мало находок» Менее 50 находок 30%
«Почти ничего» Менее 20 находок 50%
«Совсем ничего» 0 находок 100%

ВАЖНО:

  • За 5 лет не было случаев <50 находок
  • Находки считаются по факту отчёта, не по субъективной оценке Заказчика
  • Споры разрешаются привлечением независимого эксперта (эксперта выбирают совместно, стоимость пополам)

Возврат НЕ применяется если:

  • Малое количество находок из-за идеальной инфраструктуры (бывает крайне редко)
  • Малое количество находок из-за неполных доступов
  • Заказчик отказался от части проверок (например, от Pentest или Load Testing)
  • Заказчик ограничил scope в процессе работ

2.2. Процедура возврата

Шаг 1: Заказчик заявляет о возврате письменно в течение 5 рабочих дней после получения отчёта

Шаг 2: Стороны совместно пересчитывают находки

Шаг 3: Если количество подтверждается:

  • Исполнитель возвращает средства в течение 10 рабочих дней
  • На банковские реквизиты Заказчика
  • За вычетом банковских комиссий

Шаг 4: Если есть спор о количестве:

  • Привлекается независимый эксперт
  • Эксперта выбирают совместно из списка (например, члены OWASP Russia)
  • Стоимость эксперта делится пополам
  • Решение эксперта окончательное и обязательное

3. NDA (Усиленная защита Исполнителя)

3.1. Штрафы за нарушение NDA

Стандартный штраф (без изменений):

  • 500 000 ₽ или стоимость Договора × 10 (что больше)
  • Срок: 3 года

НО: Дополнительные защиты для Исполнителя:

Исполнитель НЕ нарушает NDA если:

  • ✅ Публикует полностью обезличенный кейс (без имени, отрасли, специфичных деталей)
  • ✅ Использует обобщённую статистику («У X% клиентов находим…»)
  • ✅ Упоминает факт наличия клиента в портфолио («Работали с 50+ компаниями»)
  • ✅ Раскрывает информацию своим сотрудникам на need-to-know basis
  • ✅ Раскрывает информацию субподрядчикам под аналогичным NDA

Бремя доказывания:

  • При споре о нарушении NDA Заказчик обязан доказать:
    • Факт разглашения
    • Что информация была конфиденциальной (не публичной)
    • Прямой ущерб от разглашения (для взыскания убытков сверх штрафа)

3.2. Удаление данных (Защита Исполнителя)

Исполнитель обязан:

  • ✅ Удалить данные Заказчика в течение 30 дней после завершения
  • ✅ По запросу предоставить Certificate of Destruction

НО:

  • ⚠️ Исполнитель вправе хранить:
    • Финальный отчёт (для архива и защиты от претензий) — 3 года
    • Email-переписку (для защиты от споров) — 3 года
    • Подписанные документы (Договор, Акты, NDA) — 5 лет (законодательное требование)
    • Обезличенную статистику из аудита — без ограничений

Заказчик не вправе требовать:

  • ❌ Удаление отчёта из архива Исполнителя (нужен для защиты от претензий)
  • ❌ Удаление email-переписки (доказательства при спорах)
  • ❌ Удаление подписанных документов (законодательное требование хранить 5 лет)

4. SCOPE CREEP ЗАЩИТА

4.1. Фиксация scope

При подписании Договора фиксируется:

  • Точное количество серверов
  • Список IP для тестирования
  • Список приложений для profiling
  • Список endpoint’ов для load testing
  • Compliance стандарты (какие именно проверяем)

Изменение scope:

  • Только через Дополнительное соглашение
  • С обязательным перерасчётом стоимости и сроков
  • Исполнитель вправе отказать в расширении scope

4.2. Если scope больше заявленного

Сценарий: Заказчик заявил «30 серверов», по факту оказалось 55 серверов

Действия Исполнителя (на выбор):

Вариант А: Доплата

  • Исполнитель уведомляет о превышении
  • Предлагает доплату: +10 000 ₽ за каждые 10 серверов сверх лимита
  • Если Заказчик согласен — продолжаем с доплатой
  • Если Заказчик не согласен — см. Вариант Б

Вариант Б: Ограничение scope

  • Исполнитель проводит аудит только в рамках оплаченного (например, только 50 серверов из 55)
  • Выбор серверов — по согласованию или по приоритету Исполнителя
  • Отчёт содержит пометку: «Аудит проведён для 50 из 55 серверов»
  • Возврат денег НЕ производится

Вариант В: Расторжение

  • Если расхождение критичное (заявлено 10, по факту 100)
  • Исполнитель вправе расторгнуть Договор
  • Возврат: 70% (удержание 30% за подготовительные работы)

4.3. Дополнительные запросы в процессе

Если Заказчик просит «ещё кое-что проверить»:

  • Исполнитель оценивает: входит ли в scope
  • Если НЕ входит — отказ ИЛИ доплата через Доп.соглашение
  • Исполнитель НЕ обязан делать бесплатно сверх scope

Примеры НЕ входящих запросов:

  • «А проверьте ещё вот эти 5 серверов»
  • «А сделайте отчёт ещё и на английском»
  • «А проверьте ещё mobile app security»
  • «А можете написать все политики для ISO 27001?»

На всё это ответ: Не входит в scope, возможно за доплату.

5. ПРИЁМКА РАБОТ (Защита от необоснованных претензий)

5.1. Критерии надлежащего оказания

Услуга считается оказанной НАДЛЕЖАЩИМ ОБРАЗОМ если выполнены ВСЕ:

Формальные критерии:

  1. ✅ Переданы все deliverables (отчёт, дашборды, roadmap, скрипты, презентация)
  2. ✅ Отчёт содержит минимум 80 находок
  3. ✅ Отчёт объёмом 100-150 страниц (±10% допустимо)
  4. ✅ Проведены все заявленные типы проверок (Pentest, Load Testing, Compliance)
  5. ✅ Roadmap на 12-24 месяца
  6. ✅ Проведены консультации (3 часа)
  7. ✅ Соблюдён срок (10-15 дней) ИЛИ согласованные изменения

Качественные критерии:

  • ✅ Отчёт структурирован согласно Template
  • ✅ Рекомендации действенные (можно применить)
  • ✅ Roadmap реалистичный (учитывает ресурсы)

5.2. Что НЕ является основанием для отказа

ЗАКАЗЧИК НЕ ВПРАВЕ отказаться от приёмки если:

Субъективные оценки:

  • ❌ «Не понравились рекомендации»
  • ❌ «Ожидали других приоритетов»
  • ❌ «Не согласны с оценкой рисков»
  • ❌ «Хотели больше находок» (при наличии минимума 80)

Невыполнимые ожидания:

  • ❌ «Ожидали, что вы исправите проблемы» (это не входит)
  • ❌ «Думали, что вы напишете все политики для ISO» (это не входит)
  • ❌ «Хотели, чтобы вы обучили команду» (это не входит)

Субъективная оценка качества:

  • ❌ «Отчёт недостаточно детальный» (если выполнены формальные критерии)
  • ❌ «Roadmap не такой, как мы хотели»
  • ❌ «Приоритизация неправильная» (это экспертное мнение Исполнителя)

Проблемы после аудита:

  • ❌ «Вы не нашли проблему X» (найденную позже)
  • ❌ «После внедрения ваших рекомендаций что-то сломалось»
  • ❌ «Нас взломали через уязвимость, которую вы не нашли»

5.3. Процедура приёмки (Ускоренная для Исполнителя)

Шаг 1: Передача (День 0)

  • Исполнитель передаёт все deliverables + Акт (2 экземпляра)

Шаг 2: Проверка Заказчиком

  • Срок: 3 (три) рабочих дня (вместо 5 в Стандартном)
  • Заказчик проверяет только формальные критерии

Шаг 3А: Приёмка без замечаний

  • Заказчик подписывает Акт
  • Работа завершена

Шаг 3Б: Приёмка с обоснованными замечаниями

  • Заказчик направляет письменный мотивированный отказ с конкретными нарушениями формальных критериев
  • Пример правильного отказа: «Отчёт содержит 65 находок вместо заявленных 80»
  • Пример НЕправильного: «Не понравилось качество рекомендаций» (субъективно)
  • Исполнитель устраняет в течение 3 рабочих дней ИЛИ предоставляет возражения

Шаг 3В: Молчание Заказчика

  • Если Заказчик не ответил в течение 3 дней:
  • Акт считается подписанным автоматически
  • Услуга считается принятой без претензий
  • Заказчик обязан оплатить остаток (если была рассрочка)

⚠️ ВАЖНО: Молчание = согласие. Это защищает от затягивания приёмки.

5.4. Споры о качестве

Если Заказчик считает услугу некачественной:

  • Обязан доказать нарушение формальных критериев
  • Бремя доказывания на Заказчике

Если спор не разрешается:

  • Привлекается независимый эксперт
  • Эксперта выбирают из списка (профессионалы отрасли)
  • Стоимость эксперта: пополам
  • Решение эксперта: окончательное

6. СРОКИ (Защита от штрафов)

6.1. Срок выполнения: 10-15 рабочих дней

Срок начинается ТОЛЬКО когда:

  1. ✅ Подписан Договор + NDA
  2. ✅ Получена оплата (100% или аванс)
  3. ✅ Предоставлены ВСЕ доступы согласно списку
  4. ✅ Подписан ROE документ (для Pentest)
  5. ✅ Согласовано время тестирований (Load Testing, Pentest)

Если хотя бы одно условие не выполнено — срок НЕ начался.

6.2. Продление срока (автоматическое)

Срок автоматически продлевается на:

  • Время задержки предоставления доступов Заказчиком
  • Время согласования ROE (если затягивает Заказчик)
  • Период форс-мажора
  • Время ожидания ответов от Заказчика (если запрашивали информацию)

Пример:

  • Договорились начать 1 ноября
  • Доступы дали только 5 ноября (+4 дня задержки)
  • ROE согласовали 7 ноября (+2 дня задержки)
  • → Срок начинается с 8 ноября, завершается 22-29 ноября

6.3. Неустойка за просрочку (Смягчённая)

Если Исполнитель нарушает срок:

  • 0,3% (вместо 0,5% в Стандартном) от стоимости за каждый день просрочки
  • Максимум: 15% от стоимости (вместо 20%)

То есть:

  • 75 000 × 0,3% = 225 ₽/день
  • Максимум: 75 000 × 15% = 11 250 ₽ (50 дней просрочки)

Неустойка НЕ применяется если:

  • Просрочка из-за Заказчика (не давал доступы, не отвечал на вопросы)
  • Просрочка из-за форс-мажора
  • Просрочка согласована Заказчиком (Доп.соглашением)

7. ИНТЕЛЛЕКТУАЛЬНЫЕ ПРАВА (Защита методологии)

7.1. Право на отчёт

Исключительное право: Принадлежит Исполнителю

Заказчику передаётся:

  • ✅ Неисключительное право использования
  • ✅ В пределах внутреннего использования
  • ✅ Для улучшения собственной инфраструктуры
  • ✅ Для показа инвесторам/партнёрам (под их NDA)

Заказчик НЕ вправе:

  • ❌ Публиковать отчёт в открытом доступе
  • ❌ Продавать/передавать третьим лицам
  • ❌ Создавать производные работы для коммерческого использования
  • ❌ Копировать методологию для оказания аналогичных услуг

7.2. Право на методологию

Методология, инструменты, ноу-хау Исполнителя:

  • Остаются собственностью Исполнителя
  • Заказчик не вправе копировать для коммерческого использования
  • Заказчик не вправе передавать конкурентам Исполнителя

Пример нарушения:

  • Заказчик берёт наш чек-лист проверок → копирует → начинает сам оказывать услуги аудита
  • Это нарушение ИП прав → штраф + убытки

7.3. Скрипты и конфиги

Передаются Заказчику БЕЗ ОГРАНИЧЕНИЙ:

  • ✅ Может использовать
  • ✅ Может изменять
  • ✅ Может публиковать (например, на GitHub)
  • ✅ Может передавать третьим лицам

НО: Без гарантий работоспособности (применение на свой риск)

8. РАСТОРЖЕНИЕ ДОГОВОРА (Защита Исполнителя)

8.1. По инициативе Заказчика

До начала работ:

  • Возврат: 100%

После начала работ:

  • Возврат: 20% (удержание 80% за фактические работы)

Причина неважна — передумал, нашёл дешевле, бюджет урезали — всё равно 20%.

8.2. По инициативе Исполнителя

Основания:

  • Непредоставление доступов >14 дней
  • Невозможность выполнения (технические причины Заказчика)
  • Существенное нарушение Договора Заказчиком
  • Нарушение Заказчиком процедур Pentest/Load Testing (создание рисков)

Последствия:

  • Возврат: 80% (удержание 20% за подготовительные работы)

8.3. Форс-мажор >30 дней

Любая сторона вправе расторгнуть.

Взаиморасчёты:

  • Пропорционально фактически выполненным этапам
  • Без неустойки
  • Без возмещения убытков

9. ПРИМЕНИМОЕ ПРАВО И СПОРЫ

9.1. Претензионный порядок (ОБЯЗАТЕЛЕН)

Срок рассмотрения претензии:

  • 7 рабочих дней (вместо 10 в Стандартном)

Если не помогло:

  • Переговоры: 1 сессия обязательно
  • Если не договорились — в суд

9.2. Подсудность

Все споры рассматриваются:

  • В Арбитражном суде по месту нахождения Ответчика
  • Для ИП/ООО (исключительная подсудность)

Альтернативная подсудность НЕ применяется — только по месту Ответчика.

Это защищает: От необходимости ехать в другой регион для Исполнителя.

9.3. Расходы на спор

Проигравшая сторона оплачивает:

  • Судебные издержки
  • Расходы на юристов в разумных пределах
  • Экспертизы

«Разумные пределы»:

  • До 100 000 ₽ за судебное представительство (согласно практике ВС РФ для споров до 1М)

📊 ИТОГОВАЯ ТАБЛИЦА: Глубокий аудит

Параметр Значение
Цена 75 000 ₽
Срок 10-15 рабочих дней
Инфраструктура До 50 серверов
Глубина Максимальная + Pentest + Compliance + Load Testing
Отчёт 100-150 страниц
Находки Минимум 80
Roadmap 12-24 месяца
Консультации 3 часа
Поддержка 90 дней
Раунды правок 2
Макс. ответственность 75 000 ₽
Неустойка за просрочку 0,3%/день, макс 15%
Возврат при передумке 20% (после начала работ)
Срок NDA 3 года
Штраф за NDA 500К или ×10

Похожие товары