ЧТО ВХОДИТ (exhaustive list)

1. РАБОТЫ И ПРОВЕРКИ

1.1. Безопасность (Security Assessment)

ВХОДИТ:

• ✅ Сканирование уязвимостей инструментами Nessus/OpenVAS на до 10 (десяти) IP-адресов/серверов
• ✅ Проверка конфигураций по CIS Benchmarks для следующих ОС: Ubuntu 20.04/22.04/24.04, CentOS 7/8, Debian 10/11/12, Windows Server 2016/2019/2022
• ✅ SSL/TLS аудит до 5 (пяти) доменов/поддоменов
• ✅ Анализ логов безопасности за последние 30 (тридцать) календарных дней
• ✅ Проверка SSH/RDP доступов и политик паролей
• ✅ Аудит firewall правил (iptables, ufw, Windows Firewall, облачные security groups)
• ✅ Проверка обновлений ОС и критических CVE (по состоянию на дату проведения аудита)
• ✅ Базовая проверка compliance: ФЗ-152 (checklist 30 пунктов), GDPR (basic assessment)
• ✅ Тестирование процедуры восстановления из backup (1 тест на некритичном наборе данных объемом до 10GB)

НЕ ВХОДИТ:

• ❌ Penetration testing (ethical hacking, эксплуатация уязвимостей)
• ❌ Social engineering тестирование
• ❌ Physical security audit
• ❌ Source code security review (code audit)
• ❌ Полный compliance audit для сертификации (ISO 27001, PCI DSS Level 1-4, HIPAA, SOC 2)
• ❌ Red team exercises
• ❌ Forensic analysis (расследование инцидентов)
• ❌ Сканирование более 10 серверов (доплата согласно п. «Дополнительные опции»)

1.2. Производительность (Performance Assessment)

ВХОДИТ:

• ✅ Анализ загрузки ресурсов (CPU, RAM, Disk, Network) за последние 30 дней по метрикам из существующего мониторинга ИЛИ через установку агентов на до 10 серверов
• ✅ Профилирование до 3 (трех) приложений следующих типов: Python (Django/Flask), Node.js, PHP, Java (Spring), Go, Ruby (Rails)
• ✅ Анализ slow queries для 1 (одной) базы данных типа PostgreSQL/MySQL/MongoDB размером до 100GB
• ✅ Оценка конфигураций веб-серверов: Nginx, Apache (до 5 конфигурационных файлов)
• ✅ Проверка настроек баз данных: PostgreSQL, MySQL, MongoDB (1 инстанс)
• ✅ Анализ использования кеширования (Redis, Memcached, Application cache)
• ✅ Проверка CDN настроек (если используется)
• ✅ Анализ логов ошибок приложений за последние 30 дней (до 10GB логов)

НЕ ВХОДИТ:

• ❌ Load testing (нагрузочное тестирование под искусственной нагрузкой)
• ❌ Stress testing (тестирование на отказ)
• ❌ Профилирование более 3 приложений
• ❌ Анализ более 1 базы данных (доплата 5 000 ₽ за каждую дополнительную БД)
• ❌ Детальный code profiling (построчный анализ кода)
• ❌ APM (Application Performance Monitoring) setup
• ❌ Custom бенчмарки под специфичную нагрузку клиента
• ❌ Анализ баз данных размером более 100GB (доплата согласно тарифу)

1.3. Надежность (Reliability Assessment)

ВХОДИТ:

• ✅ Оценка резервного копирования (наличие, частота, место хранения)
• ✅ 1 (одно) тестирование восстановления из backup (некритичные данные до 10GB)
• ✅ Проверка мониторинга (настроен ли, что отслеживает, куда уходят алерты)
• ✅ SPOF (Single Point of Failure) анализ архитектуры
• ✅ Анализ истории инцидентов за последние 6 месяцев (по предоставленной клиентом документации)
• ✅ Оценка DR (Disaster Recovery) плана — Gap analysis
• ✅ Расчет текущих RTO (Recovery Time Objective) и RPO (Recovery Point Objective)

НЕ ВХОДИТ:

• ❌ Разработка полного DR (Disaster Recovery) плана
• ❌ Настройка систем резервного копирования
• ❌ Тестирование полного failover сценария
• ❌ Chaos engineering (намеренное создание сбоев)
• ❌ Разработка runbooks и playbooks
• ❌ Тестирование восстановления production данных (только test/staging)

1.4. Архитектура (Architecture Assessment)

ВХОДИТ:

• ✅ Построение архитектурных диаграмм (C4 Level 1-2, Data Flow, Network Topology)
• ✅ Инвентаризация всех серверов, сервисов, приложений в scope (до 10 серверов)
• ✅ Анализ зависимостей между сервисами (dependency mapping)
• ✅ Оценка масштабируемости (scalability assessment) — качественная оценка
• ✅ Capacity planning — прогноз на 6 месяцев на основе текущих трендов
• ✅ Оценка готовности к росту нагрузки (до какого уровня выдержит текущая архитектура)

НЕ ВХОДИТ:

• ❌ Детальный capacity planning на 12-24 месяца (только в пакете «Глубокий»)
• ❌ Проектирование новой архитектуры (architecture design)
• ❌ Migration roadmap для перехода на microservices/serverless/containers
• ❌ Well-Architected Review по фреймворкам AWS/Azure/GCP (только в пакете «Глубокий»)
• ❌ Технико-экономическое обоснование (ТЭО) для миграции

1.5. FinOps (Financial Operations)

ВХОДИТ:

• ✅ Анализ billing данных за последние 3 месяца для 1 облачного провайдера (AWS/Yandex Cloud/VK Cloud/Azure/GCP)
• ✅ Выявление неиспользуемых ресурсов (unattached volumes, stopped instances, old snapshots, unused IPs)
• ✅ Анализ overprovisioning (переоплата за неиспользуемую мощность) для до 10 инстансов
• ✅ Рекомендации по Reserved Instances / Savings Plans
• ✅ Сравнение тарифов до 2 облачных провайдеров
• ✅ Расчет потенциальной экономии (в денежном выражении)

НЕ ВХОДИТ:

• ❌ Анализ более 1 облачного провайдера одновременно (доплата 8 000 ₽ за каждый дополнительный)
• ❌ Детальная FinOps стратегия на 12 месяцев
• ❌ Automated cost optimization setup (настройка автоматических политик)
• ❌ Chargeback/Showback implementation
• ❌ FinOps tooling setup (CloudHealth, Cloudability, etc.)
• ❌ Анализ on-premise TCO (Total Cost of Ownership)

1.6. DevOps процессы

ВХОДИТ:

• ✅ Оценка зрелости CI/CD (maturity assessment)
• ✅ Review существующих пайплайнов (до 3 пайплайнов)
• ✅ Оценка Infrastructure as Code (если используется Terraform/Ansible/CloudFormation)
• ✅ Проверка документации (наличие, актуальность, полнота)
• ✅ Оценка процессов deploy и rollback
• ✅ Secrets management review (как хранятся пароли/ключи)

НЕ ВХОДИТ:

• ❌ Написание CI/CD пайплайнов
• ❌ Миграция на новые CI/CD инструменты
• ❌ Написание IaC кода (Terraform modules, Ansible playbooks)
• ❌ Настройка GitOps workflow
• ❌ DORA metrics implementation
• ❌ Обучение команды DevOps практикам

2. DELIVERABLES (Результаты работ)

2.1. PDF-отчет

ГАРАНТИРУЕМ:

• ✅ Объем: 40-70 страниц формата A4
• ✅ Язык: русский (английский по запросу, без доплаты)
• ✅ Структура согласно Template (прилагается к договору как Приложение №3)
• ✅ Минимум 30 (тридцать) находок с описанием, risk assessment и рекомендациями
• ✅ Executive Summary (1-2 страницы)
• ✅ Roadmap на 6 месяцев с помесячной разбивкой
• ✅ 1 раунд правок отчета (в течение 5 рабочих дней после получения замечаний)

НЕ ГАРАНТИРУЕМ:

• ❌ Конкретное количество находок свыше 30
• ❌ Более 1 раунда правок (дополнительные правки — 5 000 ₽/раунд)
• ❌ Адаптацию отчета под специфичные шаблоны клиента (доплата 8 000 ₽)

2.2. Интерактивный дашборд

ГАРАНТИРУЕМ:

• ✅ Платформа: Grafana Cloud (бесплатный tier)
• ✅ Доступ: 60 календарных дней с даты предоставления
• ✅ Дашборды: Security, Performance, FinOps (минимум 3)
• ✅ Read-only доступ для до 5 пользователей со стороны клиента
• ✅ Возможность export в PDF/PNG

НЕ ГАРАНТИРУЕМ:

• ❌ Доступ более 60 дней (продление — 3 000 ₽/месяц)
• ❌ Кастомизацию дашбордов под специфичные метрики клиента
• ❌ Real-time обновление данных (дашборд со снимком данных на дату аудита)
• ❌ API доступ к данным дашборда

2.3. Action Plan (Чек-лист рекомендаций)

ГАРАНТИРУЕМ:

• ✅ Формат: Excel (.xlsx) или Google Sheets
• ✅ Количество: минимум 50 приоритизированных задач
• ✅ Для каждой задачи: описание, категория, приоритет, оценка времени, оценка бюджета, инструкции
• ✅ Фильтры по: приоритету, категории, ROI, effort

НЕ ГАРАНТИРУЕМ:

• ❌ Интеграцию с JIRA/Asana/другими project management системами
• ❌ Детальную декомпозицию каждой задачи на подзадачи

2.4. Скрипты и конфигурации

ГАРАНТИРУЕМ:

• ✅ Минимум 5 (пять) готовых bash/PowerShell скриптов для исправления критичных проблем
• ✅ Минимум 3 (три) оптимизированных конфига (nginx/apache, postgresql/mysql, systemd services)
• ✅ Все скрипты протестированы на тестовом окружении (не на production)
• ✅ Инструкции по применению на русском языке
• ✅ Формат передачи: ZIP-архив или GitHub Gist

НЕ ГАРАНТИРУЕМ:

• ❌ Что скрипты будут работать на production без адаптации
• ❌ Ответственность за применение скриптов (применение на риск клиента после review)
• ❌ Кастомизацию скриптов под уникальное окружение клиента

2.5. Презентация для руководства

ГАРАНТИРУЕМ:

• ✅ Формат: PowerPoint (.pptx) или Google Slides
• ✅ Количество слайдов: 20-30 слайдов
• ✅ Нетехнический язык (для C-level аудитории)
• ✅ Инфографика и визуализации

НЕ ГАРАНТИРУЕМ:

• ❌ Проведение презентации перед советом директоров/инвесторами (только перед IT-командой и CTO/CEO)
• ❌ Адаптацию под корпоративный шаблон презентаций клиента

2.6. Консультация

ГАРАНТИРУЕМ:

• ✅ 1 (одна) видео-сессия продолжительностью 60 минут
• ✅ Платформа: Zoom/Google Meet/Teams (по выбору клиента)
• ✅ Темы: разбор отчета, приоритизация, вопросы по рекомендациям
• ✅ Срок проведения: в течение 14 календарных дней после передачи отчета

НЕ ГАРАНТИРУЕМ:

• ❌ Более 1 часа консультации (дополнительные часы — 8 000 ₽/час)
• ❌ Консультации по внедрению (hands-on помощь) — это отдельная услуга

2.7. Поддержка

ГАРАНТИРУЕМ:

• ✅ Email-поддержка в течение 30 календарных дней с даты передачи отчета
• ✅ Время ответа: до 24 часов в рабочие дни (пн-пт, 10:00-19:00 МСК, исключая праздники РФ)
• ✅ Неограниченное количество вопросов
• ✅ Темы: разъяснение отчета, помощь с приоритизацией, консультации по рекомендациям

НЕ ГАРАНТИРУЕМ:

• ❌ Ответы в выходные/праздники
• ❌ Ответы менее чем за 24 часа (срочные вопросы — доплата)
• ❌ Hands-on помощь с внедрением (написание кода, применение изменений)
• ❌ Поддержку по вопросам, не связанным с аудитом

ЧТО НЕ ВХОДИТ (Исключения из Scope)

ОБЩИЕ ИСКЛЮЧЕНИЯ

1. Изменения в инфраструктуре

• ❌ Исполнитель НЕ вносит никаких изменений в production окружение
• ❌ Исполнитель НЕ выполняет рекомендации из отчета
• ❌ Исполнитель НЕ настраивает сервисы/серверы/приложения
• Услуга носит консультативный характер — только анализ и рекомендации

2. Ongoing поддержка после 30 дней

• ❌ Мониторинг инфраструктуры после завершения аудита
• ❌ Ответы на вопросы после истечения 30 дней
• ❌ Проверка внедренных изменений (post-implementation audit)

3. Обучение и тренинги

• ❌ Обучение сотрудников клиента
• ❌ Воркшопы по DevOps/Security practices
• ❌ Менторинг команды

4. Разработка документации

• ❌ Написание runbooks
• ❌ Написание incident response playbooks
• ❌ Написание policies and procedures
• ❌ API documentation

5. Специализированные аудиты

• ❌ Application security testing (SAST/DAST)
• ❌ Mobile application security
• ❌ Blockchain/crypto security
• ❌ IoT security
• ❌ OT/ICS security

6. Сертификация и соответствие

• ❌ Подготовка к получению сертификатов (ISO 27001, PCI DSS, SOC 2, HIPAA)
• ❌ Аудит для прохождения compliance проверок
• ❌ Составление документации для аудиторов

7. Юридические услуги

• ❌ Юридическая консультация по ФЗ-152, GDPR и другим законам
• ❌ Составление договоров с подрядчиками
• ❌ Представительство в спорах/судах

8. Закупки и внедрение

• ❌ Закупка лицензий на ПО
• ❌ Закупка оборудования
• ❌ Переговоры с вендорами/провайдерами
• ❌ Миграция данных

SCOPE ОГРАНИЧЕНИЯ (Limits)

Количественные ограничения

Технические ограничения

Поддерживаемые операционные системы:

• ✅ Linux: Ubuntu 18.04-24.04, CentOS 7-9, Debian 10-12, RHEL 7-9, Amazon Linux 2
• ✅ Windows: Server 2016/2019/2022
• ⚠️ Другие ОС (FreeBSD, OpenBSD, legacy systems) — по согласованию, возможна доплата

Поддерживаемые базы данных:

• ✅ PostgreSQL 11-16
• ✅ MySQL 5.7-8.x, MariaDB 10.x
• ✅ MongoDB 4.x-7.x
• ⚠️ Другие БД (Oracle, MS SQL, Cassandra, Redis, etc.) — базовая проверка без глубокого анализа

Поддерживаемые облака:

• ✅ AWS, Yandex Cloud, VK Cloud, Azure, GCP — полная поддержка
• ⚠️ Специфичные облака (частные, китайские, niche провайдеры) — ограниченная поддержка

Поддерживаемые языки и фреймворки (для profiling):

• ✅ Python (Django, Flask, FastAPI)
• ✅ Node.js (Express, NestJS)
• ✅ PHP (Laravel, Symfony)
• ✅ Java (Spring Boot)
• ✅ Go
• ✅ Ruby (Rails)
• ⚠️ Другие языки (.NET, Rust, Elixir, etc.) — базовая проверка

Размеры данных:

• ✅ Базы данных: до 100GB (при большем размере — возможны ограничения в анализе)
• ✅ Логи для анализа: до 10GB суммарно
• ✅ Backup для тестирования: до 10GB

Временные ограничения

Период анализа:

• ✅ Метрики производительности: последние 30 дней
• ✅ Логи безопасности: последние 30 дней
• ✅ История инцидентов: последние 6 месяцев
• ✅ Billing данные: последние 3 месяца

Roadmap:

• ✅ Детальный план: 6 месяцев
• ✅ High-level план: до 12 месяцев
• ❌ Детальный план на >6 месяцев (только в пакете «Глубокий»)

УСЛОВИЯ ИЗМЕНЕНИЯ СТОИМОСТИ

Увеличение стоимости происходит если:

1. Превышение количественных лимитов (согласно таблице выше)

2. Расширение scope в процессе аудита

• Если после начала работ выявлено, что фактический scope больше заявленного
• Пример: Клиент заявил «5 серверов», оказалось 12 серверов
• Действия: Исполнитель уведомляет Заказчика, согласовывает доплату, продолжает работу ИЛИ завершает аудит в рамках оплаченного scope

3. Специфичные требования

• Нестандартные ОС/БД/языки программирования (доплата 10-30% от базовой стоимости)
• Адаптация отчета под специфичный шаблон клиента (+8 000 ₽)
• Перевод отчета на английский (если требуется профессиональный перевод, а не машинный) (+15 000 ₽)
• Выезд на объект клиента (вместо удаленной работы) (+транспортные расходы + 20 000 ₽)

4. Срочность

• Express delivery (3-4 дня): +50% к стоимости
• Ultra express (2-3 дня): +100% к стоимости
• Работа в выходные/праздники: +30% к стоимости за эти дни

5. Сложность инфраструктуры выше среднего

• Multi-cloud сложная архитектура (3+ облака)
• Legacy системы (>10 лет)
• Высоконагруженные системы (>100K RPS)
• Доплата оценивается индивидуально: +10-50% от базовой стоимости

Стоимость НЕ меняется если:

• ✅ В процессе аудита найдено больше проблем, чем ожидалось (риск Исполнителя)
• ✅ Анализ занимает больше времени из-за сложности (риск Исполнителя)
• ✅ Требуется больше раундов внутренней проверки отчета (риск Исполнителя)
• ✅ Клиент задает много вопросов в рамках 30-дневной поддержки (включено в стоимость)

УСЛОВИЯ НАЧАЛА И ПРЕКРАЩЕНИЯ РАБОТ

Работы начинаются при выполнении ВСЕХ условий:

1. ✅ Подписан Договор обеими сторонами
2. ✅ Подписан NDA обеими сторонами
3. ✅ Получена оплата согласно условиям (100% предоплата ИЛИ 50% аванс)
4. ✅ Предоставлены ВСЕ доступы согласно Приложению №1 (Перечень доступов)
5. ✅ Подписан Акт о предоставлении доступов

Если доступы предоставлены не в полном объеме:

• Исполнитель вправе:
  • a) Приостановить работы до получения полных доступов (срок выполнения сдвигается)
  • б) Выполнить аудит в рамках предоставленных доступов (с пометкой в отчете об ограничениях)
  • в) Расторгнуть договор с возвратом 70% оплаты (удержание 30% — неустойка)

Работы прекращаются (приостанавливаются) в случаях:

1. По инициативе Заказчика:

• Письменное заявление о приостановке/прекращении
• Последствия:
  • До начала работ: возврат 100%
  • После начала работ: возврат 30% (удержание 70% за фактически выполненную работу)

2. По инициативе Исполнителя:

• Непредоставление полных доступов в течение 10 рабочих дней после запроса
• Невозможность выполнения работ по техническим причинам со стороны Заказчика
• Последствия: возврат 100% (за вычетом банковских комиссий)

3. Форс-мажор (см. раздел «Форс-мажор»)

4. Существенное нарушение договора любой стороной

ПРИЕМКА РАБОТ

Процедура приемки:

Шаг 1: Передача результатов

• Исполнитель передает Заказчику:
  • PDF-отчет
  • Интерактивный дашборд (ссылка + инструкция)
  • Action Plan (Excel/Sheets)
  • Скрипты и конфиги (ZIP/Gist)
  • Презентацию (PPTX/Slides)
  • Акт об оказании услуг (2 экземпляра)

Шаг 2: Проверка Заказчиком

• Срок: 5 рабочих дней с момента получения
• Заказчик проверяет:
  • Полноту deliverables (все ли передано согласно договору)
  • Соответствие структуре отчета
  • Наличие минимум 30 находок
  • Качество рекомендаций (действенность, применимость)

Шаг 3А: Приемка без замечаний

• Заказчик подписывает Акт об оказании услуг
• Услуга считается оказанной надлежащим образом
• Претензии в дальнейшем не принимаются

Шаг 3Б: Приемка с замечаниями

• Заказчик направляет мотивированный отказ в письменной форме с перечнем конкретных замечаний
• Исполнитель в течение 3 рабочих дней:
  • Устраняет замечания ИЛИ
  • Предоставляет аргументированные возражения
• Повторная процедура приемки (срок 3 рабочих дня)

Шаг 3В: Молчание Заказчика

• Если Заказчик НЕ подписал Акт и НЕ направил мотивированный отказ в течение 5 рабочих дней
• Услуга считается принятой, Акт — подписанным в одностороннем порядке
• Основание: ст. 720, п.4 ст. 753 ГК РФ

Критерии надлежащего оказания услуги:

Услуга считается оказанной НАДЛЕЖАЩИМ ОБРАЗОМ если:

1. ✅ Переданы все deliverables согласно п. 1.4 Договора
2. ✅ Отчет содержит:
   • Минимум 30 находок с описанием, risk assessment, рекомендациями
   • Executive Summary
   • Roadmap на 6 месяцев
   • Объем 40-70 страниц
3. ✅ Дашборд доступен и функционирует
4. ✅ Action Plan содержит минимум 50 задач
5. ✅ Предоставлены минимум 5 скриптов и 3 конфига
6. ✅ Проведена презентация результатов (1 сессия 60 минут)
7. ✅ Соблюден срок выполнения (5-7 рабочих дней) ИЛИ согласованные изменения

Услуга НЕ считается оказанной ненадлежащим образом если:

• ❌ Заказчик не согласен с приоритизацией рекомендаций (субъективная оценка)
• ❌ Заказчику «не понравились» рекомендации
• ❌ Найдено >30, но <50 проблем (количество не гарантируется)
• ❌ Отчет на 38 страницах, а не на 40 (допустимое отклонение ±10%)
• ❌ Рекомендации не помогли (применение — риск Заказчика)

ФОРС-МАЖОР (Force Majeure)

Обстоятельства непреодолимой силы включают:

1. Природные катастрофы:

• Землетрясения, наводнения, ураганы
• Пожары, не вызванные виновными действиями Стороны

2. Военные действия и чрезвычайное положение:

• Война, военные действия, терроризм
• Введение военного или чрезвычайного положения
• Мобилизация

3. Действия государственных органов:

• Запретительные акты государственных органов
• Изменение законодательства, делающее невозможным выполнение обязательств
• Санкции, блокировки

4. Техногенные катастрофы:

• Аварии на объектах энергетики, связи (не затрагивающие только одну Сторону)
• Массовые сбои интернета, телекоммуникаций на региональном/федеральном уровне

5. Эпидемии и пандемии:

• Официально объявленные эпидемии/пандемии
• Карантинные меры, делающие невозможным выполнение обязательств

НЕ являются форс-мажором:

• ❌ Отсутствие денежных средств у Заказчика
• ❌ Болезнь одного специалиста Исполнителя (Исполнитель обязан найти замену)
• ❌ Сбои оборудования у одной из Сторон (локальные проблемы)
• ❌ DDoS атака на инфраструктуру одной Стороны
• ❌ Проблемы с конкретным подрядчиком/поставщиком (риск Стороны)

Процедура уведомления о форс-мажоре:

1. Уведомление: Сторона обязана уведомить другую Сторону о наступлении форс-мажора в течение 3 (трех) календарных дней
2. Форма уведомления: Письменная (email на официальный адрес + при возможности заказное письмо)
3. Содержание:
   • Описание обстоятельства
   • Дата наступления
   • Прогноз длительности
   • Влияние на выполнение обязательств
4. Доказательства: Предоставление подтверждающих документов (справки ЕСПП, официальные сообщения СМИ, государственных органов)

Последствия форс-мажора:

Во время действия форс-мажора:

• Срок выполнения обязательств продлевается на период действия форс-мажора + разумный срок для возобновления (не более 30 дней)
• Стороны освобождаются от ответственности за неисполнение
• Неустойки/пени не начисляются

Если форс-мажор длится более 30 календарных дней:

• Любая Сторона вправе расторгнуть Договор в одностороннем порядке
• Взаиморасчеты производятся пропорционально фактически выполненным работам
• Убытки не возмещаются

После прекращения форс-мажора:

• Сторона обязана уведомить о прекращении в течение 5 календарных дней
• Стороны возобновляют исполнение обязательств
• Согласовывается новый график выполнения работ