«Если вы не пересмотрели формулировку о передаче исключительных прав на все созданные в процессе материалы, то вы уже оплатили разработку системы, которая будет принадлежать не вам. Если в ТЗ нет чёткого критерия завершения этапа, вы платите за процесс, а не за результат. И если договор говорит о «консультационном сопровождении», то отсутствие аттестационного заключения, это ваша проблема, а не их. Стандартные договоры интеграторов не создают партнёрства, а конструируют юридический и технический тупик.»
Какие формулировки в техническом задании ведут к неограниченным расходам
Фраза «поставка и настройка СЗИ в соответствии с рекомендациями производителя» — ловушка с двойным дном. Рекомендации производителя, это не техническое задание, а маркетинговый документ. Он может предписывать аппаратные криптографические ускорители там, где хватит программного провайдера, или серверную лицензию по модели, где стоимость растёт в геометрической прогрессии от количества сотрудников. Вы теряете контроль над сметой до её утверждения.
Главная опасность такой формулировки — полный перенос технической ответственности. Интегратор формально прав: он выполнил работы именно так, как сказано в рекомендациях. Совместимость с вашей унаследованной инфраструктурой, корректное покрытие всех требований регулятора или итоговая работоспособность — всё это перестаёт быть его зоной ответственности. Аттестацию вы не проходите, а чтобы исправить ситуацию, потребуется отдельный договор на «доработки», условия которого уже диктует исполнитель.
Размытые работы с документацией
Пункт «разработка политик ИБ в соответствии с требованиями ФСТЭК» выглядит логично, но не определяет глубины. На деле он превращается в нескончаемый цикл согласований с юристами, кадровой службой и руководителями подразделений. Каждая новая правка по замечаниям внутренних стейкхолдеров становится основанием для выписки дополнительного счёта, если в смете не зафиксирован лимит часов или итераций. Стоимость работ по документообороту может превысить затраты на технические средства защиты, и это будет законно.
Отсутствие измеримых критериев завершения
Договорная структура «этап 1 — аудит», «этап 2 — внедрение» без привязанных к ним метрик, это оплата активности, а не результата. Исполнитель может сдать вам отчёт на 10 страниц, состоящий из общих фраз и стандартных рекомендаций из методичек ФСТЭК, и считать этап закрытым. Вы получаете документ, но не получаете чёткого плана действий или гарантии, что представленные данные достаточны для прохождения проверки.
Контрольный перечень для ТЗ должен включать конкретные, измеримые пункты:
- Устранено не менее 80% критических и высоких уязвимостей с предоставлением подтверждающих скриншотов или отчётов.
- Все управляющие устройства СЗИ внесены в инвентаризацию с указанием серийных номеров, версий ПО и сроков действия лицензий.
- Разработано и утверждено руководящими документами не менее 7 регламентов (например, по управлению инцидентами, контролю доступа, резервному копированию).
- Предоставлены схемы сетевой архитектуры и интеграции СЗИ в открытом, редактируемом формате (например, .vsdx или .drawio).
Как в договоре юридически оформляют отказ от результата
Основной метод минимизации рисков подрядчика — изменение предмета договора. Вместо «получение положительного заключения ФСТЭК» используется «оказание услуг по содействию в подготовке» или «консультационное сопровождение». Эти термины не предполагают гарантии. Юридически интегратор обязуется только проводить работы, но не отвечает за итог проверки комиссией.
Этот подход усиливается стандартными оговорками. Подрядчик часто снимает с себя ответственность за последствия изменений в нормативной базе, за несвоевременное предоставление информации заказчиком или за ошибки, внесённые третьими лицами. Нередко в договоре встречается прямой пункт о том, что исполнитель не несёт ответственности за решения аттестационной комиссии, хотя именно он формирует пакет документов и проектирует архитектуру.
Непрогнозируемые расходы на этапе взаимодействия с комиссией
Наиболее неожиданные затраты возникают на финальной стадии. Услуга «техническое сопровождение аттестации» часто позиционируется как опция, но без участия специалиста интегратора, понимающего логику вопросов проверяющих, грамотно парировать замечания сложно. Каждый час такого сопровождения тарифицируется отдельно, и за два-три дня работы комиссии может набежать сумма, сопоставимая со стоимостью части основных работ.
Отдельная статья — доработки по замечаниям. Если комиссия указывает на необходимость изменить настройки межсетевого экрана или дополнить регламент, интегратор рассматривает это как дополнительный заказ. Такие правки редко включаются в первоначальную смету. В практике расходы на устранение замечаний могли достигать 30-40% от изначальной стоимости контракта, притом что многие требования были ожидаемы и должны были быть учтены на этапе проектирования.
Почему инфраструктура оказывается в заложниках у интегратора
После успешной аттестации и передачи паролей может выясниться, что вы не получили ключевых материалов для самостоятельного управления системой. Если в разделе о передаваемых материалах нет явного упоминания архитектурных схем в исходном формате, конфигурационных шаблонов или логики работы правил, их могут не предоставить, сославшись на коммерческую тайну или ноу-хау.
Многие интеграторы используют собственные скрипты автоматизации и шаблоны развёртывания для ускорения работ. Эти инструменты не передаются заказчику. В результате любое изменение, обновление или перенос системы требуют обязательного участия оригинального подрядчика. Передача обслуживания другой компании равносильна повторному внедрению с нуля.
Эта стратегия дополняется формальным обучением. Программа строится вокруг базового пользовательского интерфейса, без углубления в принципы настройки, диагностику неисправностей или архитектурные решения. Реальная цель — создать постоянную зависимость от технической поддержки интегратора.
Что проверить в разделе об интеллектуальной собственности
Это один из самых критичных и часто упускаемых разделов. Стандартная формулировка может звучать так: «Исключительные права на разработанные документы остаются у Исполнителя. Заказчику предоставляется простая (неисключительная) лицензия на использование в рамках одного аттестуемого объекта».
На практике это означает, что заказчик не может адаптировать политику безопасности для другого филиала, передать её копию внешнему аудитору без согласования или использовать как основу для документов в дочерней компании. Любые изменения будут считаться производной работой, требующей отдельной оплаты и разрешения интегратора.
Кроме того, обратите внимание на судьбу промежуточных материалов: черновиков документов, отчётов об устранении уязвимостей, сравнительных таблиц выбора СЗИ. Подрядчики часто оставляют их себе. Без этой «сырой» информации вы теряете возможность провести независимый аудит проделанной работы или восстановить логику принятых решений через несколько лет при повторной аттестации.
Требуйте отдельного приложения к договору — «Перечень передаваемых результатов интеллектуальной деятельности». В нём должны быть явно перечислены не только итоговые документы, но и все промежуточные материалы, с прописанной полной и бессрочной передачей исключительных прав на них заказчику.
Практические шаги для минимизации рисков при выборе подрядчика
- Глубокие референс-проверки. Запросите контакты 2-3 реальных заказчиков и поговорите с техническими специалистами, а не с руководителями. Спрашивайте не о факте аттестации, а о том, что было после: получили ли они все исходные схемы, сталкивались ли со скрытыми платежами на этапе работы комиссии, могут ли вносить изменения в систему самостоятельно спустя год.
- Фиксация цены за результат. Стремитесь к форме договора, где оплата привязана к достижению цели — получению положительного заключения ФСТЭК. Все работы по доработке по замечаниям комиссии, техническое сопровождение проверки должны быть включены в изначальную стоимость. Чётко оговорите исчерпывающий список исключений (например, изменение физических границ объекта или появление новых типов информационных систем, не указанных в изначальном ТЗ).
- Пилотный проект (Proof of Concept). Перед заключением крупного контракта инициируйте небольшую платную работу: аудит одного сегмента сети, разработку пакета документов для одного подразделения. Это позволит на практике оценить качество методологии, глубину анализа и стиль работы интегратора, а также проверить, как он фиксирует и передаёт промежуточные результаты.
- Детальные критерии приёмки для каждого этапа. Включите в договор спецификации, где завершение этапа обусловлено предоставлением конкретных артефактов:
- Полный перечень установленных СЗИ с версиями, лицензионными ключами и контактной информацией поставщиков для самостоятельного сопровождения.
- Архитектурные схемы в редактируемом формате (не PDF).
- Сводная таблица соответствия, где каждое реализованное техническое решение явно привязано к пункту конкретного приказа ФСТЭК.
- Итоговый отчёт о тестировании на проникновение с подтверждением устранения всех критичных и высоких уязвимостей.
- Акты согласования всех регламентов со всеми ответственными подразделениями заказчика.
Эти меры требуют времени на этапе планирования и жёстких переговоров. Однако они остаются единственным способом избежать сценария, где вы платите за успех, а в итоге получаете финансовые потери, техническую зависимость и проект, который не достигает заявленной цели.