«Фриланс в информационной безопасности кажется райским выходом: берёшь задачи, не ходишь в офис, сам управляешь графиком. Но под тонким слоем свободы скрывается трещина: твоя профессиональная ответственность теперь заканчивается не дверью отдела ИБ, а договором, который ты, скорее всего, не читал полностью. А за ним — неопределённость, административная пустота и риск, который из профессионального превращается в личный и необратимый. Вот о чём мало говорят на фриланс-площадках.»
Разница в ответственности
В штате компании специалист по ИБ действует в рамках внутренних регламентов и распределения ответственности. Его обязанности и зона влияния очерчены должностной инструкцией. Он — часть системы, где задачи ставят руководители, а стратегические риски ложатся на организацию. При выявлении инцидента разбирается весь отдел, а защитой юристов компании занимаются её собственные сотрудники. Личная ответственность, особенно административная или уголовная, теоретически возможна, но на практике редка и сильно опосредована позицией работодателя.
Фрилансер же выходит из-под этого зонта. Он заключает договор оказания услуг или договор подряда. С юридической точки зрения он становится исполнителем, а заказчик — клиентом. Всё, что не прописано в договоре, — зона неопределённости. Кто отвечает за последствия некорректно настроенного межсетевого экрана? Кто несёт убытки, если из-за ошибки в отчёте по аудиту компания не прошла проверку ФСТЭК? Если в договоре нет чёткого описания границ работ, критериев приёмки и механизмов разграничения ответственности, отвечать придётся исполнителю. Судебная практика по таким спорам в ИБ только формируется, что делает исход предсказуемым в меньшей степени.
Налоги и легальность
Многие начинающие фрилансеры работают по упрощённой схеме: получают оплату на карту физлица, не задумываясь о налогах. В сфере ИБ, где заказчиками часто выступают крупные компании или госструктуры, это прямая дорога к проблемам. Для таких организаций оплата услуг без закрывающих документов — риск, они настаивают на оформлении через ИП или самозанятого.
Выбор статуса — первый серьёзный административный шаг:
- Самозанятость (НПД). Простая регистрация, низкая налоговая ставка (4–6%). Но есть ключевое ограничение: самозанятый не может иметь работников и привлекать субподрядчиков. Для сложных проектов, где нужна команда, этот статус не подходит. Также некоторые виды деятельности, особенно связанные с лицензиями ФСТЭК, могут трактоваться как несовместимые с режимом НПД.
- Индивидуальный предприниматель (ИП). Даёт больше свободы: можно нанимать сотрудников, работать по более широкому кругу договоров (включая госконтракты). Но выше налоговая нагрузка и отчётность. ИП на упрощёнке (УСН) платит 6% с доходов или 15% с доходов минус расходы, плюс фиксированные страховые взносы. Важно правильно выбирать коды ОКВЭД, связанные с консультированием, аудитом и технической защитой информации.
Работа без оформления, это не только риски штрафов от налоговой. В случае возникновения претензий со стороны заказчика или регулятора, отсутствие легального статуса лишит тебя любой защиты. Более того, некоторые работы в ИБ (например, связанные с государственной тайной или КИИ) требуют обязательного лицензирования, которое невозможно получить как фрилансеру-физическому лицу.
Поиск проектов и работа с госконтрактами
Рынок ИБ-фриланса делится на два сегмента: коммерческий и государственный. Первый, это аудит, пентесты, консультации для среднего и крупного бизнеса. Заказы ищут на профильных биржах, через сарафанное радио и личные связи. Здесь важна репутация и портфолио.
Государственный сектор, это работы по 152-ФЗ, 187-ФЗ (КИИ), требованиям ФСТЭК и ФСБ. Здесь всё иначе. Заказы размещаются на площадках госзакупок. Чтобы участвовать в тендере, нужна аккредитация на электронной торговой площадке (ЭТП) и квалифицированная электронная подпись (КЭП). Для ИП это технически возможно, но на практике большинство крупных госконтрактов требуют от исполнителя статуса юридического лица (ООО), наличия в штате сертифицированных специалистов (например, по аттестации ФСТЭК) и членства в СРО (саморегулируемых организациях).
Фрилансеру остаются лишь субподрядные роли: крупный интегратор или консалтинговое агентство выигрывает контракт, а часть работ (например, написание документации или сканирование уязвимостей) отдаёт на аутсорс. В этом случае ты работаешь не напрямую с госзаказчиком, а с генеральным подрядчиком, что снимает часть бюрократической нагрузки, но и сильно снижает маржинальность.
Информация ограниченного доступа
Это центральный и самый рискованный аспект. Любой проект в ИБ подразумевает доступ к конфиденциальной информации: архитектура сетей, пароли, данные об уязвимостях, персональные данные. В штате с этим борются путём подписания NDA (соглашения о неразглашении) и внутренними политиками безопасности.
Фрилансер, работая удалённо, получает доступ к таким данным без полноценного контроля со стороны заказчика. Возникает ряд «слепых зон»:
- Хранение данных. Где находятся рабочие файлы, черновики отчётов, дампы баз данных после тестирования? На личном ноутбуке? В облачном хранилище? Соответствует ли это политике безопасности заказчика? Часто это даже не обсуждается.
- Передача данных. Как ты отправляешь финальный отчёт? По почте, в мессенджере, через файлообменник? Каждый из этих каналов может быть небезопасен.
- Уничтожение данных. Удаляешь ли ты рабочие материалы после завершения проекта? Или они годами лежат на жёстком диске? При проверке регулятором у заказчика могут спросить, как контролировались процессы у сторонних исполнителей.
Любая утечка с твоей стороны, даже случайная, сделает тебя крайним. Заказчик сослался бы на нарушение тобой условий договора. Тебе придётся доказывать, что утечка произошла не по твоей вине, что практически невозможно. В случае работы с персональными данными это грозит штрафами по 152-ФЗ, а при работе с гостайной — уголовной ответственностью.
Профессиональная изоляция и развитие
В офисе ты постоянно находишься в профессиональной среде: общаешься с коллегами, перенимаешь опыт, участвуешь в обсуждениях сложных кейсов. Знания обновляются практически пассивно.
Фриланс, это осознанное управление своим развитием. Нужно самому следить за изменениями в регуляторике (а поправки в 152-ФЗ и требования ФСТЭК выходят регулярно), отслеживать новые уязвимости и инструменты. Нет корпоративных лицензий на дорогостоящее ПО для анализа или тренировочные стенды. Всё покупается за свой счёт или ищутся бесплатные аналоги.
Кроме того, исчезает важный социальный аспект — профессиональное сообщество. Обмен опытом переходит в плоскость закрытых чатов и конференций, доступ к которым тоже нужно поддерживать. Со временем можно отстать от трендов, не заметив этого.
Что можно делать относительно безопасно
Не вся фриланс-деятельность в ИБ одинаково рискованна. Есть ниши, где риски ниже, а легальность проще обеспечить:
- Образовательные услуги и менторинг. Проведение воркшопов, написание обучающих материалов, индивидуальные консультации по карьере в ИБ. Здесь не требуется доступ к инфраструктуре заказчика, работа ведётся с открытыми знаниями. Оформиться можно как самозанятый.
- Технический писатель в ИБ. Разработка и актуализация политик, инструкций, регламентов по 152-ФЗ на основе предоставленных заказчиком данных. Не требуется доступ к живым системам, только к шаблонам и требованиям. Риск работы с конфиденциальной информацией есть, но он ограничен текстовыми документами.
- Аудит документации. Экспертный разбор уже существующих в компании документов по ИБ на соответствие требованиям регуляторов. Работа с текстом, без внедрения.
- Разработка инструментов и скриптов. Создание софта для автоматизации задач безопасности (парсинг логов, проверка конфигураций) с передачей исходного кода заказчику. Исполнитель не имеет доступа к данным клиента, только поставляет продукт.
Для этих направлений достаточно чёткого договора, в котором прописаны объекты интеллектуальной собственности и конфиденциальность.
Ключевые пункты договора
Если ты всё же решился на фриланс в более рискованных областях (пентест, настройка СЗИ, аттестация), то твоя главная задача — грамотно составить договор. Это не формальность, а твоя единственная защита. На что обратить внимание:
| Пункт договора | На что обратить внимание | Последствия отсутствия |
|---|---|---|
| Предмет договора | Максимально детальное описание работ. Не «оказание услуг по ИБ», а «проведение внешнего тестирования на проникновение в отношении 5 IP-адресов, указанных в Приложении №1, с использованием методов, перечисленных в Приложении №2, и составление отчёта по форме Приложения №3». | Заказчик может требовать доработок и дополнительных работ без оплаты, ссылаясь на «неполное выполнение». |
| Конфиденциальность (NDA) | Должен быть отдельным разделом или приложением. Чётко определить, что является конфиденциальной информацией, сроки хранения, способы передачи и уничтожения, ответственность сторон. | Любая утечка, даже косвенная, трактуется в пользу заказчика. Высокий риск судебных исков. |
| Разграничение ответственности | Явное указание, что исполнитель не несёт ответственности за инциденты, возникшие вследствие: невыполнения заказчиком рекомендаций отчёта, изменений в инфраструктуре после проверки, действий третьих лиц. | Исполнитель может быть привлечён к ответственности за любой инцидент безопасности у заказчика в будущем, даже если он не связан с выполненными работами. |
| Порядок сдачи-приёмки | Чёткий регламент: в какой срок заказчик проверяет работу, что считается основанием для одобрения (подпись акта, отсутствие претензий в течение N дней), порядок устранения замечаний. | Заказчик может затягивать приёмку и, следовательно, оплату, ссылаясь на недовольство качеством. |
| Порядок разрешения споров | Указание конкретного суда (обычно по месту нахождения исполнителя — ИП) для разбирательств. Желательно — досудебный порядок урегулирования. | Придётся судиться по месту нахождения заказчика, что увеличивает временные и финансовые издержки. |
Фриланс в ИБ, это не просто смена формата занятости. Это переход от роли специалиста внутри системы к роли владельца микробизнеса, где ты сам отвечаешь за продажи, юриспруденцию, налоги и все риски, включая те, о которых в офисе ты даже не задумывался. Он реален для узкого круга подготовленных специалистов, которые подходят к нему не как к «свободному графику», а как к предпринимательской деятельности со всеми её атрибутами. Для остальных это не опасность, а гарантированная череда проблем, которые проявятся не сразу, но ударят комплексно — от налоговой, от регулятора, от недовольного заказчика. Грань между «реально» и «опасно» определяется не навыками пентеста, а умением читать договоры и понимать, где заканчивается твоя зона контроля.