Приложение к Договору оферты и Соглашению о неразглашении (NDA)
ИП Мукминов Ранас Раушанович (run-as-daemon.ru)
Редакция от 11 ноября 2025 г.
Применимое право: ФЗ-152 «О персональных данных», ФЗ-98 «О коммерческой тайне», ФЗ-149 «Об информации»
ОГЛАВЛЕНИЕ
- Применимое право и обязательность протокола
- Термины и определения
- Базовые требования безопасности
- Усиленные требования для высокорисковых проектов
- Обязанности Заказчика
- Обязанности Исполнителя
- КРИТИЧНО: Последствия несоблюдения Заказчиком
- Порядок передачи конфиденциальной информации
- Реагирование на инциденты безопасности
- Аудит и контроль
1. ПРИМЕНИМОЕ ПРАВО И ОБЯЗАТЕЛЬНОСТЬ ПРОТОКОЛА
1.1. Правовая основа
Настоящий Протокол разработан на основании:
Федеральные законы:
- 152-ФЗ от 27.07.2006 «О персональных данных» (ст. 19 «Меры по обеспечению безопасности ПДн»)
- 98-ФЗ от 29.07.2004 «О коммерческой тайне» (ст. 10 «Режим коммерческой тайны»)
- 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»
- 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры РФ»
Подзаконные акты:
- Постановление Правительства РФ от 01.11.2012 № 1119 — требования к защите ПДн в ИСПДн
- Приказ ФСТЭК России от 18.02.2013 № 21 — меры по обеспечению безопасности ПДн
- Приказ ФСБ России от 10.07.2014 № 378 — требования к средствам криптографической защиты
Стандарты и рекомендации:
- ISO/IEC 27001:2013 — система управления информационной безопасностью (СУИБ)
- NIST Cybersecurity Framework — рамочный подход к кибербезопасности
- OWASP Top 10 — критические угрозы безопасности веб-приложений
1.2. Обязательность соблюдения
Настоящий Протокол является обязательным для обеих Сторон (Исполнитель и Заказчик) на протяжении всего срока действия Договора.
КРИТИЧНО ДЛЯ ЗАЩИТЫ ИСПОЛНИТЕЛЯ:
📌 Если Заказчик НЕ соблюдает требования настоящего Протокола, Исполнитель НЕ несет ответственности за утечки Конфиденциальной информации (КИ) и Персональных данных (ПДн), произошедшие вследствие нарушений безопасности со стороны Заказчика (п. 7 настоящего Протокола).
📌 Несоблюдение Протокола Заказчиком автоматически освобождает Исполнителя от ответственности по статьям 7.1-7.2 Соглашения о неразглашении (NDA).
📌 Бремя доказывания того, что утечка произошла НЕ по вине Заказчика, лежит на Заказчике.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Конфиденциальная информация (КИ) — любая информация, ставшая известной одной Стороне от другой Стороны в связи с заключением и исполнением Договора, включая технические, коммерческие, организационные сведения, коммерческую тайну, персональные данные.
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (ст. 3 152-ФЗ).
Коммерческая тайна (КТ) — информация, соответствующая критериям ст. 3 98-ФЗ (коммерческая ценность, неизвестность третьим лицам, введён режим КТ с маркировкой).
Инцидент безопасности — любое событие, которое может привести или привело к утечке, несанкционированному доступу, изменению, блокированию, уничтожению КИ/ПДн.
Критичные системы — системы, содержащие ПДн, коммерческую тайну, обеспечивающие доступ к производственным серверам, финансовым данным, VPN.
Двухфакторная аутентификация (2FA) — метод идентификации пользователя при помощи двух различных факторов (пароль + SMS-код / TOTP / аппаратный токен).
Шифрование end-to-end (E2EE) — шифрование данных на стороне отправителя с дешифрованием только на стороне получателя без возможности доступа третьих лиц.
3. БАЗОВЫЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ
Настоящие требования являются минимально обязательными для всех проектов. Несоблюдение любого из пунктов раздела 3 освобождает Исполнителя от ответственности за утечки КИ/ПДн.
3.1. Пароли и аутентификация
3.1.1. Требования к паролям (ОБЯЗАТЕЛЬНО)
Для всех учетных записей (e-mail, серверы, CRM, панели управления, VPN, Git):
✅ Длина: не менее 12 символов (рекомендуется 16+)
✅ Сложность: буквы верхнего/нижнего регистра (A-Z, a-z) + цифры (0-9) + спецсимволы (!@#$%^&*)
✅ Уникальность: каждая учетная запись имеет уникальный пароль (запрещено использовать один пароль для разных систем)
✅ Обновление: пароли обновляются не реже 1 раза в 90 дней (для критичных систем — не реже 1 раза в 30 дней)
ЗАПРЕЩЕНО:
❌ Пароли типа «12345678», «qwerty123», «Password1»
❌ Пароли, содержащие ФИО, дату рождения, название компании
❌ Хранение паролей в открытом виде (Excel, Google Sheets, Notion, текстовые файлы, стикеры)
3.1.2. Менеджеры паролей (ОБЯЗАТЕЛЬНО)
Все пароли ДОЛЖНЫ храниться в одном из следующих менеджеров паролей:
✅ 1Password (рекомендуется для корпоративных клиентов)
✅ Bitwarden (open-source, self-hosted опция)
✅ KeePass / KeePassXC (локальное хранение)
✅ Dashlane, LastPass (допустимо)
ЗАПРЕЩЕНО:
❌ Хранение паролей в браузере (Chrome, Firefox) без мастер-пароля
❌ Хранение паролей в Google Sheets, Excel, Notion, Evernote
❌ Хранение паролей в незашифрованных текстовых файлах
❌ Передача паролей по незащищенным каналам (SMS, обычный e-mail, Slack, WhatsApp без шифрования)
3.1.3. Двухфакторная аутентификация (ОБЯЗАТЕЛЬНО для критичных систем)
2FA/MFA ОБЯЗАТЕЛЬНА для следующих систем:
✅ Доступ к серверам (SSH, RDP)
✅ Панели управления хостингом (cPanel, Plesk, ISPmanager)
✅ VPN-подключения
✅ Git-репозитории (GitHub, GitLab, Bitbucket)
✅ Облачные сервисы (AWS, Azure, Google Cloud, Яндекс.Облако)
✅ CRM, ERP, почтовые сервисы (Exchange, Gmail)
✅ Финансовые системы (банк-клиент, бухгалтерия)
Методы 2FA (в порядке предпочтения):
- Аппаратные токены (YubiKey, Google Titan) — наиболее безопасно
- Приложения-аутентификаторы (Google Authenticator, Authy, Microsoft Authenticator)
- SMS-коды — допустимо, но наименее безопасно (уязвимость к SIM-swapping)
ЗАПРЕЩЕНО:
❌ Отсутствие 2FA на критичных системах
❌ Использование SMS как единственного метода 2FA (рекомендуется комбинация)
3.2. Шифрование данных
3.2.1. Шифрование дисков (ОБЯЗАТЕЛЬНО)
Все устройства, на которых обрабатывается КИ/ПДн, ДОЛЖНЫ иметь шифрование диска:
✅ Windows: BitLocker (встроено в Windows Pro/Enterprise)
✅ macOS: FileVault (встроено)
✅ Linux: LUKS (dm-crypt)
Настройка:
- Включить полное шифрование диска (Full Disk Encryption)
- Использовать надежный ключ восстановления (хранить в менеджере паролей)
- Регулярно проверять статус шифрования
3.2.2. Шифрование передачи данных (ОБЯЗАТЕЛЬНО)
Все передачи КИ/ПДн ДОЛЖНЫ быть зашифрованы:
✅ Веб-сервисы: SSL/TLS (HTTPS) — сертификаты от Let’s Encrypt, DigiCert, Sectigo
✅ SSH: RSA 4096 / Ed25519 ключи (запрещен SSH по паролю)
✅ VPN: WireGuard, OpenVPN, IPSec (запрещен PPTP)
✅ E-mail: TLS (STARTTLS) для SMTP/IMAP
✅ Файлы: 7z/zip с паролем (AES-256) или PGP/GPG шифрование
ЗАПРЕЩЕНО:
❌ Передача паролей, SSH-ключей, дампов БД по незашифрованным каналам (FTP, HTTP, Telnet)
❌ Передача КИ/ПДн по незащищенным мессенджерам (обычный WhatsApp, Slack, Telegram без Secret Chat)
3.2.3. Шифрование резервных копий (ОБЯЗАТЕЛЬНО)
Все резервные копии, содержащие КИ/ПДн, ДОЛЖНЫ быть зашифрованы:
✅ Алгоритм: AES-256 (минимум AES-128)
✅ Ключ шифрования: хранится отдельно от резервных копий (в менеджере паролей или HSM)
✅ Тестирование восстановления: не реже 1 раза в квартал
3.3. Обновления и патчи (ОБЯЗАТЕЛЬНО)
Регулярное обновление всех систем и ПО является критичным для предотвращения взломов.
3.3.1. Операционные системы
✅ Linux: обновления пакетов не реже 1 раза в неделю (apt update && apt upgrade / yum update)
✅ Windows: автоматическое обновление Windows Update включено
✅ macOS: автоматическое обновление Software Update включено
Критичные патчи безопасности устанавливаются в течение 7 календарных дней после выхода.
3.3.2. Приложения и библиотеки
✅ Браузеры (Chrome, Firefox, Edge) — автоматическое обновление
✅ ПО для разработки (Node.js, Python, PHP) — обновление не реже 1 раза в месяц
✅ Базы данных (PostgreSQL, MySQL, MongoDB) — обновление с тестированием в течение 30 дней после выхода стабильной версии
Уязвимые версии (CVE) должны быть обновлены в течение 48 часов после обнаружения критичной уязвимости.
3.3.3. Веб-приложения и плагины
✅ CMS (WordPress, Joomla, Drupal) — обновление плагинов/тем в день выхода патчей безопасности
✅ E-commerce (WooCommerce, Magento) — критичные патчи в течение 24 часов
3.4. Антивирус и фаервол (ОБЯЗАТЕЛЬНО)
3.4.1. Антивирусное ПО
Все рабочие станции и серверы (за исключением серверов Linux без GUI) ДОЛЖНЫ иметь антивирус:
✅ Windows: Windows Defender (встроено), Kaspersky, ESET, Dr.Web
✅ macOS: macOS встроенная защита + Malwarebytes / Bitdefender (опционально)
✅ Linux серверы: ClamAV (при наличии файловых серверов Samba/FTP)
Настройка:
- Автоматическое обновление баз — ежедневно
- Полное сканирование — не реже 1 раза в неделю
- Real-time защита — включена
3.4.2. Фаервол (межсетевой экран)
✅ Уровень ОС: Windows Firewall, iptables (Linux), pf (macOS) — включен
✅ Сетевой уровень: MikroTik, Cisco, Fortinet, pfSense — настроен с правилами по умолчанию «запретить всё, разрешить только необходимое»
✅ Облачный уровень: AWS Security Groups, Azure NSG, Google Cloud Firewall — настроен
Правила фаервола:
- Закрыты все неиспользуемые порты
- SSH (22), RDP (3389) доступны только с белых IP (VPN)
- СУБД (PostgreSQL 5432, MySQL 3306, MongoDB 27017) доступны только локально или через VPN
3.5. Блокировка экрана и физическая безопасность (ОБЯЗАТЕЛЬНО)
3.5.1. Автоблокировка экрана
✅ Время до блокировки: не более 5 минут бездействия
✅ Требование пароля: немедленно после блокировки
✅ Горячие клавиши: Win+L (Windows), Ctrl+Cmd+Q (macOS), Ctrl+Alt+L (Linux)
3.5.2. Физическая безопасность
✅ Ноутбуки — в сумках, замки Kensington при работе в коворкингах
✅ Серверные помещения — доступ только уполномоченных лиц
✅ USB-порты — отключены (если не требуется для работы)
3.6. Git и контроль версий (ОБЯЗАТЕЛЬНО для разработки)
3.6.1. Приватность репозиториев
✅ Все репозитории с исходным кодом, конфигурациями, скриптами — ПРИВАТНЫЕ
✅ Публичные репозитории — только после проверки на утечки секретов (gitleaks, trufflehog)
3.6.2. Защита секретов
✅ Файл .gitignore — исключить .env, config.php, secrets.yml, id_rsa, credentials.json
✅ Инструменты сканирования: gitleaks, trufflehog, GitGuardian — запуск перед каждым коммитом
✅ Хранение секретов: HashiCorp Vault, AWS Secrets Manager, переменные окружения (НЕ в коде)
ЗАПРЕЩЕНО:
❌ Коммит файлов с паролями, API-ключами, приватными SSH-ключами
❌ Хардкод паролей в исходном коде (password = "12345")
4. УСИЛЕННЫЕ ТРЕБОВАНИЯ ДЛЯ ВЫСОКОРИСКОВЫХ ПРОЕКТОВ
Для проектов, содержащих специальные категории ПДн (здоровье, политические взгляды) или критичную коммерческую тайну (финансовые данные клиентов, платежные карты), применяются усиленные требования:
4.1. Требования PCI DSS (при обработке платежных карт)
✅ Сертификация PCI DSS Level 1-4 (в зависимости от объема транзакций)
✅ Хранение номеров карт ТОЛЬКО в зашифрованном виде (AES-256)
✅ Токенизация данных карт (использование PCI DSS-сертифицированных процессоров)
✅ Ежеквартальное сканирование уязвимостей (ASV-сканирование)
4.2. Требования GDPR (при обработке ПДн граждан ЕС)
✅ Data Protection Impact Assessment (DPIA)
✅ Право на удаление (Right to Erasure) — автоматизированная процедура
✅ Уведомление о нарушении — в течение 72 часов
4.3. Изоляция сред разработки/тестирования/production
✅ Разделение окружений: dev → staging → production
✅ Использование обезличенных данных в dev/staging (замена ФИО, телефонов на фейковые)
✅ Доступ к production — только через VPN с 2FA
5. ОБЯЗАННОСТИ ЗАКАЗЧИКА
Заказчик ОБЯЗАН соблюдать следующие требования безопасности на протяжении всего срока действия Договора:
5.1. Общие обязанности
✅ Соблюдать ВСЕ требования раздела 3 настоящего Протокола (базовые требования)
✅ Назначить ответственное лицо за информационную безопасность (CISO / системный администратор)
✅ Обучить сотрудников основам информационной безопасности (не реже 1 раза в год)
✅ Вести журнал инцидентов безопасности (кто, когда, что произошло, какие меры приняты)
5.2. Требования при передаче доступов Исполнителю
✅ Создать отдельные учетные записи для Исполнителя (НЕ использовать аккаунты сотрудников Заказчика)
✅ Ограничить права доступа — только необходимые привилегии (принцип least privilege)
✅ Предоставить доступы через защищенные каналы:
- SSH-ключи, пароли — через PGP/GPG шифрование, Signal, Telegram Secret Chat, зашифрованные архивы (7z/zip с паролем)
- ЗАПРЕЩЕНО: передача паролей по обычному e-mail, SMS, Slack, WhatsApp, Viber
✅ Уведомить Исполнителя о правилах безопасности, применимых в инфраструктуре Заказчика (политики паролей, 2FA, VPN)
5.3. Требования при передаче Конфиденциальной информации
✅ Маркировать КТ грифом «Коммерческая тайна» или «КТ» + указание обладателя информации (название компании Заказчика) ДО передачи Исполнителю
✅ Предоставить Перечень сведений, составляющих КТ (Приложение № 1 к NDA) в письменном виде не позднее даты начала работ
✅ Минимизировать объем передаваемой информации — передавать ТОЛЬКО данные, необходимые для выполнения работ
5.4. Требования при обработке ПДн
✅ Заключить Соглашение об обработке ПДн (DPA) с Исполнителем ДО передачи ПДн
✅ Убедиться в наличии правовых оснований для обработки ПДн (согласие субъектов, договор, закон)
✅ Передать только ПДн, необходимые для выполнения работ (минимизация)
✅ Уведомить Роскомнадзор о статусе оператора ПДн (ст. 22 152-ФЗ)
5.5. КРИТИЧНО: Соблюдение Базового протокола безопасности
Если Заказчик НЕ соблюдает требования п. 5.1-5.4 и раздела 3 настоящего Протокола:
❌ Исполнитель НЕ несет ответственности за утечки КИ/ПДн, произошедшие вследствие нарушений безопасности со стороны Заказчика
❌ Заказчик НЕ вправе требовать штрафы, убытки, компенсацию по статьям 7.1-7.2 NDA
❌ Бремя доказывания того, что утечка произошла НЕ по вине Заказчика, лежит на Заказчике
6. ОБЯЗАННОСТИ ИСПОЛНИТЕЛЯ
Исполнитель ОБЯЗАН соблюдать следующие требования безопасности:
6.1. Общие обязанности
✅ Соблюдать ВСЕ требования раздела 3 настоящего Протокола (базовые требования)
✅ Применять к КИ/ПДн Заказчика меры защиты, не менее строгие, чем к собственной конфиденциальной информации
✅ Ограничить доступ к КИ/ПДн Заказчика — только сотрудникам Исполнителя, которым это необходимо для выполнения работ
✅ Уничтожить/возвратить КИ/ПДн Заказчика после окончания работ (в течение 30 дней)
6.2. Обработка ПДн по поручению Заказчика
✅ Обрабатывать ПДн строго в рамках целей, указанных в DPA
✅ НЕ передавать ПДн третьим лицам без согласия Заказчика
✅ Уведомлять Заказчика обо всех запросах Роскомнадзора, правоохранительных органов (в течение 24 часов)
6.3. Уведомление об инцидентах
✅ Незамедлительно уведомить Заказчика (в течение 24 часов) о любых фактах:
- Несанкционированного доступа к КИ/ПДн
- Утечек, взломов, подозрений на компрометацию
- Запросов третьих лиц (суды, полиция, налоговая)
✅ Провести расследование инцидента и предоставить отчет Заказчику (в течение 5 рабочих дней)
7. КРИТИЧНО: ПОСЛЕДСТВИЯ НЕСОБЛЮДЕНИЯ ЗАКАЗЧИКОМ
7.1. Презумпция вины Заказчика
ПРАВОВАЯ КОНСТРУКЦИЯ ДЛЯ ЗАЩИТЫ ИСПОЛНИТЕЛЯ:
📌 Если Заказчик НЕ соблюдал требования настоящего Протокола (раздел 3, п. 5.1-5.4), то ПРЕЗЮМИРУЕТСЯ, что утечка КИ/ПДн произошла по вине Заказчика.
📌 Бремя доказывания обратного (что утечка произошла по вине Исполнителя) лежит на Заказчике.
ПРАВОВОЕ ОСНОВАНИЕ:
- Ст. 401 ГК РФ — презумпция вины лица, нарушившего обязательство
- Ст. 56 ГПК РФ, ст. 65 АПК РФ — каждая сторона обязана доказать обстоятельства, на которые ссылается
7.2. Исключение ответственности Исполнителя
Исполнитель НЕ несет ответственности за утечки КИ/ПДн, произошедшие вследствие:
❌ Слабых паролей Заказчика (менее 12 символов, простые пароли типа «12345678»)
❌ Отсутствия 2FA на критичных системах Заказчика
❌ Фишинговых атак на сотрудников Заказчика (если Заказчик не проводил обучение)
❌ Передачи доступов третьим лицам Заказчиком без уведомления Исполнителя
❌ Хранения ПДн на незащищенных устройствах Заказчика (личные ноутбуки без шифрования, USB-флешки)
❌ Отсутствия обновлений на серверах/ПО Заказчика (уязвимости CVE)
❌ Передачи паролей Исполнителю по незащищенным каналам (обычный e-mail, SMS, Slack)
❌ Действий третьих лиц (хостинг-провайдеры, операторы связи), если утечка произошла по их вине
7.3. Доказательства для освобождения Исполнителя от ответственности
Исполнитель предоставляет следующие доказательства:
✅ Логи доступа к серверам Исполнителя (кто, когда, какие операции) — доказывают отсутствие несанкционированного доступа со стороны Исполнителя
✅ Конфигурации систем (firewall, SSL, шифрование) — доказывают применение мер защиты
✅ Переписка с Заказчиком — требования соблюдать Протокол безопасности, уведомления о рисках
✅ Журнал инцидентов — действия Исполнителя по локализации инцидента
✅ Экспертные заключения — заключения специалистов по информационной безопасности о причинах утечки
Если Заказчик НЕ может опровергнуть эти доказательства, Исполнитель освобождается от ответственности.
7.4. Право Исполнителя на приостановку работ
Исполнитель вправе приостановить работы (без штрафных санкций) при следующих обстоятельствах:
⚠️ Заказчик НЕ предоставил Перечень сведений, составляющих КТ (Приложение № 1 к NDA)
⚠️ Заказчик НЕ маркировал документы грифом «КТ»
⚠️ Заказчик НЕ заключил DPA (Соглашение об обработке ПДн) до передачи ПДн
⚠️ Заказчик систематически нарушает требования настоящего Протокола (более 2 нарушений за проект)
⚠️ Исполнитель обнаружил критичные уязвимости на серверах Заказчика, а Заказчик отказывается их устранять
Порядок приостановки:
- Исполнитель уведомляет Заказчика в письменной форме (e-mail, мессенджер) с указанием причин
- Заказчик устраняет нарушения в течение 5 рабочих дней
- Если нарушения не устранены — Исполнитель вправе отказаться от Договора (ст. 782 ГК РФ) с оплатой фактически оказанных услуг
8. ПОРЯДОК ПЕРЕДАЧИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
8.1. Защищенные каналы передачи (ОБЯЗАТЕЛЬНО)
SSH-ключи, пароли, API-токены, дампы БД, конфигурации передаются ТОЛЬКО через следующие каналы:
✅ PGP/GPG шифрование (рекомендуется)
- Создать PGP-ключ (gpg —gen-key)
- Обменяться публичными ключами
- Зашифровать файл:
gpg --encrypt --recipient recipient@example.com file.txt
✅ Signal (E2EE мессенджер)
- Передача паролей, токенов в текстовом виде
- Передача файлов (до 100 МБ)
✅ Telegram Secret Chat (E2EE режим)
- НЕ обычный Telegram-чат! Только Secret Chat
- Включить автоудаление сообщений через 1 час
✅ Зашифрованные архивы (7z, zip с паролем)
- Алгоритм: AES-256
- Пароль к архиву передается отдельно (через Signal / Secret Chat)
- Пример:
7z a -p -mhe=on -mx=9 archive.7z file.txt
✅ Специализированные сервисы (одноразовая передача секретов)
- OneTimeSecret (onetimesecret.com) — ссылка сгорает после первого просмотра
- Privatebin (privatebin.net) — шифрование на стороне клиента
ЗАПРЕЩЕНО:
❌ Передача паролей, SSH-ключей по обычному e-mail (без PGP)
❌ Передача по SMS (уязвимость к перехвату)
❌ Передача по Slack, WhatsApp, Viber (без E2EE)
❌ Передача по Google Sheets, Notion, Trello (публичные доступы)
8.2. Передача дампов баз данных (специальные требования)
✅ Шифрование дампа перед передачей (7z/zip с паролем AES-256)
✅ Обезличивание ПДн (если возможно) — замена ФИО, телефонов, e-mail на фейковые данные
✅ Удаление дампа после завершения работ (со стороны Исполнителя — в течение 30 дней, со стороны Заказчика — после подтверждения)
9. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ БЕЗОПАСНОСТИ
9.1. Определение инцидента
Инцидент безопасности — любое событие, которое может привести или привело к:
- Несанкционированному доступу к КИ/ПДн
- Утечке КИ/ПДн третьим лицам
- Изменению, блокированию, уничтожению КИ/ПДн
- Компрометации паролей, SSH-ключей, API-токенов
9.2. Процедура реагирования
ШАГ 1: ОБНАРУЖЕНИЕ (Detection)
- Мониторинг логов доступа, систем IDS/IPS, антивируса
- Обнаружение подозрительной активности (множественные неудачные попытки входа, доступ с незнакомых IP)
ШАГ 2: ИДЕНТИФИКАЦИЯ (Identification)
- Определить, является ли событие инцидентом безопасности
- Классифицировать серьезность (критичный / высокий / средний / низкий)
ШАГ 3: ЛОКАЛИЗАЦИЯ (Containment)
- Немедленно заблокировать скомпрометированные учетные записи
- Изолировать скомпрометированные системы (отключение от сети)
- Сменить все пароли, SSH-ключи, API-токены
ШАГ 4: ИСКОРЕНЕНИЕ (Eradication)
- Удалить вредоносное ПО, закрыть уязвимости
- Проверить все системы на наличие бэкдоров
ШАГ 5: ВОССТАНОВЛЕНИЕ (Recovery)
- Восстановить системы из резервных копий (если необходимо)
- Включить системы обратно в работу
- Усилить мониторинг на 30 дней
ШАГ 6: ИЗВЛЕЧЕНИЕ УРОКОВ (Lessons Learned)
- Составить отчет об инциденте (причины, последствия, меры)
- Обновить Протокол безопасности (если необходимо)
- Обучить сотрудников на основе инцидента
9.3. Уведомление сторон
Исполнитель обязан уведомить:
- Заказчика — в течение 24 часов (e-mail + телефон)
- Роскомнадзор (при утечке ПДн, если Исполнитель = Оператор) — в соответствии с требованиями ст. 21 152-ФЗ
Заказчик обязан уведомить:
- Исполнителя — в течение 24 часов (если инцидент затрагивает системы, на которых работает Исполнитель)
- Роскомнадзор (если Заказчик = Оператор ПДн)
10. АУДИТ И КОНТРОЛЬ
10.1. Ежегодный аудит безопасности
Стороны вправе (но не обязаны) проводить ежегодный аудит соблюдения настоящего Протокола:
✅ Внутренний аудит (самоаудит)
✅ Внешний аудит (привлечение независимых специалистов по ИБ)
Результаты аудита:
- Отчет о выявленных уязвимостях, несоответствиях требованиям Протокола
- План мероприятий по устранению несоответствий (с указанием сроков)
10.2. Право Исполнителя на проверку
Исполнитель вправе (но не обязан) до начала работ провести базовый аудит безопасности инфраструктуры Заказчика:
✅ Проверка на соответствие требованиям раздела 3 настоящего Протокола
✅ Сканирование уязвимостей (Nmap, Nessus, OpenVAS) — с письменного согласия Заказчика
✅ Проверка паролей на слабость (hashcat, John the Ripper) — только тестовые учетные записи
Если Исполнитель обнаружил критичные уязвимости:
- Исполнитель уведомляет Заказчика в письменной форме
- Заказчик обязан устранить уязвимости в согласованный срок (рекомендуется 7-30 дней)
- Исполнитель вправе отказаться от выполнения работ до устранения критичных уязвимостей (без штрафных санкций)
10.3. Журналирование
Обе Стороны обязаны вести следующие журналы:
✅ Журнал доступа к КИ/ПДн (кто, когда, какие операции)
✅ Журнал инцидентов безопасности (дата, описание, меры)
✅ Журнал передачи КИ (что передано, кому, когда, каким способом)
Срок хранения журналов: не менее 6 месяцев (ст. 19 ч. 5 152-ФЗ).
⚠️ ВАЖНЫЕ УВЕДОМЛЕНИЯ
ДЛЯ ЗАКАЗЧИКА:
— Соблюдение настоящего Протокола является ОБЯЗАТЕЛЬНЫМ условием для возложения ответственности на Исполнителя за утечки КИ/ПДн
— Если Заказчик НЕ соблюдает Протокол — Исполнитель освобождается от ответственности (п. 7 настоящего Протокола)
— Несоблюдение Протокола может привести к штрафам Роскомнадзора (ст. 13.11 КоАП РФ до 75 000 ₽), гражданско-правовой ответственности (компенсация морального вреда), уголовной ответственности (ст. 137, 272, 183 УК РФ)
ДЛЯ ИСПОЛНИТЕЛЯ:
— Соблюдение Протокола является профессиональным стандартом и обязательным условием для работы с КИ/ПДн Заказчика
— В случае инцидентов Исполнитель должен немедленно уведомить Заказчика (в течение 24 часов) и предоставить доказательства соблюдения мер защиты
ДАТА ВСТУПЛЕНИЯ В СИЛУ: с момента акцепта Договора-оферты или подписания отдельного Соглашения о неразглашении (NDA)
СРОК ДЕЙСТВИЯ: на протяжении всего срока действия Договора + 3 года после прекращения Договора
СТОРОНЫ:
ИСПОЛНИТЕЛЬ:
ИП Мукминов Ранас Раушанович
ИНН 161201915096, ОГРНИП 322169000136872
ЗАКАЗЧИК:
[НАИМЕНОВАНИЕ], [РЕКВИЗИТЫ]
Конец документа