ТИПОВОЙ РЕГЛАМЕНТ
оказания сопутствующих услуг при поставке
средств защиты информации
Версия 2.0
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение документа
Настоящий типовой регламент (далее — Регламент) описывает порядок и общие условия оказания Исполнителем сопутствующих услуг, выполняемых совместно с поставкой Заказчику средств защиты информации.
1.2. Статус документа
Регламент является внутренним организационно-распорядительным документом Исполнителя. Размещение Регламента в открытом доступе осуществляется в информационных целях и:
— не является публичной офертой в значении статьи 437 Гражданского кодекса Российской Федерации;
— не порождает обязательств Исполнителя перед третьими лицами;
— не является приглашением к заключению договора;
— не устанавливает гарантированных сроков, объёмов или результатов оказания услуг.
Конкретные условия оказания услуг (объём, сроки, стоимость, ответственность, состав работ) определяются договором между Исполнителем и Заказчиком и (или) приложениями к нему. В случае расхождения между положениями договора и Регламента применяются положения договора.
Исполнитель вправе изменять Регламент в одностороннем порядке без предварительного уведомления. Действующая редакция размещается на сайте Исполнителя.
1.3. Область применения
Действие Регламента распространяется на работы, выполняемые в рамках договоров поставки средств защиты информации и (или) дополнительных соглашений к ним, в случаях, когда стороны прямо ссылаются на настоящий Регламент.
1.5. Перечень услуг, описываемых Регламентом
1) Инвентаризация сетевых активов и программного обеспечения (далее — Услуга № 1);
2) Разовая проверка защищённости порталов управления поставленного СЗИ (далее — Услуга № 2);
3) Инструктаж персонала по эксплуатации поставленного СЗИ (далее — Услуга № 3).
Заказчик вправе заказать любую из услуг по отдельности, в любом сочетании, либо отказаться от них без отказа от договора поставки СЗИ. Если Заказчик не воспользовался услугой в срок, предусмотренный договором, услуга считается оказанной, право Заказчика на получение услуги считается реализованным и прекращается.
2. ОБЩИЕ УСЛОВИЯ ОКАЗАНИЯ УСЛУГ2.1. Порядок инициации работ
1) Оказание услуг производится исключительно на основании договора и (или) подписанного сторонами задания на оказание услуг.
2) До начала работ стороны письменно согласовывают объём, сроки, перечень объектов работ и представителей сторон.
3) В отсутствие подписанного задания работы не начинаются. Устные договорённости не порождают обязательств Исполнителя.
2.2. Обязанности Заказчика
Для оказания услуг Заказчик обязан своевременно:
— предоставить достоверные исходные данные об объектах работ;
— обеспечить доступ персонала Исполнителя к необходимым ресурсам в согласованное время;
— назначить уполномоченного представителя и обеспечить его доступность в ходе работ;
— письменно подтверждать решения, имеющие значение для хода работ (в том числе согласие на проведение технических действий по Услуге № 2);
— предоставлять и своевременно отзывать учётные данные, если они выдаются для оказания услуг.
Невыполнение Заказчиком указанных обязанностей является основанием для приостановки работ согласно п. 2.6.
2.3. Обязанности Исполнителя
— оказывать услуги в согласованном объёме и в согласованные сроки;
— использовать инструменты и методы, не приводящие при их штатном применении к нарушению работоспособности систем Заказчика;
— обеспечивать конфиденциальность сведений, полученных в ходе оказания услуг (п. 2.8);
— оформлять результаты услуг в виде документов, предусмотренных Регламентом и договором.
2.4. Сроки оказания услуг
Сроки оказания услуг согласуются сторонами в задании на оказание услуг и исчисляются с момента предоставления Заказчиком всех необходимых исходных данных и доступов. Просрочка предоставления Заказчиком исходных данных и (или) доступов не продлевает срок оказания услуги на соответствующий период.
Регламент не устанавливает гарантированных сроков начала работ или подготовки результатов. Подобные обязательства возникают только из согласованного задания на оказание услуг.
2.5. Право Заказчика на отказ от услуги
Заказчик вправе отказаться от любой из услуг в любой момент до подписания итогового документа по услуге, направив Исполнителю письменное уведомление. Расчёты по фактически выполненному объёму работ производятся в порядке, установленном договором.
Отказ от услуги, описываемой Регламентом, не влечёт отказа от договора поставки СЗИ и не является основанием для отказа Заказчика от приёмки СЗИ.
2.6. Право Исполнителя на приостановку и прекращение работ
Исполнитель вправе приостановить оказание услуги без каких-либо последствий на срок не более 60 дней, уведомив Заказчика, в случаях:
— непредоставления Заказчиком исходных данных, доступов, разрешений в согласованные сроки;
— выявления обстоятельств, при которых дальнейшее выполнение работ может повлечь риски для систем Заказчика или третьих лиц;
— обнаружения признаков того, что объект работ используется для деятельности, противоречащей законодательству Российской Федерации;
— нарушения Заказчиком условий договора, в том числе условий оплаты.
Если в течение 10 дней, причины приостановки не устранены, Исполнитель вправе прекратить оказание услуги в одностороннем порядке. Услуга считается оказанной вне зависимости от выполненного объёма в дату прекращения оказания услуги.
2.7. Приёмка результатов и претензионный порядок
1) Результаты услуги передаются Заказчику в виде документа, предусмотренного соответствующим разделом Регламента.
2) Заказчик обязан рассмотреть результат и сообщить Исполнителю об обнаруженных недостатках в порядке и сроки, установленные договором. В отсутствие таких сроков в договоре результат считается принятым по истечении 5 (пяти) рабочих дней с даты передачи.
3) Претензии, не направленные в установленный срок, к рассмотрению не принимаются.
4) После подписания итогового документа доработка результата производится только на основании отдельного задания и подлежит отдельной оплате.
2.8. Конфиденциальность
Сведения, полученные Исполнителем в ходе оказания услуг, не подлежат разглашению третьим лицам, за исключением случаев, прямо предусмотренных законодательством Российской Федерации либо письменным согласием Заказчика. Конкретный режим обращения с конфиденциальной информацией определяется договором и (или) соглашением о неразглашении.
3. ОГРАНИЧЕНИЯ ОТВЕТСТВЕННОСТИ И ОГОВОРКИ3.1. Услуги не являются
Услуги, описываемые Регламентом, носят характер сопутствующих работ при поставке СЗИ и НЕ являются:
— аудитом информационной безопасности;
— тестированием на проникновение (penetration testing);
— оценкой соответствия требованиям законодательства Российской Федерации в области информационной безопасности;
— оценкой соответствия требованиям иных нормативных, методических, отраслевых документов, если иное прямо не указано в задании на оказание услуг;
— обязательной либо добровольной сертификацией;
— услугой по защите персональных данных в значении главы 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
— программой дополнительного профессионального образования и (или) программой повышения квалификации в значении Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
— услугой по управлению уязвимостями, обеспечению информационной безопасности на регулярной основе либо иной услугой, носящей продолжительный характер.
3.2. Характер результатов услуг
1) Результаты услуг носят справочно-информационный характер и предназначены для использования Заказчиком в его внутренних задачах.
2) Результаты отражают состояние объекта работ на дату проведения соответствующих процедур. Любые последующие изменения объекта работ Исполнителем не учитываются.
3) Результаты не являются заключением Исполнителя о соответствии или несоответствии объекта работ требованиям законодательства, отраслевых либо локальных нормативных актов.
4) Результаты не являются гарантией отсутствия у объекта работ свойств, не выявленных в ходе оказания услуги (в том числе уязвимостей, недокументированных функций, конфигурационных ошибок).
5) Рекомендации, содержащиеся в результатах, носят характер экспертного мнения. Решение о применении рекомендаций и ответственность за такое решение лежат на Заказчике.
3.3. Пределы ответственности Исполнителя
Исполнитель не несёт ответственности перед Заказчиком и (или) третьими лицами за:
— прямые и косвенные убытки, упущенную выгоду, репутационный вред, возникшие в результате использования либо неиспользования Заказчиком результатов услуг;
— действия (бездействие) Заказчика и (или) его работников по результатам услуг;
— несоответствие систем Заказчика требованиям законодательства Российской Федерации и (или) требованиям регуляторов, если такое несоответствие существовало до начала оказания услуг или возникло после их окончания;
— воздействие на бизнес-процессы Заказчика, возникающее в результате применения Заказчиком рекомендаций, содержащихся в результатах услуг;
— корректность исходных данных, предоставленных Заказчиком.
Совокупная ответственность Исполнителя по каждому случаю в рамках конкретной услуги ограничена стоимостью этой услуги по соответствующему договору. Иной размер ответственности может быть установлен только письменным соглашением сторон.
3.4. Обстоятельства, исключающие ответственность
Исполнитель не несёт ответственности за неисполнение или ненадлежащее исполнение обязательств, если такое неисполнение вызвано обстоятельствами, находящимися вне его разумного контроля, в том числе:
— обстоятельствами непреодолимой силы;
— действиями (бездействием) Заказчика, его работников и привлечённых им лиц;
— отказами программных и аппаратных средств, не находящихся под управлением Исполнителя;
— ограничениями, введёнными органами государственной власти;
— нарушением работоспособности сетей связи общего пользования.
4. УСЛУГА № 1. ИНВЕНТАРИЗАЦИЯ СЕТЕВЫХ АКТИВОВ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ4.1. Цель услуги
Формирование перечня сетевых активов и установленного программного обеспечения в сегменте инфраструктуры Заказчика, согласованном сторонами, для последующего использования Заказчиком в его внутренних задачах.
4.2. Состав работ
В состав услуги входят:
1) сбор сведений о сетевых узлах в согласованных диапазонах адресов с применением штатных средств сетевого обнаружения;
2) получение сведений с узлов и СЗИ через штатные интерфейсы управления (в пределах прав доступа, предоставленных Заказчиком);
3) сведе́ние результатов в табличный вид;
4) формирование итогового документа в соответствии с разделом 4.4.
4.3. Не входит в состав услуги
В состав услуги НЕ входят, если иное прямо не указано в задании на оказание услуг:
— выявление, подтверждение и (или) эксплуатация уязвимостей сетевых активов;
— анализ конфигураций сетевых активов на корректность;
— оценка соответствия инвентаризационных данных требованиям законодательства или внутренних нормативных актов Заказчика;
— регулярное (периодическое) обновление перечня активов;
— обследование сегментов, не указанных в задании на оказание услуг;
— инвентаризация физических устройств, не подключённых к сети передачи данных;
— учёт лицензий на программное обеспечение;
— предоставление сведений в форматах, отличных от согласованного итогового документа.
4.4. Результат услуги
Результатом услуги является Акт инвентаризации сетевых активов и программного обеспечения, включающий:
— реквизиты сторон и договора;
— период проведения работ и согласованный объём;
— сводный перечень обнаруженных сетевых узлов с минимально необходимыми реквизитами;
— сводный перечень программного обеспечения, выявленного в пределах применённых методов сбора данных;
— оговорки об ограничениях применённых методов сбора данных.
4.5. Особые условия
1) Полнота результатов ограничена возможностями применённых методов сбора данных и объёмом доступа, предоставленного Заказчиком.
2) Узлы, недоступные на момент проведения работ либо защищённые средствами, препятствующими сбору сведений, в результат не включаются.
3) Перечень обнаруженного программного обеспечения отражает данные, доступные через штатные интерфейсы узлов; отсутствие позиции в перечне не означает отсутствия программного обеспечения на узле.
5. УСЛУГА № 2. РАЗОВАЯ ПРОВЕРКА ЗАЩИЩЁННОСТИ ПОРТАЛОВ УПРАВЛЕНИЯ5.1. Цель услуги
Разовое выявление известных уязвимостей и типовых ошибок конфигурации порталов управления поставленного СЗИ, выполняемое посредством автоматизированных средств анализа защищённости.
5.2. Состав работ
1) автоматизированный анализ заданных Заказчиком порталов управления поставленного СЗИ;
2) проверка наличия признаков типовых ошибок конфигурации (в пределах возможностей применённых средств);
3) ручная верификация выявленных индикаторов с целью устранения ложных срабатываний;
4) классификация выявленных уязвимостей по общепринятым шкалам оценки критичности;
5) формирование итогового документа в соответствии с разделом 5.5.
5.3. Не входит в состав услуги
В состав услуги НЕ входят:
— эксплуатация выявленных уязвимостей, подтверждение их возможности эксплуатации (proof-of-concept);
— тестирование на проникновение;
— атаки на отказ в обслуживании, подбор учётных данных, атаки на цепочки поставки, методы социальной инженерии;
— анализ исходного кода;
— анализ защищённости объектов, не указанных в задании на оказание услуг;
— выявление уязвимостей нулевого дня и иных уязвимостей, не известных применённым средствам анализа;
— разработка средств защиты от выявленных уязвимостей;
— устранение выявленных уязвимостей силами Исполнителя;
— повторная проверка после устранения выявленных уязвимостей.
5.4. Обязательные условия проведения
Услуга оказывается исключительно при одновременном соблюдении следующих условий:
1) наличие письменного разрешения Заказчика на проведение технического анализа защищённости с указанием перечня объектов;
2) согласование сторонами окна проведения работ;
3) подтверждение Заказчиком права распоряжения объектами анализа и отсутствия запретов третьих лиц на их анализ.
При несоблюдении любого из указанных условий Исполнитель вправе отказаться от оказания услуги без применения к нему мер ответственности.
5.5. Результат услуги
Результатом услуги является Протокол разовой проверки защищённости, включающий:
— реквизиты сторон, договора и письменного разрешения Заказчика;
— перечень проверенных объектов и применённых методов;
— сводную таблицу выявленных индикаторов с их классификацией по критичности;
— общие рекомендации по типовым направлениям устранения;
— оговорки об ограничениях применённых методов в соответствии с разделом 5.3.
5.6. Особые условия
1) Услуга является разовой и не носит характер постоянного контроля защищённости.
2) Результаты услуги отражают состояние объектов исключительно на дату и время выполнения проверки.
3) Отсутствие записи о той или иной уязвимости в результатах не означает её отсутствия в объекте проверки.
4) Исполнитель не несёт ответственности за уязвимости, которые не могут быть выявлены применёнными средствами анализа в принципе.
5) Применение рекомендаций, содержащихся в Протоколе, осуществляется Заказчиком самостоятельно и под его ответственность.
6. УСЛУГА № 3. ИНСТРУКТАЖ ПЕРСОНАЛА ПО ЭКСПЛУАТАЦИИ СЗИ6.1. Цель и правовой статус услуги
Цель услуги — передача персоналу Заказчика, ответственному за эксплуатацию поставленного СЗИ, базовых сведений о порядке штатной работы с СЗИ.
Услуга является внутренним корпоративным инструктажем, проводимым в рамках поставки технического изделия. Услуга НЕ является:
— программой дополнительного профессионального образования;
— программой повышения квалификации;
— программой профессионального обучения;
— иной формой реализации образовательной программы в значении Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».
Образовательная лицензия для проведения настоящего инструктажа не требуется. Документ, выдаваемый по итогам инструктажа, не является документом об образовании или о квалификации.
6.2. Состав работ
1) подготовка раздаточных материалов на основе типовой программы инструктажа;
2) проведение инструктажа в очной либо дистанционной форме в согласованную дату и время;
3) ответы на вопросы участников в пределах темы инструктажа;
4) оформление справок о прохождении инструктажа;
5) формирование ведомости участников.
6.3. Не входит в состав услуги
В состав услуги НЕ входят:
— проведение оценки знаний участников в любой форме (экзамены, тестирования, аттестации);
— выдача документов об образовании или о квалификации;
— консультации, выходящие за пределы темы инструктажа;
— консультации, оказываемые после даты проведения инструктажа;
— повторное проведение инструктажа для участников, не явившихся в согласованную дату;
— разработка индивидуальных программ обучения под требования Заказчика;
— обучение работе с продуктами третьих производителей, не входящими в состав поставленного СЗИ.
6.4. Результат услуги
— Ведомость участников инструктажа, подписываемая сторонами;
— Индивидуальные справки о прохождении инструктажа — по одной на каждого участника, фактически принявшего участие в инструктаже.
6.5. Особые условия
1) Состав участников фиксируется Заказчиком до даты проведения инструктажа. Замена участников после согласования допускается до начала инструктажа.
2) Участники, не прошедшие инструктаж в согласованную дату, повторно приглашаются только в рамках отдельного задания на оказание услуг.
3) Содержание и продолжительность инструктажа определяются типовой программой Исполнителя. Изменения программы вносятся по соглашению сторон до даты проведения инструктажа.
7. РАБОТА С КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ И ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Исполнитель относит сведения, получаемые в ходе оказания услуг, к информации ограниченного распространения и обеспечивает их защиту в соответствии с внутренними нормативными актами, принятыми у Исполнителя.
Конкретные требования к режиму обращения с такими сведениями, в том числе порядок передачи, сроки хранения и порядок уничтожения, устанавливаются договором и (или) соглашением о неразглашении, заключаемыми с Заказчиком.
Если в ходе оказания услуг Исполнителю становятся доступны персональные данные субъектов, обработка таких данных осуществляется в порядке, определяемом отдельным поручением Заказчика на обработку персональных данных, подготовленным в соответствии со статьёй 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В отсутствие такого поручения Исполнитель действует исходя из того, что доступ к персональным данным субъектов не предполагается.
8. ВНУТРЕННИЙ КОНТРОЛЬ И УЧЁТ ОКАЗАНИЯ УСЛУГ
В целях обеспечения контролируемости и прослеживаемости работ Исполнитель ведёт внутренние учётные записи, фиксирующие ключевые события в ходе оказания услуг, в том числе:
— начало и окончание оказания услуги по конкретному заданию;
— факт получения письменных разрешений Заказчика, необходимых для оказания услуги;
— факт передачи Заказчику итоговых документов по услуге.
Внутренние учётные записи ведутся в обособленном виде, отдельно от иных рабочих материалов, и обрабатываются исключительно работниками Исполнителя, имеющими соответствующие должностные обязанности. Формат, средства ведения и сроки хранения учётных записей устанавливаются внутренними нормативными актами Исполнителя и не раскрываются.
Выписка из внутренних учётных записей, относящаяся к конкретному Заказчику, может быть предоставлена Заказчику по его письменному запросу в порядке, согласованном сторонами.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
1) Настоящий Регламент вступает в силу с даты его утверждения единоличным исполнительным органом Исполнителя.
2) Изменения и дополнения в Регламент вносятся в одностороннем порядке. Действующая редакция размещается на сайте Исполнителя.
3) В случае противоречия между положениями Регламента и положениями договора, заключённого Исполнителем с Заказчиком, применяются положения договора.
4) Все споры, возникающие в связи с применением Регламента, разрешаются в порядке, определённом договором сторон. В отсутствие такого порядка применяются нормы действующего законодательства Российской Федерации.
5) Размещение Регламента в открытом доступе не означает передачу Исполнителем прав на содержание Регламента третьим лицам. Использование текста Регламента третьими лицами без письменного согласия Исполнителя не допускается.
1.1. Назначение документа
Настоящий типовой регламент (далее — Регламент) описывает порядок и общие условия оказания Исполнителем сопутствующих услуг, выполняемых совместно с поставкой Заказчику средств защиты информации.
1.2. Статус документа
Регламент является внутренним организационно-распорядительным документом Исполнителя. Размещение Регламента в открытом доступе осуществляется в информационных целях и:
— не является публичной офертой в значении статьи 437 Гражданского кодекса Российской Федерации;
— не порождает обязательств Исполнителя перед третьими лицами;
— не является приглашением к заключению договора;
— не устанавливает гарантированных сроков, объёмов или результатов оказания услуг.
Конкретные условия оказания услуг (объём, сроки, стоимость, ответственность, состав работ) определяются договором между Исполнителем и Заказчиком и (или) приложениями к нему. В случае расхождения между положениями договора и Регламента применяются положения договора.
Исполнитель вправе изменять Регламент в одностороннем порядке без предварительного уведомления. Действующая редакция размещается на сайте Исполнителя.
1.3. Область применения
Действие Регламента распространяется на работы, выполняемые в рамках договоров поставки средств защиты информации и (или) дополнительных соглашений к ним, в случаях, когда стороны прямо ссылаются на настоящий Регламент.
Термин | Определение |
Заказчик | Юридическое лицо или индивидуальный предприниматель, заключившие с Исполнителем договор, в рамках которого оказываются услуги. |
Исполнитель | Организация, утвердившая и применяющая настоящий Регламент. |
Средства защиты информации (СЗИ) | Поставляемые Исполнителем Заказчику по договору поставки технические, программные и программно-аппаратные средства, предназначенные для защиты информации, в том числе: программное обеспечение (системы и компоненты обеспечения информационной безопасности), аппаратные платформы (серверы, программно-аппаратные комплексы, специализированные устройства), а также любые их сочетания. |
Услуги | Сопутствующие работы, выполняемые в соответствии с настоящим Регламентом. |
Результат | Документ, формируемый по итогам оказания соответствующей услуги. |
1) Инвентаризация сетевых активов и программного обеспечения (далее — Услуга № 1);
2) Разовая проверка защищённости порталов управления поставленного СЗИ (далее — Услуга № 2);
3) Инструктаж персонала по эксплуатации поставленного СЗИ (далее — Услуга № 3).
Заказчик вправе заказать любую из услуг по отдельности, в любом сочетании, либо отказаться от них без отказа от договора поставки СЗИ. Если Заказчик не воспользовался услугой в срок, предусмотренный договором, услуга считается оказанной, право Заказчика на получение услуги считается реализованным и прекращается.
2. ОБЩИЕ УСЛОВИЯ ОКАЗАНИЯ УСЛУГ2.1. Порядок инициации работ
1) Оказание услуг производится исключительно на основании договора и (или) подписанного сторонами задания на оказание услуг.
2) До начала работ стороны письменно согласовывают объём, сроки, перечень объектов работ и представителей сторон.
3) В отсутствие подписанного задания работы не начинаются. Устные договорённости не порождают обязательств Исполнителя.
2.2. Обязанности Заказчика
Для оказания услуг Заказчик обязан своевременно:
— предоставить достоверные исходные данные об объектах работ;
— обеспечить доступ персонала Исполнителя к необходимым ресурсам в согласованное время;
— назначить уполномоченного представителя и обеспечить его доступность в ходе работ;
— письменно подтверждать решения, имеющие значение для хода работ (в том числе согласие на проведение технических действий по Услуге № 2);
— предоставлять и своевременно отзывать учётные данные, если они выдаются для оказания услуг.
Невыполнение Заказчиком указанных обязанностей является основанием для приостановки работ согласно п. 2.6.
2.3. Обязанности Исполнителя
— оказывать услуги в согласованном объёме и в согласованные сроки;
— использовать инструменты и методы, не приводящие при их штатном применении к нарушению работоспособности систем Заказчика;
— обеспечивать конфиденциальность сведений, полученных в ходе оказания услуг (п. 2.8);
— оформлять результаты услуг в виде документов, предусмотренных Регламентом и договором.
2.4. Сроки оказания услуг
Сроки оказания услуг согласуются сторонами в задании на оказание услуг и исчисляются с момента предоставления Заказчиком всех необходимых исходных данных и доступов. Просрочка предоставления Заказчиком исходных данных и (или) доступов не продлевает срок оказания услуги на соответствующий период.
Регламент не устанавливает гарантированных сроков начала работ или подготовки результатов. Подобные обязательства возникают только из согласованного задания на оказание услуг.
2.5. Право Заказчика на отказ от услуги
Заказчик вправе отказаться от любой из услуг в любой момент до подписания итогового документа по услуге, направив Исполнителю письменное уведомление. Расчёты по фактически выполненному объёму работ производятся в порядке, установленном договором.
Отказ от услуги, описываемой Регламентом, не влечёт отказа от договора поставки СЗИ и не является основанием для отказа Заказчика от приёмки СЗИ.
2.6. Право Исполнителя на приостановку и прекращение работ
Исполнитель вправе приостановить оказание услуги без каких-либо последствий на срок не более 60 дней, уведомив Заказчика, в случаях:
— непредоставления Заказчиком исходных данных, доступов, разрешений в согласованные сроки;
— выявления обстоятельств, при которых дальнейшее выполнение работ может повлечь риски для систем Заказчика или третьих лиц;
— обнаружения признаков того, что объект работ используется для деятельности, противоречащей законодательству Российской Федерации;
— нарушения Заказчиком условий договора, в том числе условий оплаты.
Если в течение 10 дней, причины приостановки не устранены, Исполнитель вправе прекратить оказание услуги в одностороннем порядке. Услуга считается оказанной вне зависимости от выполненного объёма в дату прекращения оказания услуги.
2.7. Приёмка результатов и претензионный порядок
1) Результаты услуги передаются Заказчику в виде документа, предусмотренного соответствующим разделом Регламента.
2) Заказчик обязан рассмотреть результат и сообщить Исполнителю об обнаруженных недостатках в порядке и сроки, установленные договором. В отсутствие таких сроков в договоре результат считается принятым по истечении 5 (пяти) рабочих дней с даты передачи.
3) Претензии, не направленные в установленный срок, к рассмотрению не принимаются.
4) После подписания итогового документа доработка результата производится только на основании отдельного задания и подлежит отдельной оплате.
2.8. Конфиденциальность
Сведения, полученные Исполнителем в ходе оказания услуг, не подлежат разглашению третьим лицам, за исключением случаев, прямо предусмотренных законодательством Российской Федерации либо письменным согласием Заказчика. Конкретный режим обращения с конфиденциальной информацией определяется договором и (или) соглашением о неразглашении.
3. ОГРАНИЧЕНИЯ ОТВЕТСТВЕННОСТИ И ОГОВОРКИ3.1. Услуги не являются
Услуги, описываемые Регламентом, носят характер сопутствующих работ при поставке СЗИ и НЕ являются:
— аудитом информационной безопасности;
— тестированием на проникновение (penetration testing);
— оценкой соответствия требованиям законодательства Российской Федерации в области информационной безопасности;
— оценкой соответствия требованиям иных нормативных, методических, отраслевых документов, если иное прямо не указано в задании на оказание услуг;
— обязательной либо добровольной сертификацией;
— услугой по защите персональных данных в значении главы 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
— программой дополнительного профессионального образования и (или) программой повышения квалификации в значении Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
— услугой по управлению уязвимостями, обеспечению информационной безопасности на регулярной основе либо иной услугой, носящей продолжительный характер.
3.2. Характер результатов услуг
1) Результаты услуг носят справочно-информационный характер и предназначены для использования Заказчиком в его внутренних задачах.
2) Результаты отражают состояние объекта работ на дату проведения соответствующих процедур. Любые последующие изменения объекта работ Исполнителем не учитываются.
3) Результаты не являются заключением Исполнителя о соответствии или несоответствии объекта работ требованиям законодательства, отраслевых либо локальных нормативных актов.
4) Результаты не являются гарантией отсутствия у объекта работ свойств, не выявленных в ходе оказания услуги (в том числе уязвимостей, недокументированных функций, конфигурационных ошибок).
5) Рекомендации, содержащиеся в результатах, носят характер экспертного мнения. Решение о применении рекомендаций и ответственность за такое решение лежат на Заказчике.
3.3. Пределы ответственности Исполнителя
Исполнитель не несёт ответственности перед Заказчиком и (или) третьими лицами за:
— прямые и косвенные убытки, упущенную выгоду, репутационный вред, возникшие в результате использования либо неиспользования Заказчиком результатов услуг;
— действия (бездействие) Заказчика и (или) его работников по результатам услуг;
— несоответствие систем Заказчика требованиям законодательства Российской Федерации и (или) требованиям регуляторов, если такое несоответствие существовало до начала оказания услуг или возникло после их окончания;
— воздействие на бизнес-процессы Заказчика, возникающее в результате применения Заказчиком рекомендаций, содержащихся в результатах услуг;
— корректность исходных данных, предоставленных Заказчиком.
Совокупная ответственность Исполнителя по каждому случаю в рамках конкретной услуги ограничена стоимостью этой услуги по соответствующему договору. Иной размер ответственности может быть установлен только письменным соглашением сторон.
3.4. Обстоятельства, исключающие ответственность
Исполнитель не несёт ответственности за неисполнение или ненадлежащее исполнение обязательств, если такое неисполнение вызвано обстоятельствами, находящимися вне его разумного контроля, в том числе:
— обстоятельствами непреодолимой силы;
— действиями (бездействием) Заказчика, его работников и привлечённых им лиц;
— отказами программных и аппаратных средств, не находящихся под управлением Исполнителя;
— ограничениями, введёнными органами государственной власти;
— нарушением работоспособности сетей связи общего пользования.
4. УСЛУГА № 1. ИНВЕНТАРИЗАЦИЯ СЕТЕВЫХ АКТИВОВ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ4.1. Цель услуги
Формирование перечня сетевых активов и установленного программного обеспечения в сегменте инфраструктуры Заказчика, согласованном сторонами, для последующего использования Заказчиком в его внутренних задачах.
4.2. Состав работ
В состав услуги входят:
1) сбор сведений о сетевых узлах в согласованных диапазонах адресов с применением штатных средств сетевого обнаружения;
2) получение сведений с узлов и СЗИ через штатные интерфейсы управления (в пределах прав доступа, предоставленных Заказчиком);
3) сведе́ние результатов в табличный вид;
4) формирование итогового документа в соответствии с разделом 4.4.
4.3. Не входит в состав услуги
В состав услуги НЕ входят, если иное прямо не указано в задании на оказание услуг:
— выявление, подтверждение и (или) эксплуатация уязвимостей сетевых активов;
— анализ конфигураций сетевых активов на корректность;
— оценка соответствия инвентаризационных данных требованиям законодательства или внутренних нормативных актов Заказчика;
— регулярное (периодическое) обновление перечня активов;
— обследование сегментов, не указанных в задании на оказание услуг;
— инвентаризация физических устройств, не подключённых к сети передачи данных;
— учёт лицензий на программное обеспечение;
— предоставление сведений в форматах, отличных от согласованного итогового документа.
4.4. Результат услуги
Результатом услуги является Акт инвентаризации сетевых активов и программного обеспечения, включающий:
— реквизиты сторон и договора;
— период проведения работ и согласованный объём;
— сводный перечень обнаруженных сетевых узлов с минимально необходимыми реквизитами;
— сводный перечень программного обеспечения, выявленного в пределах применённых методов сбора данных;
— оговорки об ограничениях применённых методов сбора данных.
4.5. Особые условия
1) Полнота результатов ограничена возможностями применённых методов сбора данных и объёмом доступа, предоставленного Заказчиком.
2) Узлы, недоступные на момент проведения работ либо защищённые средствами, препятствующими сбору сведений, в результат не включаются.
3) Перечень обнаруженного программного обеспечения отражает данные, доступные через штатные интерфейсы узлов; отсутствие позиции в перечне не означает отсутствия программного обеспечения на узле.
5. УСЛУГА № 2. РАЗОВАЯ ПРОВЕРКА ЗАЩИЩЁННОСТИ ПОРТАЛОВ УПРАВЛЕНИЯ5.1. Цель услуги
Разовое выявление известных уязвимостей и типовых ошибок конфигурации порталов управления поставленного СЗИ, выполняемое посредством автоматизированных средств анализа защищённости.
5.2. Состав работ
1) автоматизированный анализ заданных Заказчиком порталов управления поставленного СЗИ;
2) проверка наличия признаков типовых ошибок конфигурации (в пределах возможностей применённых средств);
3) ручная верификация выявленных индикаторов с целью устранения ложных срабатываний;
4) классификация выявленных уязвимостей по общепринятым шкалам оценки критичности;
5) формирование итогового документа в соответствии с разделом 5.5.
5.3. Не входит в состав услуги
В состав услуги НЕ входят:
— эксплуатация выявленных уязвимостей, подтверждение их возможности эксплуатации (proof-of-concept);
— тестирование на проникновение;
— атаки на отказ в обслуживании, подбор учётных данных, атаки на цепочки поставки, методы социальной инженерии;
— анализ исходного кода;
— анализ защищённости объектов, не указанных в задании на оказание услуг;
— выявление уязвимостей нулевого дня и иных уязвимостей, не известных применённым средствам анализа;
— разработка средств защиты от выявленных уязвимостей;
— устранение выявленных уязвимостей силами Исполнителя;
— повторная проверка после устранения выявленных уязвимостей.
5.4. Обязательные условия проведения
Услуга оказывается исключительно при одновременном соблюдении следующих условий:
1) наличие письменного разрешения Заказчика на проведение технического анализа защищённости с указанием перечня объектов;
2) согласование сторонами окна проведения работ;
3) подтверждение Заказчиком права распоряжения объектами анализа и отсутствия запретов третьих лиц на их анализ.
При несоблюдении любого из указанных условий Исполнитель вправе отказаться от оказания услуги без применения к нему мер ответственности.
5.5. Результат услуги
Результатом услуги является Протокол разовой проверки защищённости, включающий:
— реквизиты сторон, договора и письменного разрешения Заказчика;
— перечень проверенных объектов и применённых методов;
— сводную таблицу выявленных индикаторов с их классификацией по критичности;
— общие рекомендации по типовым направлениям устранения;
— оговорки об ограничениях применённых методов в соответствии с разделом 5.3.
5.6. Особые условия
1) Услуга является разовой и не носит характер постоянного контроля защищённости.
2) Результаты услуги отражают состояние объектов исключительно на дату и время выполнения проверки.
3) Отсутствие записи о той или иной уязвимости в результатах не означает её отсутствия в объекте проверки.
4) Исполнитель не несёт ответственности за уязвимости, которые не могут быть выявлены применёнными средствами анализа в принципе.
5) Применение рекомендаций, содержащихся в Протоколе, осуществляется Заказчиком самостоятельно и под его ответственность.
6. УСЛУГА № 3. ИНСТРУКТАЖ ПЕРСОНАЛА ПО ЭКСПЛУАТАЦИИ СЗИ6.1. Цель и правовой статус услуги
Цель услуги — передача персоналу Заказчика, ответственному за эксплуатацию поставленного СЗИ, базовых сведений о порядке штатной работы с СЗИ.
Услуга является внутренним корпоративным инструктажем, проводимым в рамках поставки технического изделия. Услуга НЕ является:
— программой дополнительного профессионального образования;
— программой повышения квалификации;
— программой профессионального обучения;
— иной формой реализации образовательной программы в значении Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».
Образовательная лицензия для проведения настоящего инструктажа не требуется. Документ, выдаваемый по итогам инструктажа, не является документом об образовании или о квалификации.
6.2. Состав работ
1) подготовка раздаточных материалов на основе типовой программы инструктажа;
2) проведение инструктажа в очной либо дистанционной форме в согласованную дату и время;
3) ответы на вопросы участников в пределах темы инструктажа;
4) оформление справок о прохождении инструктажа;
5) формирование ведомости участников.
6.3. Не входит в состав услуги
В состав услуги НЕ входят:
— проведение оценки знаний участников в любой форме (экзамены, тестирования, аттестации);
— выдача документов об образовании или о квалификации;
— консультации, выходящие за пределы темы инструктажа;
— консультации, оказываемые после даты проведения инструктажа;
— повторное проведение инструктажа для участников, не явившихся в согласованную дату;
— разработка индивидуальных программ обучения под требования Заказчика;
— обучение работе с продуктами третьих производителей, не входящими в состав поставленного СЗИ.
6.4. Результат услуги
— Ведомость участников инструктажа, подписываемая сторонами;
— Индивидуальные справки о прохождении инструктажа — по одной на каждого участника, фактически принявшего участие в инструктаже.
6.5. Особые условия
1) Состав участников фиксируется Заказчиком до даты проведения инструктажа. Замена участников после согласования допускается до начала инструктажа.
2) Участники, не прошедшие инструктаж в согласованную дату, повторно приглашаются только в рамках отдельного задания на оказание услуг.
3) Содержание и продолжительность инструктажа определяются типовой программой Исполнителя. Изменения программы вносятся по соглашению сторон до даты проведения инструктажа.
7. РАБОТА С КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ И ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Исполнитель относит сведения, получаемые в ходе оказания услуг, к информации ограниченного распространения и обеспечивает их защиту в соответствии с внутренними нормативными актами, принятыми у Исполнителя.
Конкретные требования к режиму обращения с такими сведениями, в том числе порядок передачи, сроки хранения и порядок уничтожения, устанавливаются договором и (или) соглашением о неразглашении, заключаемыми с Заказчиком.
Если в ходе оказания услуг Исполнителю становятся доступны персональные данные субъектов, обработка таких данных осуществляется в порядке, определяемом отдельным поручением Заказчика на обработку персональных данных, подготовленным в соответствии со статьёй 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В отсутствие такого поручения Исполнитель действует исходя из того, что доступ к персональным данным субъектов не предполагается.
8. ВНУТРЕННИЙ КОНТРОЛЬ И УЧЁТ ОКАЗАНИЯ УСЛУГ
В целях обеспечения контролируемости и прослеживаемости работ Исполнитель ведёт внутренние учётные записи, фиксирующие ключевые события в ходе оказания услуг, в том числе:
— начало и окончание оказания услуги по конкретному заданию;
— факт получения письменных разрешений Заказчика, необходимых для оказания услуги;
— факт передачи Заказчику итоговых документов по услуге.
Внутренние учётные записи ведутся в обособленном виде, отдельно от иных рабочих материалов, и обрабатываются исключительно работниками Исполнителя, имеющими соответствующие должностные обязанности. Формат, средства ведения и сроки хранения учётных записей устанавливаются внутренними нормативными актами Исполнителя и не раскрываются.
Выписка из внутренних учётных записей, относящаяся к конкретному Заказчику, может быть предоставлена Заказчику по его письменному запросу в порядке, согласованном сторонами.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
1) Настоящий Регламент вступает в силу с даты его утверждения единоличным исполнительным органом Исполнителя.
2) Изменения и дополнения в Регламент вносятся в одностороннем порядке. Действующая редакция размещается на сайте Исполнителя.
3) В случае противоречия между положениями Регламента и положениями договора, заключённого Исполнителем с Заказчиком, применяются положения договора.
4) Все споры, возникающие в связи с применением Регламента, разрешаются в порядке, определённом договором сторон. В отсутствие такого порядка применяются нормы действующего законодательства Российской Федерации.
5) Размещение Регламента в открытом доступе не означает передачу Исполнителем прав на содержание Регламента третьим лицам. Использование текста Регламента третьими лицами без письменного согласия Исполнителя не допускается.