Написать в ТГ
Опубликовано: 03.02.2026

Договор с подрядчиком: как закрепить безопасность без лишней бюрократии

Если безопасность не оформлена правилами, она становится “на совести” людей. А люди меняются: у подрядчика уходят сотрудники, у вас меняется менеджер, и через полгода никто не помнит, кто что обещал. Поэтому критичные вещи должны быть закреплены в договоре и рабочем регламенте.

Ниже — что стоит предусмотреть владельцу бизнеса.

1) Границы ответственности: кто за что отвечает

Нужно явно прописать:

  • что подрядчик отвечает за безопасность тех работ, которые он выполняет (и как это измеряется);
  • какие действия считаются нарушением (например, передача доступов третьим лицам без согласования);
  • кто отвечает за доступы и учетные записи в внешних сервисах (часто это зона “ничья”).

Смысл: в инциденте не должно быть “это не мы, это где-то там”.

2) Управление доступами: как выдаются и как отзываются

Закрепите:

  • доступы выдаются по заявке и подтверждению уполномоченного лица;
  • доступы минимальные по роли;
  • при окончании работ или смене команды доступы отзываются в срок (например, в течение 1 рабочего дня);
  • все админ‑доступы остаются у заказчика или у заказчика есть полный контроль и возможность восстановить доступ.

3) Хранение и передача секретов (ключи, пароли, токены)

Пропишите:

  • запрет хранить секреты в переписках и публичных документах;
  • где они хранятся и кто имеет доступ;
  • порядок замены ключей при подозрении на утечку или смене команды.

Это резко снижает риск “потом выяснили, что токен гулял по чатам год”.

4) Реакция на инциденты: не “когда-нибудь”, а по времени

Нужна понятная схема:

  • как подрядчик принимает сообщение об инциденте (канал и ответственные);
  • время реакции на критичное (например, в течение 30–60 минут в рабочее время);
  • порядок информирования заказчика (что сообщают, как часто обновляют статус);
  • порядок временных мер (как быстро вернуть работоспособность) и финальных (устранение причины).

Для бизнеса важно не “идеально”, а предсказуемо.

5) Передача результатов: чтобы не остаться заложником

В договоре закрепите, что вы получаете:

  • доступы к репозиторию/исходникам (если применимо);
  • инструкции по запуску и базовой поддержке;
  • список интеграций и настроек;
  • контакты и порядок эскалации.

Это позволяет сменить подрядчика без остановки бизнеса.

6) Прозрачность: отчеты и логика работы

Укажите:

  • формат регулярного отчета (раз в неделю/месяц);
  • учет задач и статусы (чтобы было видно, что делается);
  • фиксация изменений (что поменяли и когда).

Это влияет на безопасность напрямую: прозрачность уменьшает “серые зоны”, где и появляются риски.

← К списку статей "Безопасность проекта"
Ссылка скопирована