В эпоху IT-аутсорсинга и облачных технологий бизнес все чаще передает функции защиты информации сторонним провайдерам (MSSP). Однако стандартные договоры на обслуживание часто ограничиваются гарантиями доступности (Uptime), игнорируя качественные показатели киберзащиты. Для реального контроля над подрядчиком необходимо детальное соглашение об уровне сервиса SLA безопасность в котором становится измеримой, контролируемой и финансово обеспеченной категорией. Без четких метрик безопасности в SLA заказчик покупает «кота в мешке».
SLA (Service Level Agreement) в сфере ИБ — это не просто декларация намерений, а юридический механизм, трансформирующий абстрактное понятие «надежность» в конкретные временные нормативы реакции на инциденты и финансовые штрафы за их нарушение.
Ключевые метрики безопасности в SLA
Эффективное соглашение SLA должно оперировать цифрами, а не прилагательными. Юристы Ви Эф Эс Консалтинг при разработке таких контрактов настаивают на внедрении специфических метрик, отличных от стандартных IT-параметров. В договоре должны быть жестко зафиксированы:
- Time to Detect (TTD) — максимальное время с момента возникновения инцидента до его обнаружения системой мониторинга или специалистами SOC.
- Time to Notify (TTN) — время, отведенное исполнителю на уведомление заказчика об инциденте. Для критических угроз (Critical Severity) это время может исчисляться минутами (например, не более 15 минут).
- Time to Resolve (TTR) — предельное время на локализацию угрозы и полное устранение последствий.
- RPO (Recovery Point Objective) — допустимый объем потери данных (на какой момент времени производится восстановление из бэкапа).
Нарушение любого из этих параметров должно автоматически влечь за собой начисление сервис-кредитов (штрафных баллов), которые конвертируются в денежную компенсацию или скидку на услуги следующего периода.
Разграничение зон ответственности
Частой причиной споров является «серая зона» ответственности. В SLA необходимо четко прописать матрицу ответственности (RACI): кто отвечает за обновление антивирусных баз, кто — за патч-менеджмент серверной ОС, а кто — за настройку фаерволов. Например, если взлом произошел через уязвимость, патч для которой вышел месяц назад, но не был установлен провайдером, ответственность целиком ложится на него. Если же взлом произошел из-за слабого пароля сотрудника заказчика — провайдер освобождается от ответственности, при условии, что он предоставил инструменты для политики паролей.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
Финансовые гарантии и штрафы
Соглашение об уровне сервиса SLA безопасность теряет смысл без ощутимых санкций. Мы рекомендуем использовать прогрессивную шкалу штрафов:
- За единичное нарушение сроков реакции — предупреждение или малый штраф (1-5% от месячной платы).
- За систематическое нарушение (более 3 раз в месяц) — повышенный штраф (до 20-30%).
- За критический инцидент с утечкой данных по вине исполнителя — возмещение реального ущерба и право на одностороннее расторжение договора без штрафных санкций для заказчика.
Аудит и отчетность
Доверяй, но проверяй. В SLA должен быть включен пункт о праве заказчика на проведение независимого аудита безопасности инфраструктуры провайдера или предоставляемого сервиса. Исполнитель обязан предоставлять детализированные отчеты (Log-файлы, записи действий администраторов) по первому требованию. Отсутствие прозрачности в отчетности часто является первым сигналом проблем с безопасностью на стороне провайдера.
Важно понимать: подписание SLA не освобождает заказчика (оператора ПДн) от ответственности перед регуляторами (Роскомнадзор, ФСТЭК). Однако наличие грамотного договора позволяет в порядке регресса переложить финансовое бремя на нерадивого контрагента.
Специфика облачных SLA
При работе с облачными провайдерами (SaaS, IaaS) возможностей для торга меньше, так как они работают по публичным офертам. Однако для крупных корпоративных клиентов (Enterprise) возможно подписание индивидуальных условий SLA. В таких случаях мы добиваемся включения пунктов о суверенитете данных (гарантия, что данные не покинут территорию РФ) и приоритетной техподдержке в случае DDoS-атак.
Внедрение детализированного SLA по безопасности — это признак зрелости бизнес-процессов компании. Это инструмент, который позволяет перевести диалог с IT-подрядчиками на язык цифр, денег и четких обязательств, обеспечивая непрерывность бизнеса.