Да, и это один из самых весомых аргументов в пользу проведения независимой экспертизы. Многие компании передают функции по обслуживанию IT-инфраструктуры и обеспечению безопасности сторонним подрядчикам. При этом договоры часто составлены формально, а ответственность подрядчика за реальный уровень защиты либо не прописана, либо описана крайне размыто. Экспертное заключение становится тем самым объективным документом, который позволяет доказать невыполнение обязательств.
Как это работает на практике:
Когда независимый аудитор проводит проверку, он выдает заключение, где черным по белому указано: «В нарушение пункта договора номер такой-то, подрядчиком не обеспечена защита каналов связи» или «Не выполнены требования по регулярному обновлению критических уязвимостей». Поскольку аудитор не связан отношениями с подрядчиком (независимость — ключевое условие), его выводы имеют высокую доказательную силу в арбитражных судах и досудебных разбирательствах.
- Основания для претензий:
- Несоблюдение согласованных ранее политик безопасности.
- Отсутствие документально подтвержденного реагирования на инциденты.
- Непредоставление отчетов о сканировании уязвимостей.
- Невыполнение регламентов резервного копирования.
- Факты, подтверждающие, что подрядчик использовал нелицензионное или устаревшее программное обеспечение, создавая дыры в защите.
Реальный кейс из практики: Крупная логистическая компания заключила договор на аутсорсинг безопасности. После проведения независимого аудита нашим центром «Федеральная экспертиза» выяснилось, что подрядчик в течение полугода не устанавливал критические обновления безопасности на серверах, ссылаясь на «риск несовместимости». В результате через неисправленную уязвимость злоумышленники получили доступ к базам данных клиентов. Заключение нашего эксперта позволило компании не только расторгнуть договор без штрафных санкций, но и взыскать с подрядчика компенсацию ущерба, которая покрыла 70 процентов потерь от утечки. Акт независимой экспертизы был признан судом ключевым доказательством.
Таким образом, заключение аудита — это не просто бумага для внутреннего пользования, а полноценный юридический документ, который защищает права заказчика.