Взаимоотношения со сторонним разработчиком - Форум по вопросам информационной безопасности

Коллеги, добрый день!

Скажите, кто-нибудь сталкивался с ситуацией, когда стороннему разработчику предоставляется полный доступ к 1С вместе с базой для допиливания системы под нужды организации?
Поручено сделать некое Соглашение, в котором будет прописана ответственность за разглашение конфиденциальной информации, в том числе ПДн. Некое NDA... только, помимо разглашения, в него надо включить и ответственность за возможное нарушение работы...видение впринципе есть, но боюсь что-то упустить..
Подскажите, какие еще могут быть риски в данном вопросе? Что нужно учесть? Если найдется шаблон подобного Соглашения, то ваще круть!

Основной риск - "ответственность за возможное нарушение работы":
1. Вам придется долго и упорно искать стороннего разработчика, который согласится подписать договор с материальной ответственностью
2. Если вы найдете такого, и если, не дай бог, случится сбой, разработчик пошлет вас далеко и надолго в суд по месту нахождения ответчика
3. В суде вы с удивлением узнаете, что разработчик не несет ответственности за ошибки в ПО, и этот пункт договора распространяется только на нарушение прав эксплуатации (т.е на нарушения требований руководств по 1С. И доказывать эти нарушения, даже если они были, вы будете до морковкиных заговин. Еще столько же вы будете доказывать размер своих убытков.
4. Даже если вы каким-то чудом докажете суду наушения, разработчик покажет суду свой почти бесприбыльный баланс, поплачется, что выплата установленной договором неустойки приведет к банкротству и невыполнению обязательств по договорам с другими клиентами, и суд на основании статьи 333 ГК РФ снизит сумму неустойки, если она будет в договоре, до смешного размера.

Т.е. этим пунктом вы создаете себе геморрой и ничего не получите взамен.

" только, помимо разглашения, в него надо включить и ответственность за возможное нарушение работы.."

Нарушение работы на какой стадии?
Например, при разработке вовсе не обязательно использовать "боевую" систему, разработчикам достаточно сделать слепок системы и базы данных и работать уже с копией. В крайней случае, можно (и нужно) настроить резервирование. Если что-то пошло не так, всегда можно будет сделать откат к стабильному состоянию.

Если уж хотите прописать ответственность, то придётся это делать максимально подробно, иначе доказать вину разработчика будет сложно.

"боевую" базу конечно для разработки никто не будет использовать, но она находится на том же сервере, что и тестовые базы. И доступ к рабочей базе у разработчиков тоже есть.

пока что моей фантазии хватило добавить к типовому NDA пункт в раздел "Обязанности сторон":

- Не допускать действий, приводящих к нарушению (частичному или полному) работоспособности компонентов системы «1C:Предприятие 8» и сервера, на котором расположена система «1C:Предприятие 8». Вывод из строя или неправомерное изменение режимов работы компонентов системы обработки информации, их модификация или подмена могут приводить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей.

Я так полагаю этого мало?

Хочу еще добавить раздел Ответственность сторон за действия при работе с ИР, а также за последствия, вызванные этими действиями.

Еще по-хорошему бы установить некие правила работы: требования к паролям, требования по наличию средств антивирусной защиты...что еще?