Цель: безопасное и регламентированное завершение сотрудничества, оставив заказчика полностью самодостаточным в управлении переданной системой.

Передача результатов и документации

Поставщик передает полный пакет документов, обеспечивающий независимое использование и поддержку системы:

Техническая документация: схемы архитектуры, руководства администратора и пользователя, регламенты операций. Исходные коды и конфигурации: если разрабатывалось ПО или скрипты. Акты и отчеты: акты ПСИ, акты выполненных работ, отчеты по аудиту. Ключи и пароли: все доступы и ключи шифрования передаются защищенным каналом (например, зашифрованный архив с паролем, переданным отдельным каналом).

Роль менеджера по продажам: координация процесса передачи, контроль полноты пакета документов. Полный комплект — показатель качественной услуги.

Безусловное отзывание доступов

Обязательная процедура для предотвращения рисков утечки и соответствия требованиям регуляторов (КИИ, 152-ФЗ, ФСТЭК, ФСБ).

Процесс:

Поставщик предоставляет заказчику список всех учетных записей, созданных для его сотрудников (обычные и привилегированные). Заказчик самостоятельно отключает или удаляет эти учетные записи. Все пароли и ключи доступа, к которым имели доступ сотрудники поставщика, должны быть изменены, включая стандартные и сервисные аккаунты. Процесс документируется и подтверждается официальным письмом заказчика о полном отзыве доступов.

Почему это важно:

Бывшие сотрудники с активными учетными записями — потенциальная угроза инсайдерской атаки или случайной утечки. Регуляторы проверяют строгий контроль доступа и своевременное его прекращение.

Принцип "Need to Know" — исключение

Если сохраняется договор на поддержку или развитие:

Доступ предоставляется только конкретным сотрудникам, которым это критично для выполнения задач. Доступ ограничен конкретными компонентами системы (например, сервер мониторинга, но не база ПДн). Матрица доступа формализуется и согласовывается между CISO заказчика и руководителем отдела поставщика: Кто? К чему? На каком основании? До какого срока? Регулярный пересмотр (ежеквартально) и отзыв доступа для тех, кому он больше не нужен.

Итог: формальное закрытие проекта обеспечивает полную независимость заказчика, минимизирует риски утечки и соответствует требованиям регуляторов.