Каждый год компания СКБ Контур проводит конкурс для предпринимателей «Я Бизнесмен», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.
Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.
Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.
Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать
Нередки ситуации, когда тендер прошел успешно, услуги оказаны, товары поставлены, однако результат не соответствует ожиданиям заказчика. При этом формально исполнитель выполнил требования контракта. Чаще всего причина кроется в неграмотно составленном техническом задании.
Непродуманное техническое задание ведет и к другим неприятностям. Исполнитель на этапе реализации проекта может столкнуться со сложностями, которые не были заранее известны. Это может помешать выполнению контракта.
При подготовке ТЗ для тендера желательно руководствоваться требованиями стандарта ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы». Документ поможет выстроить четкую структуру технического задания, определить разделы, которые будут заполняться необходимыми требованиями.
Рассмотрим, на что нужно обратить внимание при заполнении документа.
С этого раздела традиционно начинается техническое задание. В нем заказчик указывает наименование системы. Предоставляет информацию о себе — полное и сокращенное наименования, адрес расположения. Если юридический и фактический адрес различаются, следует указать оба, чтобы избежать неправильного толкования исполнителем.
В данном разделе нужно указать основание для проведения работ, оказания услуг и цели создания системы.
Зачастую основанием для создания системы выступают требования законодательства. В таком случае необходимо перечислить нормативные документы, в соответствии с которыми система должна быть создана. Например, требования 152-ФЗ «О персональных данных».
В подразделе «Цели создания системы» заказчик приводит характеристики и показатели, которые должны быть достигнуты в результате создания системы. Например, «Защита персональных данных, передаваемых по открытым каналам связи».
Заказчику следует внимательно отнестись к заполнению данного раздела, так как именно он позволит исполнителю понять, каковы ожидания заказчика от создаваемой системы и в соответствии с какими документами создается система.
Этот раздел посвящен описанию существующей инфраструктуры заказчика. Лучше заполнить этот раздел максимально подробно.
Здесь указываются сведения о существующих объектах информатизации: точное количество рабочих станций, серверов, адреса и места их расположения, использующиеся операционные системы, наличие подключений к информационно-телекоммуникационным сетям международного обмена, имеющиеся средства защиты информации, сведения об условиях эксплуатации информационных систем и иная информация, которую стоит учесть при подготовке технического решения.
Подробное и качественное заполнение данного раздела позволит исполнителю сформировать оптимальное техническое решение.
В данном разделе указывают требования к системе защиты, которым она должна соответствовать. Раздел можно условно поделить на два подраздела — общие требования к системе и требования к функциям, выполняемым системой.
В подразделе «Общие требования к системе» указывают:
Для каждой из подсистем, описанных ранее, устанавливается перечень функций, задач, которые должны быть реализованы системой защиты информации. Например, для подсистемы управления доступом устанавливается требование по ограничению неуспешных попыток входа в информационную систему.
При заполнении данного раздела можно ориентироваться на требования руководящих документов в области информационной безопасности. Текущая нормативная база, например, в части защиты персональных данных, позволяет корректно сформировать требования к подсистемам защиты информации.
Отдельными подразделами в «Требованиях к функциям, выполняемым системой» советуем выделить «Требования к программным средствам» и «Требования к техническим средствам».
В данном подразделе к программным средствам системы защиты следует указать:
В подразделе указываются:
Данный раздел должен содержать перечень стадий и этапов работ по созданию системы. Обязательно указываются сроки их выполнения для эффективного контроля работы. Заказчик может сформировать требование по перечню документов, предъявляемых по окончании соответствующих стадий и этапов работ.
В данном разделе заказчик описывает общие требования к приемке работ. Можно предусмотреть порядок согласования и утверждения отчетной документации по каждой стадии и этапу работ либо целиком по всему комплексу работ.
Например, необходим подписанный ответственными лицами заказчика акт о выполнении работ по каждому из этапов. По завершении работ и подписании акта выполненных работ будут приниматься во внимание отдельные акты по каждому из этапов.
Один из завершающих разделов — «Требования к исполнителю».
В данном разделе указывается, какими лицензиями должен обладать исполнитель. Указываются требования по количеству и квалификациям специалистов исполнителя для выполнения работ. Важно понимать, что требования к исполнителю должны быть обоснованы и аргументированы, иначе на требования заказчика может быть подана жалоба.
На данном этапе указываются гарантийные требования заказчика. В требованиях к гарантийному сопровождению можно указать вид требуемого сопровождения — по телефону, почте, онлайн-консультант на сайте исполнителя. Можно указать требования по обработке обращений об инцидентах — часы обработки инцидентов, уровень обслуживания заказчика, время реагирования на обращение и пр.
Заказчик указывает требования к перечню подлежащих разработке исполнителем комплектов и видов документов, требования по предоставлению документов.
Например, документы должны быть предоставлены в печатном виде на бумажном носителе и в электронном виде, записанные на носитель CD-Rom, DVD-Rom.
Заказчик не знает, на основании какого документа подготовить техническое задание.
За основу можно взять ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» и наполнить документ необходимым материалом.
В разных местах одного и того же технического задания идут противоречия.
Перед публикацией технического задания его следует тщательно проверить. Заказчику стоит понимать, что если техническое задание не будет качественно разработано, он рискует получить некачественную услугу, работы, товар.
Сжатые сроки выполнения технического задания.
Часто встречаются техзадания, в которых прописаны очень сжатые сроки выполнения работ. Заказчик руководствуется своими мотивами, однако рискует получить некачественные услуги, работы, товары.
Мы рекомендуем заказчикам при подготовке ТЗ обращать больше внимания на раздел «Состав и содержание работ». В этом пункте можно детализировать работы и разбить их на отдельные этапы, провести анализ сроков выполнения каждого из этапов. Это позволит получить более объективную картину по срокам выполнения всего ТЗ.
В техническом задании прописаны требования к несуществующим продуктам.
Встречаются технические задания, в которых заказчик провел тщательный анализ существующих на рынке продуктов, отобрал характеристики каждого из продуктов, которые показались ему привлекательными, и свел требования в одно техническое задание. Может получиться ситуация, что продукта, отвечающего всем требованиям, на рынке нет.
Чтобы избежать данной ситуации, рекомендуем при составлении ТЗ выделять наиболее значимые характеристики, которые есть у ряда товаров. После подготовки технического задания следует еще раз проверить заявленные требования по техническим характеристикам на предмет соответствия реальным товарам на рынке.
При подготовке ТЗ на работы / услуги часто встречаются варианты, когда не зафиксирован четкий перечень работ / услуг, не определены результаты оказания работ / услуг.
В таких случаях вероятны конфликты между заказчиком и исполнителем, поскольку оказанные исполнителем услуги или работы не будут соответствовать ожиданиям заказчика. Чтобы этого не произошло, заказчику при подготовке ТЗ необходимо больше внимания уделять разделам «Основание проведения работ. Цели создания системы» и «Состав и содержание работ». Практика показывает, что лучше разбить работы на отдельные этапы. Описать требования к каждому из этапов, зафиксировать сроки выполнения и результаты работ по каждому из этапов. Эти действия позволят улучшить контроль за выполнением работ или оказанием услуг.
Грамотно составленное техническое задание будет полезно одновременно и исполнителю и заказчику. Исполнителю оно позволит адекватно оценить масштаб работ без дополнительных запросов и разъяснений, а также предложить наиболее подходящее заказчику техническое решение. Заказчику — позволит получить качественно выполненную работу по созданию системы защиты, максимально соответствующую его ожиданиям.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
в своей практике столкнулся с поставщиком услуг, который очень грубо нарушал не только требования ТЗ, но и требования законодательства в области ЗИ. например, вместо сертифицированных средств ЗИ устанавливал несертифицированные, да к тому же и не выполняющие требования по классу защищенности ИС. Зачастую заказчик не имеет знаний и навыков, чтобы проверить выполнение всех требований, соответствующих классу защищенности ИС.
Думаю, для заказчиков было бы интересно узнать, каким образом осуществлять приемку результатов работы.
Вопросы приемки результатов работ обязательно рассмотрим в следующих публикациях.