Классификация услуг кибербезопасности на фрилансе

Аудит и оценка безопасности

• Экспресс-аудит сайта: базовая проверка защиты, поиск известных уязвимостей, анализ конфигурации (1-3 дня, от 500₽)
• Глубокий аудит безопасности: комплексная проверка всех компонентов, сканирование портов, анализ кода, проверка авторизации (5-10 дней, от 5 000₽)
• Аудит соответствия стандартам: ISO 27001, GDPR, PCI DSS, ФЗ-152 (7-14 дней, от 15 000₽)
• Аудит сетевой инфраструктуры: проверка конфигурации firewall, IDS/IPS, сегментации сети (3-7 дней, от 8 000₽)
• Аудит безопасности мобильных приложений: проверка iOS/Android приложений на уязвимости (5-7 дней, от 10 000₽)
• Аудит облачной инфраструктуры: проверка AWS, GCP, Azure, Яндекс.Облако (3-5 дней, от 7 000₽)
• Аудит исходного кода: SAST-анализ, поиск уязвимостей в коде (5-10 дней, от 12 000₽)

Тестирование на проникновение (Пентест)

• Веб-пентест: тестирование сайтов и веб-приложений (OWASP Top 10, SQLi, XSS, RCE) (3-7 дней, от 3 000₽)
• Пентест сети: тестирование внешней и внутренней сети, обход firewall (5-10 дней, от 8 000₽)
• Социальная инженерия: тестирование человеческого фактора, фишинговые кампании (2-5 дней, от 5 000₽)
• Пентест API: тестирование REST/GraphQL на авторизацию, валидацию данных (3-5 дней, от 4 000₽)
• Пентест беспроводных сетей: Wi-Fi, Bluetooth, NFC (2-3 дня, от 3 000₽)
• Физический пентест: проверка физической безопасности офисов (1-3 дня, от 7 000₽)
• Постэксплуатация: оценку последствий взлома, доказательство концепции (1-2 дня, от 2 000₽)

Настройка защиты и имплементация

• Установка и настройка WAF: Cloudflare, ModSecurity, Sucuri (1-2 дня, от 2 000₽)
• Настройка антивирусов и EDR: CrowdStrike, SentinelOne, Kaspersky (1-3 дня, от 3 000₽)
• Внедрение SIEM: Wazuh, Splunk, ELK Stack (5-14 дней, от 15 000₽)
• Шифрование данных: настройка шифрования на дисках, в базах, на каналах (2-4 дня, от 5 000₽)
• Настройка DLP-систем: предотвращение утечек данных (3-7 дней, от 10 000₽)
• Многофакторная аутентификация: MFA/2FA для всех систем (1-3 дня, от 2 000₽)
• Создание системы резервного копирования: 3-2-1 backup, аварийное восстановление (2-5 дней, от 4 000₽)

Инцидент-менеджмент и реагирование

• Реагирование на инцидент: локализация атаки, сбор цифровых следов, блокировка угроз (4-24 часа, от 5 000₽)
• Криминалистика: анализ взломанных систем, восстановление цепочки атаки (2-5 дней, от 8 000₽)
• Восстановление после ransomware: расшифровка, восстановление данных (1-7 дней, от 10 000₽)
• Устранение последствий взлома: чистка сайта от шеллов, вирусов, бэкдоров (1-3 дня, от 3 000₽)
• Настройка мониторинга: 24/7 monitoring, IDS/IPS, SOC-as-a-Service (ежемесячно, от 15 000₽)
• Разработение плана IR: Incident Response Plan, runbooks (3-7 дней, от 7 000₽)

Консалтинг и обучение

• Разработка политик безопасности: IS Policy, Acceptable Use Policy (2-5 дней, от 5 000₽)
• Оценка рисков: Risk Assessment, Risk Mitigation Plan (3-7 дней, от 8 000₽)
• Консультации по compliance: подготовка к сертификации ISO, SOC2 (5-10 дней, от 10 000₽)
• Обучение сотрудников: курсы по кибергигиене, фишинг-тесты (1-5 дней, от 3 000₽)
• Виртуальный CISO: частичная занятость руководителя ИБ (ежемесячно, от 50 000₽)
• Аудит подрядчиков: проверка безопасности поставщиков (2-4 дня, от 6 000₽)
• Пентест как услуга (PTaaS): регулярное тестирование по подписке (ежемесячно, от 20 000₽)

Инструкция для заказчика: как получить качественную защиту

Как составить техническое задание (ТЗ) на услуги кибербезопасности

Правильно составленное ТЗ снижает риски недопонимания на 80% и помогает сэкономить до 30% времени и бюджета.

Обязательные разделы ТЗ:

Название проекта и тип услуги (аудит/пентест/внедрение)
Описание системы: сайт (CMS, версия, хостинг), сеть (диапазоны IP), приложения
Цели и ожидаемый результат: что должно быть найдено/исправлено
Область тестирования: какие URL, IP, функции включены/исключены
Сроки: жесткие дедлайны или гибкие рамки
Бюджет: точная сумма или диапазон
Репортаж: формат отчета (PDF, doc), детализация, шаблон
Доступы: предоставлять ли тестовые аккаунты, VPN, белый IP
Ограничения: время тестирования, нагрузка, критичные системы
Дальнейшая поддержка: нужна ли помощь с исправлением уязвимостей

Таблица-чек-лист выбора исполнителя

Про-совет

Не выбирайте исполнителя только по цене. Самые дешевые предложения (500-1000₽ за пентест) часто означают автоматический запуск сканера без анализа. Качественная ручная проверка начинается от 3000₽ для простого сайта.

Таблица сроков и стоимости работ (2025)

Что влияет на увеличение сроков:

• Непредоставление доступов заказчиком (добавляет 1-2 дня)
• Ограничения по времени тестирования (только ночью/выходные)
• Сложность инфраструктуры (микросервисы, кластеры)
• Требование демонстрации эксплуатации уязвимости (PoC)

Инструкция для фрилансера: как успешно продавать услуги ИБ

Как оформить профиль и портфолио для максимальной конверсии

Ключевые элементы профиля:

Фото/аватар: профессиональное фото в деловом стиле или логотип студии с четким фоном
Заголовок: не просто "Информационная безопасность", а "Пентестер | Сертифицированный OSCP | 50+ безопасных проектов"
Описание: 1500-2000 символов с упоминанием ниши (web, cloud, mobile), опыта, инструментов, подхода
Специализации: выбрать 3-5 близких специализаций (Пентест, Аудит, Защита сайтов, Консалтинг)
Верификация: пройти все возможные проверки личности, телефона, почты, соцсетей
Кейсы в портфолио: минимум 10 детальных кейсов с задачей, решением, результатом (цифры, скриншоты)
Сертификаты: загрузить все сканы сертификатов (CEH, OSCP, CISSP и т.д.)
Видео-визитка: 60-секундное видео о себе и подходе к работе (повышает доверие на 40%)

Таблица расчета оптимальной ставки

Стратегия ценообразования:

Новичкам (0-2 года опыта): 800-1 200₽/час — привлекайте заказы низкой ценой и накопите отзывы
Специалистам (3-5 лет): 1 500-2 500₽/час — формируйте портфолио и повышайте стоимость
Экспертам (5+ лет, сертификаты): 3 000-5 000₽/час — работайте с крупными проектами и ведите команду

Топ-15 must-have инструментов фрилансера ИБ

Burp Suite Professional — Веб-пентест, сканирование уязвимостей ($449/год)
Nessus Professional — Сканирование сетевых уязвимостей ($2 990/год)
Kali Linux — Базовый инструментарий пентестера (Бесплатно)
Metasploit Pro — Эксплуатация уязвимостей ($2 000/год)
Wireshark — Анализ сетевого трафика (Бесплатно)
Nmap + NSE — Сканирование портов и служб (Бесплатно)
OWASP ZAP — Сканирование веб-приложений (Бесплатно)
Acunetix — Автоматический веб-аудит ($4 500/год)
BloodHound — Анализ Active Directory (Бесплатно)
SQLMap — Тестирование SQL-инъекций (Бесплатно)
Hashcat — Взлом хешей паролей (Бесплатно)
Proxmark3 — Тестирование RFID/NFC ($300 (оборудование))
Maltego — OSINT и разведка (Бесплатно/платно)
VPS для тестов — Свой сервер для безопасного тестирования (От $5/мес)
VPN сервис — Для безопасного подключения (От $3/мес)

Стартовый набор новичка (бюджет 0₽):

Kali Linux + Nmap + OWASP ZAP + Wireshark + SQLMap + Metasploit Community + GitHub для портфолио

Профессиональный набор (бюджет ~500 000₽/год):

Все платные инструменты выше + VPS + VPN + PRO-аккаунты на биржах + сертификация OSCP (~$1 500)

Уникальные разделы

Типовой договор на оказание услуг кибербезопасности (шаблон)

Важно:

Данный шаблон является базовым. Для каждого проекта адаптируйте под конкретные условия. Обязательно включите NDA (соглашение о неразглашении) до начала работы.

1. Предмет договора

Исполнитель обязуется выполнить Заказчику работы по пентесту/аудиту/внедрению информационной безопасности в объеме, сроки и на условиях, определенных настоящим договором и Техническим заданием (Приложение №1).

2. Права и обязанности сторон

• Исполнитель: Гарантирует конфиденциальность, соблюдает этические нормы, предоставляет отчет, удаляет все полученные данные после завершения
• Заказчик: Предоставляет необходимые доступы, технику и информацию, своевременно оплачивает работы, не мешает выполнению

3. Стоимость работ и порядок расчетов

• Общая стоимость: XXX XXX₽
• Предоплата (50%): XXX XXX₽ — в течение 24 часов после подписания договора
• Финальный платеж (50%): XXX XXX₽ — в течение 3 дней после принятия отчета
• Работа выполняется через Безопасную сделку с полным резервированием суммы

4. Сроки выполнения

• Начало работ: ДД.ММ.ГГГГ
• Завершение работ: ДД.ММ.ГГГГ
• Допускается просрочка не более 3 дней при уведомлении Заказчика за 24 часа

5. Отчетность и приемка работ

• Исполнитель предоставляет отчет в формате PDF в течение 3 дней после завершения тестирования
• Отчет должен содержать: executive summary, найденные уязвимости (CVSS scoring), proof-of-concept, рекомендации по исправлению, приложения (скриншоты, логи)
• Заказчик обязан рассмотреть отчет в течение 5 рабочих дней и предоставить обоснованные замечания

6. Гарантии и ответственность

• Исполнитель гарантирует конфиденциальность всех данных Заказчика в течение 3 лет после завершения работ
• Исполнитель не несет ответственности за возможные сбои в работе систем во время тестирования, если они вызваны критическими уязвимостями
• Заказчик гарантирует, что имеет полномочия на поручение работ и предоставление доступов
• Исполнитель обязуется не использовать найденные уязвимости в злых целях и не передавать данные третьим лицам

7. Форс-мажор

Стороны освобождаются от ответственности за неисполнение обязательств при форс-мажорных обстоятельствах (DDoS-атаки, отключение электроэнергии, санкции).

8. Конфиденциальность и NDA

• Все данные, полученные в ходе работы, являются конфиденциальной информацией Заказчика
• Исполнитель подписывает отдельное NDA до начала работ
• Нарушение NDA влечет штраф в размере 3x стоимости договора

9. Порядок разрешения споров

Все споры решаются в рамках Арбитража биржи. Внешняя переписка по проекту ведется только через чат платформы.

10. Досрочное расторжение

• Заказчик может расторгнуть договор до начала работ, вернув предоплату за вычетом 20% в возмещение расходов
• После начала работ досрочное расторжение возможно только по согласованию сторон или через Арбитраж

Разбор реального кейса с комментариями обеих сторон

Кейс: Пентест интернет-магазина на 1C-Bitrix
15 000₽ | 5 дней

Задача: Проверить защищенность интернет-магазина заказчика от взлома, найти критические уязвимости, дать рекомендации.

Заказчик (Александр, владелец e-commerce):
Я долго выбирал исполнителя, смотрел портфолио. Остановился на Иване, потому что у него было много кейсов на Bitrix и хорошие отзывы. В ТЗ четко указал, что не хочу, чтобы сайт лег во время тестирования. Иван сделал все очень профессионально — нашел 3 критические уязвимости, которые мы немедленно исправили. Отчет был понятным, без воды. Единственное, что смутило — срок сдвинулся на 1 день, но Иван за 2 дня до дедлайна предупредил, что нужно больше времени на тестирование платежной системы. В итоге, мы закрыли все уязвимости, и через месяц нас действительно попытались взломать, но защита выдержала. Это лучшие 15 000₽, которые я потратил на безопасность.

Фрилансер (Иван, пентестер с 8-летним опытом):
Когда я увидел проект, сразу понял — это классика. Bitrix, корзина, личный кабинет, интеграция с 1С. В ТЗ Александр указал, что у них Black Friday через 2 недели, поэтому нужно успеть до него. Я сразу взял 5 дней с запасом. Проблема была в том, что доступ к тестовой среде дали только на 2 день, плюс обнаружили, что платежная система на отдельном поддомене с белым IP-адресом. Пришлось переписать методологию. Нашел SQLi в фильтре товаров, XSS в отзывах и RCE через старый модуль. В отчете сделал акцент на PoC-примерах, чтобы разработчикам было понятно. Александр быстро все исправил, даже прислал скриншоты. Честно говоря, я ожидал, что он будет тормозить с оплатой, но через Безопасную сделку все прошло мгновенно. После завершения проекта я бесплатно проконсультировал его по настройке WAF. Теперь это постоянный клиент на поддержку.

Итоги со стороны заказчика:

• Нашел критические уязвимости до хакеров
• Отчет был понятным и детальным
• Профессиональный подход и коммуникация
• Быстрое исправление с PoC-примерами
• Небольшая задержка по сроку (но с предупреждением)
• Защита сработала при реальной атаке

Итоги со стороны фрилансера:

• Точное попадание в нишу (Bitrix)
• Профессиональное управление ожиданиями
• Предупреждение о рисках и задержках
• Дополнительная ценность (консультация по WAF)
• Безопасная сделка и быстрая оплата
• Превратил в постоянного клиента

Динамика средних цен на услуги кибербезопасности (2020-2025)

2020: 5 000₽
2021: 5 800₽
2022: 6 700₽
2023: 7 800₽
2024: 9 500₽
2025: 11 200₽

Тренды роста цен:

• За 5 лет средняя стоимость пентеста выросла на 124% из-за увеличения сложности систем и требований регуляторов
• Самый высокий рост показали услуги внедрения SIEM (+180%) и виртуальный CISO (+200%)
• Тарифы фрилансеров растут быстрее, чем в агентствах (в среднем на 25% в год vs 15%)
• Пик спроса — осень и зима (подготовка к черной пятнице и отчетным периодам)
• Начиная с 2023 года, спрос на пентесты вырос на 60% после серии крупных утечек данных в РФ

Прогноз на 2026:

Ожидается дальнейший рост цен на 15-20%. AI-инструменты для тестирования снизят стоимость рутинных работ, но повысят цену на экспертный анализ. Появятся новые ниши: защита от deepfake, аудит AI-систем, квантовая безопасность.

Аналитический блок: тренды, ошибки и лайфхаки

Тренды кибербезопасности в 2025 году

1. Взрывной рост атак с использованием AI

80% фишинговых писем теперь генерируются нейросетями. Требуется ручная проверка всех социальных векторов.

2. Supply Chain Attacks (атаки на цепочки поставок)

60% взломов происходит через уязвимости подрядчиков. Аудит безопасности партнеров стал мастхэвом.

3. Zero Trust Architecture

Переход от "доверяй, но проверяй" к "никому не доверяй". Внедрение принципов нулевого доверия в топе запросов.

4. Cloud Security и микросервисы

75% компаний используют облака, но только 30% правильно настроили безопасность. Аудит облаков — самая быстрорастущая ниша.

5. Ransomware 2.0

Экстортионисты теперь не только шифруют данные, но и угрожают их опубликованием. Требуется комплексная защита + страхование.

6. Deepfake и биометрические атаки

Новая угроза — подделка голоса и видео для обхода биометрии. Появился спрос на аудит биометрических систем.

7. Cyber Insurance

Страховые компании требуют сертификатов безопасности для выдачи полисов. Пентест становится обязательным.

8. Automated Red Teaming

Автоматизация тестирования защитных механизмов. Ручной пентест дополняется автоматическими инструментами.

Таблица частых ошибок заказчиков и фрилансеров

Лайфхаки для заказчиков: как сэкономить и получить лучший результат

1. Заказывайте комплексные услуги

Комбо "аудит + пентест + настройка WAF" обходится на 25-30% дешевле, чем по отдельности. Большинство фрилансеров дают скидки на объем.

2. Готовьте доступы заранее

Подготовка тестовых аккаунтов, белого IP и дампа базы сокращает срок работы на 1-2 дня, а значит экономит 20-30% бюджета.

3. Выбирайте "сезон"

В январе-феврале и июле-августе спрос на ИБ падает на 30%, фрилансеры снижают цены. Это лучшее время для плановых аудитов.

4. Заключайте долгосрочные контракты

Подписка на PTaaS (Penetration Test as a Service) обходится на 40% дешевле разовых тестов, плюс вы получаете приоритет в очереди.

5. Используйте Bug Bounty гибрид

Запустите приватную bug bounty программу на HackerOne + привлеките фрилансера для валидации. Экономия до 50% по сравнению с классическим пентестом.

6. Просите пример отчета еще на этапе выбора

Качественный отчет стоит 50% успеха. Если фрилансер не может показать пример — это красный флаг.

7. Требуйте фиксированную цену

Работа по часам (hourly) часто выходит дороже. Фиксированная цена с четкими требованиями — ваш лучший выбор.

Лайфхаки для фрилансеров: как взять больше заказов и заработать больше

1. Создайте "продуктовые" услуги

Вместо "пентест сайта" создайте пакеты: "Базовый" (5000₽, 3 дня, 5 страниц), "Стандарт" (15000₽, 7 дней, 20 страниц), "Премиум" (30000₽, 14 дней, инфраструктура). Повышает конверсию в 3 раза.

2. Используйте триггеры в описании

Фразы "Найду уязвимость за 24 часа или верну деньги", "50+ безопасных проектов", "OSCP сертифицирован" увеличивают доверие и ценник.

3. Автоматизируйте рутину

Настройте автоматические сканеры (Nessus, OpenVAS) на ночь, а днем делайте ручной анализ. Экономия 30% времени.

4. Создайте лонгрид-отчет

Делайте отчет не просто списком уязвимостей, а историей: "Как я мог украсть вашу базу клиентов". Заказчики ценят истории и возвращаются на 70% чаще.

5. Продавайте "страх", а не услугу

Вместо "я сделаю пентест" пишите "защищу ваш бизнес от штрафа 6% от выручки по 152-ФЗ". Конверсия в заявку выше в 4 раза.

6. Используйте сквозные продажи

После пентеста предложите помощь с исправлением (+50% к чеку), потом настройку мониторинга (+100% к чеку), потом обучение сотрудников (+30% к чеку). LTV клиента вырастает в 5 раз.

7. Создайте личный бренд

Ведите telegram-канал с кейсами, пишите в habr, выступайте на конференциях. Прямые обращения через бренд дают заказы на 40% дороже.