Требуется специалист по информационной безопасности для выполнения ряда практических лабораторных работ в виртуальных средах VMware. Задачи включают настройку политик безопасности, анализ трафика, аудит систем на базе Linux.
Требуется опытный специалист по безопасности для проведения глубокого тестирования на проникновение (penetration testing) веб-приложения почтового сервиса. Необходимо выявить сложные и неочевидные уязвимости, так как поверхностные проверки уже проведены.
Требуется эксперт для немедленной нейтрализации мощной DDoS-атаки на веб-ресурс. Стандартные средства защиты (Cloudflare) не справляются, сайт размещен на VPS. Нужен специалист по кибербезопасности с опытом работы в подобных ситуациях.
Требуется специалист по Cyber Threat Intelligence и OSINT для исследования группы доменов, выявления связей между ними и анализа их сетевой инфраструктуры. В задачи входит определение IP-адресов, хостинг-провайдеров и общих элементов.
Требуется специалист по киберразведке (CTI/OSINT) для исследования связи между указанными доменами. Необходимо проанализировать их инфраструктуру, исторические и текущие IP-адреса, хостинг-провайдеров и выявить общие элементы.
Требуется комплексная проверка кибербезопасности сайта с помощью пентестинга для выявления критических уязвимостей и оценки защиты данных. Цель - предотвратить потенциальные взломы и утечки информации.
Требуется специалист для анализа сетевой инфраструктуры, внедрения и настройки решений Anti-DDoS. В задачи входит разработка рекомендаций, создание правил защиты и исследование атак в лабораторных условиях.
Требуется провести комплексный пентест внутренней сети предприятия. По результатам необходимо подготовить детальный отчет с выявленными уязвимостями и предоставить рекомендации по их устранению.
Ежедневно в мире происходит более 300 000 кибератак. Средний ущерб от успешной атаки для малого и среднего бизнеса составляет 120 000₽ — 500 000₽, а для крупных компаний может достигать десятков миллионов. Заказ услуг кибербезопасности на фрилансе позволяет получить экспертную помощь в 3-5 раз дешевле, чем в агентствах, при этом сохраняя качество и гарантии.
На бирже вы найдете сертифицированных специалистов с опытом от 5 до 25 лет, готовых выполнить работы от экспресс-аудита за 1 день до комплексных проектов по защите инфраструктуры сроком на несколько месяцев.
Правильно составленное ТЗ снижает риски недопонимания на 80% и помогает сэкономить до 30% времени и бюджета.
Название проекта и тип услуги (аудит/пентест/внедрение)
Описание системы: сайт (CMS, версия, хостинг), сеть (диапазоны IP), приложения
Цели и ожидаемый результат: что должно быть найдено/исправлено
Область тестирования: какие URL, IP, функции включены/исключены
Сроки: жесткие дедлайны или гибкие рамки
Бюджет: точная сумма или диапазон
Репортаж: формат отчета (PDF, doc), детализация, шаблон
Доступы: предоставлять ли тестовые аккаунты, VPN, белый IP
Ограничения: время тестирования, нагрузка, критичные системы
Дальнейшая поддержка: нужна ли помощь с исправлением уязвимостей
| Критерий | Что проверять | Вес критерия | Минимальный порог |
|---|---|---|---|
| Сертификация | CEH, OSCP, OSWP, CISSP, CompTIA Security+, GIAC | 10% | Хотя бы 1 активный сертификат |
| Опыт работы | Количество лет в ИБ, количество проектов | 15% | От 3 лет опыта |
| Портфолио | Реальные примеры отчетов, кейсы, скриншоты | 15% | Минимум 5 кейсов |
| Отзывы и рейтинг | Количество отзывов, средняя оценка, наличие негатива | 12% | Рейтинг 4.8+/5.0, от 20 отзывов |
| Безопасная сделка | Готовность работать через гарант биржи | 10% | Обязательное условие |
| Время отклика | Сколько часов отвечает на первое сообщение | 8% | Не более 4 часов |
| Детализация предложения | Насколько подробно описан подход, методология, инструменты | 10% | Минимум 500 символов |
| Гарантии | Переработка, поддержка после завершения, NDA | 8% | Гарантия 14 дней минимум |
| Цена | Соотношение стоимости и рыночной цены | 7% | Не ниже рынка на 50% |
| Специализация | Фокус на вашей нише (web, cloud, mobile) | 5% | Прямая специализация |
Не выбирайте исполнителя только по цене. Самые дешевые предложения (500-1000₽ за пентест) часто означают автоматический запуск сканера без анализа. Качественная ручная проверка начинается от 3000₽ для простого сайта.
| Тип работы | Минимальный срок | Средний срок | Стоимость от | До | Факторы влияния на цену |
|---|---|---|---|---|---|
| Экспресс-аудит сайта | 4 часа | 1 день | 500₽ | 2 000₽ | Количество страниц, CMS, наличие доступов |
| Глубокий аудит безопасности | 3 дня | 7 дней | 5 000₽ | 25 000₽ | Размер инфраструктуры, тип систем, требования к отчетности |
| Веб-пентест | 2 дня | 5 дней | 3 000₽ | 20 000₽ | Количество endpoints, уровень доступа, сложность авторизации |
| Пентест сети | 3 дня | 10 дней | 8 000₽ | 50 000₽ | Количество хостов, сегментация, наличие IDS/IPS |
| Аудит ISO 27001 | 7 дней | 14 дней | 15 000₽ | 80 000₽ | Размер организации, текущий уровень зрелости, объем документации |
| Внедрение SIEM | 5 дней | 21 день | 15 000₽ | 100 000₽ | Количество источников логов, требования к корреляции, хранение данных |
| Реагирование на инцидент | 4 часа | 3 дня | 5 000₽ | 30 000₽ | Сложность атаки, масштаб заражения, необходимость криминалистики |
| Виртуальный CISO | 30 дней | Постоянно | 50 000₽ | 200 000₽/мес | Размер компании, отрасль, количество часов в месяц |
• Непредоставление доступов заказчиком (добавляет 1-2 дня)
• Ограничения по времени тестирования (только ночью/выходные)
• Сложность инфраструктуры (микросервисы, кластеры)
• Требование демонстрации эксплуатации уязвимости (PoC)
Фото/аватар: профессиональное фото в деловом стиле или логотип студии с четким фоном
Заголовок: не просто "Информационная безопасность", а "Пентестер | Сертифицированный OSCP | 50+ безопасных проектов"
Описание: 1500-2000 символов с упоминанием ниши (web, cloud, mobile), опыта, инструментов, подхода
Специализации: выбрать 3-5 близких специализаций (Пентест, Аудит, Защита сайтов, Консалтинг)
Верификация: пройти все возможные проверки личности, телефона, почты, соцсетей
Кейсы в портфолио: минимум 10 детальных кейсов с задачей, решением, результатом (цифры, скриншоты)
Сертификаты: загрузить все сканы сертификатов (CEH, OSCP, CISSP и т.д.)
Видео-визитка: 60-секундное видео о себе и подходе к работе (повышает доверие на 40%)
| Статья расходов | Расчет | Пример (руб/мес) | Процент от ставки |
|---|---|---|---|
| Плановый доход | Желаемый доход × 12 месяцев | 1 200 000₽ | 100% |
| Налоги (самозанятый, ИП) | 6% (самозанятый) или 6% + взносы (ИП) | 72 000₽ | 6% |
| Комиссия биржи | От 7,5% до 20% в зависимости от оборота | 120 000₽ (10%) | 10% |
| Оборудование и ПО | Компьютер, Burp Pro, Nessus, VPN, VPS | 60 000₽ | 5% |
| Обучение и сертификация | Курсы, экзамены, подписки на платформы | 100 000₽ | 8% |
| Маркетинг и продвижение | PRO-аккаунт, реклама, личный сайт | 40 000₽ | 3% |
| Резервный фонд | На "сухие" месяцы и форс-мажоры | 120 000₽ | 10% |
| Необходимый годовой оборот | Сумма всех расходов + плановый доход | 1 712 000₽ | 142% |
| Необходимый месячный оборот | Годовой оборот ÷ 12 | 142 667₽ | - |
| Чистые часы работы в месяц | 22 дня × 6 продуктивных часов | 132 часа | - |
| Минимальная ставка в час | Месячный оборот ÷ часы | 1 081₽/час | - |
Новичкам (0-2 года опыта): 800-1 200₽/час — привлекайте заказы низкой ценой и накопите отзывы
Специалистам (3-5 лет): 1 500-2 500₽/час — формируйте портфолио и повышайте стоимость
Экспертам (5+ лет, сертификаты): 3 000-5 000₽/час — работайте с крупными проектами и ведите команду
Burp Suite Professional — Веб-пентест, сканирование уязвимостей ($449/год)
Nessus Professional — Сканирование сетевых уязвимостей ($2 990/год)
Kali Linux — Базовый инструментарий пентестера (Бесплатно)
Metasploit Pro — Эксплуатация уязвимостей ($2 000/год)
Wireshark — Анализ сетевого трафика (Бесплатно)
Nmap + NSE — Сканирование портов и служб (Бесплатно)
OWASP ZAP — Сканирование веб-приложений (Бесплатно)
Acunetix — Автоматический веб-аудит ($4 500/год)
BloodHound — Анализ Active Directory (Бесплатно)
SQLMap — Тестирование SQL-инъекций (Бесплатно)
Hashcat — Взлом хешей паролей (Бесплатно)
Proxmark3 — Тестирование RFID/NFC ($300 (оборудование))
Maltego — OSINT и разведка (Бесплатно/платно)
VPS для тестов — Свой сервер для безопасного тестирования (От $5/мес)
VPN сервис — Для безопасного подключения (От $3/мес)
Kali Linux + Nmap + OWASP ZAP + Wireshark + SQLMap + Metasploit Community + GitHub для портфолио
Все платные инструменты выше + VPS + VPN + PRO-аккаунты на биржах + сертификация OSCP (~$1 500)
Данный шаблон является базовым. Для каждого проекта адаптируйте под конкретные условия. Обязательно включите NDA (соглашение о неразглашении) до начала работы.
Исполнитель обязуется выполнить Заказчику работы по пентесту/аудиту/внедрению информационной безопасности в объеме, сроки и на условиях, определенных настоящим договором и Техническим заданием (Приложение №1).
Стороны освобождаются от ответственности за неисполнение обязательств при форс-мажорных обстоятельствах (DDoS-атаки, отключение электроэнергии, санкции).
Все споры решаются в рамках Арбитража биржи. Внешняя переписка по проекту ведется только через чат платформы.
Кейс: Пентест интернет-магазина на 1C-Bitrix
15 000₽ | 5 дней
Задача: Проверить защищенность интернет-магазина заказчика от взлома, найти критические уязвимости, дать рекомендации.
Заказчик (Александр, владелец e-commerce):
Я долго выбирал исполнителя, смотрел портфолио. Остановился на Иване, потому что у него было много кейсов на Bitrix и хорошие отзывы. В ТЗ четко указал, что не хочу, чтобы сайт лег во время тестирования. Иван сделал все очень профессионально — нашел 3 критические уязвимости, которые мы немедленно исправили. Отчет был понятным, без воды. Единственное, что смутило — срок сдвинулся на 1 день, но Иван за 2 дня до дедлайна предупредил, что нужно больше времени на тестирование платежной системы. В итоге, мы закрыли все уязвимости, и через месяц нас действительно попытались взломать, но защита выдержала. Это лучшие 15 000₽, которые я потратил на безопасность.
Фрилансер (Иван, пентестер с 8-летним опытом):
Когда я увидел проект, сразу понял — это классика. Bitrix, корзина, личный кабинет, интеграция с 1С. В ТЗ Александр указал, что у них Black Friday через 2 недели, поэтому нужно успеть до него. Я сразу взял 5 дней с запасом. Проблема была в том, что доступ к тестовой среде дали только на 2 день, плюс обнаружили, что платежная система на отдельном поддомене с белым IP-адресом. Пришлось переписать методологию. Нашел SQLi в фильтре товаров, XSS в отзывах и RCE через старый модуль. В отчете сделал акцент на PoC-примерах, чтобы разработчикам было понятно. Александр быстро все исправил, даже прислал скриншоты. Честно говоря, я ожидал, что он будет тормозить с оплатой, но через Безопасную сделку все прошло мгновенно. После завершения проекта я бесплатно проконсультировал его по настройке WAF. Теперь это постоянный клиент на поддержку.
Итоги со стороны заказчика:
Итоги со стороны фрилансера:
2020: 5 000₽
2021: 5 800₽
2022: 6 700₽
2023: 7 800₽
2024: 9 500₽
2025: 11 200₽
Тренды роста цен:
Ожидается дальнейший рост цен на 15-20%. AI-инструменты для тестирования снизят стоимость рутинных работ, но повысят цену на экспертный анализ. Появятся новые ниши: защита от deepfake, аудит AI-систем, квантовая безопасность.
80% фишинговых писем теперь генерируются нейросетями. Требуется ручная проверка всех социальных векторов.
60% взломов происходит через уязвимости подрядчиков. Аудит безопасности партнеров стал мастхэвом.
Переход от "доверяй, но проверяй" к "никому не доверяй". Внедрение принципов нулевого доверия в топе запросов.
75% компаний используют облака, но только 30% правильно настроили безопасность. Аудит облаков — самая быстрорастущая ниша.
Экстортионисты теперь не только шифруют данные, но и угрожают их опубликованием. Требуется комплексная защита + страхование.
Новая угроза — подделка голоса и видео для обхода биометрии. Появился спрос на аудит биометрических систем.
Страховые компании требуют сертификатов безопасности для выдачи полисов. Пентест становится обязательным.
Автоматизация тестирования защитных механизмов. Ручной пентест дополняется автоматическими инструментами.
| Этап | Ошибка заказчика | Последствия | Ошибка фрилансера | Последствия |
|---|---|---|---|---|
| Подготовка | Не предоставляет доступы, думает, что пентест "извне" | +2-3 дня, неполный охват, упущены внутренние уязвимости | Не требует тестовую среду, тестит на продакшене | Возможный downtime, потеря данных, отрицательный отзыв |
| ТЗ | Написал двумя предложениями без деталей | Исполнитель не понимает объем, спор о доработках, арбитраж | Не уточняет детали, сразу начинает работу | Переделки без доплаты, срыв сроков, низкий рейтинг |
| Выполнение | Меняет ТЗ "на ходу", добавляет новый домен | +100% времени, дополнительная оплата, срыв дедлайнов | Не документирует найденное в реальном времени | Потеря данных, невозможность воспроизвести уязвимости |
| Отчет | Требует "поменять CVSS" чтобы было не так страшно | Этичный конфликт, возможный взлом потом, потеря репутации фрилансера | Не согласовывает отчет перед отправкой | Заказчик в шоке от количества уязвимостей, отказ от оплаты |
| Исправление | Не исправляет критические уязвимости "потом займусь" | Взлом через месяц, обвинение фрилансера "что не предупредил" | Не проверяет исправления после patch | Уязвимость остается, заказчик думает, что все ок, потом взлом |
| Оплата | Просит работать без Безопасной сделки "я же честный" | Мошенничество в 90% случаев, потеря денег | Соглашается на работу без резерва | Не получает деньги, потеря времени, моральный ущерб |
| Поддержка | Требует бесплатных консультаций через месяц после завершения | Фрилансер теряет время, возможный конфликт | Не обсуждает срок поддержки в договоре | Бесконечные вопросы, невозможность взять новые проекты |
| Репутация | Обещает "кучу работ" если сделаешь дешевле | Работа по заниженной цене, демпинг | Соглашается на демпинг "ради отзыва" | Формирование привычки к низким ценам, выгорание |
Комбо "аудит + пентест + настройка WAF" обходится на 25-30% дешевле, чем по отдельности. Большинство фрилансеров дают скидки на объем.
Подготовка тестовых аккаунтов, белого IP и дампа базы сокращает срок работы на 1-2 дня, а значит экономит 20-30% бюджета.
В январе-феврале и июле-августе спрос на ИБ падает на 30%, фрилансеры снижают цены. Это лучшее время для плановых аудитов.
Подписка на PTaaS (Penetration Test as a Service) обходится на 40% дешевле разовых тестов, плюс вы получаете приоритет в очереди.
Запустите приватную bug bounty программу на HackerOne + привлеките фрилансера для валидации. Экономия до 50% по сравнению с классическим пентестом.
Качественный отчет стоит 50% успеха. Если фрилансер не может показать пример — это красный флаг.
Работа по часам (hourly) часто выходит дороже. Фиксированная цена с четкими требованиями — ваш лучший выбор.
Вместо "пентест сайта" создайте пакеты: "Базовый" (5000₽, 3 дня, 5 страниц), "Стандарт" (15000₽, 7 дней, 20 страниц), "Премиум" (30000₽, 14 дней, инфраструктура). Повышает конверсию в 3 раза.
Фразы "Найду уязвимость за 24 часа или верну деньги", "50+ безопасных проектов", "OSCP сертифицирован" увеличивают доверие и ценник.
Настройте автоматические сканеры (Nessus, OpenVAS) на ночь, а днем делайте ручной анализ. Экономия 30% времени.
Делайте отчет не просто списком уязвимостей, а историей: "Как я мог украсть вашу базу клиентов". Заказчики ценят истории и возвращаются на 70% чаще.
Вместо "я сделаю пентест" пишите "защищу ваш бизнес от штрафа 6% от выручки по 152-ФЗ". Конверсия в заявку выше в 4 раза.
После пентеста предложите помощь с исправлением (+50% к чеку), потом настройку мониторинга (+100% к чеку), потом обучение сотрудников (+30% к чеку). LTV клиента вырастает в 5 раз.
Ведите telegram-канал с кейсами, пишите в habr, выступайте на конференциях. Прямые обращения через бренд дают заказы на 40% дороже.
Выберите свой путь: защитите свой бизнес или станьте экспертом востребованной сферы
Найти исполнителя за 5 минут
Создать профиль фрилансера