Аудит кибербезопасности

Полный спектр услуг кибербезопасности: пентест веб-приложений и инфраструктуры, аудит ИБ, защита от DDoS, compliance (152-ФЗ, GDPR, PCI DSS), реагирование на инциденты и внедрение SOC. Сертифицированные специалисты OSCP, CEH, CISSP.

7 услуг · от 100 000 ₽

Аудит кибербезопасности стоит от 100 000 до 2 000 000 ₽. Пентест веб-приложения — от 150 000 ₽ (2-4 недели). Аудит инфраструктуры — от 200 000 ₽. Комплексный аудит ИБ — от 300 000 ₽ (1-3 месяца). Compliance (152-ФЗ, GDPR) — от 200 000 ₽. SOC — от 300 000 ₽/проект. AppStar Security — 50+ аудитов, сертифицированные специалисты OSCP/CEH.

УслугаБазовыйОптимальныйПремиумСроки
Пентест веб-приложения150 000 ₽400 000 ₽1 000 000 ₽2-6 недель
Пентест инфраструктуры200 000 ₽500 000 ₽1 200 000 ₽2-8 недель
Аудит информационной безопасности300 000 ₽700 000 ₽1 500 000 ₽4-12 недель
Защита от DDoS100 000 ₽250 000 ₽600 000 ₽1-4 недели
Compliance (152-ФЗ, GDPR, PCI DSS)200 000 ₽500 000 ₽1 200 000 ₽4-12 недель
Incident Response (реагирование на инциденты)150 000 ₽350 000 ₽800 000 ₽1-4 недели
Security Operations Center (SOC)300 000 ₽800 000 ₽2 000 000 ₽4-16 недель

Базовый

150 000 ₽

от

  • Сканирование уязвимостей
  • Базовый отчёт
  • Рекомендации по исправлению
  • Повторная проверка
  • 1 мес консультации
Бесплатная консультация
Оптимальный

Оптимальный

400 000 ₽

от

  • Ручной пентест + автоматизация
  • Детальный отчёт с приоритетами
  • Помощь с исправлениями
  • Обучение команды
  • 3 мес мониторинга
Обсудить проект

Премиум

1 000 000 ₽

от

  • Red Team операция
  • Executive-отчёт для руководства
  • Полное устранение уязвимостей
  • Security Awareness тренинг
  • Внедрение SIEM/SOC
  • 12 мес мониторинга
Бесплатная консультация

Что влияет на цену

Масштаб инфраструктуры (серверы, сервисы)

Тип тестирования (black/gray/white box)

Требуемые стандарты (152-ФЗ, GDPR, PCI DSS)

Количество веб-приложений и API

Необходимость Social Engineering

Регулярность аудитов

Как мы работаем

1

Определение scope и методологии

Согласуем границы тестирования: IP-адреса, домены, приложения, исключения. Выбираем методологию (OWASP, PTES, NIST) и тип тестирования (black/gray/white box).

2

Сканирование и тестирование

Проводим автоматическое сканирование (Nessus, Burp Suite) и ручное тестирование. Проверяем OWASP Top 10, бизнес-логику, авторизацию, инъекции, конфигурации.

3

Анализ и составление отчёта

Классифицируем уязвимости по CVSS, приоритизируем по бизнес-риску. Составляем детальный отчёт с proof-of-concept для каждой уязвимости и executive summary для руководства.

4

Рекомендации и устранение уязвимостей

Предоставляем конкретные рекомендации по исправлению. В пакетах Optimal и Premium помогаем с устранением. Проводим повторное тестирование после исправлений.

Окупаемость

Предотвращение потерь от взлома (средний ущерб — 5-50 млн ₽)

Средний ущерб от кибератаки на российскую компанию — 5-50 млн ₽ (данные, простой, репутация). Пентест за 150 000-400 000 ₽ выявляет критические уязвимости до того, как их найдут злоумышленники. ROI — от 10x до 100x.

Соответствие требованиям регуляторов (152-ФЗ, GDPR)

Штрафы за нарушение 152-ФЗ — до 18 млн ₽, GDPR — до 4% годового оборота. Аудит compliance стоит от 200 000 ₽ и защищает от многомиллионных штрафов. Также необходим для работы с госсектором и крупными компаниями.

Снижение рисков утечки данных на 90%

Комплексный аудит ИБ + устранение уязвимостей снижает вероятность успешной атаки на 85-95%. Регулярные аудиты (раз в 6-12 месяцев) поддерживают высокий уровень защиты. Внедрение SOC обеспечивает круглосуточный мониторинг угроз.

Вопросы и ответы

Сколько стоит пентест веб-приложения?
Пентест веб-приложения стоит от 150 000 до 1 000 000 ₽. Basic за 150 000 ₽ — автоматическое сканирование + верификация находок, отчёт с рекомендациями. Optimal за 400 000 ₽ — полный ручной пентест по OWASP, тестирование бизнес-логики, помощь с исправлениями. Premium за 1 000 000 ₽ — Red Team подход, social engineering, тестирование API и мобильных клиентов, полное устранение уязвимостей.
Чем отличается black box от white box тестирования?
Black box — тестирование без доступа к исходному коду (имитация внешнего хакера). Gray box — частичный доступ (учётные записи, документация). White box — полный доступ к коду, архитектуре и инфраструктуре. Black box дешевле (от 150 000 ₽), но находит меньше уязвимостей. White box дороже (от 300 000 ₽), но покрывает 90%+ поверхности атаки. Рекомендуем gray box как оптимальный баланс цена/качество.
Как часто нужно проводить аудит безопасности?
Рекомендуемая частота: пентест — раз в 6-12 месяцев и после крупных обновлений. Сканирование уязвимостей — ежемесячно. Аудит compliance — ежегодно (требование PCI DSS). Аудит после инцидента — немедленно. Для компаний с PCI DSS — ежеквартальное ASV-сканирование обязательно. Оптимально: годовой контракт с 2 пентестами + ежемесячный мониторинг.
Что включает аудит информационной безопасности?
Комплексный аудит ИБ включает: инвентаризацию IT-активов, оценку политик безопасности, проверку контроля доступа, анализ сетевой архитектуры, тестирование резервного копирования, оценку физической безопасности, проверку соответствия стандартам (152-ФЗ, GDPR). Результат — детальный отчёт с классификацией рисков и дорожная карта улучшений. Стоимость — от 300 000 ₽, срок — 1-3 месяца.
Как защититься от DDoS-атак?
Защита от DDoS включает: анализ текущей инфраструктуры, настройка WAF (Web Application Firewall), подключение CDN с DDoS-фильтрацией (Cloudflare, Qrator), настройка rate limiting, geo-blocking, challenge pages. Basic за 100 000 ₽ — базовая защита L3-L4. Optimal за 250 000 ₽ — защита L3-L7, WAF-правила, мониторинг. Premium за 600 000 ₽ — круглосуточный SOC, автоматическое реагирование, SLA 99.9%.
Что такое compliance-аудит (152-ФЗ, GDPR, PCI DSS)?
Compliance-аудит проверяет соответствие требованиям регуляторов. 152-ФЗ — защита персональных данных (обязательно для всех компаний в РФ). GDPR — работа с данными граждан ЕС. PCI DSS — обработка банковских карт. Аудит включает: gap-анализ, разработку недостающих документов, технические меры защиты, подготовку к проверке регулятора. Стоимость — от 200 000 ₽, срок — 1-3 месяца.
Что делать при кибер-инциденте?
При инциденте критически важна скорость реагирования. Наш Incident Response включает: локализацию угрозы (изоляция поражённых систем), сбор и сохранение цифровых доказательств, анализ вектора атаки, устранение уязвимости, восстановление систем, составление отчёта для регуляторов. Время реакции — от 2 часов. Стоимость — от 150 000 ₽. Рекомендуем заранее заключить retainer-контракт.
Что такое SOC и зачем он нужен?
SOC (Security Operations Center) — центр мониторинга безопасности 24/7. Включает: SIEM-систему для сбора и корреляции событий, команду аналитиков, playbook-ы реагирования на инциденты, threat intelligence. SOC обнаруживает атаки в реальном времени — среднее время обнаружения сокращается с 207 дней (без SOC) до нескольких часов. Стоимость внедрения — от 300 000 ₽, поддержка — от 200 000 ₽/мес.
Какие сертификации имеют ваши специалисты?
Наши специалисты имеют ведущие международные сертификации: OSCP (Offensive Security Certified Professional) — практический пентест, CEH (Certified Ethical Hacker) — этичный хакинг, CISSP — управление ИБ, CISA — аудит ИС, CompTIA Security+ — основы безопасности. Опыт команды — от 5 до 15 лет в кибербезопасности. 50+ успешных аудитов для компаний от стартапов до enterprise.
Можно ли провести пентест без остановки сервисов?
Да, пентест проводится без остановки сервисов. Мы используем неразрушающие методы тестирования: не удаляем данные, не модифицируем конфигурации, не проводим DoS-атаки (если не согласовано). Тестирование можно запланировать на нерабочие часы для минимизации влияния. В редких случаях (тест отказоустойчивости) возможны кратковременные сбои — это всегда согласовывается заранее.
Что такое Social Engineering тестирование?
Social Engineering (SE) тестирование проверяет человеческий фактор безопасности: фишинговые email-кампании (клик-рейт сотрудников), вишинг (телефонные звонки), физическое проникновение (пропускная система), подброс USB-накопителей. Результат — процент сотрудников, поддавшихся атаке, и рекомендации по обучению. SE-тестирование включено в Premium-пакет или заказывается отдельно от 100 000 ₽.
Как выглядит отчёт о пентесте?
Отчёт о пентесте включает: Executive Summary (1-2 страницы для руководства), методология тестирования, обнаруженные уязвимости с CVSS-оценкой, proof-of-concept для каждой уязвимости (скриншоты, запросы), оценка бизнес-рисков, конкретные рекомендации по исправлению с приоритетами, сравнение с предыдущим аудитом (если был). Формат — PDF 30-100 страниц + приложения.
Чем пентест отличается от сканирования уязвимостей?
Сканирование уязвимостей — автоматическое, находит известные уязвимости (CVE), занимает часы, стоит от 50 000 ₽. Пентест — ручная работа эксперта, проверяет бизнес-логику, цепочки уязвимостей, специфические сценарии атак, занимает недели, стоит от 150 000 ₽. Сканирование даёт список уязвимостей, пентест — реальную картину рисков. Рекомендуем: ежемесячное сканирование + пентест раз в 6-12 месяцев.
Обеспечиваете ли вы конфиденциальность результатов?
Абсолютно. Перед началом работ подписываем NDA (соглашение о неразглашении). Результаты аудита доступны только согласованным лицам. Все данные передаются по защищённым каналам (шифрование). После завершения проекта тестовые данные и доступы удаляются. Наши специалисты имеют допуск к работе с конфиденциальной информацией. За 10+ лет работы — ноль утечек данных клиентов.
Можно ли заказать разовый пентест или нужен годовой контракт?
Доступны оба варианта. Разовый пентест — от 150 000 ₽, подходит для первичной оценки безопасности. Годовой контракт включает 2-4 пентеста, ежемесячное сканирование, приоритетный Incident Response, скидку 15-20%. Для компаний с PCI DSS годовой контракт обязателен (ежеквартальное ASV-сканирование). Рекомендуем начать с разового пентеста, затем перейти на годовой формат.

Полезные статьи

Другие категории

Готовы начать проект?

Получите бесплатную консультацию и индивидуальный расчёт стоимости вашего проекта от экспертов AppStar.

Обсудить проект