Делаем пентест, аудит соответствия и оформляем заключение для регулятора в одном договоре с фиксированной ценой. Один исполнитель — от тестирования до подачи документов в Банк России или ФСТЭК.
Hackski работает по лицензиям ФСТЭК и ФСБ России и аккредитован как аудитор по ГОСТ Р 57580. Это позволяет выдавать заключения, принимаемые регуляторами без посредников и без перепроверки сторонними подрядчиками.
| Стандарт / орган | Что мы можем выдать |
|---|---|
| Лицензии ФСТЭК России | Лицензия на техническую защиту конфиденциальной информации (ТЗКИ). Оценка соответствия по ОУД4 (ГОСТ Р ИСО/МЭК 15408-3-2013) с регистрацией заключения в реестре ФСТЭК. Аттестация объектов информатизации. |
| Лицензия ФСБ России | Работы со средствами криптографической защиты информации в системах ДБО и платёжных интеграциях. |
| Аккредитация по ГОСТ Р 57580 | Аудит соответствия по методике ГОСТ Р 57580.2-2019 с выдачей заключения для подачи в Банк России. |
Под каждый периметр — формат отчёта, принимаемый соответствующим адресатом: QSA-аудитор, Банк России, ФСТЭК или внутренний CISO. Никаких посредников и перепроверок.
| Регулятор / стандарт | Норма | Кому подаётся |
|---|---|---|
| PCI DSS v4.0 | Раздел 11.4 — внешнее и внутреннее тестирование на проникновение, проверка сегментации (11.4.5); раздел 6.4 — безопасная разработка | Аудитор QSA клиента |
| Банк России | Положения 851-П, 757-П, 787-П; Методические рекомендации 2-МР (январь 2025) | Банк России — куратор |
| ГОСТ Р 57580 | ГОСТ Р 57580.1-2017 (требования) и ГОСТ Р 57580.2-2019 (методика оценки) | Заключение выдаём сами |
| ОУД | ОУД4 по ГОСТ Р ИСО/МЭК 15408-3-2013 | Заключение во ФСТЭК — выдаём сами |
| Внутренний аудит | Регламент службы информационной безопасности или СВА банка | CISO / руководитель СВА |
Банки с активами 20–100 млрд ₽
Региональные и корпоративные. Готовим к плановой проверке Банка России или закрываем требования по ГОСТ Р 57580.
МФО, страховые, НПФ
Микрофинансовые, страховые, негосударственные пенсионные фонды и другие финансовые организации под надзором Банка России.
Процессинговые центры
Процессинги и эмитенты платёжных карт, работающие с PCI DSS. Готовим отчёт для QSA-аудитора клиента.
Подготовка к проверке
Финансовые организации, готовящиеся к плановой проверке Банка России, обновлению сертификации PCI DSS или закрытию внутреннего аудита.
В каждом пакете — два возможных варианта: «только пентест» с отчётом для регулятора или вариант «под ключ» — пентест + аудит соответствия + выдача официального заключения. Финальный чек зависит от периметра: количество внешних IP-адресов, веб-приложений, критичных систем, географии офисов.
Помимо формальных проверок регуляторных стандартов мы умеем работать с пятью направлениями, которые в банковских проектах обычно требуют отдельного подрядчика — но у нас идут в одном договоре.
Обход контролей в платёжных операциях, состояния гонки в обработке транзакций, манипуляция лимитами и комиссиями, обход проверок KYC и противодействия отмыванию доходов, атаки на бонусные и реферальные программы, обход двухфакторной аутентификации через нестандартные сценарии. Включена в любой пентест приложений по умолчанию.
Промпт-инъекции в чат-ботах для клиентов и сотрудников, обход контролей в моделях кредитного скоринга и антифрод-системах, утечка обучающих данных через модель, состязательные атаки на биометрию (лицо, голос), уязвимости в LLM-агентах, подключённых к внутренним базам банка.
Внутренние системы банка (кадровый модуль, документооборот с подрядчиками, ЗУП, бухгалтерия) — критичный контур для соответствия требованиям Банка России по управлению доступом и контролю привилегий. Аудит парольной политики, ролевой модели, активных учётных записей уволенных сотрудников и сервисных учёток с полными правами.
Обзор архитектуры безопасности банка и рекомендации по её развитию. Анализ принципов сегментации, моделей угроз для критичных контуров (ДБО, процессинг, корпоративная сеть), оценка зрелости процессов SDLC и управления привилегированным доступом. Включён в пакеты «Под ключ — Full» и «Годовой цикл».
Сплошной анализ учётных записей в Active Directory: уволенные сотрудники с активными учётками, заброшенные учётные записи без авторизации более 90 дней, неперсонифицированные и сервисные учётные записи с избыточными привилегиями, нарушения парольной политики. Включён во все пакеты «Под ключ» и «Годовой цикл».
PCI DSS v4.0 (раздел 11.4), Банк России 851-П / 757-П / 787-П, ГОСТ Р 57580.1, ОУД4 — то, что обязан закрыть любой регуляторный пентест.
Четыре недели — пентест с отчётом. Шесть-семь недель — пентест плюс аудит соответствия с выдачей официального заключения. Через шесть недель после отчёта — повторная проверка устранённых уязвимостей в стоимости.
Каждый кейс — реальный проект с указанием контекста, методологии и эффекта. Прикладные техники применимы к банковским доменным инфраструктурам, мобильному ДБО, прикладным системам на 1С.
Клиент готовился к выпуску платёжного приложения, по требованиям регулятора нужно было получить оценочный уровень доверия. Объект оценки — программный комплекс из трёх независимых приложений, разрабатывавшихся разными командами: система единого входа (SSO), административная панель, платёжный шлюз и система учёта платежей с интеграциями.
Анализ защищённости по методике OWASP WSTG, разбор интеграций между компонентами, консультации команд разработки по исправлению уязвимостей, анализ документации на соответствие требованиям регулятора.
Найденные риски: подделка авторизационного токена с обходом бизнес-ограничений и повышением привилегий; отражённая XSS с компрометацией сессии; обход ограничений на перебор СМС-кода аутентификации.
Результат: выдано официальное заключение ОУД4, клиент получил разрешение на выпуск приложения.
Применение в банке: методика применима к мобильному ДБО, процессинговым приложениям и собственным разработкам под обязательную оценку ОУД4 для подачи во ФСТЭК.
Внутренний пентест из позиции непривилегированного доменного пользователя — типовая модель атаки после фишинга или компрометации одной рабочей станции. Задача — оценить устойчивость AD к атакам APT-уровня.
Реализованы три критических вектора: ADCS (ESC8/11/15) с выпуском сертификата от имени контроллера домена через PKINIT и путём к Golden Ticket; RBCD через MachineAccountQuota = 100; NTLM Relay → Shadow Credentials → Silver Ticket. Все векторы документированы с примером эксплуатации и индикаторами компрометации.
Найдено: скомпрометированы 13 хостов в разных сегментах, получены пароли двух привилегированных доменных учётных записей, в том числе сервисной учётки 1С с правами локального администратора на нескольких хостах.
Бизнес-риск: полная компрометация AD — это месяцы восстановления и риск остановки ключевых сервисов.
MITRE ATT&CK: T1649, T1557.001, T1078.002.
Применение в банке: банковские доменные инфраструктуры имеют те же типовые ошибки; отчёт совместим с ГОСТ Р 57580.1 и Методическими рекомендациями Банка России 2-МР.
Аудит управления доступом и парольной политики в учётной системе на 1С (кадровый модуль, документооборот). Контур, который часто упускают, но который критичен для требований Банка России 851-П по управлению учётными записями.
Сплошной анализ активных, заброшенных, неперсонифицированных и сервисных учётных записей. Аудит парольной политики для пользователей и сервисных УЗ.
Найдено пять нарушений: более 40 активных учётных записей уволенных сотрудников; более 65 заброшенных учётных записей без авторизации более 90 дней; неперсонифицированные учётные записи; технические УЗ с полными правами без использования более 90 дней; слабая парольная политика для сервисных учёток (8 символов вместо рекомендованных 32).
Связка с кейсом 2: именно сервисная учётная запись 1С позволила атакующему горизонтально расшириться по инфраструктуре в кейсе ADCS — типовое нарушение принципа наименьших привилегий.
Применение в банке: тот же подход применяется к АБС, кадровому модулю, ЭДО, документообороту с подрядчиками и системам ДБО.
Один исполнитель — от пентеста до заключения. Заключения по ОУД и ГОСТ 57580 выдаём сами. Для PCI DSS — пентест-отчёт в форме, готовой к передаче QSA-аудитору клиента, без отдельного договора с подрядчиком на пентест-часть.
Бизнес-логика, ИИ, 1С. Кроме формальных проверок ищем уязвимости в бизнес-логике платёжных операций, в моделях ИИ банка и в прикладных системах на 1С.
Фиксированная цена и старт через 3 дня. На 30% ниже крупных интеграторов. Без очереди на квартал вперёд. Повторная проверка включена в стоимость.
Ведущий пентестер и аналитик на команду. Опыт работы с финансовым периметром, мобильными приложениями, прикладными системами на 1С и моделями искусственного интеллекта. Для оценки ОУД — отдельная роль с опытом подачи заключений во ФСТЭК. Команда закреплена на проект.
От первого звонка до начала проекта — обычно 2–3 недели. Никаких многоступенчатых тендеров и согласований: типовой договор и NDA подписываются за 5–10 рабочих дней.
Обсуждаем периметр, требования регулятора, выбор уровня — пентест или под ключ, сроки.
Подписание занимает 5–10 рабочих дней.
Пентест — четыре недели, под ключ — шесть-семь недель. Повторная проверка в течение шести недель после отчёта.
Установочный звонок 30 минут — бесплатно. Обсудим стандарт, периметр, сроки и пакет. Старт через три рабочих дня после подписания договора.