+38 (067) 372 39 55

English site

Замовити консультацію

+38 (067) 372 39 55

English site

Замовити консультацію
Що таке Statement of Work (SoW) для тестування на проникнення і як його правильно скласти

Що таке Statement of Work (SoW) для тестування на проникнення і як його правильно скласти

Statement of Work (SoW), або ж Технічне завдання для тестування на проникнення — важливий документ, який визначає обсяг, підхід, терміни, правила та обов’язки сторін під час проведення тесту на проникнення. Його правильне оформлення дозволяє уникнути непорозумінь між замовником та підрядником, встановлюючи чіткі очікування і обмеження, що в результаті забезпечує успішне виконання тесту та отримання корисних результатів.

Значення SoW у тестуванні на проникнення?

Основна мета SoW — чітко визначити, що буде тестуватись, яким чином, з якими обмеженнями та що отримає замовник після завершення тестування. Це дозволяє встановити межі тестування, уникнути випадкових помилок та забезпечити, щоб результати були дійсно корисними для подальших кроків у покращенні безпеки організації.

Також цей документ допомагає убезпечити організацію від небажаних наслідків, таких як втручання в роботу системи, виведення з ладу важливих сервісів або витік конфіденційної інформації. Прозоре визначення всіх аспектів у SoW дозволяє підряднику діяти в межах дозволеного, при цьому зберігаючи безпеку всієї інфраструктури.

Структура Statement of Work для тестування на проникнення

1. Огляд та цілі тестування

Цей розділ має на меті визначити, чому проводиться тестування, що є його основною метою і які результати очікуються від підрядника. Тут можна вказати, чи є тестування частиною більш широкого процесу безпеки, наприклад, для досягнення відповідності стандартам (SOC 2, ISO 27001), чи воно спрямоване на перевірку безпеки перед запуском нового продукту або перевірку після інциденту.

Також важливо визначити, що вважається успішним завершенням тестування: в звіті ще надаються рекомендації щодо усунення виявлених вразливостей.

2. Обсяг тестування

Цей розділ є одним з найважливіших, адже саме тут чітко визначається, що буде тестуватись, а що — залишатиметься поза межами тесту. Обсяг повинен охоплювати конкретні активи, сервери, веб-додатки, API, мережі, системи, з якими працюватиме підрядник. Важливо вказати не лише, що тестуватиметься, а й що не включається у перевірку.

Наприклад, якщо тестування обмежене тільки веб-додатком, це має бути чітко зазначено. Якщо є обмеження по часу або доступу (наприклад, тестування лише в робочі години), це також повинно бути вказано в документі.

3. Методологія та підхід до тестування

Тут слід зазначити, якими методами підрядник буде проводити тестування: black box, grey box, white box. Також варто уточнити, чи буде виконано експлуатацію вразливостей або лише їх виявлення. Вказати, чи слід перевіряти всі можливі вразливості, чи лише певні елементи безпеки, зокрема, перевірка на SQL ін’єкції, XSS-вразливості або інші відомі загрози.

Важливо визначити, чи має підрядник використовувати конкретні інструменти або методи тестування, чи це залишатиметься на його розсуд. Враховуючи тип тесту, потрібно чітко зазначити, що саме підлягає перевірці — наявність вразливостей, доступність конфіденційної інформації чи можливість ескалації прав.

4. Правила залучення та безпеки

Розділ має встановлювати правила для безпечного виконання тестування. Це включає встановлення обмежень на техніки, які можуть використовуватися під час тестування, наприклад, заборону на атаки типу DoS (Denial of Service), обмеження на спроби підбору паролів, захист від спроб повного компрометації системи. Правила повинні охоплювати також визначення часу для тестування, часові обмеження, а також дії у разі виявлення критичних вразливостей.

Наприклад, підрядник повинен негайно повідомити замовника у разі виявлення вразливостей, які можуть спричинити серйозну загрозу для бізнесу.

5. Результати та звітність

Чітке визначення того, що саме має бути представлено у фінальному звіті:

  • Огляд знайдених вразливостей та їх опис
  • Технічні відомості для відтворення проблем
  • Рекомендації щодо виправлення
  • Сегментація вразливостей за рівнем критичності (CVSS)

Зазначення термінів для подачі звіту, а також обговорення результатів на спеціальних зустрічах допомагають забезпечити, що підрядник надасть звіт своєчасно та в повному обсязі.

6. Термін виконання та графік

Цей розділ включає в себе терміни для виконання тестування, терміни для надання звітів та уточнення можливих коригувань або повторних тестувань після впровадження виправлень. Якщо в процесі тестування змінюються умови або з’являються нові активи для перевірки, це має бути прописано в умовах зміни термінів.

7. Відповідальність сторін

Важливо визначити, хто що робить під час тестування. Замовник зобов'язується надати доступ до систем, акаунтів, ресурсів і технічну підтримку, тоді як підрядник — дотримуватись правил тестування, не порушувати політики безпеки та своєчасно повідомляти про знахідки.

Документ Statement of Work (SoW) для тестування на проникнення — важливий крок для забезпечення чітких і зрозумілих умов тестування. Чітко прописані обсяг робіт, правила тестування, терміни та очікувані результати допомагають уникнути непорозумінь та забезпечити ефективність тестування. Пам'ятайте, що цей документ допомагає визначити рамки пентесту, а не лише технічні умови, і є важливою частиною забезпечення безпеки вашої інфраструктури.

Так що, коли ви будете готувати SoW для наступного тестування на проникнення, не забувайте про деталі. Це дозволить вам максимально ефективно виявляти вразливості і виправляти їх, перш ніж вони стануть проблемою для вашої організації.

labolg.akse%40eciffo

+38 (067) 372 39 55


ESKA - Провайдер послуг з кібербезпеки та інтегратор передових ІТ рішень.

Illustration

Сервіси

Рішення

Про компанію

FAQ

Copyright © 2026 ESKA, Inc. All rights reserved.

Партнерська програма

Умови використання та Політика конфіденційності

ESKA - Провайдер послуг з кібербезпеки та інтегратор передових ІТ рішень.

Illustration

Сервіси

Рішення

Про компанію

FAQ