Як сформувати технічне завдання (SoW) на пентест для підрядника?
SoW (Statement of Work) — базовий документ, який визначає, що саме буде перевірятися під час пентесту, як саме це робитиметься і який результат отримає замовник. Фактично, SoW — це рамка, яка захищає і бізнес, і підрядника від непорозумінь, ризиків для продакшну та “не того результату”.
Без чітко сформованого SoW пентест часто перетворюється або на формальну перевірку “для галочки”, або на хаотичний процес, який не дає зрозумілої відповіді на головне питання: наскільки реально можна зламати систему і що з цим робити.
1. Визначення scope: що саме тестується
Перший і найважливіший блок SoW — чітке визначення меж тестування. Тут потрібно прямо і однозначно зафіксувати:● які домени, піддомени, IP-адреси, застосунки або сервіси входять у пентест;● чи входять у scope адмін-панелі, API, інтеграції зі сторонніми сервісами;● що свідомо виключено з перевірки (out of scope), щоб уникнути інцидентів.
Це критично важливо, оскільки будь-яка неоднозначність у scope може призвести або до пропущених ризиків, або до тестування того, що бізнес не планував перевіряти.
2. Середовище тестування
У SoW обов’язково потрібно вказати, де саме проводиться пентест:● production,● staging,● окреме тестове середовище.
Якщо тестування проводиться в production, це має бути чітко зафіксовано разом із додатковими обмеженнями. Для бізнесу це важливо, тому що різні середовища означають різний рівень ризику простою, втрати даних або впливу на користувачів.
3. Тип пентесту і рівень доступу
SoW повинен чітко описувати:● тип пентесту (web, API, mobile, external, internal);● формат доступу: black box, grey box або white box;● чи надаються тестові облікові записи, документація, архітектурні схеми.
Цей пункт напряму впливає на глибину перевірки. Наприклад, без тестових акаунтів пентест може не виявити критичні проблеми з ролями або бізнес-логікою.
4. Обмеження та правила безпеки
Окремий обов’язковий розділ SoW — що робити не можна. Тут фіксуються:● заборона DoS/DDoS-атак;● обмеження brute-force;● заборона масових змін або видалення даних;● правила тестування платіжних сценаріїв;● обмеження по навантаженню.
Цей блок захищає бізнес від простоїв і фінансових втрат, а підрядника — від звинувачень у порушенні роботи системи.
5. Часові вікна та комунікація
У SoW важливо визначити:● період, коли дозволено тестування;● часові вікна (робочі години / ніч / вихідні);● контактну особу для термінового зупинення тесту;● канал комунікації (email, месенджер, дзвінок).
Це дозволяє швидко реагувати, якщо тестування випадково впливає на бізнес-процеси.
6. Очікуваний результат і формат звіту
SoW має чітко відповідати на питання: що саме отримає бізнес після пентесту. Зазвичай це:● технічний звіт з описом уразливостей;● пояснення ризиків з точки зору бізнесу;● рекомендації з виправлення;● пріоритизація проблем;● executive summary для керівництва;● retest після виправлень (якщо передбачено).
Без цього пункту пентест часто завершується звітом, який важко використати на практиці.
Чому SoW критично важливий?
Грамотно складений SoW:● зменшує ризики для продакшну;● робить результат пентесту прогнозованим;● дозволяє порівнювати різних підрядників на однакових умовах;● забезпечує юридичний і операційний захист для обох сторін;● підвищує реальну цінність пентесту для бізнесу.
Фактично, якість SoW напряму визначає якість самого пентесту.
Більш детально як підготувати Statement of Work на пентест розібрали в статті Що таке Statement of Work (SoW) для тестування на проникнення і як його правильно скласти.