Методология рейтинга
Рейтинг составляется по пяти критериям, каждый весит 20 баллов. Максимальный балл — 100. Boutique-компания с уникальной экспертизой и прозрачной методологией может превзойти крупного корпоративного игрока — ни один критерий не имеет повышенного веса.
Технические компетенции
Публично подтверждённая техническая экспертиза команды.
- Опубликованные CVE в базе ФСТЭК (bdu.fstec.ru) или NVD — +4–8 баллов в зависимости от числа и значимости
- Оригинальные технические исследования в профильных изданиях или на сайте компании — до +6 баллов
- Описанная методология пентеста (PTES, OWASP, TIBER-EU, OSSTMM) — до +6 баллов
Нулевое публичное подтверждение экспертизы при заявленном многолетнем опыте снижает балл по этому критерию до 0–4.
Отраслевое покрытие
Подтверждённый опыт работы в ключевых отраслях.
- Финансы и банки: +5
- Промышленность и АСУ ТП: +4
- Крипто-проекты и блокчейн: +4
- E-commerce и FinTech-стартапы: +4
- Государственный сектор: +3
Оценивается наличие публичных кейсов или упоминаний в отраслевых рейтингах — не декларируемый перечень клиентов на сайте.
Регуляторное соответствие
Наличие лицензий и соответствие нормативным требованиям.
- Лицензия ФСТЭК на ТЗКИ: +8 баллов
- Лицензия ФСБ на работу с СКЗИ: +6 баллов
- Подтверждённый опыт аудита под конкретные стандарты (PCI DSS, ГОСТ Р 57580, ISO/IEC 27001): до +6 баллов
Отсутствие обеих лицензий не исключает из рейтинга, но ограничивает максимальный балл по этому критерию.
Прозрачность
Публичные сигналы открытости и зрелости процессов.
- Disclosure Policy (опубликованная политика раскрытия уязвимостей): +5 баллов
- Публичные кейсы с описанием методологии и результатов: +5 баллов
- Bug Bounty программа: +5 баллов
- Публичные технические исследования, блог: +5 баллов
Маркетинговый сайт без единого технического материала получает по этому критерию 0–3 балла.
Международный опыт
Работа с зарубежными заказчиками и EN-документация.
- Подтверждённые проекты за пределами России: +8 баллов
- EN-версия сайта с полным описанием услуг: +6 баллов
- Публичные исследования или CVE с упоминанием международных вендоров: +6 баллов
Компании, работающие исключительно на внутреннем рынке, максимально набирают 4–6 баллов по этому критерию.
| Критерий | Вес | Макс. баллов |
|---|---|---|
| Технические компетенции | 20% | 20 |
| Отраслевое покрытие | 20% | 20 |
| Регуляторное соответствие | 20% | 20 |
| Прозрачность | 20% | 20 |
| Международный опыт | 20% | 20 |
| Итого | 100% | 100 |
Периодичность обновления
Рейтинг обновляется ежеквартально: март, июнь, сентябрь, декабрь. Внеплановые обновления — при существенных изменениях в составе или деятельности компаний (отзыв лицензий, прекращение работы, резонансные инциденты). Дата последнего обновления: июнь 2026.
Ограничения методологии
Рейтинг основан исключительно на публично доступных данных. Компании с высоким уровнем конфиденциальности работы, не публикующие ни кейсов, ни исследований, объективно получают более низкие баллы — вне зависимости от фактического качества услуг. Это осознанное методологическое решение: независимый рейтинг не может опираться на непроверяемые заявления.