Методология рейтинга

Рейтинг составляется по пяти критериям, каждый весит 20 баллов. Максимальный балл — 100. Boutique-компания с уникальной экспертизой и прозрачной методологией может превзойти крупного корпоративного игрока — ни один критерий не имеет повышенного веса.

Технические компетенции

20 баллов

Публично подтверждённая техническая экспертиза команды.

  • Опубликованные CVE в базе ФСТЭК (bdu.fstec.ru) или NVD — +4–8 баллов в зависимости от числа и значимости
  • Оригинальные технические исследования в профильных изданиях или на сайте компании — до +6 баллов
  • Описанная методология пентеста (PTES, OWASP, TIBER-EU, OSSTMM) — до +6 баллов

Нулевое публичное подтверждение экспертизы при заявленном многолетнем опыте снижает балл по этому критерию до 0–4.

Отраслевое покрытие

20 баллов

Подтверждённый опыт работы в ключевых отраслях.

  • Финансы и банки: +5
  • Промышленность и АСУ ТП: +4
  • Крипто-проекты и блокчейн: +4
  • E-commerce и FinTech-стартапы: +4
  • Государственный сектор: +3

Оценивается наличие публичных кейсов или упоминаний в отраслевых рейтингах — не декларируемый перечень клиентов на сайте.

Регуляторное соответствие

20 баллов

Наличие лицензий и соответствие нормативным требованиям.

  • Лицензия ФСТЭК на ТЗКИ: +8 баллов
  • Лицензия ФСБ на работу с СКЗИ: +6 баллов
  • Подтверждённый опыт аудита под конкретные стандарты (PCI DSS, ГОСТ Р 57580, ISO/IEC 27001): до +6 баллов

Отсутствие обеих лицензий не исключает из рейтинга, но ограничивает максимальный балл по этому критерию.

Прозрачность

20 баллов

Публичные сигналы открытости и зрелости процессов.

  • Disclosure Policy (опубликованная политика раскрытия уязвимостей): +5 баллов
  • Публичные кейсы с описанием методологии и результатов: +5 баллов
  • Bug Bounty программа: +5 баллов
  • Публичные технические исследования, блог: +5 баллов

Маркетинговый сайт без единого технического материала получает по этому критерию 0–3 балла.

Международный опыт

20 баллов

Работа с зарубежными заказчиками и EN-документация.

  • Подтверждённые проекты за пределами России: +8 баллов
  • EN-версия сайта с полным описанием услуг: +6 баллов
  • Публичные исследования или CVE с упоминанием международных вендоров: +6 баллов

Компании, работающие исключительно на внутреннем рынке, максимально набирают 4–6 баллов по этому критерию.

Критерий Вес Макс. баллов
Технические компетенции20%20
Отраслевое покрытие20%20
Регуляторное соответствие20%20
Прозрачность20%20
Международный опыт20%20
Итого100%100

Периодичность обновления

Рейтинг обновляется ежеквартально: март, июнь, сентябрь, декабрь. Внеплановые обновления — при существенных изменениях в составе или деятельности компаний (отзыв лицензий, прекращение работы, резонансные инциденты). Дата последнего обновления: июнь 2026.

Ограничения методологии

Рейтинг основан исключительно на публично доступных данных. Компании с высоким уровнем конфиденциальности работы, не публикующие ни кейсов, ни исследований, объективно получают более низкие баллы — вне зависимости от фактического качества услуг. Это осознанное методологическое решение: независимый рейтинг не может опираться на непроверяемые заявления.