Проекты на проведение тестов на проникновения выделяются из других проектов в области информационной безопасности тем, что единой методологии выполнения такого рода проектов нет (я не принимаю во внимания различные рекомендации международных организаций, поскольку в таких рекомендациях нет перечня обязательных процедур). Такие проекты находятся на грани технологии и искусства (если можно так выразиться). Пути и подходы выполнения этих проектов у каждой компании различны. Это создает некоторые сложности заказчикам проектов, поскольку они изначально не знаю, за что платят деньги. Бизнес любит стандарты, стабильность, предсказуемость. Например, если мы внедряем СУИБ, то желательно, чтобы она соответствовала определенному стандарту, например ISO 27001.
Со стандартами в области тестов на проникновение дела обстоят сложнее. Их нет. Вернее не было, поскольку в мировом сообществе появилась инициатива внедрения стандартов и в этой области. Со временем увидим, насколько эта инициатива действенная.