Сколько стоит пентест и от чего зависит цена
Единого «прайса» на пентест не существует: одинаково называемые работы могут отличаться по трудозатратам в разы. Цена тестирования на проникновение формируется не из «количества хостов», а из объёма проверяемого периметра (scope), выбранной модели доступа (black/grey/white box), типа целей (веб-приложение, внешняя или внутренняя инфраструктура, мобайл, API), требуемой глубины и квалификации команды. **Если коротко:** прежде чем сравнивать коммерческие предложения, сравните их scope и методику — иначе вы сравниваете несравнимое. В этой статье разбираем, от каких факторов зависит стоимость пентеста и как они влияют на смету, без конкретных сумм в рублях: рынок и условия меняются, а вот логика ценообразования стабильна. Ниже — таблица «фактор → влияние на цену», редакционная оценка веса факторов и чек-лист подготовки ТЗ. Сравнить исполнителей по подтверждённым сигналам можно в [рейтинге пентест-компаний и Red Team](/rating/penetration-testing-red-team).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Почему «средней цены пентеста» не бывает
Когда заказчик спрашивает «сколько стоит пентест», он почти всегда имеет в виду разные работы. Тест одного публичного веб-приложения методом grey box и комплексный внешний+внутренний пентест распределённой инфраструктуры с проверкой Active Directory — это две разные задачи, у которых совпадает только название. Поэтому любая «вилка цен» из интернета без описания scope и методики бесполезна и часто вводит в заблуждение.
Стоимость пентеста — это, по сути, стоимость экспертного времени команды, умноженная на трудоёмкость задачи и помноженная на риск/ответственность. Чем шире периметр, чем меньше исходных данных дано исполнителю и чем выше требуемая глубина — тем больше человеко-дней закладывается в смету. Понимание этих рычагов важнее, чем поиск «средней цены»: оно позволяет осознанно управлять бюджетом, а не переплачивать за лишний scope или, наоборот, не получить поверхностную проверку под видом полноценного пентеста.
От чего зависит цена пентеста: ключевые факторы
Стоимость складывается из нескольких независимых рычагов. Каждый из них можно осознанно ослабить или усилить на этапе ТЗ — именно поэтому грамотно составленное техническое задание напрямую влияет на бюджет.
- **Объём scope (периметр).** Сколько целей в работе: число доменов, IP-адресов, приложений, ролей пользователей. Это главный множитель трудозатрат. - **Модель доступа (box).** Black box (без данных), grey box (учётка/частичные данные) или white box (исходники, схемы, доступы) — определяет, сколько времени уйдёт на разведку. - **Тип целей.** Веб-приложение, внешняя инфраструктура, внутренняя сеть, мобильное приложение, API, беспроводные сети, социальная инженерия — у каждого направления своя методология. - **Глубина и сценарии.** Поиск уязвимостей по чек-листу против целевой эмуляции атакующего с выходом на бизнес-риск (получить доступ к данным, развить вектор до домена). - **Квалификация команды.** Сертифицированные специалисты (OSCP/OSCE и др.) и репутация исполнителя влияют на ставку и на качество результата. - **Повторное тестирование (retest).** Проверка устранения найденных уязвимостей — отдельная работа, которую стоит закладывать заранее. - **Сроки и условия.** Сжатые дедлайны, работа в выходные, тестирование боевой среды с ограничениями по нагрузке — всё это повышает трудоёмкость.
Фактор → как влияет на стоимость пентеста
| Фактор | Как влияет на цену | На что обратить внимание в ТЗ |
|---|---|---|
| Объём scope | Прямо пропорционально: больше целей — больше человеко-дней | Точно зафиксируйте список доменов/IP/приложений и ролей |
| Модель доступа (box) | Black box дороже grey/white при равном scope (больше разведки) | Дайте исполнителю данные, если цель — глубина, а не имитация внешнего злоумышленника |
| Тип целей | Мобайл и сложный API обычно трудозатратнее типового веб-приложения | Не смешивайте разнородные цели в один «общий» пентест без декомпозиции |
| Глубина и сценарии | Целевая эмуляция атакующего дороже сканирования по чек-листу | Опишите, что считается успехом: уязвимости или достижение бизнес-цели |
| Квалификация команды | Опытная сертифицированная команда дороже, но снижает риск пропусков | Запрашивайте резюме команды и примеры обезличенных отчётов |
| Повторное тестирование | Retest добавляет к смете отдельный, обычно меньший блок | Заложите retest в договор сразу, а не «потом» |
| Сроки и режим работы | Срочность и нестандартное окно работ повышают стоимость | Согласуйте реалистичные сроки и окна тестирования заранее |
Что сильнее влияет на стоимость пентеста
Редакционная оценка относительного веса факторов ценообразования (0–100). Это не рубли и не прайс, а ориентир, на что в первую очередь смотреть при оценке сметы.
Black, grey и white box: как модель доступа меняет смету
Модель доступа — один из самых недооценённых рычагов бюджета. При одинаковом scope разные модели дают разную трудоёмкость и разный результат:
- **Black box** — исполнитель не получает никаких данных и действует как внешний злоумышленник. Реалистично имитирует внешнюю атаку, но значительная часть времени уходит на разведку, что при фиксированном бюджете уменьшает время на собственно поиск уязвимостей. - **Grey box** — выдаются частичные данные (учётные записи, описание ролей, частичная документация). Чаще всего это оптимальный баланс цены и покрытия: разведка короче, глубина выше. - **White box** — предоставляются исходный код, архитектура и доступы. Даёт максимальную глубину при том же бюджете, потому что время тратится на анализ, а не на «угадывание» периметра.
Парадокс, который важно понимать заказчику: давая исполнителю больше информации (grey/white box), вы при том же бюджете обычно получаете больше найденных проблем, а не меньше. Black box оправдан, когда цель — проверить именно стойкость к внешнему злоумышленнику без инсайда.
Чек-лист подготовки ТЗ на пентест
Как оценить адекватность сметы: 5 шагов
-
01
Сверьте scope
Убедитесь, что во всех КП периметр описан одинаково — иначе цены несопоставимы.
-
02
Уточните методику
Спросите, по какому стандарту (OWASP, PTES) и с какой глубиной идёт работа.
-
03
Запросите состав команды
Кто и сколько человеко-дней закладывает исполнитель на задачу.
-
04
Проверьте, что входит в цену
Отчёт, презентация результатов, retest, поддержка по вопросам.
-
05
Соотнесите с целью
Дешёвое сканирование под видом пентеста и наоборот — обе крайности вредны.
Как мы оцениваем исполнителей
cyber-index.ru не продаёт места в рейтинге и не публикует прайсы подрядчиков. Исполнители сравниваются по проверяемым сигналам: подтверждённые проекты и кейсы, отзывы клиентов, внешняя репутация, специализация по направлениям тестирования, прозрачность методики и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом пентест-компаний и Red Team](/rating/penetration-testing-red-team): здесь — логика ценообразования и критерии, там — сравнение конкретных компаний по подтверждённым фактам. Для проверки статуса вендоров средств защиты опирайтесь на первоисточники — [реестр отечественного ПО](https://reestr.digital.gov.ru/) и [реестр сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/).
Следующий шаг
Разобрались с факторами цены — переходите к выбору исполнителя: **[рейтинг пентест-компаний и Red Team →](/rating/penetration-testing-red-team)**. Полезно прочитать рядом: [чем отличаются пентест, Red Team и Bug Bounty](/research/pentest-redteam-bugbounty-raznica), [рейтинг пентест-компаний России 2026](/research/rejting-pentest-kompanij-2026) и [как запустить программу Bug Bounty](/research/kak-zapustit-bug-bounty).
Частые вопросы
Почему нельзя назвать конкретную цену пентеста?
Потому что одинаково названные работы отличаются по трудозатратам в разы. Без зафиксированного scope, модели доступа и глубины «цена пентеста» — это не число, а диапазон шириной в порядок. Корректная оценка возможна только под конкретное ТЗ.
Что дешевле — black box или white box?
При равном scope black box обычно требует больше времени на разведку, поэтому при фиксированном бюджете даёт меньшую глубину. White и grey box экономят это время и направляют его на поиск уязвимостей. «Дешевле» зависит от цели: имитация внешней атаки или максимальное покрытие.
Входит ли повторное тестирование в стоимость?
Не всегда. Retest — проверка того, что найденные уязвимости действительно устранены, — часто тарифицируется отдельно. Закладывайте его в договор сразу, иначе верификация исправлений рискует растянуться или выпасть из бюджета.
Как сравнивать коммерческие предложения от разных компаний?
Сначала приведите их к общему scope и методике, затем сравнивайте состав команды, человеко-дни и то, что входит в цену (отчёт, презентация, retest). Сравнение «по итоговой сумме» без сверки объёма работ почти всегда уводит к неверному выбору.
Где сравнить конкретных исполнителей между собой?
В рейтинге пентест-компаний и Red Team — там компании ранжированы по подтверждённым сигналам, а не по рекламе и не по цене.
Источники и метод проверки
Единого «прайса» на пентест не существует: одинаково называемые работы могут отличаться по трудозатратам в разы. Цена тестирования на проникновение формируется не из «количества хостов», а из объёма проверяемого периметра (scope), выбранной модели доступа (black/grey/white box), типа целей (веб-приложение, внешняя или внутренняя инфраструктура, мобайл, API), требуемой глубины и квалификации команды. **Если коротко:** прежде чем сравнивать коммерческие предложения, сравните их scope и методику — иначе вы сравниваете несравнимое. В этой статье разбираем, от каких факторов зависит стоимость пентеста и как они влияют на смету, без конкретных сумм в рублях: рынок и условия меняются, а вот логика ценообразования стабильна. Ниже — таблица «фактор → влияние на цену», редакционная оценка веса факторов и чек-лист подготовки ТЗ. Сравнить исполнителей по подтверждённым сигналам можно в [рейтинге пентест-компаний и Red Team](/rating/penetration-testing-red-team).