«Цена пентеста — это не абстрактная цифра, а конкретная стоимость анализа рисков, которые уже существуют в вашей инфраструктуре. Вы платите за перевод неопределённости в чёткий список проблем, которые можно исправить, и за право считать этот список полным.»
Декомпозиция стоимости: что на самом деле покупает заказчик
Стоимость складывается из нескольких взаимосвязанных компонентов, и понимание каждого из них позволяет оценить адекватность предложения.
1. Объект тестирования и его сложность
Это основной фактор, определяющий объём работ. Важна не столько количественная метрика, сколько архитектурная и технологическая сложность.
- Внешняя инфраструктура: Тестирование доступных из интернета сервисов. Стоимость зависит от количества сетевых диапазонов и разнообразия сервисов.
- Веб-приложения и API: Наиболее частый запрос. Цена определяется не числом URL-адресов, а количеством уникальных бизнес-логических модулей и точек входа.
- Внутренняя инфраструктура: Моделирование атаки после компрометации периметра. Требует анализа взаимодействий между системами в корпоративной сети.
- Мобильные приложения: Специфичный процесс, включающий анализ бинарного кода, обход проверок целостности и тестирование клиент-серверного взаимодействия.
- Социальная инженерия и физическое проникновение: Нестандартные сценарии, где цена определяется сложностью моделирования и креативностью подхода.
2. Методология и глубина анализа
Стоимость напрямую зависит от того, насколько глубоко будет исследована система.
Уровень информированности тестировщика делится на три основных подхода:
| Подход | Информация у тестировщика | Фокус и влияние на стоимость |
|---|---|---|
| Black Box (чёрный ящик) | Только публичные данные. Тестирование с позиции внешнего злоумышленника. | Максимум времени уходит на разведку. Цена выше из-за необходимости самостоятельного исследования системы. |
| Gray Box (серый ящик) | Частичный доступ: например, учётные записи пользователя или общая схема системы. | Позволяет сконцентрироваться на тестировании бизнес-логики и поиске цепочек уязвимостей, что увеличивает ценность работы. |
| White Box (белый ящик) | Полный доступ: исходный код, архитектурные диаграммы, права администратора. | Самый дорогой вид. Нацелен на поиск уязвимостей проектирования и сложных логических ошибок, которые не видны снаружи. |
Отдельным пунктом идёт цель: формальная проверка на соответствие стандартам или полноценное моделирование атаки целевой группы. Второй сценарий в разы дороже и требует больше ресурсов.
[ИЗОБРАЖЕНИЕ: Схема, показывающая, как уровень доступа (Black/Gray/White Box) влияет на глубину анализа и выявляемые типы уязвимостей — от поверхностных до архитектурных]
3. Квалификация исполнителя и юридический статус
Рынок исполнителей неоднороден. Одинаковый формальный объём работ может стоить по-разному в зависимости от того, кто его выполняет.
| Исполнитель | Что вы получаете | Влияние на стоимость и риски |
|---|---|---|
| Фрилансер | Низкая цена, быстрое начало работ. | Высокий риск по качеству отчёта, юридической чистоте взаимодействия и глубине проверки. Подходит для некритичных систем. |
| Сертифицированные специалисты (например, с OSCP, OSWE) | Подтверждённые практические навыки, часто более глубокий анализ. | Стоимость выше, но цена оправдана качеством технической работы. |
| Аккредитованная компания (ФСТЭК) | Гарантированное соблюдение методик, юридическая ответственность, отчёт, который примет регулятор. | Максимальная стоимость. Вы платите за процесс, страховку и имя. Обязательно для формального соблюдения 152-ФЗ. |
4. Нормативные требования и отчётность
Для многих организаций в России пентест — не рекомендация, а обязательное требование 152-ФЗ и подзаконных актов ФСТЭК. В этом случае стоимость формируют дополнительные условия:
- Исполнитель должен иметь аккредитацию ФСТЭК.
- Тестирование проводится строго по утверждённым методикам, что может ограничивать креативность, но гарантирует принятие результатов проверяющими органами.
- Отчёт должен соответствовать установленной форме и содержать обязательные разделы, включая заключение для предоставления регулятору.
Эти требования сужают круг подрядчиков и автоматически повышают цену за счёт стоимости поддержания аккредитации и соблюдения бюрократических процедур.
5. Итоговый продукт: структура и качество отчёта
Хороший отчёт — это основной результат, ради которого заказывается услуга. На его подготовку может уходить до трети всего времени проекта.
Ключевые компоненты качественного отчёта:
- Резюме для руководства: Оценка рисков в бизнес-терминах, без технического жаргона.
- Детальное описание уязвимостей: Для каждой проблемы — доказательство концепции, скриншоты, шаги воспроизведения.
- Приоритизация: Оценка критичности через CVSS или собственную модель рисков компании-исполнителя.
- Рекомендации по устранению: Конкретные, выполнимые инструкции для разработчиков и администраторов.
- Приложения: Список проверенных активов, использованные инструменты, логи ключевых этапов.
Экономия на стоимости часто приводит к сокращению именно этой части работы: отчёт становится шаблонным, рекомендации — общими, а доказательства — недостаточными.
Ориентировочные ценовые диапазоны на рынке
Цены сильно варьируются в зависимости от перечисленных факторов. Указанные диапазоны носят справочный характер.
| Тип работ | Примерный диапазон | Что обычно включается |
|---|---|---|
| Базовая проверка веб-приложения (Black/Gray Box) | От 80 000 до 180 000 руб. | Тестирование 1-2 функциональных модулей, поиск типовых уязвимостей, краткий отчёт. |
| Комплексный тест внешнего периметра | От 200 000 до 500 000 руб. | Разведка, автоматизированное сканирование и ручная верификация для нескольких IP-адресов и доменов, детальный отчёт. |
| Углублённый white-box анализ | От 400 000 до 1 500 000+ руб. | Анализ кода и архитектуры, моделирование атаки целевого злоумышленника, глубокие рекомендации по перепроектированию. |
| Пентест для формального соответствия 152-ФЗ | От 300 000 руб. | Проведение аккредитованной компанией по методикам ФСТЭК, подготовка итогового заключения установленного образца. |
Некоторые интеграторы предлагают модель подписки (Security-as-a-Service), где цена становится регулярным операционным расходом, а тестирование проводится непрерывно или с заданной периодичностью.
[ИЗОБРАЖЕНИЕ: Диаграмма, показывающая распределение времени и стоимости в типичном проекте пентеста: разведка, активное тестирование, постобработка и написание отчета]
Чек-лист для оценки коммерческого предложения
- Запросите пример отчёта. Если под предлогом NDA отказываются, попросите «обезличенный» шаблон. Оцените структуру, понятность нетехнической части и конкретность рекомендаций.
- Уточните баланс автоматизации и ручной работы. Сколько человеко-дней выделено на ручное исследование бизнес-логики? Автоматическое сканирование — лишь первый этап.
- Узнайте о составе команды. Какие специалисты будут работать над проектом, какой у них опыт в вашей отрасли? Есть ли сертификации, подтверждающие практические навыки?
- Детализируйте Scope. Чётко пропишите, что входит в тестирование, а что — нет. Неопределённость в Scope — главная причина разногласий по итогам работ.
- Обсудите постпроектную поддержку. Входит ли в стоимость консультация разработчиков при исправлении уязвимостей? Предусмотрена ли бесплатная повторная проверка критичных проблем?
- Проверьте юридические аспекты. Наличие аккредитации ФСТЭК (если требуется), шаблоны договора, NDA и соглашения о правилах взаимодействия.
Итоговый расчёт: цена против ценности
Выбор самого дешёвого предложения — стратегия с высокими скрытыми рисками. Низкая цена часто означает экономию на глубине анализа, квалификации исполнителя или детальности отчёта.
Корректный вопрос при оценке стоимости: «Какова потенциальная цена необнаруженной уязвимости?». Сюда входит стоимость простоя системы, ущерб от утечки данных, репутационные потери и размер возможных штрафов от регулятора.
Инвестиции в качественный пентест — это оплата экспертного аудита, который превращает абстрактные угрозы в управляемые риски. Вы покупаете не часы работы инструментов, а снижение операционной неопределённости и доказательную основу для принятия решений по информационной безопасности. В конечном счёте, это цена за знание о реальном состоянии защиты, а не за гипотетические гарантии.