Сколько зарабатывает пентестер в России в 2026?

По данным codeby.net и career.habr.com: Junior — 120 000–250 000 ₽/мес, Middle — 250 000–400 000 ₽, Senior — 400 000–800 000 ₽, Lead/Principal — 800 000–1 500 000 ₽. Медиана на Хабр Карьере — около 163 000 ₽ с учётом регионов и джунов. За 2022–2026 зарплаты выросли на 40–60% из-за кадрового дефицита (нехватка 160 000 специалистов, к 2027 ожидается 235 000).

Когда выбирать российского вендора, а когда собственную команду?

Внешний вендор выгоден при разовых проектах, compliance-требованиях, необходимости независимой экспертизы. Собственная команда — при постоянном потоке работ (DevSecOps, CI/CD security gates), чувствительности данных, необходимости глубокой интеграции с разработкой. Точка безубыточности собственной команды — около 6-8 полноценных пентестов в год (зарплата senior пентестера + overhead). До этого порога выгоднее вендор.

Главная›Блог›Цены на пентест в России 2026

Сколько стоит пентест в России в 2026: реальные цены по сегментам

Q: Сколько стоит пентест в России в 2026 году?

Около 60% проектов укладываются в диапазон 500 000 – 2 000 000 ₽. Минимум — 150 000 ₽ за экспресс-оценку малого сайта, максимум — 50+ миллионов рублей за enterprise Red Team. Точные публичные прайсы есть только у RTM Group (комплексный пентест от 300 000 ₽). Крупные вендоры (BI.ZONE, Positive Technologies, Ростелеком-Solar) прайсы не публикуют — цена формируется под каждый проект.

Q: От чего зависит цена пентеста?

От объёма scope (количество объектов, систем, веб-приложений), глубины тестирования (black/gray/white-box), индустрии (финтех и госсектор +20-50% премии), срочности (экспресс до 2 недель +30-50%), требований к отчётности (отчёт для регулятора +100-300k ₽), включения retest, дополнительных услуг (SE, физический пентест, cloud). Day-rate вендора в РФ в 2026 — 40 000–120 000 ₽/день.

Q: Сколько стоит пентест веб-приложения?

150 000 – 500 000 рублей за одно веб-приложение средней сложности, срок 2–4 недели. Для простого лендинга или корпоративного сайта — от 150 000 ₽. Для сложного SaaS-продукта с личным кабинетом, платежами, API — 400 000 – 700 000 ₽. При gray-box подходе с предоставленными учётными данными цена ниже на 20–30% за счёт экономии на разведке.

Q: Сколько стоит пентест для банка?

Банковский сегмент — самый дорогой. Обязателен по Положению ЦБ 851-П (с 29 марта 2025, заменило 683-П). Типичная цена — от 1 миллиона рублей за полноценный пентест, Red Team с Threat Intelligence — до 30 миллионов рублей и выше для крупных банков. Лицензия ФСТЭК ТЗКИ у исполнителя обязательна для работы с критической инфраструктурой.

Q: Почему цена пентеста в России в 3-6 раз ниже западной?

Day-rate вендора в США — 1 000–3 000 долларов/день (~90 000–270 000 ₽ по курсу), в Великобритании — 1 000–1 500 фунтов/день (~130 000–200 000 ₽). В России — 40 000–120 000 ₽/день. Разница объясняется: более низкие зарплаты специалистов в РФ, меньшие накладные расходы вендоров, высокая конкуренция на внутреннем рынке, отсутствие премиума за англоязычные отчёты. При этом качество исполнения сопоставимо — российские пентестеры активно участвуют в международных bug bounty.

Q: Что такое скрытые расходы при заказе пентеста?

Retest (повторная проверка после устранения) — +20-40% или отдельный договор. Отчёт в формате ФСТЭК или для регулятора — +100-300 тысяч рублей. Презентация для борда — +30-100 тысяч. Экспресс-сроки менее 2 недель — +30-50%. Командировки для физического или Wi-Fi пентеста — по факту. Юридическое сопровождение с особыми условиями — +50-150 тысяч. Всегда уточняйте, что входит в базовую цену, а что идёт доплатой.

Q: Как снизить стоимость пентеста без потери качества?

Выбрать gray-box вместо black-box (экономия 20-30% за счёт отказа от разведки с нуля при сохранении покрытия уязвимостей). Чётко ограничить scope конкретными системами, а не «вся инфраструктура». Планировать заранее и избегать экспресс-сроков. Заказывать bundled-пакет при регулярных проверках (годовой ретейнер даёт 15-25% скидку). Выбирать low-season для заказа (Q1, летний период).

Q: Что такое Bug Bounty и чем отличается от пентеста?

Bug Bounty — непрерывная программа поощрения исследователей за найденные уязвимости. Стоимость запуска минимальна (0-500 тысяч на комиссию платформы), но нужен резервный фонд на выплаты (от 500 тысяч). Средняя выплата за критическую уязвимость — около 660 тысяч рублей (данные Standoff 365). Российские платформы: Standoff 365 (Positive Technologies, 27 тысяч исследователей, 274+ млн рублей выплат), BI.ZONE Bug Bounty (60+ млн рублей за 2 года), bugbounty.ru. Пентест — разовый проект со структурированным отчётом, Bug Bounty — непрерывный поиск.

Обновлено: апрель 2026 Следующее обновление: июль 2026 ~25 минут чтения АКТУАЛЬНО

Рынок пентеста в России в 2026 году — около 3,5–4 миллиардов рублей, рост 20–30% ежегодно. В крупном бизнесе спрос вырос на 55% за первые 5 месяцев 2025. Тройка лидеров (Positive Technologies, BI.ZONE, Ростелеком-Solar / Digital Security) контролирует более 60% рынка.

Реальный коридор для 90% проектов — от 150 000 до 3 000 000 ₽. Экспресс-оценка внешнего периметра — от 150 000 ₽. Полноценный пентест веб-приложения — 350 000–700 000 ₽. Enterprise Red Team — от 5 миллионов до 50+ миллионов рублей.

Публичных прайсов у крупных вендоров нет. RTM Group — единственный значимый игрок с открытым ценником (от 300 000 ₽). В статье — детальные таблицы по scope, размеру компании, индустрии, структура цены (day-rate 40-120k ₽/день), скрытые расходы, как правильно scope-ить проект, сравнение с международным рынком, Bug Bounty как альтернатива.

// Содержание

Рынок пентеста в России: цифры и тенденции
Цены по размеру компании-заказчика
Цены по типу scope
Отраслевые премии
Структура цены: day-rate и состав команды
Что известно о российских вендорах
Международное сравнение
Скрытые расходы
Как scope-ить проект и не переплатить
Тенденции 2024–2026
Bug Bounty vs пентест
Формула самооценки
Типовые документы для контракта
FAQ

Рынок пентеста в России: цифры и тенденции

Рынок услуг аудита защищённости в РФ по итогам 2024 года — 2,7 млрд ₽ (оценка ГК Солар / Digital Security). В 2025 BI.ZONE оценивает рынок пентеста в 3–4 млрд ₽. Рост — 20–30% ежегодно.

Главные цифры 2025: спрос на пентест в крупном бизнесе вырос на 55% за первые 5 месяцев 2025 года. Тройка лидеров (Positive Technologies, BI.ZONE, Ростелеком-Solar) контролирует более 60% рынка. Ожидается удвоение числа проектов к концу 2025 года. Источник: ec-rs.ru.

Структурные факторы роста:

Регуляторное давление. 851-П обязывает банки ежегодно проводить пентест, 757-П — НФО. Рост compliance-пентестов
Кадровый дефицит. Нехватка 160 000 ИБ-специалистов в РФ сейчас, к 2027 — 235 000. Зарплаты растут, цены услуг за ними (отчёт PT)
Уход западных вендоров снял с рынка зарубежные услуги — спрос перенаправился на российских игроков
Рост числа инцидентов. Атаки на российский сегмент интернета выросли кратно с 2022, что повысило восприятие рисков в руководстве компаний

Цены по размеру компании-заказчика

Крупнейший фактор — не размер компании сам по себе, а размер инфраструктуры. Но в среднем корреляция сильная.

Сегмент	Размер	Типичный проект	Диапазон цены
Стартап / МСБ	до 50 чел., оборот <100 млн ₽	Веб-приложение, внешний периметр, black-box	150 000 – 400 000 ₽
SMB	50–500 чел., 100 млн – 2 млрд ₽	Внешний + веб + базовый внутренний	400 000 – 1 200 000 ₽
Крупный бизнес	500–5 000 чел., 2–50 млрд ₽	Комплексный: внешний + внутренний + SE	1 000 000 – 5 000 000 ₽
Enterprise / корпорация	5 000+ чел., 50+ млрд ₽	Red Team, 2–3 месяца, команда 5–10 человек	5 000 000 – 50 000 000+ ₽

Около 60% проектов на рынке укладываются в диапазон 500 000 – 2 000 000 ₽. Это «золотая середина» — SMB и крупный бизнес с типовой инфраструктурой.

На freelance-платформах (Profi.ru) встречаются цены от 1 500 до 67 000 ₽ за «пентест». Это не полноценная проверка — это сканирование одним человеком за выходные. Для compliance или реальной оценки рисков непригодно. Настоящий пентест начинается от 150 000 ₽ и требует команды минимум из двух специалистов.

Цены по типу scope

Scope — главный драйвер стоимости. Ниже — типовые цены по основным типам тестирования.

Тип пентеста	Срок	Цена
Внешний периметр (black-box)	2–3 недели	200 000 – 600 000 ₽
Веб-приложение (одно, средней сложности)	2–4 недели	150 000 – 500 000 ₽
Веб-приложение (сложный SaaS с платежами и API)	3–5 недель	500 000 – 1 500 000 ₽
API-пентест (REST/GraphQL/gRPC)	1–2 недели	120 000 – 350 000 ₽
Мобильное приложение (iOS + Android)	3–4 недели	400 000 – 900 000 ₽
Внутренний периметр	3–5 недель	400 000 – 1 500 000 ₽
Cloud-инфраструктура (AWS, Azure, VK, Yandex)	2–4 недели	300 000 – 800 000 ₽ (+20–30% за specifics)
Wi-Fi (корпоративная сеть)	1–2 недели	100 000 – 250 000 ₽
Социальная инженерия (фишинг + пряйтекст)	1–3 недели	150 000 – 400 000 ₽
Физический пентест (проникновение в офис)	1–2 недели	200 000 – 600 000 ₽
IoT / OT / SCADA-системы	3–6 недель	500 000 – 3 000 000 ₽
Комплексный (всё выше вместе)	1–3 месяца	от 1 000 000 ₽
Red Team с Threat Intelligence	2–4 месяца	от 3 000 000 ₽

Покупая комплексный аудит, уточняйте, что именно проверяется внутри каждого пункта. «Комплексный пентест за 1 млн» у одного вендора может включать только внешний периметр + один веб-сервис, у другого — всё перечисленное выше без Red Team. Сверяйте scope, а не названия.

Отраслевые премии

Сложность и регуляторный overhead поднимают цену. Ниже — типичные надбавки.

Индустрия	Надбавка	Что её создаёт
Финтех / банки	+30–100%	Положение ЦБ РФ 851-П (с 29.03.2025), обязательный ежегодный пентест. Методические рекомендации ЦБ 2-МР (2025). Red Team — до десятков млн ₽
Госсектор (ФСТЭК)	+30–50%	Обязательная лицензия ТЗКИ у исполнителя. Отчёт по методике ФСТЭК (новая от 08.09.2025). Длительное согласование документации
Медтех / HealthTech	+20–30%	152-ФЗ + специфика МИС. Требования ФСТЭК для ИСПДн высоких уровней
Промышленность / ОПК (КИИ)	+30–70%	Приказ ФСТЭК №239, категорирование объектов КИИ. Специфика OT/SCADA сильно повышает цену — экспертиза редкая
Ритейл / e-commerce	+10–20%	PCI DSS при работе с картами + 152-ФЗ. Конкуренция на рынке сдерживает рост
Телеком	индивидуально	Масштабная инфраструктура, приказ Минцифры, требования ФСБ. Крупные контракты, цены индивидуальны

Подробнее о финтех-требованиях — в будущей статье про Red Team vs Pentest vs VA (раздел про регуляторов) и в готовящемся гайде по fintech compliance.

Структура цены: day-rate и состав команды

Цена пентеста — функция трёх переменных: day-rate вендора × время × размер команды. Разберём каждую.

Day-rate пентестера в РФ (2025–2026)

Уровень	Зарплата/мес	Часовая ставка (из зарплаты)
Junior	120 000 – 250 000 ₽	600 – 1 500 ₽/час
Middle	250 000 – 400 000 ₽	1 500 – 2 500 ₽/час
Senior	400 000 – 800 000 ₽	2 500 – 5 000 ₽/час
Lead / Principal	800 000 – 1 500 000 ₽	5 000 – 9 000 ₽/час

Источник: codeby.net, Хабр Карьера. Медиана по Хабру — около 163 000 ₽ (с учётом регионов и джунов).

Day-rate вендора

Это цена, которую платите вы, — с учётом overhead, прибыли, продаж, менеджмента проектов:

Day-rate вендора = зарплата × коэффициент 2–3

Senior пентестер: 600 000 ₽/мес → 3 750 ₽/час → 30 000 ₽/день (cost)
Day-rate вендора:  75 000 – 100 000 ₽/день (с overhead и прибылью)

Итого рыночный день-рейт в РФ: 40 000 – 120 000 ₽/день
или 5 000 – 15 000 ₽/час

Типичный состав команды

Для среднего проекта (web, SMB): 1 Senior lead + 1 Middle. Senior ведёт discovery и exploitation, Middle добивает типовые проверки и пишет отчёт
Для комплексного пентеста: 1 Senior + 2 Middle, иногда с Junior на рутину
Для Red Team: 2 Senior + 1 Middle + иногда специалист по физической безопасности / SE, плюс Project Manager на 20% загрузки

Разбивка времени по этапам (типовой веб-пентест, 10–15 дней)

Discovery / разведка: 2–3 дня. OSINT, сканирование, fingerprint
Тестирование: 5–10 дней. Активные проверки, эксплуатация
Отчёт + презентация: 2–3 дня. Документирование, CVSS-оценки, рекомендации

Итого: 10–15 рабочих дней × 70 000 ₽/день = 400 000 – 900 000 ₽ за типичный веб-пентест.

Что известно о российских вендорах

Картина публичности прайсов на апрель 2026.

Вендор	Что публично известно
RTM Group	Единственный крупный игрок с открытым прайсом: от 200 000 ₽ (внешний), от 300 000 ₽ (комплексный). Отдельно — пентест по методике ФСТЭК. Источник: rtmtech.ru
Positive Technologies	Прайсов нет. В 2025 запущен продукт PT Dephaze — авто-пентест для in-house использования (лицензионная модель). Оценка рынка PT: 5+ млрд ₽
BI.ZONE	Прайсов нет. Владеет платформой Bug Bounty (60+ млн ₽ выплачено за 2 года работы). Оценка рынка пентеста 3–4 млрд ₽ — их данные
Ростелеком-Solar + Digital Security	Прайсов нет. В октябре 2024 Солар купил Digital Security (сумма ~170 млн ₽). После сделки — лидер по объёму рынка аудита защищённости
Awillix	Методологический калькулятор: pricing.awillix.ru — показывает подход, без конкретных цифр
Bastion	Специализация — bug bounty + пентест. Публикуют на Хабре детали о затратах клиентов
Инфосистемы Джет, Информзащита, ICL Services	Прайсов нет, enterprise-ориентированы, работа по запросу
Cyberus, Deiteriy, CyberOK, Perimetrix, Jet Security Team	Средний и малый сегмент рынка. Прайсов публично нет, работа по договорам

Международное сравнение

Российский рынок примерно в 3–6 раз дешевле западного в долларовом выражении.

Рынок	Day-rate	Типичный web-пентест
США	$1 000 – 3 000/день ($250–500/час)	$10 000 – $35 000
Великобритания / ЕС	£1 000 – 1 500/день (~130–200k ₽)	£10 000 – £30 000
Сингапур	индивидуально	S$2 000 – S$20 000
Россия	40 000 – 120 000 ₽/день (~440–1 320 USD)	150 000 – 500 000 ₽ (~1 650–5 500 USD)

Разница объясняется:

Более низкие зарплаты специалистов в РФ (за рубежом senior pentester — 150–250k USD/год, в РФ — 60–120k USD-эквивалента)
Меньшие накладные расходы вендоров
Высокая конкуренция на внутреннем рынке
Нет премиума за англоязычные отчёты
Нет необходимости в international trust infrastructure (соответствие SOC 2 Type II, внешние аудиты самого вендора и т.д.)

При этом качество исполнения сопоставимо: российские пентестеры активно участвуют в международных bug bounty и занимают верхние строчки рейтингов (HackerOne, Bugcrowd).

Скрытые расходы

То, что редко включено в базовую цену и на что обращать внимание в коммерческом предложении.

Услуга	Стоимость
Retest — повторная проверка после устранения	+20–40% от исходной цены или отдельный договор
Отчёт в формате ФСТЭК / для регулятора	+100 000 – 300 000 ₽
Презентация для совета директоров	+30 000 – 100 000 ₽
Экспресс-сроки (< 2 недель)	+30–50% от базовой цены
Командировки (физический / Wi-Fi / on-site)	По факту: билеты, проживание, суточные
Юридическое сопровождение (RoE, NDA с особыми условиями)	+50 000 – 150 000 ₽
Пост-проектная консультация (Q&A, поддержка remediation)	+50 000 – 200 000 ₽
Работа в выходные / ночные часы	+50–100% к стандартному day-rate

Главная ошибка заказчика — не уточнить заранее, что входит в цену. Правило: в коммерческом предложении должны быть deliverables (что вы получите), scope (что проверяют) и out-of-scope (что не входит). Отсутствие любого раздела — красный флаг.

Как scope-ить проект и не переплатить

Типичные ошибки заказчика

Запрос «всё подряд» без приоритизации. Каждый объект в scope удваивает стоимость
Отсутствие критичных бизнес-процессов в ТЗ. Пентестер тестирует не то, что важно. Вы получаете отчёт о неважных уязвимостях
Требование white-box там, где достаточно gray-box. Переплата 20–30%
Закладывание неограниченного retest. Любое количество раундов без чёткого SLA — вендор либо завышает цену, либо срезает углы на последних
Подмена цели: «найдите нам всё» вместо «проверьте способность атакующего украсть данные клиентов». Без конкретной threat-driven цели проект превращается в compliance-галочку

Что снижает стоимость без потери качества

Gray-box вместо black-box. Даёт ту же информацию о реальных уязвимостях, экономит 30% времени на разведку
Приоритизация scope: вместо «вся инфраструктура» — «3 критических веб-сервиса». Цена пропорционально меньше, покрытие критичного — то же
Внеплановое тестирование в low-season: Q1 и летний период. Вендоры готовы уступать 10–15% при свободной ёмкости команд
Bundled-пакет при регулярных заказах. Годовой ретейнер (4 пентеста в год) даёт 15–25% скидку от разовой цены
Чёткие Rules of Engagement. Когда вендор точно знает, что можно и что нельзя, он не закладывает буфер на неопределённость
Подготовленная внутренняя сторона: человек, оперативно отвечающий на вопросы пентестеров. Экономит реальные дни простоя

Когда bundled выгоднее разового

Разовый проект: новый продукт, разовая проверка compliance, оценка перед сделкой M&A
Bundled / ретейнер: DevSecOps-цикл, compliance с ЦБ или ФСТЭК (нужен ежегодный пентест плюс проверки после релизов), программа постоянного улучшения безопасности

Тенденции 2024–2026

Рост цен на 40–60% за 2022–2026

Главный драйвер — кадровый дефицит. Нехватка 160 000 ИБ-специалистов сейчас, к 2027 — 235 000. Зарплаты senior пентестеров выросли с 300–500к ₽/мес в 2022 году до 400–800к ₽/мес в 2026. Вендоры переложили рост в цены клиентам.

Импортозамещение и уход западных инструментов

Лицензии Cobalt Strike формально недоступны, Burp Suite Professional осложнён в оплате. Open Source альтернативы (Sliver, Havoc, Caido) закрыли большую часть пробелов. На цены услуг пентеста повлияло умеренно — в отличие от рынка СЗИ, где импортозамещение подняло цены кратно.

AI-assisted пентест

Автономные ИИ-агенты берут на себя разведку, типовое сканирование и формирование отчётов. По оценкам — снижает стоимость рутинных частей на 20–30%, но не заменяет creative exploitation. PT Dephaze (авто-пентест внутренней инфраструктуры) вышел в коммерцию в 2025 году. Подробнее — в нашей статье AI-assisted пентест: что это и как работает.

Рост compliance-спроса

Обновление 851-П (вместо 683-П, с 29.03.2025), 757-П, новая методика ФСТЭК (08.09.2025), давление по КИИ — обязывают компании проводить регулярные пентесты. Спрос на compliance-оценки растёт быстрее, чем на threat-driven Red Team.

Рост Bug Bounty

Российские платформы собрали заметные суммы выплат. Standoff 365 от Positive Technologies — 27 000+ исследователей, 274+ млн ₽ выплат суммарно. BI.ZONE Bug Bounty — 60+ млн ₽ за 2 года. Для зрелых продуктов Bug Bounty становится более эффективной альтернативой многократным пентестам.

Bug Bounty vs пентест

Два разных инструмента. Не взаимозамена, а дополнение.

Параметр	Пентест	Bug Bounty
Модель оплаты	Фиксированная цена за проект	Выплата за найденные уязвимости
Стоимость запуска	150 000 – 5 000 000 ₽	0 – 500 000 ₽ (комиссия платформы)
Резервный фонд на выплаты	—	От 500 000 ₽ на год
Выплата за критическую уязвимость	Включена в проект	200 000 – 5 000 000 ₽
Длительность	Недели–месяцы	Непрерывно
Scope	Фиксированный в ТЗ	Гибкий, обновляется
Формализация отчёта	Полный отчёт для compliance	Отдельные findings через платформу
Когда выбирать	Compliance, новый продукт, конкретный scope	Зрелый продукт, непрерывный поиск

Российские платформы Bug Bounty

Standoff 365 (Positive Technologies) — 27 000+ исследователей, 200+ программ, 274+ млн ₽ выплат (из них 150+ млн ₽ только в 2024). Средняя выплата за критическую уязвимость — около $7 279 (~660 000 ₽)
BI.ZONE Bug Bounty — 34 компании, 60+ млн ₽ за 2 года работы. VK установил макс. выплату 5 млн ₽ за критический баг
bugbounty.ru — независимая платформа

Минимальный бюджет на запуск программы — формально 0 ₽ (публичная программа без комиссии платформы), реалистично — резервный фонд от 500 000 ₽ на первый год плюс комиссия 10–20%.

Формула самооценки

Быстрая прикидка стоимости до обращения к вендору.

ЦЕНА ≈ (количество объектов × дней на объект) × day-rate вендора

day-rate вендора в РФ (2026): 50 000 – 100 000 ₽/день

Примеры:
─────────────────────────────────────────────────────────
1 веб-приложение × 10 дней × 70 000 ₽  =   700 000 ₽
3 веб-сервиса × 8 дней × 70 000 ₽      = 1 680 000 ₽
Внешний периметр × 14 дней × 80 000 ₽  = 1 120 000 ₽
Red Team × 60 дней × 100 000 ₽         = 6 000 000 ₽
─────────────────────────────────────────────────────────

К прикидке добавить:
+20-30% если индустрия финтех / госсектор
+30-50% если срочность меньше 2 недель
+20-40% если нужен retest

Публичные калькуляторы:

pricing.awillix.ru — методологический, показывает подход без конкретных цифр
deepstrike.io/pricing — международный, для оценки западного уровня

Типовые документы для контракта

Перед стартом пентеста подписываются 4 документа.

NDA (Non-Disclosure Agreement). Двусторонний стандарт: вендор не разглашает findings, вы — методологию. Срок — обычно 3–5 лет
Rules of Engagement (RoE). Критически важен. Определяет: IP-диапазоны в scope, часы атак (рабочие/нерабочие), запрещённые действия (DoS, социальная инженерия сотрудников по именам, реальное вымогательство), контакты для эскалации, что делать при обнаружении критической уязвимости
Scope document / ТЗ. Перечень систем, методология (black/gray/white-box), глубина (только identification vs full exploitation), ожидаемые deliverables
Deliverables specification. Формат отчёта (executive summary + technical detail + appendices), SLA на исправление, условия retest (сколько раундов, в какой срок), ответственный за ответы на уточнения во время пентеста

При работе с государственными структурами или объектами КИИ у исполнителя обязательна лицензия ФСТЭК ТЗКИ (Постановление Правительства РФ №79). Без неё вы получите формально недействительный отчёт, и заказ может быть оспорен.

FAQ

Сколько стоит пентест в России в 2026 году?

Около 60% проектов укладываются в диапазон 500 000 – 2 000 000 ₽. Минимум — 150 000 ₽ (экспресс малого сайта), максимум — 50+ млн ₽ (enterprise Red Team). Точный публичный прайс есть только у RTM Group (от 300 000 ₽ комплексный). BI.ZONE, Positive Technologies, Ростелеком-Solar прайсы не публикуют.

От чего зависит цена пентеста?

Объём scope, глубина (black/gray/white-box), индустрия (финтех и госсектор +20-50% премия), срочность (<2 недель +30-50%), требования к отчётности (+100-300k за регулятора), включение retest, дополнительные услуги (SE, физический, cloud). Day-rate вендора в РФ — 40 000–120 000 ₽/день.

Сколько стоит пентест веб-приложения?

150 000 – 500 000 ₽ за одно веб-приложение средней сложности, 2–4 недели. Для простого сайта — от 150 000 ₽. Для сложного SaaS с платежами и API — 500 000 – 1 500 000 ₽. Gray-box с учётными данными — на 20–30% дешевле black-box.

Сколько стоит пентест для банка?

От 1 миллиона рублей за полноценный пентест, Red Team с Threat Intelligence — до 30 миллионов и выше. Обязателен по 851-П (с 29.03.2025). Нужна лицензия ФСТЭК ТЗКИ у исполнителя.

Сколько зарабатывает пентестер в России?

Junior — 120-250k ₽/мес, Middle — 250-400k, Senior — 400-800k, Lead/Principal — 800k-1.5M. Медиана на Хабр Карьере — ~163k. За 2022–2026 зарплаты выросли на 40–60% из-за кадрового дефицита.

Почему цена пентеста в России в 3-6 раз ниже западной?

Day-rate США — $1 000-3 000/день, UK — £1 000-1 500, РФ — 40 000–120 000 ₽ (~$440-1 320). Разница: более низкие зарплаты, меньшие накладные, конкуренция на внутреннем рынке, нет премиума за англоязычные отчёты. Качество сопоставимо — российские пентестеры активно участвуют в международных bug bounty.

Что такое скрытые расходы при заказе пентеста?

Retest +20-40%, отчёт для регулятора +100-300k ₽, презентация для борда +30-100k, экспресс-сроки +30-50%, командировки по факту, юридическое сопровождение +50-150k. Всегда уточняйте, что входит в базовую цену.

Как снизить стоимость пентеста без потери качества?

Gray-box вместо black-box (-20-30%). Ограничение scope конкретными системами. Планирование в low-season (Q1, лето). Bundled-пакет при регулярных проверках (-15-25%). Чёткие Rules of Engagement. Подготовленная внутренняя сторона для ответов.

Что такое Bug Bounty и чем отличается от пентеста?

Bug Bounty — непрерывная программа. Запуск 0-500k ₽ комиссия платформы + резервный фонд от 500k. Средняя выплата за крит — ~660k ₽ (Standoff 365). Российские платформы: Standoff 365 (PT, 274+ млн ₽ выплат), BI.ZONE Bug Bounty (60+ млн за 2 года), bugbounty.ru. Пентест — разовый структурированный проект, Bug Bounty — непрерывный поиск.

Когда выбирать вендора, а когда in-house команду?

Вендор — при разовых проектах, compliance, независимой экспертизе. Собственная команда — при постоянном потоке (DevSecOps, CI/CD), чувствительности данных, необходимости интеграции с разработкой. Точка безубыточности — около 6-8 пентестов в год (зарплата senior + overhead).

// История изменений

Апрель 2026: первая публикация. Актуальный рынок: 3,5–4 млрд ₽, рост 20–30% ежегодно, +55% спрос в крупном бизнесе за 5 мес. 2025. Публичные данные о вендорах (RTM Group единственный с открытым прайсом). День-рейты senior пентестеров в РФ 400-800k ₽/мес, рост 40-60% за 2022-2026. Международное сравнение (РФ в 3-6 раз дешевле). Регуляторы: 851-П (с 29.03.2025), 757-П, методика ФСТЭК (08.09.2025). Bug Bounty платформы: Standoff 365 (274+ млн ₽), BI.ZONE Bug Bounty (60+ млн за 2 года). Источники: anti-malware.ru, RTM Group, ec-rs.ru, PT отчёты, CNews, Хабр Карьера, codeby.net.
Следующее обновление — июль 2026: актуализация на Q2 2026, новые вендоры, данные по PT Dephaze в коммерции.

Нужна оценка стоимости пентеста?

IronAudit — AI-assisted пентест с верификацией специалистами. За счёт автоматизации рутинной работы — в 2–4 раза дешевле классического подхода сопоставимого охвата, сроки — от 24 часов.

IronAudit — аудит с ИИ Другие статьи блога