Аутентификация пользователей на объектах КИИ создаёт проблемы для рядовых сотрудников и администраторов ИБ. Но как соблюсти требования по использованию сертифицированных СЗИ, не парализовав работу ИТ-отдела? В этом может помочь «Пассворк» — первый сертифицированный менеджер паролей в России.
- 1. Введение
- 2. Требования ФСТЭК России в части управления доступом и идентификацией на объектах КИИ
- 3. Комплаенс — одна из главных болей безопасников
- 4. Как соблюдать требования хранения паролей на объектах КИИ
- 5. Преимущество решения
- 6. Выводы
Введение
Постепенное ужесточение регуляторных требований в России — реальность, с которой нельзя не считаться. Начиная с 2022 года импортозамещение иностранного ПО переросло из патриотической идеи в объективную необходимость.
Число кибератак на Россию со стороны недружественных стран многократно возросло, при этом госсектор и стратегические отрасли промышленности остаются излюбленной целью злоумышленников. По данным ряда исследований, 73 % всего объёма утечек данных в 2025 году пришлось на государственный сектор: злоумышленники заполучили более 105 млн строк с данными пользователей и компаний.
Тревожная динамика наблюдается и в 2026 году: в первом квартале доля хакерских атак на критическую информационную инфраструктуру (КИИ) выросла на 10 % по сравнению с показателем прошлого года и составила 77 % от общего числа атак на российские компании. При этом компрометация учётных данных остаётся одним из главных векторов атак на корпоративную инфраструктуру.
Эта тенденция говорит о том, что требования к защите данных и ответственность за их утечку продолжат ужесточаться. Однако выстроить защиту в соответствии с нормативными требованиями не так просто. Специалистам по информационной безопасности приходится постоянно искать баланс между выполнением жёстких требований регуляторов (особенно для значимых объектов КИИ) и удобством работы сотрудников.
Требования ФСТЭК России в части управления доступом и идентификацией на объектах КИИ
Рассмотрим вкратце, как изменился регуляторный ландшафт за последние годы и какие требования сейчас предъявляются в части управления доступом и идентификации на объектах КИИ.
Приказ ФСТЭК России от 25.12.2017 № 239 считается основным документом, устанавливающим требования к обеспечению безопасности значимых объектов КИИ. В частности, он регламентирует вопросы управления доступом и аутентификации на таких объектах.
В числе обязательных мер обеспечения безопасности указаны:
- Идентификация и аутентификация — меры по присвоению уникальных идентификаторов пользователям и процессам, проверке подлинности при входе в систему, управлению средствами аутентификации (паролями, токенами, сертификатами).
- Управление доступом — меры по разграничению прав доступа пользователей и процессов к информации и функциям информационной системы, реализации политик доступа, управлению привилегированными учётными записями.
Кроме того, п. 28 Требований предусматривает применение сертифицированных средств защиты информации в государственных информационных системах (ГИС), иных информационных системах государственных органов, российских организаций и граждан, а также на значимых объектах КИИ.
Формулировка про «исключительно сертифицированные СЗИ» в исходном виде слишком категорична: на практике требования касаются тех средств защиты, для которых сертификация предусмотрена нормативной базой и моделью угроз. Использование несертифицированных решений в ряде случаев действительно может привести к несоответствию требованиям безопасности.
Согласно ст. 13.12 КоАП РФ нарушение правил защиты информации может повлечь наложение административного штрафа. В отдельных случаях при неправомерном воздействии на критическую информационную инфраструктуру может применяться ст. 274.1 УК РФ.
Приказ ФСТЭК России от 18.02.2013 № 21 определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн). В нём также содержатся требования к идентификации, аутентификации и управлению доступом.
Меры по идентификации и аутентификации должны обеспечивать:
- присвоение субъектам и объектам доступа уникального идентификатора;
- сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
- проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора.
Меры по управлению доступом должны обеспечивать:
- управление правами и привилегиями субъектов доступа;
- разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил;
- контроль соблюдения этих правил.
С 1 марта 2026 года вступил в силу приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Этот нормативный акт заменил ранее действовавший приказ ФСТЭК России от 11.02.2013 № 17.
Если приказ № 17 лишь закладывал общие основы защиты информации, оставляя многие вопросы на усмотрение обладателя информации или оператора ГИС, то приказ № 117 вводит более детализированные требования к управлению учётными записями и паролями. К ним относятся:
- Наличие в организации парольной политики. Она предусматривает соблюдение минимальных требований к длине и сложности паролей, правила периодичности их смены, хранения и передачи пользователям.
- Многофакторная аутентификация для доступа привилегированных пользователей и подрядчиков.
- Строгая аутентификация пользователей при удалённом доступе.
- Централизованный сбор событий и оповещение о неудачных попытках входа в информационную систему.
- Отключение паролей по умолчанию для сервисных учётных записей.
- Блокировка неиспользуемых учётных записей (например, принадлежащих уволенным сотрудникам).
Более подробно требования нового приказа мы разбирали с экспертами в эфире AM Live. Говоря об изменениях законодательства, следует также упомянуть методические документы, утверждённые ФСТЭК России в конце 2025 года. Методички от 11.11.2025 и 25.11.2025 среди прочего затрагивают вопросы, связанные с аутентификацией и контролем доступа.
В частности, в первой методике прямо указаны требования к паролям: «Пароль должен содержать не менее 12 символов, буквы верхнего и нижнего регистра (А–Я, A–Z, а–я, a–z), специальные символы (!, „, №, %, *, /), в пароле не должно быть персонифицированной информации (имён, адресов, даты рождения, телефонов)».
ФСТЭК России планирует и дальше ужесточать требования к объектам КИИ: во втором квартале 2026 года должен быть утверждён единый перечень типовых отраслевых объектов КИИ. Кроме того, согласно внесённому в апреле законопроекту о внесении изменений в приказы ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239, с 1 сентября 2026 года могут быть введены новые показатели защищённости и усилен контроль применения СЗИ. В случае принятия документа ужесточатся требования к удалённому доступу и персоналу подрядных организаций.
Комплаенс — одна из главных болей безопасников
Проблема безопасного хранения паролей пользователями затрагивала, наверное, ИТ-специалистов любой организации. Инструктажи, памятки, ознакомление с правилами хранения паролей под подпись — все эти меры далеко не всегда приносят ожидаемый эффект. Если требования к устойчивости или периодической смене паролей можно задать программными средствами, то заставить пользователей запомнить большое количество сложных комбинаций фактически невозможно.
Осложняет проблему и то, что пароли к разным ресурсам не должны повторяться. Нет более привлекательной цели для злоумышленника, чем одинаковый пароль сотрудника к разным корпоративным приложениям, базам данных и аппаратным средствам: в этом случае компрометация всего одной учётной записи открывает доступ ко всей инфраструктуре организации.
Сейчас рядовому сотруднику организации нередко приходится запоминать десятки паролей от разных сервисов, приложений и аккаунтов. Записывать их на бумаге или хранить в незащищённом электронном виде категорически не рекомендуется. Но как удержать все эти комбинации в памяти, учитывая, что требования к стойкости паролей достаточно высоки? Типовые минимальные требования сегодня выглядят так: пароль должен содержать не менее 12 символов, включать строчные и прописные буквы, цифры и специальные символы.
Рисунок 1. Пример автоматически сгенерированного пароля
Корпоративная инфраструктура с каждым годом становится всё сложнее, требования к ИБ также растут. Вопросы управления правами обычных и привилегированных пользователей администратор может успешно решать при помощи систем IAM (Identity and Access Management) и PAM (Privileged Access Management), однако проблему безопасного хранения множества паролей и забывчивости сотрудников они не устраняют.
Технология SSO (Single Sign-On) кажется практичным решением, но применима не всегда. К тому же она не идеальна с точки зрения ИБ: при использовании сквозного входа вся цифровая безопасность оказывается «завязана» на один-единственный аккаунт.
Решить вопрос безопасного хранения аутентификационных данных можно с помощью менеджера паролей: в этом случае пользователю достаточно задать и запомнить только пароль к самой программе, а все остальные данные будут храниться внутри неё. Наиболее известный продукт этого класса — KeePass, однако его использование субъектами КИИ может вызывать вопросы с точки зрения соответствия требованиям законодательства и внутренней политики импортозамещения.
При этом прямого законодательного запрета именно на KeePass или любое иностранное ПО для всех субъектов КИИ в формулировке «с 1 января 2025 года использование иностранного ПО субъектами КИИ запрещено» нет. Указ Президента РФ № 166 от 30.03.2022 действительно устанавливает ограничения и требования по переходу на российское ПО для госорганов, заказчиков с госучастием и отдельных субъектов КИИ, однако они реализуются поэтапно и зависят от категории организации и типа инфраструктуры.
Кроме того, в базовой архитектуре KeePass отсутствует централизованное управление: продукт ориентирован на работу с локальной файловой базой данных, не предусматривает полноценного ведения журнала событий, встроенной ролевой модели доступа (RBAC) и штатной интеграции с LDAP-каталогами.
Как соблюдать требования хранения паролей на объектах КИИ
Кажется, что выхода из сложившейся ситуации не существует: пользователи продолжат хранить пароли ненадлежащим образом, а администраторы — вынужденно закрывать на это глаза. Однако этот стереотип пора разрушить: менеджер паролей «Пассворк» прошёл сертификацию ФСТЭК России по 4-му уровню доверия (сертификат № 5063 от 30.04.2026) и стал первым сертифицированным российским решением этого класса.
Сертифицированные СЗИ часто ассоциируются с неудобным интерфейсом и сложностью внедрения, из-за чего пользователи нередко пытаются обходить их, используя Shadow IT («теневые ИТ»). Однако «Пассворк» изначально создавался как удобный коммерческий продукт с современным UX и неоднократно дорабатывался с учётом потребностей enterprise-заказчиков. На нашем сайте есть обзор 7-й версии продукта, позволяющий ознакомиться с возможностями его практического применения.
Преимущество решения
«Пассворк» можно применять в автоматизированных системах вплоть до 1-го класса защищённости включительно, обеспечивая при этом комфортную совместную работу команд без выраженного сопротивления со стороны пользователей. Наличие сертификата ФСТЭК России снимает ограничения на использование этого менеджера паролей в следующих типах систем:
- Государственные информационные системы (ГИС) — до 1-го класса защищённости включительно.
- Информационные системы персональных данных (ИСПДн) — до 1-го уровня защищённости включительно.
- Значимые объекты критической информационной инфраструктуры (КИИ) — до 1-й категории включительно.
- Автоматизированные системы управления технологическими процессами (АСУ ТП) — до 1-го класса защищённости включительно.
4-й уровень доверия является максимальным для значительной части коммерческих средств защиты информации, проходящих сертификацию ФСТЭК России. Он считается одним из наиболее высоких уровней подтверждения соответствия требованиям безопасности для продуктов такого класса.
Рисунок 2. Интерфейс «Пассворк»
Но это далеко не все преимущества данного решения — как с позиции администратора, так и с точки зрения пользователей. Характеристики, на которые стоит обратить внимание:
- Вся информация хранится на серверах организации и защищается с помощью шифрования по ГОСТ или AES-256 (в зависимости от выбранной конфигурации).
- Продукт может быть развёрнут как на Windows Server, так и на серверах под управлением Linux — с использованием контейнеризации Docker или без неё.
- Отображение рисков на панели безопасности (старых, слабых или скомпрометированных паролей).
- Возможность интеграции с Active Directory / LDAP.
- Разграничение прав администрирования с помощью ролевой модели.
- Наличие десктопной и мобильной версий приложения, браузерного расширения и приложения для двухфакторной аутентификации.
- Хранение паролей в структурированном виде с возможностью быстрого поиска по базе.
- Возможность менять тему оформления, маркировать аутентификационные данные тегами и цветовыми метками.
Рисунок 3. Для быстрого доступа можно использовать поиск, теги и цветовые метки
Выводы
Подытожим: «Пассворк» является продуктом российской разработки и относится к сертифицированным средствам защиты информации. Наличие у разработчика лицензий ФСТЭК и ФСБ России, включение продукта в реестр Минцифры России, а также наличие сертификата ФСТЭК позволяют использовать решение в системах, где предъявляются повышенные требования к защите информации.
Однако формулировка о том, что это «полностью закрывает все регуляторные требования к ПО» и «позволяет применять решение в информационных системах любого класса защищённости», слишком категорична. На практике соответствие требованиям определяется не только наличием сертификатов, но и корректностью внедрения, моделью угроз, составом инфраструктуры и выполнением организационных мер защиты.
Корректнее говорить, что «Пассворк» может применяться в ГИС, ИСПДн, АСУ ТП и на объектах КИИ в пределах классов и категорий, указанных в сертификате ФСТЭК России.
Реклама, ООО "Пассворк", ИНН 2901311774, 16+.
ERID: 2VfnxvoQQTC
