Импортозамещение в тени: как госструктурам и объектам КИИ законно работать с паролями в 2026 году

Российские организации и государственные учреждения потратили миллионы рублей на замену операционных систем и баз данных, однако управление корпоративными паролями по-прежнему часто осуществляется через несертифицированные инструменты или самодельные скрипты. В апреле 2026 года на рынке появилось законное решение для госсектора и критической информационной инфраструктуры: менеджер паролей «Пассворк» получил сертификат ФСТЭК России № 5063 с 4-м уровнем доверия. Что это означает для заказчиков и почему регулятор больше не принимает оправдания о «сложности» внедрения — выяснял CNews.

Уязвимая зона импортозамещения: пароли остались без контроля

С 2022 года российские компании из сферы критической информационной инфраструктуры (КИИ), банки и государственные органы перевели ключевые системы на отечественное программное обеспечение. Согласно данным реестра Минцифры, количество импортозамещённых решений в корпоративном сегменте превысило 15 тысяч единиц. Однако, как демонстрируют результаты аудитов ФСТЭК, одно из самых слабых мест — это хранение и смена учётных записей. Сотрудники по-прежнему записывают пароли в текстовые документы, отправляют их через мессенджеры или применяют бесплатные менеджеры, не прошедшие проверку регулятора.

Цифры утечек демонстрируют, насколько остро стоит проблема в государственных учреждениях. В 2025 году 73% всех случаев утечки данных из российских компаний пришлись на государственный сектор — такую статистику приводит издание «Коммерсант», опираясь на данные исследования компании «Еса Про». Для клиентов из госсектора и объектов критической информационной инфраструктуры (КИИ) ситуация осложняется требованиями приказа ФСТЭК № 76 от 2 июня 2020 года. Этот документ предписывает, что все средства защиты информации (СЗИ), используемые на объектах 1-й категории значимости, обязаны иметь сертификат не ниже 4-го уровня доверия. До апреля 2026 года ни один российский менеджер паролей таким сертификатом не располагал. Перед организациями вставала дилемма: либо нарушать закон, применяя несертифицированное программное обеспечение, либо отказаться от централизованного управления паролями и вернуться к ведению бумажных журналов.

Что проверяет ФСТЭК и почему 4-й уровень доверия считается высшим стандартом

Сертификация по 4-му уровню доверия представляет собой наивысшую ступень для коммерческих СЗИ в России. Продукты с сертификатами 1–3 уровней предназначены исключительно для нужд государственной охраны и специальных служб. Таким образом, 4-й уровень является «потолком» для решений, которые могут свободно приобретать предприятия и государственные органы.

Процедура сертификации регулируется приказом ФСТЭК № 76 и включает три направления. Во-первых, эксперты анализируют технические меры защиты: архитектуру продукта, реализацию криптографических алгоритмов, механизмы аутентификации, управления доступом и регистрации событий. Во-вторых, оценивается документация и процессы разработки — от тестирования до управления уязвимостями и реагирования на инциденты. В-третьих, продукт проверяется на соответствие всем нормативным требованиям ФСТЭК к средствам защиты информации данного класса.

Продукт компании Пассворк, менеджер паролей с одноименным названием «Пассворк», стал первым в стране обладателем сертификата ФСТЭК, который разрешает его использование в государственных информационных системах (ГИС) до 1 класса защищённости включительно, в информационных системах персональных данных (ИСПДн) до 1 уровня защищённости, на значимых объектах КИИ до 1 категории, а также в автоматизированных системах управления технологическими процессами (АСУ ТП) до 1 класса защищённости. Иными словами, этот продукт может применяться в самых критически важных инфраструктурах страны — от систем управления атомными станциями до баз данных государственных органов.

Доверенное решение: что меняет появление сертификата

До получения сертификата «Пассворком» компаниям из регулируемых отраслей приходилось выбирать между несертифицированными менеджерами (например, Bitwarden или KeePass) и внутренними разработками. Оба варианта не давали гарантий успешного прохождения аудита. Теперь у клиентов появился легальный выбор. «Пассворк» можно развернуть на собственном сервере (on premise), что предотвращает утечки через облачных провайдеров. Решение интегрируется с каталогами (Active Directory, LDAP) и корпоративными сервисами через полнофункциональный API, поддерживает ролевое управление доступом, SSO, полное логирование всех операций с паролями и двухфакторную аутентификацию (биометрия, ключи доступа, аппаратные ключи). Все эти возможности были подтверждены ФСТЭК в ходе сертификации.

Для коммерческих организаций, не обязанных следовать требованиям регуляторов, сертификат выступает объективным подтверждением надежности. Архитектура, алгоритмы шифрования и методы аутентификации прошли экспертизу — это снижает риски при выборе решения и упрощает его внутреннее согласование.

Бизнес-выгода: легальный менеджер паролей решает две задачи одновременно

Для топ-менеджмента компаний главный вопрос всегда один: «Что мы получим от внедрения?» В случае с сертифицированным «Пассворком» ответ состоит из двух частей. Первая — полное соответствие нормативным требованиям. Сертификат ФСТЭК 4-го уровня доверия избавляет от необходимости каждый раз доказывать аудиторам безопасность хранения паролей. Вторая — удобство для сотрудников и ИТ-администраторов, не уступающее западным аналогам.

Продукт автоматизирует создание сложных паролей, их смену и безопасное распространение среди сотрудников. Например, если разработчику требуется доступ к базе данных, он не запрашивает пароль в чате, а получает его через менеджер с автоматическим ограничением срока действия.

При этом организация решает несколько задач за цену одного продукта: «Пассворк» работает и как менеджер паролей для сотрудников, и как защищенное хранилище ИТ-секретов (API-ключей, сертификатов, токенов) для разработчиков и администраторов.

Все действия фиксируются в журнале аудита, который можно передать проверяющим. Кроме того, «Пассворк» поддерживает группы доступа и политики сложности паролей, что соответствует требованию приказа ФСТЭК № 21 о контроле за парольной защитой.

Следовательно, появление первого менеджера паролей и секретов, сертифицированного ФСТЭК, устраняет давний пробел в сфере импортозамещения. Теперь российские компании из государственного сектора, банковской сферы и промышленности получили легальный, надежный и удобный инструмент для работы с паролями и секретами. Внедрение «Пассворка» помогает не только успешно проходить проверки регулятора без штрафных санкций, но и сокращать вероятность внутренних утечек данных. В условиях ужесточения требований к защите критической информационной инфраструктуры и персональных данных это решение переходит из разряда опциональных в обязательный компонент корпоративной безопасности.

■ Рекламаerid:2W5zFHwHiwbРекламодатель: ООО «Пассворк»ИНН/ОГРН: 2901311774/1222900006262Сайт: https://passwork.ru/

Оставить комментарий

Обязательные поля помечены *

Имя *

Email *

Ваш комментарий *

Отправить комментарий