Спецпроекты

Безопасность Цифровизация Импортонезависимость

Импортозамещение в слепой зоне: как госсектору и КИИ легально управлять паролями в 2026 г.

Российские предприятия и госорганы вложили миллионы рублей в замещение операционных систем и баз данных, но управление корпоративными паролями до сих пор нередко ведется с помощью несертифицированных утилит или скриптов. В апреле 2026 г. на рынке появилось легальное решение для госсектора и КИИ: менеджер паролей «Пассворк» получил сертификат ФСТЭК России № 5063 по 4-му уровню доверия. Что это меняет для заказчиков и почему регулятор больше не принимает отговорки про «сложность» внедрения — разбирался CNews.

Проблемная зона импортозамещения: пароли остались без присмотра

С 2022 года российские компании из критической информационной инфраструктуры (КИИ), банки и госорганы перевели ключевые системы на отечественное ПО. По данным реестра Минцифры, количество импортозамещённых решений в корпоративном сегменте превысило 15 тысяч единиц. Однако, как показывает практика аудитов ФСТЭК, одна из самых уязвимых точек — хранение и ротация учётных записей. Сотрудники продолжают записывать пароли в текстовые файлы, передавать их в мессенджерах или использовать бесплатные менеджеры, которые не проходили экспертизу регулятора.

Появление первого сертифицированного ФСТЭК менеджера паролей и секретов закрывает многолетнюю «слепую зону» в импортозамещении

Статистика утечек указывает на серьёзность ситуации в государственных организациях. За 2025 год 73% всех утечек данных из российских организаций пришлось на госсектор, такие данные опубликовало издание «Коммерсант», ссылаясь на исследование компании «Еса Про». Для заказчиков из госсектора и КИИ проблема усугубляется требованиями приказа ФСТЭК № 76 от 2 июня 2020 года. Согласно документу, все средства защиты информации (СЗИ), применяемые на объектах 1-й категории значимости, должны иметь сертификат не ниже 4-го уровня доверия. До апреля 2026 года ни один менеджер паролей в России таким сертификатом не обладал. Организации оказывались перед выбором: либо нарушать закон, используя несертифицированное ПО, либо отказываться от централизованного управления паролями и возвращаться к бумажным журналам.

Антон Незнаев, ведущий ИБ-специалист «Пассворк»

«Проблема на объектах КИИ — хранение паролей в открытом виде или в локальных базах без централизованного управления. В таких условиях невозможно контролировать, кто именно имеет доступ к критическим системам. В "самописных" решениях аудиторы чаще всего находят уязвимости веб-интерфейса, отсутствие логирования и хранение ключей шифрования вместе с базой данных. Для регулятора такие инструменты не являются доверенными, так как они не проходили проверку на отсутствие скрытых уязвимостей».

Что проверяет ФСТЭК и почему 4-й уровень доверия — это максимальный стандарт

Сертификация по 4-му уровню доверия — наивысшая ступень для коммерческих СЗИ в России. Продукты, имеющие сертификат 1–3 уровня, предназначены исключительно для нужд государственной охраны и спецслужб. Таким образом, 4-й уровень — это «потолок» для решений, которые могут свободно приобретать предприятия и госорганы.

Процедура сертификации регламентируется приказом ФСТЭК № 76 и включает три направления. Во-первых, эксперты проверяют технические меры защиты: архитектуру продукта, реализацию криптографических алгоритмов, механизмы аутентификации, управления доступом и журналирования событий. Во-вторых, оценивается документация и процессы разработки — от тестирования до управления уязвимостями и реагирования на инциденты. В-третьих, продукт проверяют на соответствие всем нормативным требованиям ФСТЭК к средствам защиты информации данного класса.

Продукт компании Пассворк, менеджер паролей с одноименным названием «Пассворк» первым в стране получил сертификат ФСТЭК, который разрешает его применение в государственных информационных системах (ГИС) до 1 класса защищённости включительно, в информационных системах персональных данных (ИСПДн) до 1 уровня защищённости, на значимых объектах КИИ до 1 категории, а также в автоматизированных системах управления технологическими процессами (АСУ ТП) до 1 класса защищённости. Иными словами, продукт может использоваться в самых критичных инфраструктурах страны — от систем управления атомными станциями до баз данных госорганов.

Андрей Пьянков, генеральный директор «Пассворк»

«Получение сертификата ФСТЭК — это подтверждение готовности «Пассворка» работать в системах с самыми высокими требованиями, — заявил Андрей Пьянков, генеральный директор «Пассворк». — Мы стали первым российским менеджером паролей, который может использоваться в инфраструктурах первой категории значимости. Это важный шаг в развитии российского рынка средств защиты информации и реального импортозамещения в сфере безопасности».

Доверенное решение: что меняет появление сертификата

До получения сертификата «Пассворком» организации, работающие в регулируемых отраслях, были вынуждены использовать либо несертифицированные менеджеры (например, Bitwarden, KeePass), либо собственные разработки. Ни тот, ни другой вариант не гарантировал прохождение аудита. Теперь у заказчиков появилась легальная альтернатива. «Пассворк» может устанавливаться на собственный сервер (on premise), что исключает утечки через облачного провайдера. Продукт интегрируется со службами каталогов (Active Directory, LDAP) и сервисами компаний через полнофункциональный API, поддерживает ролевую модель доступа, SSO, полный аудит всех действий с паролями и двухфакторную аутентификацию (биометрия, ключи доступа, аппаратные ключи). Все эти функциональные возможности были проверены ФСТЭК на этапе сертификации.

История действий

Для коммерческих компаний, которые не обязаны соблюдать требования регуляторов, сертификат служит независимым подтверждением надёжности. Архитектура, алгоритмы шифрования и механизмы аутентификации прошли экспертизу — это снижает риски при выборе решения и упрощает его согласование внутри компании.

Антон Незнаев, ведущий ИБ-специалист «Пассворк»

«В первую очередь решение внедряют субъекты КИИ: предприятия ОПК, энергетики, транспорта и госорганы, которые обязаны использовать сертифицированные СЗИ. Высокий интерес мы также видим со стороны банков, которым необходимо закрыть требования по импортозамещению без потери в удобстве администрирования. Для таких компаний сертификат ФСТЭК служит независимой гарантией того, что код продукта и процессы разработки проверены на государственном уровне».

Бизнес-выгода: легальный менеджер паролей решает две задачи одновременно

Для топ-менеджмента компаний ключевой вопрос всегда звучит одинаково: «Что мы получим с внедрением?» В случае с сертифицированным «Пассворком» ответ включает две части. Первая — это полное соответствие требованиям регуляторов. Наличие сертификата ФСТЭК 4-го уровня доверия позволяет не доказывать аудиторам каждый раз, что пароли хранятся безопасно. Вторая — это удобство работы сотрудников и ИТ-администраторов, которое не уступает западным аналогам.

Администрирование

Продукт автоматизирует процессы генерации сложных паролей, их ротации и безопасного распространения между сотрудниками. Например, если разработчику нужен доступ к базе данных, он не просит пароль в чате, а получает его через менеджер с автоматическим ограничением срока действия.

Управление пользователями

При этом организация решает сразу несколько задач по цене одного продукта: «Пассворк» работает и как менеджер паролей для сотрудников, и как защищенное хранилище ИТ-секретов (API-ключей, сертификатов, токенов) для разработчиков и администраторов.

Управление пользователями — роли

Все действия записываются в журнал аудита, который может быть передан проверяющим. Кроме того, «Пассворк» поддерживает группы доступа и политики сложности паролей, что закрывает требование приказа ФСТЭК № 21 о необходимости контроля за парольной защитой.

Панель безопасности

Таким образом, появление первого сертифицированного ФСТЭК менеджера паролей и секретов закрывает многолетнюю «слепую зону» в импортозамещении. Теперь у российских компаний из госсектора, банков и промышленности есть легальный, безопасный и удобный инструмент для управления паролями и секретами. Внедрение «Пассворка» позволяет не только пройти проверку регулятора без штрафов, но и снизить риск внутренних утечек. В условиях ужесточения требований к защите КИИ и персональных данных это решение перестаёт быть опцией и становится обязательным элементом корпоративной безопасности.

Рекламаerid:2W5zFHwHiwbРекламодатель: ООО «Пассворк»ИНН/ОГРН: 2901311774/1222900006262Сайт: https://passwork.ru/

Короткая ссылка