Анастасия изучает практическую сторону информационной безопасности: как устроены корпоративные менеджеры паролей, где возникают уязвимости и что реально помогает их устранить. Материалы основаны на опыте ИТ-руководителей и ИБ-специалистов.
Компания Пассворк и российский разработчик высокотехнологичных enterprise-решений Nexign («Нэксайн») подписали официальный сертификат совместимости менеджера паролей Пассворк и СУБД Nexign Nord.
Сертификат подтверждает корректную работу решений в единой инфраструктуре и готовность к совместному использованию Пассворка и Nexign Nord в организациях с высокими требованиями к надёжности, безопасности и отказоустойчивости.
Интеграция позволяет развернуть хранилище паролей и журнал аудита в едином защищенном контуре, задействовать корпоративные механизмы резервного копирования, отказоустойчивости и мониторинга, а также обеспечить централизованный контроль доступа к ИТ-инфраструктуре и соответствие требованиям ИБ и регуляторов.
Nexign Nord: СУБД для высоконагруженных систем
Nexign Nord — российская высокопроизводительная СУБД корпоративного класса, разработанная компанией Nexign для высоконагруженных систем с повышенными требованиями к надежности, масштабируемости и стабильности работы.
Решение создано на базе PostgreSQL, содержит доработки для повышения безопасности и совместимости приложений, работающих на Oracle. Дополнительные модули в составе СУБД обеспечивают высокий уровень отказоустойчивости и гибкое администрирование при минимальных затратах на эксплуатацию.
СУБД Nexign Nord обеспечивает импортозамещение Oracle Database, Microsoft SQL Server и предоставляется с технической поддержкой различных уровней. Продукт включён в Единый реестр российского программного обеспечения (реестровая запись №14734) и сертифицирован ФСТЭК России по 4-му уровню доверия.
Пассворк: менеджер паролей и секретов для бизнеса
Пассворк — российский корпоративный менеджер паролей и секретов с возможностью установки на собственный сервер заказчика и в облаке. Решение предназначено для безопасного хранения, управления и совместного использования учётных данных внутри компаний.
Продукт поддерживает ролевую модель доступа, полный аудит действий, интеграцию со службами каталогов и системами мониторинга безопасности. Пассворк включён в Единый реестр российского программного обеспечения (реестровая запись № 6147) и сертифицирован ФСТЭК России по 4-му уровню доверия.
Подтверждённая совместимость как основа для развития
Сертификат совместимости выдан на основании проведённых испытаний. Совместная работа решений протестирована в реальных условиях эксплуатации и подтверждает готовность к использованию в корпоративных инфраструктурах с высокими требованиями к безопасности и отказоустойчивости.
«Сертификат совместимости с Nexign Nord — важный шаг для Пассворка. Nexign входит в число ведущих российских разработчиков enterprise-решений, и подтверждённая совместимость говорит о том, что наш продукт отвечает высоким корпоративным стандартам надёжности и безопасности», — Андрей Пьянков, генеральный директор ООО «Пассворк»
«Совместимость Nexign Nord с Пассворк позволяет повысить безопасность, надежность и отказоустойчивость ИТ-инфраструктуры, расширить возможности пользователей. Для клиентов Пассворка это также означает перспективу миграции на более экономически выгодную СУБД: Nexign Nord позволяет сократить затраты в несколько раз по сравнению с аналогами, сохраняя при этом высокий уровень производительности, надёжности и управляемости», — Максим Нартов, директор по развитию бизнеса Nexign
Компании продолжают сотрудничество для развития интеграционных возможностей и обеспечения максимальной безопасности российской корпоративной ИТ-инфраструктуры.
Пассворк регулярно тестирует совместимость с отечественными ИТ-продуктами и операционными системами. Посмотреть все актуальные сертификаты совместимости можно на этой странице.
О компании Nexign
Nexign — российская компания с 34-летним опытом разработки высокотехнологичных enterprise-решений для различных отраслей экономики. Готовые продукты и решения Nexign обеспечивают быструю ИТ-трансформацию клиентов, чтобы крупный бизнес мог решать задачи в кратчайшие сроки с уверенностью в результате.
О компании Пассворк
Пассворк — российский разработчик в сфере информационной безопасности с 11-летним опытом работы на рынке. Компания имеет действующие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) и созданию средств защиты информации (СЗКИ), а также лицензию ФСБ России на работу с криптографическими средствами.
Пассворк получил сертификат совместимости с СУБД Nexign Nord
Пассворк и Nexign подтвердили совместимость менеджера паролей и СУБД Nexign Nord. Интеграция позволяет развернуть хранилище секретов в едином защищенном контуре компании, использовать привычные инструменты бэкапа и мониторинга, а также выполнить требования ИБ и регуляторов.
ВкусВилл — розничная сеть натуральных продуктов, основанная в 2009 году. Сегодня это порядка 2200 магазинов в 156 городах России, 9,3 млн покупателей и свыше 4200 наименований под собственным брендом. В основе подхода компании — тесная работа с локальными поставщиками, быстрое обновление ассортимента и постоянные эксперименты с форматами. ВкусВилл одним из первых в российском ритейле начал внедрять искусственный интеллект и кассы самообслуживания собственной разработки.
Ключевые ИТ-системы компании развивает и поддерживает команда платформенных решений ТехВилл (ИТ-компания ВкусВилла). Подразделение отвечает за развёртывание и сопровождение внешних и внутренних сервисов, а также развивает онлайн-направление ВкусВилла. В работе команда опирается на современные фреймворки и инженерные практики, чтобы решения оставались производительными, безопасными и готовыми к росту нагрузки.
Компания: АО «ВкусВилл» Дата основания: 2009 Отрасль: Розничная торговля продуктами питания Размер компании: ~ 27 000 сотрудников
Задача: сделать доступы управляемыми
С ростом инфраструктуры управление паролями и секретами становилось всё сложнее: количество сервисов, сотрудников и точек доступа росло, а вместе с ним и риски. В ТехВилле решили выстроить централизованную систему хранения и сформулировали конкретные требования:
интеграция с LDAP с автоматическим отзывом доступов при изменениях в кадрах
быстрый доступ к данным (в штатном режиме и при инциденте)
исключение потери паролей и секретов
обязательное резервное копирование
Прежде чем остановиться на Пассворке, команда рассмотрела несколько инструментов. Ни один не закрывал все требования: слабый веб-интерфейс, отсутствие надёжной централизованной базы, неудобное администрирование, проблемы с синхронизацией пользователей.
«Нужно было централизовать хранение и обмен паролями и секретами. Самое главное — исключить возможность потери. Утрата каких-то секретов для нас была важна. В Пассворке у нас есть возможность и базу бэкапить, и централизованно всё хранить в защищённом виде», — Евгений Ананьев, инженер в команде платформенных решений ВкусВилла
Выбор: тестирование и аргументы
Пассворк тестировали в реальных условиях. Локальное размещение и автоматизация управления доступами стали главными аргументами в пользу выбора.
«Решение действительно понравилось: у Пассворка понятный интерфейс и высокая надёжность. Отдельный плюс — это российская система с качественной русификацией. В случае инцидента счёт идёт на минуты, и особенно важно быстро находить нужные доступы — Пассворк хорошо справляется с задачей»
Команда обратила внимание при выборе менеджера паролей на то, что иностранные сервисы уже не могут гарантировать поддержку и обновления сервиса. Выбрали отечественное решение, которое соответствует российским требованиям по защите конфиденциальной информации.
Внедрение: защищённый периметр
Пассворк развернули в контейнерной среде. Данные хранятся в отказоустойчивом кластере с резервированием и регулярными бэкапами. Внедрение заняло около месяца. Сначала систему подключила небольшая группа специалистов, которым нужен постоянный доступ к секретам, затем подключили остальных пользователей через синхронизацию с корпоративным каталогом. Так выстроили устойчивую модель распределения прав.
«С технической точки зрения развёртывание не было сложным. Основная доработка касалась адаптации типовой схемы под инфраструктуру компании — в частности, под сценарий, где приложение работает в контейнере, а база данных вынесена наружу»
Команда выстроила многоуровневую модель резервирования: помимо штатных бэкапов, формируются зашифрованные архивы, которые хранятся в отдельном контуре. После каждого обновления инженеры проверяют целостность данных — сравнивают состояние секретов до и после процедуры. Пассворк рассматривается как критичный сервис: важно не просто наличие резервных копий, а уверенность в том, что данные корректно пережили изменения.
Доступ к Пассворку ограничен корпоративной сетью. Для аудита доработали логирование: фиксируется не только факт завершения сессии, но и источник подключения — это упрощает расследование инцидентов и позволяет быстро связать активность с конкретным пользователем.
Как устроена работа с Пассворком
Компания использует Пассворк с 2023 года: ТехВилл и ВкусВилл централизованно хранят секреты команд. В карточку каждого секрета и пароля можно добавить ссылку, файлы и комментарии. Учётные записи синхронизируются с корпоративным каталогом автоматически — ручное управление доступом не нужно. Для передачи данных без выдачи постоянного доступа используются одноразовые ссылки.
«Ограниченное количество пользователей имеет доступ к сейфам и отдельным областям внутри них. Сотрудники группируют пароли по тегам для большего удобства поиска, также используют автозаполнение с помощью браузерного расширения. Тем, кто не пользуется Пассворком постоянно, мы выдаём одноразовые ссылки»
Структура хранения адаптирована под бизнес-процессы: сейфы организованы по сервисам и командам, внутри — по продуктам. Права доступа разграничены: сотрудники работают только со своими разделами, к остальным — доступ на чтение при необходимости.
Результат: безопасность и контроль
Структура и удобство
У команды появилась единая точка доступа к секретам, автоматическая синхронизация пользователей и возможность оперативно отключать пользователей при необходимости. Пароли собраны в одном месте с удобным поиском, а браузерные расширения подставляют нужные учётные данные прямо на сайтах.
«Мы сейчас не боимся потерять пароль к сервису, который человек когда-то сделал, записал, а потом ушёл из компании. Это очень сильно выручает»
Безопасная командная работа
Пассворк позволяет передавать пароли конкретному пользователю внутри системы — без открытия доступа ко всему сейфу. Одноразовые ссылки решают задачу быстро и точечно: поделиться доступом можно с тем, кому постоянный аккаунт не нужен.
«Пассворк полностью закрывает текущие задачи команды как инструмент хранения и оперативного использования секретов. Удобно, что есть обзорность, сколько у нас паролей, какие, и где конкретно они хранятся»
Надёжность решения
Пассворк стал частью инженерного процесса — там, где важны скорость, управляемость и уверенность в том, что критичные доступы не исчезнут в нужный момент.
ТехВилл решила задачу, с которой сталкивается любая растущая ИТ-команда: сделать управление данными предсказуемым и независимым от конкретных людей. Пассворк дал инструмент, который работает без ручного контроля, без риска потери и без лишних точек отказа. Секреты под защитой, доступы под контролем, команда сосредоточена на задачах.
«Потерянный пароль — это часто потеря данных. Потеря данных в 80% случаев ведёт к исчезновению компании. С Пассворком у нас есть возможность делать бэкапы и централизованно хранить нужные данные в защищённом виде»
ВкусВилл решил задачу централизованного хранения секретов и автоматического управления доступами — без потери данных и ручной работы с правами. Если перед вашей командой стоят похожие вызовы, попробуйте Пассворк: наши специалисты и поддержка помогут с установкой и настройкой. Протестировать можно бесплатно
ВкусВилл: управление секретами без потерь и ручного контроля
ИТ-команда ВкусВилла искала инструмент для централизованного хранения секретов с LDAP-интеграцией и надёжным резервированием. Рассказываем, как выбирали, внедряли и как это устроено сейчас.
15 мая на площадке GagarinSpace в Москве прошла конференция GetNet — практическое мероприятие для сетевых инженеров, ИБ, ИТ-специалистов и ИТ-руководителей среднего бизнеса. Пассворк выступил партнёром конференции второй год подряд.
О конференции
GetNet собирает специалистов, которые отвечают за сетевую инфраструктуру в компаниях на этапе активного роста и масштабирования. Формат — прикладные доклады от практикующих инженеров: реальные кейсы и инструменты, которые можно применить сразу.
Программа: что обсуждали на GetNet 2026
В этом году программа охватила множество прикладных тем — ниже лишь часть из них:
NGFW. Разбор того, почему заявленные характеристики межсетевых экранов расходятся с реальной производительностью в боевых режимах. Отдельный блок — практический разбор остановленной атаки как способ проверить, что NGFW действительно защищает, а не просто фильтрует трафик по правилам.
Масштабирование инфраструктуры. Типовые технические и бизнес-проблемы при резком росте нагрузки: где закладываются будущие кризисы и как их предотвратить до того, как они проявятся в продакшене.
Превентивный мониторинг — как «слепые зоны» по CPU, памяти, дискам и сетевым каналам превращаются в каскадные сбои. Инструменты: Zabbix, Prometheus, Grafana, ELK, Loki, Ansible.
Автоматизация конфигураций — как привести RouterOS к целевому состоянию через annet без лишних команд и ручной сверки с эталоном.
Автоматизация настройки VLAN — инструменты MVRP, dot1x и интерфейс-листы на оборудовании MikroTik: нюансы, риски и границы применимости.
Внутренние уязвимости в eCommerce — реальные кейсы: утечки через уязвимый браузер в контакт-центре, открытые репозитории с сертификатами, секреты в CI/CD-пайплайнах. Периметровая защита эти угрозы не закрывает.
Тестирование отечественного оборудования — 5-шаговая методология: от одиночного устройства до комплексной проверки отказоустойчивости. Принцип — перенести риски с продакшена в лабораторию до закупки.
Отказоустойчивые сети для среднего бизнеса — практические архитектуры высокой доступности при ограниченном бюджете и без выделенных сетевых специалистов.
Пассворк на GetNet
Сетевая безопасность и управление доступами — смежные задачи: одна без другой не даёт полной защиты. Именно поэтому Пассворк участвует в мероприятиях для сетевых инженеров и ИТ-руководителей. Аудитория GetNet — специалисты, которые проектируют и поддерживают инфраструктуру изнутри. Они лучше других понимают, где возникают уязвимости и что нужно, чтобы их закрыть.
«GetNet объединяет людей, которые каждый день работают с реальной инфраструктурой: инженеров, архитекторов безопасности, технических руководителей. Мы поддерживаем конференцию уже второй год. У нас общая цель — развивать практическую кибербезопасность и делать управление доступами в российских компаниях надёжным и осознанным», — Андрей Пьянков, генеральный директор ООО «Пассворк»
Пассворк помогает компаниям выстраивать контроль над учётными данными на уровне повседневных процессов: единое хранилище паролей и секретов, гибкое управление правами, детальный журнал аудита. Продукт разворачивается на собственной инфраструктуре или в облаке, интегрируется с AD, LDAP и SSO и полностью соответствует требованиям российских регуляторов.
Контроль над сетью начинается с контроля над доступами. Пассворк разворачивается на вашей инфраструктуре, интегрируется с AD, LDAP и SSO и даёт полную картину: кто, к чему и когда имел доступ. Протестируйте бесплатно
Пассворк на GetNet 2026: сетевая безопасность начинается с доступов
Пассворк второй год подряд поддержал конференцию GetNet — прикладное событие для сетевых инженеров и ИТ-руководителей. Рассказываем, как прошла встреча в Москве, какие ИБ-тренды обсуждали эксперты и почему сетевая безопасность не работает без надежного контроля доступов.
Если пароли ваших сотрудников хранятся в браузерах, записках, таблицах и переписках, скорее всего, они уже скомпрометированы. Кто знает пароль от вашего банка? А что осталось у сотрудника, который уволился три месяца назад? Если ответы неочевидны, скорее всего, доступы уже давно вышли из-под контроля.
Менеджер паролей для малого бизнеса помогает собрать учётные данные в защищённое хранилище, настроить роли пользователей, включить двухфакторную аутентификацию, безопасно делиться доступами и быстро отзывать права.
Начать стоит не с поиска «лучшего сервиса», а с аудита: какие аккаунты есть у вашей компании, кто ими пользуется и какие из них критичны для бизнеса. В статье разберём, зачем малому бизнесу менеджер паролей, чем он отличается от браузерного хранилища, как выбрать подходящее решение и как его внедрить.
Главное
Учётные данные — вектор атаки №1. Компрометация паролей и фишинг остаются ведущими причинами взломов. Малый бизнес атакуют из-за слабых процессов безопасности.
Хаотичное хранение паролей. Excel-таблицы, мессенджеры, браузеры и личные устройства не дают ни контроля, ни аудита, ни возможности быстро отозвать доступ.
Менеджер паролей — инструмент порядка в доступах. Он отвечает на три вопроса: кто имеет доступ, к чему и на каких условиях.
Браузерное хранение не подходит для команды. Нет ролей, аудита и управляемого отзыва прав. При заражении стилером пароли из браузера извлекаются за секунды.
Подрядчики и внешние специалисты — удобная точка входа для атакующих: без управляемой модели доступа их права быстро становятся избыточными и не отзываются вовремя.
Внедрение не требует сложного проекта. Аудит доступов, назначенный ответственный, ролевая модель и пилотный запуск на критичных сервисах достаточно для старта.
Почему малому бизнесу опасно хранить пароли в таблицах, чатах и браузерах
Компания, которая не знает, у кого есть доступ к банку, рекламным кабинетам или рабочей почте, не может гарантировать, что этого доступа нет у уволенного сотрудника, бывшего подрядчика или злоумышленника. При этом последствия разные: утечка клиентской базы, несанкционированные транзакции, слив рекламного бюджета или потеря доступа к сайту в самый неподходящий момент.
Малый бизнес часто недооценивает собственную привлекательность как цели. Атакующим не нужна крупная корпорация — им нужен лёгкий доступ. А лёгкий доступ чаще всего там, где нет выстроенных процессов.
По данным Verizon DBIR 2025, компрометация учётных данных и фишинг остаются ведущими векторами атак. Kaspersky фиксирует рост атак, связанных с кражей паролей, на 21% с 2023 по 2024 год и особо отмечает, что браузеры часто становятся источником утечек сохранённых учётных данных.
Проблема малого бизнеса — не в слабых паролях как таковых. Проблема в отсутствии учёта: компания не знает, кто имеет доступ, когда пароль менялся и можно ли быстро отозвать права.
Способ хранения
Типичная ситуация
Последствие
Excel-таблица
Файл лежит на общем диске или пересылается по почте
Любой, кто скачал файл, получает доступ ко всем сервисам
Браузерный менеджер
Сотрудник сохраняет доступы к CRM и почте в личном браузере
При заражении стилером пароли извлекаются за секунды
Мессенджер
Подрядчику отправляют пароль от рекламного кабинета
Пароль остаётся в истории переписки и может быть переслан
Личное устройство
Рабочие пароли хранятся в заметках или приложениях на личном телефоне сотрудника
При увольнении или потере устройства доступы остаются вне контроля компании
Бумажный блокнот, записка
Пароли записаны в ежедневнике, на стикере у монитора или в тетради
Любой, кто окажется рядом, получает доступ; при потере блокнота данные невозможно отозвать
Повторные пароли
Один пароль для почты, CRM и маркетплейса
Компрометация одного сервиса открывает доступ к остальным
Увольнение без офбординга
После ухода сотрудника неясно, какие доступы у него были
Права невозможно гарантированно отозвать
По данным РКН, с января по май 2025 года в России зафиксировано 30 утечек персональных данных и более 38 млн скомпрометированных записей. С 30 мая 2025 года в России действуют повышенные штрафы за нарушения в сфере персональных данных: согласно поправкам, введённым Федеральным законом № 420-ФЗ, за неуведомление об утечке компаниям и ИП грозит штраф от 1 до 3 млн рублей, а за повторную утечку — оборотный штраф в размере 1–3% годовой выручки (КонсультантПлюс).
Что такое менеджер паролей для бизнеса и чем он отличается от личного
Менеджер паролей для малого бизнеса — это защищённое хранилище учётных данных с ролями, многофакторной аутентификацией, журналом действий и безопасной передачей доступов сотрудникам. Все данные зашифрованы, доступ к каждому паролю определяется ролью сотрудника, а все действия фиксируются в журнале.
В отличие от браузерного или личного менеджера, решение для компаний отвечает на вопросы, которые важны именно бизнесу: кто из сотрудников видит какие пароли, кто передал доступ подрядчику и когда, что нужно отозвать при увольнении и у кого спросить, если пароль от банка перестал работать.
Тип хранения
Для кого подходит
Пример использования
Ключевые ограничения
Браузерный менеджер
Один сотрудник — для личных или рабочих аккаунтов
Сохранить пароль от почты, чтобы не вводить каждый раз
Нет ролей, аудита и управляемого отзыва доступов. При заражении устройства пароли уязвимы
Личный менеджер паролей
Один сотрудник — для хранения и генерации паролей
Хранить уникальные пароли ко всем личным сервисам
Не решает командную передачу доступов и офбординг. Данные остаются у сотрудника, а не у компании
Менеджер паролей для бизнеса
Команда от 5 человек: малый бизнес, отдел, стартап
Общий доступ к CRM, рекламным кабинетам и почте с разграничением по ролям
Требует первоначальной настройки: структура хранилищ, роли, MFA, регламент работы
Почему это важно для бизнеса
Централизованное хранение. Все пароли и секреты находятся в одном защищённом хранилище — снижение рисков их случайного раскрытия.
Контроль доступа через роли. Администратор назначает каждому сотруднику роль, и тот видит только те пароли, которые нужны для работы. Права выдаются точечно, а не по принципу «дадим всем, чтобы не спрашивали».
Контроль доступа. Можно точно определить, кто и к чему имеет доступ, и выдавать права по необходимости — уменьшение вероятности злоупотреблений и ошибок.
Аудит действий. Все обращения к паролям фиксируются: видно, кто, когда и какой доступ использовал — упрощение контроля и расследования инцидентов.
Управление подрядчиками и внешними исполнителями. Фрилансер, агентство или интегратор получают доступ только к тем ресурсам, которые нужны для конкретной задачи через отдельную группу с ограниченными правами. Когда работа завершена, доступ отзывается в один клик.
Быстрая смена и отзыв доступов. Пароли можно оперативно менять и отзывать при увольнении сотрудников или подозрении на компрометацию.
Интеграция с инфраструктурой. Пароли и секреты можно использовать в сервисах и системах без их хранения в открытом виде — через безопасные механизмы доступа.
В итоге компания имеет управляемую систему доступа.
Какие риски снижает менеджер паролей для бизнеса
Менеджер паролей устраняет операционный хаос в управлении учётными данными и закрывает конкретный класс рисков — неконтролируемый доступ к корпоративным системам.
Что он даёт на практике:
Уникальные пароли для каждого сервиса — генератор исключает повторное использование и слабые комбинации.
Минимальные привилегии — сотрудник получает доступ только к тому, что нужно для его задач.
Управляемый офбординг — при увольнении компания точно знает, какие доступы отозвать и где они находятся.
Независимость от исполнителей — доступы хранятся в системе, а не в голове конкретного сотрудника.
Журнал действий — все обращения к паролям фиксируются и доступны для аудита.
Отдельная зона риска для малого бизнеса — подрядчики и внешние исполнители: агентства, фрилансеры, интеграторы, внешняя бухгалтерия. Без выделенной модели доступа их права накапливаются, не ротируются и не отзываются вовремя. Менеджер паролей решает эту задачу через изолированные группы с ограниченными правами и чёткой процедурой отзыва.
Проверьте, где сейчас хранятся рабочие пароли вашей компании. Пассворк помогает собрать все учётные данные в едином защищённом хранилище с ролями и журналом действий — passwork.ru
Какие функции менеджера паролей обязательны для малого бизнеса
Выбор менеджера паролей для малого бизнеса определяется тем, закрывает ли он реальные операционные задачи команды. Ключевой критерий — наличие ролевой модели, журнала действий и многофакторной аутентификации (MFA). Без них управление доступами быстро деградирует: пароли теряют владельцев, права накапливаются, а процесс смены доступов становится непредсказуемым.
Минимальный набор
Функция
Почему важна
Минимальное требование
Командные хранилища
Разделяют доступы по отделам и задачам
Отдельные папки для бухгалтерии, продаж, маркетинга, ИТ
Безопасный обмен
Заменяет пересылку паролей в чатах
Передача доступа без раскрытия пароля
Роли и группы
Позволяют выдавать права не вручную каждому сотруднику
Роли «администратор», «руководитель», «сотрудник», «подрядчик»
Автозаполнение
Снижает трение при работе — сотрудники не обходят систему ради удобства
Браузерное расширение с автоподстановкой логина и пароля
MFA/2FA
Снижает риск входа по украденному паролю
Обязательно для администраторов и критичных сервисов
Журнал действий
Показывает, кто смотрел, менял или передавал доступ
Логи для критичных хранилищ и действий администратора
Позволяют реагировать на инциденты в момент события, а не постфактум
Оповещения при входе, смене пароля и изменении прав
Импорт и экспорт
Упрощает миграцию и снижает риск привязки к одному решению
Безопасный импорт из CSV/браузера и контролируемый экспорт
Резервное восстановление
Защищает от потери доступа к хранилищу
Задокументированный порядок восстановления для владельца
В Пассворке все эти функции реализованы в рамках единой системы: ролевая модель через группы, журнал всех действий сотрудников, встроенный генератор паролей и приложение Пассворк 2ФА для подтверждения входа.
С чего начать: аудит доступов перед внедрением
Покупка инструмента без инвентаризации доступов не решает проблему. Перед выбором решения нужно собрать список сервисов, владельцев, пользователей и критичности. Особое внимание доступам к банку, CRM, бухгалтерии, рекламным кабинетам, маркетплейсам, почте, сайту и хостингу.
Чек-лист аудита доступов
Что проверить
Вопрос для аудита
Практический результат
Сервисы
Какие сервисы использует компания?
Полный список систем и аккаунтов
Владельцы
Кто отвечает за каждый сервис?
Назначение ответственных за доступы
Пользователи
Кто сейчас имеет доступ?
Выявление лишних и бывших пользователей
Способ хранения
Где сейчас лежит пароль?
Понимание срочности миграции
Критичность
Что будет, если доступ украдут?
Приоритизация: банк, почта, CRM, сайт, ПДн
MFA
Включена ли двухфакторная аутентификация?
План включения MFA для критичных сервисов
Результат аудита — карта рисков: какие доступы нужно перенести первыми, где уже есть бывшие сотрудники с неотозванными правами и где отсутствует двухфакторная аутентификация на критичных аккаунтах.
Облачный или локальный менеджер паролей: что выбрать малому бизнесу
Выбор между облачной или локальной системой управления доступами зависит от трёх факторов: размера команды, наличия ИТ-специалиста и требований к хранению данных. Облачное решение подходит для быстрого старта: не нужен собственный сервер, настройка занимает минуты. Локальное развёртывание оправдано, когда важен контроль над данными, есть интеграция с AD/LDAP или SSO, либо действует политика импортозамещения.
Таблица выбора решения по сценарию
Сценарий
Рекомендация
Приоритет при выборе
До 10 сотрудников, нет ИТ-администратора
Облачное решение
Быстрый старт без инфраструктурных затрат
10–30 сотрудников, есть ответственный за ИТ
Облачное или локальное с ролями, MFA и журналом
Баланс простоты и контроля доступов
30–100 сотрудников, несколько отделов
Локальное с группами, журналами, AD/LDAP, SSO
Масштабируемое управление правами
Строгие требования к хранению данных
Локальное (self-hosted)
Данные остаются внутри инфраструктуры компании
Активная работа с подрядчиками
Любое — с временным доступом и журналом действий
Быстрая выдача и отзыв прав без ручной работы
Пассворк доступен в двух вариантах развёртывания: локальном и облачном.
Локальная версия устанавливается на серверы компании и работает без постоянного интернет-соединения. Подходит, когда данные должны оставаться внутри инфраструктуры — например, при требованиях регуляторов или политике импортозамещения.
Пассворк Облако — облачная версия на базе Яндекс Облака. Не требует собственного сервера и администрирования инфраструктуры: достаточно зарегистрироваться и начать работу. Функциональность идентична локальной версии.
Оба варианта шифруют данные по алгоритму AES-256 и построены по принципу архитектуры нулевого разглашения с шифрованием на клиенте. Продукт включён в реестр отечественного ПО.
Как внедрить менеджер паролей за 1–2 недели
Внедрение не требует отдельного ИБ-проекта. Достаточно последовательно пройти восемь шагов — от аудита до регламента. Начинать стоит с критичных доступов, а не с полной миграции сразу.
День 1–2. Аудит критичных сервисов. Составьте список: почта, банк, CRM, сайт, маркетплейсы, рекламные кабинеты, бухгалтерия, финансы. Для каждого — владелец, текущие пользователи, где хранится пароль, включена ли двухфакторная аутентификация. Результат: список доступов, владельцев и рисков.
День 3. Выбор решения и назначение администратора. Определите модель: облако или локальная установка. Назначьте одного ответственного — он будет управлять структурой хранилищ и правами. Результат: понятна модель и есть ответственный.
День 4. Структура хранилищ и групп. Создайте папки по отделам или функциям: финансы, продажи, маркетинг, ИТ, подрядчики. Настройте роли: «администратор», «руководитель», «сотрудник», «подрядчик». Результат: доступы разделены по отделам и критичности.
День 5–6. Перенос критичных паролей. Начните с самых важных аккаунтов. Сгенерируйте новые уникальные пароли для каждого сервиса — не переносите старые слабые пароли как есть. Результат: критичные учётные записи защищены первыми.
День 7. Включение MFA. Активируйте двухфакторную аутентификацию (2FA/MFA) для администраторов и критичных сервисов. Украденный пароль без второго фактора теряет ценность для атакующего. Результат: украденный пароль сам по себе становится менее опасным.
День 8–10. Перенос остальных доступов. Переносите рабочие пароли поэтапно. Параллельно удаляйте пароли из таблиц, чатов и браузеров. Результат: хаотичные каналы хранения закрываются.
День 11–12. Обучение сотрудников. Проведите короткий инструктаж: как пользоваться хранилищем, почему нельзя пересылать пароли в чатах, что делать при подозрении на компрометацию. Результат: команда понимает правила работы.
День 13–14. Утверждение регламента. Зафиксируйте порядок выдачи и отзыва доступов, правила для подрядчиков и процедуру офбординга. Результат: процесс становится повторяемым.
Две недели — достаточный срок, чтобы закрыть основные риски: критичные доступы защищены, права разделены по ролям, процедура офбординга зафиксирована. Дальше система работает сама.
💡
Первый практический шаг — провести аудит прямо сейчас: выписать десять критичных сервисов и проверить, у кого есть к ним доступ.
Пассворк подходит для обоих сценариев старта:облачная версия запускается без сервера за несколько минут, локальная — устанавливается на собственную инфраструктуру с полным контролем над данными. Посмотрите, как устроен Пассворк — passwork.ru
Правила работы сотрудников: парольная политика
Парольная политика работает, когда её можно объяснить за пять минут. Длинный документ, который никто не читает, не защищает. Восемь правил — достаточно для старта.
Шаблон парольной политики для малого бизнеса (8 правил)
Уникальность. Для каждого сервиса — отдельный пароль, сгенерированный менеджером паролей.
Запрет пересылки. Пароли нельзя отправлять в мессенджерах, по почте и в личных заметках.
Многофакторная аутентификация. Для почты, банка, финансов, администраторских аккаунтов и самого менеджера паролей — обязательна 2FA/MFA.
Владельцы. У каждого критичного доступа есть ответственный: руководитель или назначенный сотрудник.
Подрядчики. Подрядчики получают минимально необходимый и временный доступ — через отдельную группу.
Увольнение. В день увольнения доступы отзываются, критичные пароли меняются, журнал проверяется.
Ревизия. Раз в месяц — проверка пользователей и групп: кто есть, кого уже не должно быть.
Инциденты. Потеря устройства, подозрение на фишинг или раскрытие пароля — немедленно сообщается ответственному.
Что делать при увольнении сотрудника или смене подрядчика
Офбординг — самое слабое место в управлении доступами малого бизнеса. По данным F6, при утечке персональных данных компания обязана уведомить Роскомнадзор о факте инцидента в течение 24 часов и о результатах внутреннего расследования — в течение 72 часов. Журнал действий в менеджере паролей — один из ключевых источников для такого расследования.
Чек-лист офбординга «6 шагов»
Шаг
Что сделать
Почему это важно
1
Отключить пользователя в менеджере паролей
Сотрудник теряет доступ ко всем командным хранилищам
2
Проверить группы и права
Исключает оставшиеся косвенные доступы
3
Сменить критичные общие пароли
Защищает от сохранённых копий и старых сессий
4
Проверить журнал действий
Позволяет увидеть экспорт, просмотр или массовые изменения
5
Отозвать доступ в самих сервисах
Менеджер паролей не заменяет управление аккаунтами в CRM, почте и банке
6
Зафиксировать выполнение офбординга
Создаёт повторяемый процесс и снижает риск пропущенных шагов
⚠️
Важно: отключение пользователя в менеджере паролей не отзывает автоматически сессии в самих сервисах. Шаг 5 — обязательный.
Ошибки при внедрении менеджера паролей
Большинство проблем при внедрении предсказуемы. Зная их заранее, можно избежать возврата к хаосу через месяц после запуска.
Один общий мастер-пароль для всей команды. Если все сотрудники входят под одними учётными данными администратора, журнал действий теряет смысл: непонятно, кто именно что сделал. У каждого сотрудника должна быть личная учётная запись.
Отсутствие MFA на самом менеджере паролей. Хранилище с тысячей паролей без второго фактора — концентрированный риск. MFA для входа в менеджер паролей обязательна.
Нет владельцев у доступов. Если у пароля нет ответственного, при увольнении непонятно, кто должен его сменить. Каждая запись в хранилище должна иметь назначенного владельца.
Миграция без смены паролей. Перенос старых слабых или повторных паролей в новый инструмент не повышает безопасность. При миграции критичные пароли нужно генерировать заново.
Нет процедуры офбординга. Менеджер паролей настроен, но при увольнении сотрудника никто не знает, что делать. Регламент офбординга должен быть готов до первого увольнения.
Нет обучения. Сотрудники продолжают пересылать пароли в мессенджерах, потому что «так быстрее». Без короткого инструктажа инструмент используется вполсилы.
Вывод: первый шаг к управляемой защите данных
Менеджер паролей не делает бизнес неуязвимым — он закрывает один из самых частых и управляемых источников риска: хаотичное обращение с учётными данными. Positive Technologies прогнозирует рост успешных кибератак в России на 20–45% по итогам 2025 года и ещё на 30–35% в 2026-м. Ждать инцидента, чтобы навести порядок в доступах, — дорогостоящая стратегия.
Правильный старт выглядит так: провести аудит доступов → перенести критичные пароли в командное хранилище → настроить роли и MFA → запретить передачу паролей в чатах → описать порядок офбординга → раз в месяц проверять пользователей и группы. Такой подход не требует сложного проекта, но создаёт основу для управляемой защиты данных.
Начните с аудита критичных доступов: банк, почта, финансы, почта. Это займёт два часа и даст чёткую картину того, что нужно защитить в первую очередь.
Пассворк Облако запускается за несколько минут без сервера и настройки. Локальная версия устанавливается на серверы компании с полным контролем над данными. Обе версии включают ролевую модель, журнал действий и MFA. Протестировать можно бесплатно
Часто задаваемые вопросы
Нужен ли менеджер паролей компании из 5 человек?
Да, если сотрудники используют общие доступы к почте, сайту, банку, рекламным кабинетам или маркетплейсам. Даже маленькая команда должна понимать, где хранятся пароли, кто может их видеть и как быстро отозвать права при увольнении или смене подрядчика.
Можно ли хранить рабочие пароли в браузере?
Для личного удобства браузерный менеджер подходит, но для бизнеса он слаб: нет централизованных ролей, аудита, безопасного шаринга и управляемого отзыва доступов. Kaspersky отдельно отмечает браузеры как частый источник утечек сохранённых паролей при заражении стилерами.
Что важнее: сложный пароль или двухфакторная аутентификация?
Нужны оба элемента. Уникальный сложный пароль снижает риск подбора и повторного использования, а MFA защищает, если пароль всё же украден или утёк через фишинг. Одно без другого — неполная защита.
Облачный менеджер паролей безопасен?
Он может быть безопасным при наличии шифрования, MFA, ролей, аудита и надёжного восстановления доступа. Для малого бизнеса без собственной инфраструктуры облако часто проще и быстрее в запуске. Если есть требования к хранению данных внутри периметра — стоит рассмотреть локальный вариант.
Когда нужен локальный менеджер паролей?
Локальный вариант стоит рассматривать при строгих требованиях к инфраструктуре, наличии ИТ-администратора, необходимости интеграции с AD/LDAP или внутренней политике хранения данных на собственных серверах. Также актуален при требованиях импортозамещения и работе с государственными заказчиками.
Как перенести пароли из Excel?
Сначала очистите таблицу: удалите лишние доступы, назначьте владельцев, проверьте актуальность записей. Затем импортируйте данные в менеджер паролей через CSV. Критичные пароли сразу замените на новые уникальные — не переносите старые как есть.
Что делать с доступами подрядчиков?
Выдавайте только минимально необходимый доступ, ограничивайте срок, используйте отдельные группы. После завершения работ проверяйте журнал действий и отзывайте права в тот же день. Подрядчик не должен иметь доступ к большему, чем нужно для конкретной задачи.
Менеджер паролей заменяет политику информационной безопасности?
Нет. Менеджер паролей — технический инструмент, который должен дополняться правилами, обучением сотрудников, MFA, управлением устройствами и процедурой реагирования на инциденты. Сам по себе он снижает риск, но не заменяет комплексный подход к защите данных.
Материал носит информационный характер и не является юридической консультацией по вопросам соблюдения требований 152-ФЗ и смежного законодательства.
Менеджер паролей для малого бизнеса: с чего начать защиту данных
Кто знает пароль от вашего банка? А что осталось у сотрудника, который уволился три месяца назад? Если ответы неочевидны — скорее всего, доступы уже давно вышли из-под контроля. Разбираем, как это исправить за две недели.
18 апреля на ВТБ Арене в Москве прошёл один из крупнейших бизнес-форумов года — АМОКОНФ. Более 60 000 участников собрались, чтобы услышать ведущих спикеров, обсудить тренды в продажах и автоматизации, и найти инструменты для масштабирования своего бизнеса. Пассворк выступил партнёром форума— не просто как участник, а как компания, которая помогает бизнесу расти безопасно в условиях растущей сложности инфраструктуры.
О конференции: масштаб и формат
АМОКОНФ — ежегодный бизнес-форум от amoCRM, который собирает предпринимателей, топ-менеджеров и экспертов в области управления, продаж и технологий. Программа конференции развивалась вокруг девиза «Трафик. Заявки. Продажи» — от практических кейсов внедрения ИИ до стратегий масштабирования.
Формат конференции — микс практических выступлений, реальных кейсов и демонстраций новых инструментов. Каждый спикер делился конкретными примерами того, как внедрять технологии и масштабировать бизнес без потери контроля.
Главные тренды конференции
Центральной темой АМОКОНФ стал искусственный интеллект как инструмент упрощения рутины и масштабирования. Спикеры обсуждали ключевые вызовы:
Автоматизация процессов — как внедрить ИИ и не потерять контроль над качеством и безопасностью.
Масштабирование команд — как растить компанию, не увеличивая административную нагрузку.
Управление данными — как работать с растущим объёмом информации и сохранять её безопасность.
Интеграция инструментов — как соединить CRM, платёжные системы, аналитику и другие сервисы в единую экосистему.
Каждый из этих вызовов прямо связан с одной проблемой: когда компания внедряет новые инструменты, количество критических доступов растёт экспоненциально. Каждый сервис требует своего ключа, токена или пароля. Без централизованного управления это становится уязвимостью.
Почему Пассворк на АМОКОНФ
Когда компания внедряет ИИ-агентов, CRM, платёжные системы и облачные сервисы, управление доступами становится критичным. Большинство компаний решают эту задачу хаотично — пароли в заметках и мессенджерах без контроля и аудита.
Пассворк предлагает другой подход: централизованное управление всеми доступами с полным контролем, аудитом и историей действий.
Каждый новый инструмент — это новый доступ. Вместо разрозненных паролей и ключей используйте централизованное управление. Пассворк даёт полный контроль и видимость всех критических доступов. Попробуйте бесплатно
Роль Пассворка в экосистеме цифровой трансформации
Пассворк — единственный менеджер паролей, сертифицированный ФСТЭК России. Это означает, что решение прошло проверку на соответствие государственным стандартам безопасности и может использоваться даже в госкомпаниях и критичных инфраструктурах.
Для компаний, которые масштабируют бизнес с помощью ИИ и интеграций, Пассворк решает ключевые задачи:
Централизованное управление доступами — все пароли, API-ключи, токены и сертификаты в одном месте
Полный контроль и аудит — администратор видит все действия, все изменения, всю историю
Интеграция с инфраструктурой — поддержка AD/LDAP, SSO, SIEM и других систем
Быстрое развёртывание — решение работает как на собственных серверах, так и в облаке
Это критично для компаний, которые быстро масштабируются и внедряют новые инструменты.
Итоги: безопасность как часть трансформации
АМОКОНФ показала, что бизнес активно внедряет ИИ и автоматизацию в повседневные процессы. Но каждый новый инструмент требует не только удобства, но и безопасности.
Компании, которые сейчас инвестируют в управление доступами, получают два конкретных преимущества:
Скорость внедрения — когда доступы управляются централизованно, добавить новый сервис можно за часы.
Снижение рисков — полный контроль над доступами и возможность быстро отозвать права в случае инцидента.
Участие Пассворка в АМОКОНФ — это возможность поддерживать профессиональное сообщество и обсуждать с бизнесом практические вопросы безопасности в условиях цифровой трансформации. Мы помогаем компаниям не просто внедрять новые технологии, а делать это безопасно.
Если ваша компания внедряет новые инструменты и интеграции, управление доступами — это первый шаг к безопасной инфраструктуре. Пассворк централизует все пароли, API-ключи и токены в одной системе с полным аудитом. Попробуйте бесплатно
Пассворк стал партнёром АМОКОНФ: безопасность в центре цифровизации
18 апреля Пассворк выступил партнёром АМОКОНФ — крупнейшего бизнес-форума с 60 000 участников. На конференции обсуждали ИИ, автоматизацию и безопасность при масштабировании. Большинство компаний решают эту задачу хаотично — мы рассказываем, как делать это правильно.
Группа «Черкизово» — крупнейший производитель мясной продукции в России с полным производственным циклом. На предприятиях холдинга работает более 40 000 сотрудников в 20 регионах страны, от Калининградской области до Алтая: животноводческие комплексы, мясоперерабатывающие заводы, комбикормовые предприятия и логистические центры.
Цифровизация и технологическая надёжность — стратегические приоритеты холдинга. Группа «Черкизово» последовательно внедряет современные ИТ-решения для управления производством, логистикой и инфраструктурой, а также активно участвует в отраслевых мероприятиях по цифровой трансформации агропромышленного комплекса. Продукция компании регулярно получает награды и отраслевые премии.
Подразделение технических систем безопасности (ТСБ) Группы «Черкизово» отвечает за видеонаблюдение и системы контроля и управления физическим доступом, в том числе серверную инфраструктуру и сетевое оборудование этих систем.
Специалисты ТСБ поддерживают распределённую инфраструктуру технических средств обеспечения физической безопасности на площадках и объектах компании по всей стране: контролируют состояние оборудования и оперативно реагируют на возникающие технические задачи, обеспечивая стабильность и защищённость ключевых сервисов.
Компания: Группа «Черкизово» Дата основания: 1974 Отрасль: Агропромышленный комплекс, пищевая промышленность Размер компании: Более 40 000 сотрудников
Учитывая масштабы Группы «Черкизово» и большое количество различных технических средств, применяемых для обеспечения физической безопасности объектов компании, подразделению ТСБ потребовался единый инструмент для управления учётными данными. Компания присутствует в десятках регионов — централизованное и удобное хранение паролей стало логичным шагом.
«У нас появилась потребность во внедрении надёжного инструмента. Самые основные требования — локальная работа и удобный доступ через доменную авторизацию. Плюсы доменной инфраструктуры: сложность пароля пользователя и своевременное отключение учётной записи», — Антон Карзанов, руководитель отдела технической безопасности Группы «Черкизово»
Осенью 2021 года Команда рассмотрела несколько вариантов и остановила свой выбор на Пассворке — корпоративном решении для управления паролями с возможностью локальной установки. Пассворк отвечает принятым в России нормам по защите конфиденциальной информации, что подтверждено наличием лицензий ФСТЭК и ФСБ России.
Внедрение Пассворка прошло без лишних затрат времени и ресурсов. Менеджер паролей развернули на виртуальной машине с базовыми характеристиками — установка и первоначальная настройка заняли один день.
«Запустить систему было несложно. Установку произвели в течение одного дня. Развернули, начали создавать учётные записи, сформировали структуру. Процесс быстрый»
Параллельно настроили интеграцию с LDAP для централизованного управления пользователями и активировали автоматическую блокировку сеанса при неактивности. Оба шага закрыли соответствующие требования к безопасности, сформулированные ещё на этапе выбора решения.
Настройка сейфов для распределённой инфраструктуры
С Пассворком работают технические специалисты ТСБ. Для удобства управления доступами и работы с большим парком оборудования по всей стране выстроили понятную структуру сейфов, повторяющую географию подразделений.
«В корне лежат ключевые регионы. Внутри регионов идут наши площадки и карточки оборудования: коммутаторы, камеры, серверы. Логика для нас максимально удобная»
Одной из ключевых функций для команды стала возможность прикреплять файлы и оставлять развёрнутые комментарии к учётным данным. Для команды, которая обслуживает множество единиц оборудования в разных городах, это оказалось не менее важным, чем само хранение паролей.
«К карточкам паролей можно сохранять вложения. Мы оставляем много комментариев. Зайдя в один регион, можно полностью изучить всё оборудование, которое там установлено»
Администрированием системы занимается небольшая группа сотрудников. Остальные инженеры имеют полные права в рамках своих регионов, что позволяет им полноценно создавать, редактировать и использовать пароли для оперативной работы.
Результат: моментальный доступ к данным и снижение рисков
Специалисты подразделения ТСБ создали прозрачный процесс управления доступами к подконтрольной инфраструктуре — от плановой передачи необходимых данных до экстренного входа на удалённую площадку.
«Стало удобно передавать доступы и получать их. Появился оперативный доступ практически к любому устройству в любое время суток. Раньше экстренный доступ к удалённой площадке занимал гораздо больше времени: нужно было с кем-то связаться. Сейчас это решается мгновенно»
В течение нескольких лет Пассворк был частью ежедневной работы команды ТСБ — инструментом, который помогал удерживать баланс между строгим контролем и удобством совместной работы региональных сотрудников.
«Функционал Пассворка помогал нам решать наши задачи. Цена приемлемая, и техподдержка работает оперативно, доводя дело до конца»
Готовы повысить уровень безопасности? Команда ТСБ Группы «Черкизово» развернула Пассворк за один день и получила оперативный доступ к учётным данным в любое время. Протестируйте бесплатно в своей инфраструктуре
Группа «Черкизово»: управление паролями в распределённой инфраструктуре
Группа «Черкизово» — крупнейший производитель мясной продукции в России с более чем 40 000 сотрудников в 20 регионах страны. Пассворк централизовал хранение паролей, выстроил структуру по географии объектов и сократил время экстренного доступа к удалённым площадкам до секунд.
Российский рынок кибербезопасности развивается втрое быстрее мирового — чем активнее компании развивают цифровую инфраструктуру, тем острее потребность в её защите.
Именно поэтому аналитические инструменты, которые помогают ориентироваться в отечественном ИБ-рынке, становятся всё более востребованными. ComNews ответил на этот запрос аналитической картой, а Пассворк стал одним из её стратегических партнёров.
Что такое карта импортозамещения от ComNews
В апреле 2026 года ComNews опубликовали второй выпуск аналитической карты и онлайн-страницы «Возможности импортозамещения программного обеспечения в ключевых сферах ИБ». На ней представлены продукты более 40 российских вендоров — структурированный каталог для тех, кто принимает решения о переходе на отечественный стек.
Аудитория проекта — ИТ-директоры, CISO, архитекторы безопасности и руководители компаний, которые принимают решения о переходе на отечественные решения и построении защищённой инфраструктуры.
Для каждого продукта на карте указаны:
Наличие в Реестре российского программного обеспечения Минцифры России
Действующие лицензии и сертификаты ФСТЭК и ФСБ России
Перечень зарубежных аналогов со схожей функциональностью
Такая структура позволяет быстро подобрать замену ушедшим вендорам — не теряя в функциональности и не снижая уровень защиты.
По итогам 2025 года российский рынок кибербезопасности вырос с 16,5 млрд рублей в 2010 году до 374 млрд рублей в 2025. Для сравнения: мировой рынок информационной безопасности (ИБ) за тот же период рос медленнее — темпы роста в 2025 году составили 12,2%. К 2030 году Центр стратегических разработок (ЦСР) прогнозирует рост российского рынка до 968 млрд рублей со среднегодовым темпом прироста около 21%.
При этом задача импортозамещения ещё не закрыта. Доля иностранных решений в совокупных затратах российских компаний на ИБ снизилась до 7%. Однако в установленной базе средств защиты иностранные продукты по ряду классов ПО продолжают занимать 10–20%, а в сегменте сетевой безопасности эта доля доходит до 40–50% (данные консалтинговой компании Б1, исследование «Рынок информационной безопасности России»).
Более того, по оценкам Usergate, более 50% компаний продолжают использовать иностранные решения в сфере ИБ, в том числе приобретая их через серые схемы (CNews, 2026). Это означает, что переход продолжается, и инструменты для навигации по отечественному рынку становятся всё более востребованными.
Пассворк — стратегический партнёр проекта
Пассворк выступил стратегическим партнёром проекта и принял участие в формировании экспертной оценки: мы поделились видением текущего состояния отрасли, ключевых трендов рынка информационной безопасности и планами развития продукта.
«Одним из ключевых трендов стало формирование полного стека отечественных решений, что отражает движение к киберсуверенитету. Одновременно отрасль смещает фокус с формального комплаенса на практическую безопасность и кибериспытания. Аудитория отраслевых мероприятий выросла до 200 тысяч человек, а число исследователей на багбаунти-платформах увеличилось в 10 раз с 2022 года», — Илья Гарах, технический директор ООО «Пассворк»
Как Пассворк решает задачу импортозамещения
Переход с зарубежного решения на российский менеджер паролей нередко воспринимается как сложный процесс. Пассворк снимает это опасение: продукт встраивается в существующую инфраструктуру и не требует перестройки процессов.
Данные остаются внутри периметра. Локальное развёртывание на серверах компании — без зависимости от внешних облаков и зарубежных сервисов.
Соответствие требованиям регуляторов. Архитектура нулевого знания, лицензии ФСБ и ФСТЭК. Продукт включён в реестр отечественного ПО Минцифры и сертифицирован ФСТЭК России по 4-му уровню доверия.
Интеграция в текущую инфраструктуру. Поддержка Active Directory, LDAP, SSO, SIEM и API — не создаёт отдельный контур, а встраивается в существующую систему.
Контроль в реальном времени. Централизованное хранение паролей и секретов, ролевая модель, детальный журнал аудита, мгновенный отзыв доступов при увольнении сотрудников.
Снижение человеческого фактора. Устраняет хаотичное хранение паролей — один из основных векторов атак на корпоративную инфраструктуру.
Заключение
Аналитическая карта ComNews показывает, что рынок информационной безопасности в России перешёл к системному импортозамещению. У компаний появился инструмент, который позволяет быстро ориентироваться в отечественных решениях, сравнивать их и принимать обоснованные решения без потери функциональности и уровня защиты.
«Полный переход на российские продукты в ближайшие 3–5 лет — это вопрос выживания бизнеса. Использование нелицензионного софта, особенно в критической информационной инфраструктуре (КИИ) и АСУ ТП, может привести к остановке производства. Перспективы перехода позитивные: отечественные вендоры уже предлагают зрелые альтернативы в большинстве сегментов, и отказ от серых схем произойдёт естественным путем по мере усложнения интеграции и роста доверия к российским разработкам», — Илья Гарах, технический директор ООО «Пассворк»
Участие Пассворка в проекте — это вклад в формирование прозрачного и зрелого рынка, где выбор строится на реальных возможностях продукта и его интеграции в инфраструктуру.
Переход на российское решение не должен быть сложным. Пассворк встраивается в существующую инфраструктуру, соответствует требованиям регуляторов и даёт полный контроль над корпоративными доступами с первого дня. Протестируйте бесплатно
Пассворк на карте ComNews по импортозамещению ПО в сфере ИБ 2026
Более 40 российских решений в карте импортозамещения ПО, роль Пассворка в переходе на отечественное решение. Изучаем карту импортозамещения ИБ от ComNews.
Запрет на новые закупки иностранных средств защиты для субъектов критической информационной инфраструктуры (КИИ) действует с 1 января 2025 года. Следующий дедлайн перехода существующих систем — 1 января 2028 года. По оценкам экспертов, к этому моменту реально завершат переход лишь 70–75% организаций (CNews, 2025).
Остальные будут догонять в спешке. А спешка при миграции ИБ-стека — это деградация защиты именно тогда, когда инфраструктура наиболее уязвима. ФСТЭК уже проверил более 700 значимых объектов КИИ и выявил свыше 1200 нарушений. При этом минимальный уровень киберзащиты достигнут только у 36% организаций (Инфофорум, 2026).
Большинство проектов по импортозамещению спотыкаются не на выборе вендора, а на том, что следует после: конфликты совместимости, которые не проявились в пилоте, одновременная замена слишком многого, отсутствие плана отката. В итоге — месяцы переработок и инцидент в переходный период.
В статье — план перехода на российское ПО: от аудита текущего стека до типичных ошибок при выборе решений.
Главное
Запрет на закупки уже действует. С 1 января 2025 года новые иностранные СЗИ на значимых объектах КИИ приобретать нельзя. Перейти на отечественное ПО нужно до 1 января 2028 года, для программно-аппаратных комплексов — до 1 декабря 2030 года.
Обязаны переходить три категории организаций. Субъекты критической инфраструктуры, государственные и муниципальные органы, операторы персональных данных.
Штрафы за утечки стали реальными. С мая 2025 года размер штрафа зависит от масштаба инцидента: от 3 до 15 млн рублей за первичное нарушение. При повторном — от 1 до 3% годовой выручки, но не менее 20 млн рублей. Иностранные решения без обновлений повышают вероятность инцидента — а значит, и вероятность штрафа.
Два реестра — две разные вещи. Реестр Минцифры подтверждает, что продукт российский. Сертификат ФСТЭК подтверждает, что он безопасен. Продукт может быть в реестре без сертификата, и наоборот.
Менять всё сразу — опасно. Когда одновременно заменяют несколько защитных систем, команда теряет контроль над происходящим именно в момент, когда инфраструктура наиболее уязвима.
Пилот — обязателен. Российские решения нередко конфликтуют с привычными корпоративными системами: почтой, каталогом пользователей, учётными системами. Проблемы, которые не заметили на демо, обнаруживаются в продуктовой среде — и откат тогда стоит дороже, чем три месяца тестирования заранее.
Иностранные продукты без обновлений — это не защита. Антивирус без свежих баз теряет эффективность за 2–4 недели. Межсетевой экран без патчей становится уязвимым. Продолжать работу на таких решениях — значит повышать вероятность инцидента. А за инцидентом теперь следуют штрафы, которые исчисляются миллионами.
Государство субсидирует переход. Льготное кредитование от 1% годовых, налоговый вычет с коэффициентом 2 на расходы по российскому ПО, ускоренная амортизация. Большинство компаний об этих инструментах не знают и платят из бюджета полную стоимость.
Есть легальная отсрочка, но только до 1 сентября 2026 года. Если завершить переход к дедлайну объективно невозможно, заключите контракт на внедрение отечественного аналога до этой даты. Это даёт до 48 месяцев на реализацию — предусмотренный законодателем инструмент планирования, а не лазейка.
Почему импортозамещение ИБ — это юридическая обязанность
Импортозамещение ИБ-решений закреплено в российском законодательстве как обязанность, а не рекомендация. Для субъектов КИИ, государственных органов и операторов персональных данных использование иностранных средств защиты информации (СЗИ) без перехода на отечественные аналоги влечёт административную и уголовную ответственность.
В 2022 году крупнейшие иностранные вендоры прекратили поставки и поддержку своих продуктов в России. Лицензии начали блокироваться, обновления сигнатурных баз перестали поступать, техническая поддержка прекратилась. Государство ответило комплексом нормативных мер, которые планомерно ужесточались вплоть до 2026 года.
💡
Если ваша компания работает в одной из 14 сфер деятельности КИИ — вы уже обязаны использовать только российские СЗИ
Перенос крайнего срока перехода на отечественное ПО для большинства объектов КИИ на 1 января 2028 года
Кому и когда обязательно переходить на отечественное ПО
Переход на российские СЗИ обязателен для трёх категорий организаций: субъектов КИИ, государственных и муниципальных органов, а также операторов персональных данных. Каждая категория регулируется отдельным блоком законодательства с разными сроками и санкциями.
Критическая информационная инфраструктура (КИИ) — это информационные системы, сети и автоматизированные системы управления, нарушение работы которых способно причинить значительный ущерб государству, экономике или гражданам.
КИИ — это не только госструктуры. Под действие ФЗ №187-ФЗ подпадают коммерческие компании из 14 отраслей: энергетика, финансы, здравоохранение, транспорт, телекоммуникации, ракетно-космическая, оборонная, горнодобывающая, химическая промышленность, металлургия, машиностроение, атомная промышленность, а также наука и государственное управление.
Важное разграничение, которое часто упускают: субъект КИИ — это организация, которой принадлежат объекты КИИ. Значимый объект КИИ — только тот, который прошёл категорирование и получил одну из трёх категорий значимости. Требования к значимым объектам жёстче: именно для них установлены конкретные дедлайны по переходу на российские СЗИ.
Субъект КИИ
Значимый объект КИИ
Что это
Организация, которой принадлежит инфраструктура
Конкретная система или сеть внутри этой организации
Примеры
Банк, больница, энергетическая компания
Биллинговая система банка, АСУ ТП электростанции
Как определяется
По отраслевой принадлежности — 14 сфер по ФЗ №187-ФЗ
По результатам категорирования — присваивается категория 1, 2 или 3
Требования
Обязан провести категорирование объектов и выполнять базовые требования ФЗ №187-ФЗ
Жёсткие требования по защите, дедлайны перехода на российские решения, проверки ФСТЭК
Государственные и муниципальные органы
Для госорганов требования действуют с 2022 года. С 2026 года любое использование иностранного ПО в сфере ИБ становится невозможным. Бюджетные учреждения здравоохранения, образования и культуры также обязаны планировать переход, даже если они не являются субъектами КИИ в классическом смысле.
Операторы персональных данных (ПДн)
Оператор персональных данных (ИСПДн — информационная система персональных данных) — это практически любая компания, у которой есть база клиентов или сотрудников. Медицина, страхование, банки, образование, ритейл — все они обязаны защищать ИСПДн российскими сертифицированными средствами. Ужесточение 58-ФЗ в 2025 году сделало штрафы за утечки персональных данных значительно серьёзнее: теперь они исчисляются процентами от годовой выручки, а не фиксированными суммами.
💡
Для остальных компаний переход добровольный, но рынок создаёт экономические стимулы: объём российского рынка кибербезопасности по итогам 2025 года достиг 374 млрд рублей, и рынок продолжает расти (SecurityLab, 2026).
Сроки перехода для КИИ
Дата
Требование
Кому
Основание
1 января 2025
Полный запрет на иностранное ПО на значимых объектах КИИ
2028 и 2030 года — не дублирующие дедлайны, а последовательные. Сначала — замена программного обеспечения, затем — переход на сертифицированное отечественное железо в связке с ПО. Организациям, которые начнут с ПО уже сейчас, будет проще выполнить требования по ПАК в срок.
Оборотные штрафы за утечки персональных данных
Федеральный закон №420-ФЗ, вступивший в силу 30 мая 2025 года, пересмотрел административную ответственность за утечки персональных данных — новые части 12–15 ст. 13.11 КоАП РФ ввели прямую зависимость штрафа от масштаба инцидента.
Градация штрафов для организаций за первичное нарушение
Масштаб утечки
Штраф для юридического лица
от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов
от 3 до 5 млн руб.
от 10 000 до 100 000 субъектов или от 100 000 до 1 млн идентификаторов
от 5 до 10 млн руб.
свыше 100 000 субъектов или свыше 1 млн идентификаторов
от 10 до 15 млн руб.
За повторное нарушение — оборотный штраф: от 1 до 3% совокупной годовой выручки, но не менее 20 млн и не более 500 млн рублей. Важная деталь: 50-процентная скидка при досрочной уплате штрафа по всем составам ст. 13.11 КоАП РФ не применяется (Федеральный закон № 420-ФЗ, ч. 1.3-1 ст. 32.2 КоАП РФ)
Первые судебные прецеденты по ст. 13.11 КоАП РФ (2026)
Предупреждение — первичное нарушение, штраф заменён на предупреждение по ст. 4.1.1 КоАП
Что показывает первая практика
Оба решения демонстрируют одну тенденцию: суды пока склонны к максимальному смягчению наказания, используя все доступные процессуальные механизмы — статус микропредприятия, первичность нарушения, отсутствие отягчающих обстоятельств. В деле А40-351064/2025 штраф снижен в 25 раз относительно минимального порога санкции; в деле А56-4733/2026 штраф заменён на предупреждение, несмотря на утечку данных 70 000 человек.
Это не означает, что риск минимален. Механизм оборотных штрафов при повторном нарушении остаётся в полной силе: для компании с выручкой 1 млрд руб. повторный инцидент означает штраф от 20 млн руб. Кроме того, лояльность судов первой инстанции не гарантирована — практика только складывается, и позиция регулятора при обжаловании может изменить картину.
Связь с импортозамещением
Риск прямой: иностранные ИБ-решения, работающие без официальной поддержки вендора, создают неконтролируемую поверхность атаки. Отсутствие обновлений безопасности, невозможность получить патч при обнаружении уязвимости, непрозрачность кода — всё это повышает вероятность инцидента. А за инцидентом теперь следуют санкции, которые суд может смягчить один раз, но не при повторном нарушении.
Чем заменить иностранные ИБ-решения
Российский рынок ИБ прошёл точку невозврата. По данным ЦСР «Прогноз развития рынка кибербезопасности РФ 2025–2030», доля иностранных решений в общем объёме затрат российских компаний на ИБ снизилась до 7% по итогам 2024 года — против 11% годом ранее.
«Российский рынок ИБ за последние два года проделал серьезный путь - от экстренного импортозамещения к более зрелой фазе, где заказчики уже не просто ищут замену ушедшим вендорам, а выбирают решения по качеству, производительности и уровню поддержки. По сути, базовый этап импортозамещения пройден, и теперь рынок формируется вокруг нескольких крупных игроков с собственной разработкой и доказанной экспертизой», — Иван Чернов, директор по продуктовой стратегии UserGate
Для сравнения: в сегменте сетевой безопасности ещё недавно этот показатель достигал 40–50% (данные консалтинговой компании Б1, исследование «Рынок информационной безопасности России — 2024»). Сдвиг принципиальный.
«Одним из ключевых трендов стало формирование полного стека отечественных решений, что отражает движение к киберсуверенитету. Одновременно отрасль смещает фокус с формального комплаенса на практическую безопасность и кибериспытания», — Илья Гарах, технический директор Пассворк
По данным TAdviser, объём рынка ИБ России в 2025 году превысил 400 млрд рублей при росте 20–25%. В 2024 году рынок составил 314 млрд рублей (+26,3%) — выше мирового роста в 11,8% (ЦСР). К 2030 году эксперты ЦСР прогнозируют рост ёмкости рынка до 968 млрд рублей при среднегодовом приросте около 21%. Наибольший рост ожидается в сегментах сетевой и облачной безопасности, защиты данных, MDR и MSS.
Пассворк — российский менеджер паролей, сертифицированный ФСТЭК России по 4-му уровню доверия. Разверните решение внутри своей инфраструктуры, обеспечите полный контроль над данными и соответствие требованиям регуляторов. Протестируйте Пассворк бесплатно
Пошаговый план перехода на российское ПО
Переход на российские СЗИ — управляемый проект с предсказуемыми этапами, если он разбит на конкретные шаги с измеримыми результатами.
Этап 1. Аудит и инвентаризация
Аудит — отправная точка любого проекта импортозамещения. Без полного реестра используемых СЗИ невозможно ни оценить масштаб задачи, ни расставить приоритеты.Прежде чем выбирать аналоги, нужно точно понять, что именно защищает текущий стек.
Чек-лист аудита
Составить реестр всех используемых ИБ-решений (иностранных и российских)
Указать сроки окончания лицензий для каждого продукта
Определить статус каждого решения: работает в штатном режиме / без поддержки / с ограниченной функциональностью
Выявить зависимости: какие системы интегрированы между собой
Классифицировать объекты КИИ (если применимо) по категориям значимости
Оценить критичность каждого инструмента для непрерывности бизнеса
Оценить совместимость текущего оборудования с российскими решениями
Результат этапа: карта текущего ИБ-стека с приоритетами замены и оценкой рисков для каждого инструмента.
Этап 2. Проверка по реестрам и определение требований
Реестр российского ПО Минцифры — отправная точка для поиска аналогов. Важно, что наличие в реестре подтверждает российское происхождение ПО, но не гарантирует функциональную эквивалентность зарубежному решению.
Большинство компаний не понимают разницы между двумя ключевыми реестрами — и это приводит к дорогостоящим ошибкам при закупках.
Реестр Минцифры — реестр российского ПО. Включение подтверждает российское происхождение продукта. Обязателен для госзакупок по 44-ФЗ и 223-ФЗ.
Реестр сертифицированных СЗИ ФСТЭК — реестр средств защиты информации, прошедших испытания на соответствие требованиям безопасности. Обязателен для защиты КИИ и ГИС (государственных информационных систем).
Продукт может быть в реестре Минцифры, но не иметь сертификата ФСТЭК — и наоборот. Для защиты объектов КИИ нужны оба подтверждения.
Чек-лист подбора аналога
Проверить каждый планируемый к закупке продукт в реестре Минцифры
Проверить наличие сертификата ФСТЭК
Для СКЗИ — проверить сертификат ФСБ
Убедиться, что сертификат не просрочен (срок действия — как правило, 3 года)
Уточнить дорожную карту развития продукта на 2–3 года
Оценить стоимость владения: лицензии + внедрение + поддержка
Этап 3. Пилотный проект и тестирование
Пилотный проект (Proof of Concept, PoC) — единственный способ проверить, работает ли решение в вашей конкретной среде, а не в контролируемых условиях демонстрации вендора.
Что должно включать полноценное тестирование ПО
Развернуть тестовый стенд в изолированной среде
Проверить совместимость с существующими системами
Протестировать работу под нагрузкой
Собрать обратную связь от администраторов и ключевых пользователей
Оценить производительность и совокупную стоимость владения на горизонте 3–5 лет
Зафиксировать все выявленные ограничения и договориться с вендором о планах их устранения
Управление паролями тоже требует пилота. Протестируйте Пассворк в своей инфраструктуре бесплатно: техническая команда поможет с развёртыванием и настройкой под ваши требования. Подробнее здесь
Этап 4. Поэтапная миграция
После успешного тестирования начинается промышленное внедрение. Принцип «от некритичного к критичному»: начинайте с систем, отказ которых не остановит бизнес. Параллельная работа старых и новых решений на переходный период — обязательное условие. Не стоит отключать зарубежный инструмент до полной стабилизации российского аналога.
Документируйте каждое изменение и держите план отката готовым для каждого этапа.
Чек-лист внедрения:
Составить план миграции с приоритизацией систем (некритичные → критичные)
Обеспечить параллельную работу старых и новых СЗИ на переходный период
Настроить правила миграции данных и политики безопасности
Задокументировать все изменения конфигурации
Разработать и протестировать план отката для каждого этапа
Этап 5. Обучение команды и адаптация процессов
Рынок испытывает острую нехватку специалистов по российским СЗИ. Администраторы, привыкшие к Cisco, нуждаются в переобучении для работы с российскими аналогами. Без этого шага внедрение не принесёт результата: формально система развёрнута, фактически — настроена неправильно и не мониторится.
Чек-лист обучения:
Организовать обучение администраторов у вендора или сертифицированного учебного центра
Провести тестирование на проникновение (пентест) после завершения миграции
Оптимизировать настройки СЗИ на основе первых 2–4 недель эксплуатации
Обновить внутреннюю документацию и регламенты ИБ
Настроить мониторинг и алертинг в SIEM-системе
Запланировать ревью через 3 месяца после запуска
Главные ошибки при миграции на российские ИБ-решения
Большинство неудачных проектов по импортозамещению объединяет неверный подход к планированию.
Заменим всё за один раз
Ошибка: Попытка одновременно заменить NGFW, антивирус, SIEM и СКЗИ приводит к эффекту «домино»: при сбое одного компонента падает вся инфраструктура. Заканчивается либо остановкой бизнеса, либо формальным комплаенсом без реальной защиты.
Решение: Составьте карту зависимостей между системами и мигрируйте поэтапно — от некритичных к критичным. Каждый этап закрывается только после того, как новое решение отработало в продакшне не менее двух недель без инцидентов.
Игнорирование проблем совместимости
Ошибка: Российские решения могут конфликтовать с Microsoft Active Directory, Exchange и другими западными корпоративными системами. При переходе на отечественные системы аутентификации ломаются сценарии авторизации в корпоративных приложениях. Это обнаруживают в продакшне — когда откат уже стоит дороже, чем сам пилот.
Решение: Разверните тестовый стенд, максимально приближенный к боевой среде, и прогоните через него все критичные бизнес-сценарии: авторизацию в ERP, CRM, СЭД, корпоративной почте. Только после успешного прохождения всех сценариев — переход в продакшн.
Покупка ПО не из реестра Минцифры
Ошибка: Компания тратит бюджет на «российский» продукт, который не включён в реестр Минцифры или не имеет актуального сертификата ФСТЭК. Деньги потрачены, внедрение завершено — а проверка не пройдена. Регулятор такую закупку не засчитает.
Решение: Перед любой закупкой проверяйте два реестра: реестр Минцифры — на российское происхождение продукта, реестр ФСТЭК — на актуальный сертификат. Убедитесь, что сертификат не просрочен: срок действия, как правило, 3 года.
Отсутствие плана отката
Ошибка: При миграции критичных систем без плана отката любой сбой становится катастрофой. Компания оказывается в ситуации, когда старая система уже демонтирована, а новая ещё не работает. Простой критичного сервиса в такой ситуации измеряется не часами, а сутками.
Решение: Для каждого этапа миграции разработайте и протестируйте план отката до начала работ в реальной среде. Старая система демонтируется только после того, как новая полностью готова к продакшну и план отката проверен.
Надежда на параллельный импорт
Ошибка: Некоторые компании пытаются продлить жизнь иностранным решениям через параллельный импорт. Без официальных обновлений сигнатурных баз антивирус теряет эффективность за 2–4 недели. NGFW без патчей безопасности становится уязвимым. Параллельный импорт — временная мера, которая создаёт иллюзию защищённости, но не защищает.
Решение: Используйте параллельный импорт только как буфер на время пилота и миграции — не дольше 3–4 месяцев. Параллельно запускайте пилот российского аналога: к моменту, когда иностранное решение окончательно устареет, отечественное должно быть готово к боевой эксплуатации.
Государственная поддержка: как сэкономить на переходе
Государство субсидирует переход на российские ИБ-решения тремя инструментами, о которых знают далеко не все.
Льготное кредитование.Министерство цифрового развития реализует программу льготного кредитования для внедрения отечественного ПО. Для российских организаций и аккредитованных ИТ-компаний ставка составляет от 1% до 5% годовых, при этом максимальная сумма кредита на один проект может достигать 5 миллиардов рублей, а на комплексную программу — до 10 миллиардов рублей.
Налоговые льготы. Организации получают право на ускоренную амортизацию отечественного ПО с коэффициентом 3. Расходы на российские СЗИ не только уменьшают налогооблагаемую базу по налогу на прибыль, но и могут учитываться с повышающим коэффициентом 2 (с 1 января 2025 года), что позволяет списывать затраты в двойном размере. Кроме того, реализация прав на ПО из реестра Минцифры освобождается от НДС (0%) для определённых категорий организаций (пп. 26 п. 2 ст. 149 НК РФ).
Механизм легальной отсрочки. Если компания (например, субъект КИИ) объективно не успевает завершить переход к 1 января 2028 года, законодательство предусматривает возможность отсрочки. Для этого необходимо до 1 сентября 2026 года заключить контракт на внедрение отечественного аналога. Тогда у компании появляется до 48 месяцев на реализацию с возможностью дальнейшего продления. Это не лазейка — это легальный инструмент планирования, предусмотренный законодателем для организаций с объективно сложной инфраструктурой.
Пассворк: совместимость и регуляторный статус
Пассворк — российский менеджер паролей для бизнеса с развёртыванием на собственном сервере организации. Все данные об учётных записях хранятся внутри периметра: никакой зависимости от внешних сервисов.
Пассворк включён в реестр отечественного ПО Минцифры и сертифицирован ФСТЭК России по 4-му уровню доверия. Компания-разработчик имеет действующие лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) и по созданию средств защиты информации (СЗКИ), а также лицензию ФСБ России на работу с криптографией.
Совместимость с российскими платформами подтверждена официальными сертификатами.Пассворк протестирован и сертифицирован совместно со следующими решениями.
Пассворк интегрируется с SSO, Active Directory и LDAP, поддерживает подключение к SIEM-системам и ведёт полный журнал действий пользователей — от создания записи до каждого факта просмотра пароля. Это напрямую закрывает требования регуляторов к разграничению доступа и аудиту при работе с объектами КИИ.
Браузерные расширения доступны для Chrome, Firefox, Edge и Safari. Мобильное приложение — в App Store, Google Play и RuStore.
Заключение: с чего начать прямо сейчас
Импортозамещение ИБ — не разовая закупка. Чем раньше начат аудит, тем больше времени на пилот, обучение персонала и поэтапную миграцию без авралов.
Начать можно с любого места. Но практика показывает: проще всего — с базового слоя. Прежде чем менять периметровую защиту и разворачивать SIEM, стоит разобраться с тем, кто и к чему имеет доступ. Управление учётными данными — фундамент, на котором держится всё остальное. Если пароли от критичных систем хранятся в таблицах, а доступы не разграничены, никакой NGFW эту проблему не закроет.
Здесь логично начать с Пассворка: корпоративный менеджер паролей разворачивается на вашем сервере, интегрируется с SSO, AD/LDAP и SIEM-системами и ведёт полный журнал действий. Продукт включён в реестр отечественного ПО Минцифры, сертифицирован ФСТЭК, компания-разработчик имеет действующие лицензии ФСТЭК и ФСБ — это закрывает требования регуляторов к разграничению доступа ещё на старте проекта.
Ключевые дедлайны уже наступили: с апреля 2026 года действуют новые штрафы по ФЗ №77-ФЗ, с июня 2026 года дорожная карта импортозамещения становится обязательной. Дедлайн для значимых объектов КИИ (1 января 2028 года) кажется далёким, но с учётом реальных сроков пилота, миграции и обучения персонала запас времени меньше, чем кажется.
Начните с аудита решений и управления доступами. Это честный первый шаг, после которого картина становится понятной.
Пассворк можно развернуть в своей инфраструктуре и протестировать бесплатно — техническая команда сопроводит установку и поможет настроить интеграции под вашу среду. Протестировать Пассворк бесплатно
Часто задаваемые вопросы
Нужно ли малому бизнесу импортозамещение ИБ?
Малый бизнес обязан соблюдать требования, если он является субъектом КИИ или оператором персональных данных. Медицинские клиники, страховые компании, образовательные организации, ритейл с базами клиентов — все они операторы ПДн. Для них обязательна защита ИСПДн российскими сертифицированными средствами.
Что такое Реестр Минцифры и зачем он нужен при импортозамещении?
Реестр российского программного обеспечения Минцифры — официальный перечень ПО, подтверждающий его российское происхождение. Для субъектов КИИ использование ПО из реестра является обязательным условием при переходе.
Как проверить, есть ли продукт в реестре Минцифры?
Перейдите на reestr.digital.gov.ru, введите название продукта или ИНН производителя в строку поиска. Реестр публичный и обновляется в реальном времени. Для проверки сертификата ФСТЭК используйте отдельный реестр: reestr.fstec.ru. Проверяйте оба реестра перед каждой закупкой СЗИ.
Обязателен ли сертификат ФСТЭК России?
Сертификат ФСТЭК обязателен для средств защиты информации, используемых субъектами КИИ и операторами ИСПДн, обрабатывающими персональные данные 1–3 уровня защищённости. Наличие сертификата подтверждает соответствие продукта требованиям регуляторов и упрощает прохождение аудитов. Пассворк сертифицирован ФСТЭК России по 4-му уровню доверия.
Когда субъекты КИИ обязаны перейти на российское ПО?
Крайний срок перехода значимых объектов КИИ на отечественное программное обеспечение — 1 января 2028 года. Для программно-аппаратных комплексов (ПАК) предусмотрена возможность продления до 1 декабря 2030 года. Запрет на новые закупки иностранных средств защиты информации для КИИ действует с 1 января 2025 года согласно Указу №250.
Что такое пилотный запуск, и сколько времени он занимает?
Пилот — тестирование решения в среде, максимально приближённой к настоящей, для проверки работоспособности, совместимости и производительности ПО. Продолжительность теста для точечных решений, например, менеджера паролей, составляет 2–4 недели, для SIEM — 4–8 недель .
Что делать с иностранным ИБ-решением, которое уже работает без поддержки вендора?
Продолжать эксплуатацию иностранного ИБ-решения без поддержки вендора и обновлений безопасности — прямой регуляторный и операционный риск. Новые уязвимости не закрываются, сертификация ФСТЭК недостижима, а инцидент на фоне устаревшего инструмента усиливает ответственность по №420-ФЗ. Решение нужно включить в план миграции с приоритетом замены.
Таблицы российских аналогов
Ниже — сводные таблицы российских аналогов по всем ключевым классам СЗИ, составленные на основе карты «Возможности импортозамещения ПО в ключевых сферах ИБ, 2026» (ComNews, апрель 2026). Рекомендуем ознакомиться с полной картой импортозамещения на сайте издания.
Сетевая безопасность
NGFW — межсетевые экраны нового поколения
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
UserGate NGFW
ООО «Юзергейт»
№ 1194
Cisco Firepower, Palo Alto, Huawei USG
Kaspersky NGFW
АО «Лаборатория Касперского»
№ 29350 (ПАК), № 28270 (VM)
Palo Alto, Fortinet, Cisco Secure Firewall
PT NGFW
Positive Technologies
№ 20399
Check Point
Континент 4
ООО «Код Безопасности»
№ 13885
Check Point, FortiGate, Palo Alto
Ideco NGFW
ООО «Айдеко»
№ 18339
Fortinet, Cisco ASA
Zecurion NGFW
АО «СекьюрИТ»
№ 4616
Forcepoint, Juniper
IDS/IPS — обнаружение и предотвращение вторжений
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
ViPNet IDS NS
АО «ИнфоТеКС»
№ 7058
Cisco IOS IPS, FortiGate IPS
ViPNet IDS HS
АО «ИнфоТеКС»
№ 3441
AlienVault, Check Point Harmony
InfoWatch ARMA Стена
ООО «ИнфоВотч АРМА»
№ 23568
Check Point, Fortinet, Cisco ASA
С-Терра СОВ
ООО «С-Терра СиЭсПи»
№ 5345
Cisco Secure IPS, Juniper SRX
Рубикон
НПО «Эшелон»
№ 240
IBM Security IPS, Trend Micro TippingPoint
VPN-шлюзы и СКЗИ — криптографическая защита каналов
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
КриптоПро NGate
ООО «КРИПТО-ПРО»
№ 4330
Cisco AnyConnect, Check Point VPN
ViPNet Coordinator HW 5
АО «ИнфоТеКС»
№ 17434
Cisco, Fortinet
ФПСУ-IP
ООО «Амикон»
№ 29911
Cisco ASA, Fortinet
BI.ZONE Secure SD-WAN
ООО «БИЗон»
№ 9005
Fortinet, Prisma SD-WAN, Versa
СКЗИ «Квазар»
ООО «Системы практической безопасности»
№ 15902
ADVA, Ciena
Защита конечных точек и выявление атак
EDR — обнаружение угроз на конечных точках
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
Kaspersky EDR Expert
АО «Лаборатория Касперского»
№ 8352
CrowdStrike, SentinelOne
MaxPatrol Endpoint Security
Positive Technologies
№ 20685
CrowdStrike, Carbon Black
BI.ZONE EDR
ООО «БИЗон»
№ 6493
CrowdStrike, SentinelOne
ViPNet EndPoint Protection
АО «ИнфоТеКС»
№ 8640
Cisco Secure Endpoint, Palo Alto Cortex
NTA/NDR — анализ сетевого трафика
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
PT Network Attack Discovery
Positive Technologies
№ 4710
Vectra, DarkTrace
Гарда NDR
ООО «Гарда Технологии»
№ 3521
Cisco StealthWatch, FireEye
Песочницы (Network Sandbox)
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
KATA Sandbox
АО «Лаборатория Касперского»
№ 8350
Fortinet, Check Point
PT Sandbox
Positive Technologies
№ 8642
Trend Micro Deep Discovery
Мониторинг и управление (SIEM, SOAR, XDR)
SIEM — управление событиями безопасности
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
MaxPatrol SIEM
Positive Technologies
№ 1143
IBM QRadar, Splunk
Kaspersky KUMA
АО «Лаборатория Касперского»
№ 9128
ArcSight, Splunk
RuSIEM
ООО «РуСИЕМ»
№ 3808
IBM QRadar
R-Vision SIEM
R-Vision
№ 21323
Splunk, ArcSight
SOAR/IRP — автоматизация реагирования
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
R-Vision SOAR
R-Vision
№ 1954
Cortex XSOAR, IBM Resilient
BI.ZONE SOAR
ООО «БИЗон»
№ 18770
Splunk SOAR, FortiSOAR
XDR — расширенное обнаружение и реагирование
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
Kaspersky Symphony XDR
АО «Лаборатория Касперского»
№ 9123
Palo Alto Cortex XDR, Microsoft Defender XDR
Защита данных (DLP, DCAP, DAM)
DLP — защита от утечек данных
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
InfoWatch Traffic Monitor
АО «ИнфоВотч»
№ 10340
Symantec DLP, Forcepoint
Solar DOZOR
ООО «РТК-Солар»
№ 25822
Symantec DLP
Гарда DLP
ООО «Гарда Технологии»
№ 417
Forcepoint
Zecurion DLP
АО «СекьюрИТ»
№ 2469
Symantec DLP
СёрчИнформ КИБ
ООО «СёрчИнформ»
№ 2468
—
DCAP — аудит неструктурированных данных
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
Гарда DCAP
ООО «Гарда Технологии»
№ 6299
Varonis
DAM — мониторинг баз данных
Российский продукт
Вендор
Реестр МЦ
Иностранный аналог
Гарда DBF
ООО «Гарда Технологии»
№ 1284
IBM Guardium
Крипто БД
Аладдин Р.Д.
№ 509
—
Идентификация и управление доступом (IAM, PAM, MFA)
При замене десятков иностранных систем учётные данные от новых решений нужно где-то хранить и контролировать. Менеджер паролей для бизнеса Пассворк закрывает эту задачу: локальное и облачное развёртывание, интеграция с AD/LDAP и SIEM-системами, ролевая модель доступа, лицензии ФСТЭК и ФСБ. Более 2000 компаний уже используют Пассворк, включая организации, прошедшие аудиты безопасности на системообразующих предприятиях.
⚠️
Источник таблиц: «Возможности импортозамещения ПО в ключевых сферах ИБ, 2026», ComNews, апрель 2026. Актуальность номеров реестра МЦ — на дату публикации карты. Перед закупкой проверяйте статус в реестре Минцифры и реестре ФСТЭК.
Импортозамещение ИБ-решений (СЗИ): план перехода на российское ПО
Переход на российские решения в сфере защиты информации — юридическая обязанность. В статье: сроки, штрафы, пошаговый план миграции и таблицы отечественных аналогов по всем ключевым классам защитных решений.
Большинство компаний узнают о взломе не от своих систем мониторинга, а от хакеров, когда те уже зашифровали данные или выставили их на продажу.
По данным аналитиков компанииКод Безопасностисреднее время нахождения злоумышленника в корпоративной сети российской компании составляет 42 дня. В ряде случаев — до 181 дня. Всё это время атакующий изучает инфраструктуру, копирует данные и методично готовит финальный удар.
Когда атака всё-таки обнаружена, у команды нет времени разбираться, кто за что отвечает. Есть только план — или его отсутствие.
В этом материале пошаговый план для ИТ-команд, у которых нет выделенного операционного центра безопасности (SOC), зато есть задача: остановить атаку, сохранить доказательную базу и вернуть бизнес в строй.
Главное
Среднее время присутствия злоумышленника в сети российской компании — 42 дня. За это время атакующий успевает повысить привилегии, скопировать данные и установить бэкдоры.
Первые минуты инцидента определяют масштаб ущерба. Минимальное зафиксированное время от первоначального проникновения до полного шифрования инфраструктуры составляет 12,5 минуты.
Реагирование — это последовательность, а не импровизация. Подготовка → обнаружение → сдерживание → форензика → устранение → восстановление → разбор. Пропуск или перестановка шагов уничтожает улики и открывает путь для повторного проникновения.
Форензика начинается до любых изменений в системе. Дамп оперативной памяти — в первую очередь. Каждый артефакт документируется по цепочке хранения: кто собрал, когда, на каком носителе.
Восстановление — только из чистого бэкапа, только после закрытия уязвимости. Восстановление из заражённой резервной копии или через незакрытый вектор атаки — прямой путь к повторному инциденту.
Уведомление регуляторов — обязанность с жёсткими сроками. При утечке персональных данных — РКН в течение 24 часов (152-ФЗ). Субъекты КИИ — НКЦКИ в течение 3–24 часов (187-ФЗ, Приказ ФСБ № 546). Нарушение сроков — самостоятельный состав правонарушения.
Компрометация учётных данных — сквозной риск на каждом этапе. Слабые пароли открывают первоначальный доступ, общие логины распространяют компрометацию, незакрытые учётки уволенных сотрудников становятся точкой повторного входа. Централизованное управление паролями закрывает этот риск системно.
Разбор инцидента обязателен. Разбор — единственный способ превратить инцидент в данные для улучшения защиты. Без разбора компания платит дважды.
Почему скорость реакции решает всё
В 2025 году число киберинцидентов в России выросло на 42% — до 22 тысяч за год. Более 50% компаний в 2025 году столкнулись с кибератаками (CNews, 2026, ТАСС, 2025). По словам зампреда правления Сбербанка Станислава Кузнецова, озвученным на ВЭФ-2025, совокупный ущерб экономике за первые восемь месяцев 2025 года мог составить около 1,5 трлн рублей (Интерфакс, 2025).
"По нашей оценке, в 2025 году уже было атаковано не менее 53% российских компаний, при этом 8 из 10 столкнулись с серьезными последствиями, четверть этих компаний признала, что они понесли существенные репутационные риски, еще одна четверть призналась в больших финансовых потерях. Ну и 48% признались, что у них были простои, из бизнес, сайты, деятельность приостановились" — зампред правления Сбербанка Станислав Кузнецов
Каждая четвёртая атака заканчивается серьёзными последствиями: финансовый ущерб или длительный простой. Доля инцидентов с утечкой конфиденциальных данных выросла с 53% до 64%, а доминирующей схемой остаётся двойное вымогательство: шифрование инфраструктуры с одновременным похищением данных (Positive Technologies, 2026).
Эти цифры описывают операционную реальность. И главная переменная в ней — время: как быстро атака обнаружена и как быстро остановлена.
Как атакуют: векторы, которые нужно знать
В 2025 году 64% успешных атак на организации заканчивались утечкой конфиденциальных данных (Positive Technologies, 2026). Понять, откуда пришла атака, — значит понять, где была брешь. Большинство инцидентов начинаются с одного из пяти векторов.
Фишинг и социальная инженерия
Самый массовый вектор. 80% целевых атак начинаются с электронного письма, в 70% случаев почта — канал доставки вредоносного ПО (Positive Technologies, 2026).
Фишинг давно перестал быть письмом с ошибками от «нигерийского принца». Современные атаки приходят с взломанных легитимных аккаунтов — коллег, партнёров, подрядчиков. Письмо выглядит достоверно, отправитель знаком, контекст правдоподобен. Вредоносная нагрузка прячется внутри многоступенчатых контейнеров: архив → документ → макрос, или HTML-вложение, или QR-код, ведущий на фишинговую страницу.
Отдельная тенденция — phishing-as-a-service (PhaaS): готовые панели управления атаками, шаблоны писем и механизмы обхода почтовых фильтров доступны на теневых площадках. Порог входа для злоумышленника снизился до минимума.
Компрометация учётных данных
Второй по частоте вектор. Атакующий не взламывает систему, он входит в неё с валидными учётными данными. Источники скомпрометированных паролей:
Утечки из сторонних сервисов. Сотрудник использует один пароль для корпоративного сервиса и личного интернет-магазина. Магазин взломали — пароль оказался в открытом доступе.
Подбор по словарям. Слабые или предсказуемые пароли на привилегированных учётных записях взламываются за минуты.
Инфостилеры. Вредоносное ПО, попавшее на рабочую станцию через фишинг, вытаскивает сохранённые пароли из браузеров и менеджеров паролей операционной системы.
Общие логины. Несколько сотрудников или подрядчиков используют одну учётную запись — компрометация одного открывает доступ всем.
Именно здесь корпоративный менеджер паролей закрывает риски системно: уникальные сложные пароли для каждого сервиса, ролевой доступ, исключение общих логинов. Пассворк хранит учётные данные в зашифрованном хранилище и фиксирует каждое обращение к ним в журнале аудита — это видно и до инцидента, и в ходе расследования.
Незакрытые CVE в публично доступных сервисах — почтовых серверах, веб-приложениях. Среднее время от публикации уязвимости до первой эксплуатации в реальных атаках сократилось до нескольких дней. Компании, которые откладывают обновления (патчинг) на «следующий квартал», фактически оставляют дверь открытой.
Особую опасность представляют устройства и сервисы, о существовании которых ИТ-команда не знает: теневая ИТ-инфраструктура, поднятая сотрудниками в обход регламентов.
Атаки через подрядчиков
Атакующий компрометирует не саму компанию, а её поставщика — интегратора, аутсорсера, разработчика ПО. Через доверенный канал он получает доступ к инфраструктуре заказчика, минуя периметровую защиту. Этот вектор особенно опасен тем, что действия атакующего неотличимы от легитимной работы подрядчика: те же учётные данные, те же системы, те же часы работы.
Минимизация риска — отдельная учётная запись для каждого подрядчика, доступ только к нужным системам, только на период задачи, с полным журналом действий. Пассворк позволяет выдавать подрядчикам доступ к конкретным учётным данным на ограниченный срок и отзывать его в один клик по завершении работ.
Вредоносное ПО: шифровальщики и инфостилеры
Вредоносное ПО применялось в большинстве успешных атак на организации в 2025 году (Positive Technologies, январь 2025). Два наиболее распространённых класса:
Шифровальщики (ransomware) — блокируют данные и требуют выкуп. Современные группировки работают по модели двойного вымогательства: сначала эксфильтрируют данные, затем шифруют. Даже если компания восстановится из бэкапа, угроза публикации украденных данных остаётся. Перед финальным ударом шифровальщик целенаправленно ищет и уничтожает резервные копии.
Инфостилеры — тихо работают в фоне, собирая учётные данные, сессионные токены, данные браузеров. Жертва может месяцами не подозревать о заражении, пока скомпрометированные данные не всплывут в другом инциденте или на теневом рынке.
Векторы кибератак и меры защиты
Вектор
Частота
Сложность обнаружения
Типичный сценарий
Приоритетная мера защиты
Фишинг и социальная инженерия
Самый массовый (80% целевых атак)
Средняя
Письмо с вредоносным вложением от «знакомого» отправителя
MFA, обучение персонала, фильтрация почты
Компрометация учётных данных
Высокая
Низкая — вход выглядит легитимным
Повторное использование пароля из утечки стороннего сервиса
Уникальные пароли, централизованный менеджер паролей, аудит доступа
Компрометация интегратора с доступом к инфраструктуре заказчика
Отдельные учётки, ограниченный срок доступа, журнал действий
Вредоносное ПО
Высокая (большинство успешных атак)
Низкая для инфостилеров, высокая для шифровальщиков
Инфостилер тихо собирает данные месяцами
EDR, изолированные бэкапы по правилу 3-2-1
Два вектора из пяти можно закрыть ещё до начала атаки — компрометацию учётных данных и бесконтрольный доступ подрядчиков. Пассворк централизует управление паролями, разграничивает доступы и фиксирует каждое действие в журнале аудита. Протестируйте бесплатно
Сколько времени злоумышленник остаётся в сети незамеченным
Среднее время обнаружения (Mean Time to Detect, MTTD) — среднее время между моментом проникновения и его обнаружением. Чем выше этот показатель, тем глубже атакующий укоренился в инфраструктуре до того, как его заметили.
Среднее время обнаружения для российских компаний составляет 42 дня. За это время злоумышленник, как правило, успевает:
изучить топологию сети и определить пути к критичным системам
повысить привилегии до уровня администратора домена
скопировать или проиндексировать ценные данные
установить бэкдоры для повторного доступа после «устранения» инцидента
При этом минимальное зафиксированное время от первоначального проникновения до полного шифрования инфраструктуры составляет 12,5 минуты (BI.ZONE, 2025). Это исключает любые паузы на согласование действий: у команды реагирования нет времени на обсуждение — только на исполнение заранее отработанного плана.
Второй ключевой показатель — среднее время восстановления (Mean Time to Respond/Recover, MTTR): время от обнаружения до полного восстановления операционной деятельности. Сокращение среднего времени восстановления — главная измеримая цель любого плана реагирования на инциденты (Incident Response Plan, IRP).
На практике среднее время восстановления складывается из нескольких последовательных этапов:
локализация угрозы
анализ масштаба компрометации
восстановление систем из резервных копий
верификация целостности среды перед возвратом в продуктив
Задержка на любом из них мультиплицирует итоговый ущерб — каждый час простоя критичных систем конвертируется в прямые финансовые потери и репутационные издержки.
Разрыв между MTTD и MTTR — это и есть зона наибольшего риска. Компании, у которых нет задокументированного плана реагирования, тратят первые часы инцидента не на сдерживание угрозы, а на выяснение того, кто за что отвечает. Именно поэтому план реагирования измеряется не качеством документа, а скоростью исполнения в условиях реального давления.
Финансовые потери от атак складываются из двух категорий — прямых и косвенных. Прямые поддаются расчёту: выкуп за расшифровку данных, восстановление инфраструктуры, штрафы регуляторов.
Cредний размер первоначального требования о выкупе в 2025 году составлял от 4 до 40 млн рублей. Максимальная зафиксированная сумма выкупа выросла на 67% и достигла 400 млн рублей (F6, 2025).
Косвенные потери труднее измерить, но они, как правило, превышают прямые. Репутационный ущерб, отток клиентов, судебные иски, потеря контрактов — всё это разворачивается уже после того, как инцидент технически закрыт.
Пошаговый план реагирования на кибератаку
Реагирование на инцидент — это последовательность. Пропущенный шаг или нарушенный порядок уничтожает улики, открывает путь для повторного проникновения и затягивает восстановление. Ниже — семь этапов, которые работают именно в этой логике.
Шаг 1. Подготовка — действия до инцидента
Качество реагирования определяется до начала атаки. Команда, которая впервые читает инструкцию в момент инцидента, теряет часы на согласование очевидного пока злоумышленник продолжает работать в инфраструктуре.
Разработайте и задокументируйте план реагирования на инциденты. Документ должен содержать: классификацию инцидентов по типу и критичности, цепочку эскалации с конкретными именами и контактами, роли и зоны ответственности каждого участника, резервные каналы связи на случай компрометации корпоративной почты.
Сформируйте команду реагирования заранее. В зависимости от масштаба компании в неё входят: специалист по форензике, юрист с опытом в области ИБ и защиты данных, ИТ-безопасность, операционный менеджер, представитель PR или коммуникаций. Если собственных ресурсов недостаточно — определите подрядчиков и заключите договоры до инцидента, а не во время него.
Проведите инвентаризацию активов и данных. Знайте, где хранятся персональные данные, какие системы являются критичными, кто и с каким уровнем доступа работает с чувствительной информацией. Без этой карты локализация инцидента занимает в разы больше времени.
Настройте централизованное логирование и мониторинг. SIEM без настроенных правил корреляции — дорогой архив. Убедитесь, что логи с ключевых систем собираются, хранятся достаточный срок и доступны для анализа в момент инцидента.
Регулярно проверяйте резервные копии. Бэкап, который никто не восстанавливал в тестовом режиме — ненадёжный инструмент. Проверяйте восстановление не реже раза в квартал.
Проведите учения. Разыграйте сценарий атаки с командой. Это единственный способ выявить пробелы в плане до того, как они проявятся в реальной ситуации.
Шаг 2. Обнаружение и идентификация
Признаки компрометации (Indicators of Compromise, IoC) — артефакты, указывающие на то, что система была скомпрометирована. Это могут быть сетевые аномалии, подозрительные процессы, изменения в файловой системе или нетипичная активность учётных записей.
Сетевые аномалии
Исходящий трафик на нетипичные адреса или в нетипичное время — особенно ночью и в выходные
Резкий рост объёма передаваемых данных без видимой причины (возможная эксфильтрация)
Соединения с известными вредоносными IP или доменами
DNS-запросы к случайно выглядящим доменам — признак DGA-активности (генерация доменов вредоносным ПО)
Нетипичные протоколы или порты: например, RDP наружу, SMB во внешнюю сеть
Подозрительные процессы и активность на хостах
Неизвестные процессы с высоким потреблением CPU или памяти, особенно запущенные от имени системных учётных записей
Процессы, запущенные из нетипичных директорий: %TEMP%, %AppData%, корень диска
Отключение или остановка антивирусных агентов, EDR, служб логирования
Появление новых задач в планировщике или служб с неизвестными именами
Изменения в файловой системе
Появление новых исполняемых файлов в системных директориях или директориях пользователей
Массовое переименование или изменение расширений файлов — прямой признак работы шифровальщика
Изменение системных файлов с неожиданными временными метками
Появление файлов с именами типа README_DECRYPT.txt, HOW_TO_RESTORE.html — записки с требованием выкупа
Входы в систему в нерабочее время, особенно с привилегированных учётных записей
Аутентификация с нетипичных географических локаций или IP-адресов
Множественные неудачные попытки входа с последующим успешным — признак брутфорса или подбора по утечке
Создание новых учётных записей, особенно с административными правами
Горизонтальное перемещение: один аккаунт последовательно аутентифицируется на множестве хостов за короткое время
Использование учётных записей уволенных сотрудников
Признаки в журналах событий
Очистка журналов безопасности Windows (Event ID 1102) или системных логов — злоумышленники заметают следы
Массовый экспорт данных из корпоративных систем: почта, файловые хранилища, базы данных
Обращения к файлам с паролями, конфигурационным файлам, ключам SSH — целенаправленный сбор учётных данных
Важно: наличие одного признака не означает компрометацию. Решение принимается на основе совокупности IoC и контекста. Фиксируйте каждый обнаруженный артефакт с временной меткой — это основа для форензики на следующем шаге.
Первая задача — понять масштаб и остановить распространение, не уничтожив улики. Изолируйте поражённые сегменты на уровне сети. Определите «нулевого пациента» — первый скомпрометированный хост. Составьте карту затронутых систем.
Параллельно проверьте смежные системы на признаки компрометации: аномальный сетевой трафик, нетипичные процессы, изменения в учётных записях. Злоумышленники редко ограничиваются одним хостом — латеральное перемещение происходит быстро.
Проверьте сервис-провайдеров и подрядчиков. Если внешние поставщики имеют доступ к вашей инфраструктуре или данным, немедленно оцените объём их прав и при необходимости ограничьте или отзовите доступ. Убедитесь, что они также не скомпрометированы — цепочка поставок остаётся одним из наиболее уязвимых векторов.
Опросите тех, кто обнаружил инцидент. Зафиксируйте показания: что именно заметили, когда, на каком оборудовании. Эти данные критичны для восстановления хронологии атаки. Если в компании есть служба поддержки — предупредите её о необходимости фиксировать и передавать любые аномальные обращения пользователей.
Шаг 3. Сдерживание
Цель этого шага — остановить распространение угрозы и минимизировать ущерб, не уничтожив улики. Сдерживание всегда предшествует устранению: пока периметр не стабилизирован, любые попытки «вылечить» систему бессмысленны.
Краткосрочное сдерживание — немедленные действия
Изолируйте поражённые хосты на уровне сети: отключите сетевой кабель или заблокируйте порты на коммутаторе
Заблокируйте скомпрометированные учётные записи. Если установить конкретные аккаунты невозможно — временно заблокируйте все привилегированные учётные записи и переиздайте их с новыми паролями
Отзовите активные сессии и токены доступа на поражённых системах
Заблокируйте на межсетевом экране IP-адреса и домены, замеченные в атаке
Отключите или ограничьте внешние подключения: RDP, открытые порты — всё, что может служить каналом управления для злоумышленника
Проверьте сегментацию сети: убедитесь, что изоляция поражённого сегмента реально работает и атака не распространилась на смежные зоны
Переведите критичные системы в режим усиленного мониторинга — даже те, которые выглядят незатронутыми
Разверните чистые резервные образы на изолированных машинах, если необходимо поддерживать непрерывность бизнес-процессов. Это временная мера — не восстановление
Ограничьте доступ сервис-провайдеров и подрядчиков до выяснения обстоятельств инцидента
Что фиксировать на этом шаге
Каждое действие по сдерживанию документируйте: что именно изолировано, когда, кем и на каком основании. Эти записи понадобятся при взаимодействии с регуляторами и при восстановлении хронологии инцидента.
Критерий перехода к следующему шагу: угроза локализована, дальнейшее распространение остановлено, улики сохранены. Только после этого — форензика и устранение.
Шаг 4. Сбор доказательств (форензика)
Форензика начинается до любых изменений в системе. Каждое действие по «лечению» — запуск сканера, удаление файла, перезагрузка — необратимо уничтожает артефакты. Сначала собрать, потом устранять.
Что собирать и в каком порядке
Приоритет — данные, которые исчезнут первыми:
Дамп оперативной памяти — в первую очередь. Содержит активные процессы, сетевые соединения, расшифрованные ключи, фрагменты вредоносного кода.
Сетевые логи — активные соединения, таблицы маршрутизации. Необходимо снимать до изоляции хоста от сети, так как после отключения активные сессии будут разорваны
Образ диска — побитовая копия (работайте только с копией)
Журналы событий — Windows Event Log (Security, System, Application), syslog, auth.log. Экспортируйте целиком, не фильтруйте на месте
Логи SIEM и EDR — выгрузите за период, охватывающий предполагаемое время проникновения с запасом минимум в две недели
Цепочка хранения доказательств
Каждый артефакт должен быть задокументирован по схеме: что собрано → кто собрал → когда → на каком носителе хранится → кто имел доступ после сбора. Нарушение цепочки хранения обесценивает доказательства в суде и при проверке регулятора.
Храните артефакты на изолированном носителе, не подключённом к корпоративной сети. Доступ — только у участников расследования.
Что проверить дополнительно
Было ли активно шифрование данных в момент атаки — это влияет на оценку реального ущерба от возможной эксфильтрации
Кто имел доступ к затронутым системам в период предполагаемого присутствия злоумышленника — по логам аутентификации
Не уничтожайте ничего, что выглядит как вредоносный файл, до завершения документирования. Преждевременное удаление — потеря части картины атаки
Шаг 5. Устранение угрозы
Удаление вредоносного ПО, закрытие уязвимостей и принудительный сброс учётных данных — три обязательных действия, которые выполняются одновременно.
Принудительный сброс паролей охватывает все привилегированные учётные записи, сервисные аккаунты и учётки пользователей, работавших на поражённых хостах. Скомпрометированные учётные данные остаются вектором повторного проникновения до полного сброса.
Проверьте сегментацию сети. Убедитесь, что изначально выстроенная сегментация сработала и сдержала распространение атаки. Если нет, зафиксируйте, где именно периметр был нарушен, и устраните эти точки до восстановления систем. Это не задача «на потом»: незакрытая брешь в сегментации — готовый маршрут для следующей атаки.
Удалите скомпрометированные данные из открытого доступа. Если в результате инцидента конфиденциальная информация оказалась опубликована немедленно инициируйте её удаление. Поисковые системы кэшируют страницы: направьте запросы на удаление кэша параллельно с удалением источника.
Закройте уязвимость, через которую произошло проникновение: патч, отключение сервиса, изменение конфигурации. Без этого восстановление бессмысленно.
Шаг 6. Восстановление систем
Восстановление — это контролируемый процесс возврата систем в производственную среду с постоянным мониторингом на предмет повторной активности атакующего.
Разворачивайте системы только из заведомо чистых резервных копий — с верифицированной датой создания, предшествующей дате компрометации. Перед вводом в эксплуатацию проверьте каждую восстановленную систему на признаки заражения.
Вводите системы в работу поэтапно. Одновременный запуск всей инфраструктуры затрудняет обнаружение аномалий. Поэтапный подход позволяет изолировать проблему, если она проявится повторно, и не допустить каскадного заражения.
Верифицируйте действия сервис-провайдеров. Если подрядчики заявляют, что устранили уязвимости со своей стороны — проверьте это самостоятельно или силами независимых специалистов. Декларация об устранении и фактическое устранение — не одно и то же.
Безопасное развёртывание из бэкапов
Перед восстановлением ответьте на три вопроса:
Бэкап чистый? Определите временную точку компрометации (когда атакующий впервые появился в сети) и убедитесь, что резервная копия создана до этого момента. Восстановление из заражённого бэкапа — распространённая ошибка, приводящая к повторному инциденту.
Уязвимость закрыта? Восстанавливать систему через тот же вектор атаки бессмысленно.
Среда восстановления изолирована? Поднимайте системы в изолированном сегменте, проверяйте их чистоту и только потом возвращайте в продуктивную среду.
Разворачивайте системы из эталонных образов с заранее настроенными политиками безопасности, а не из снапшотов, которые могут быть заражены
Принудительно смените все пароли пользователей и сервисных учётных записей после восстановления Active Directory
Включите расширенное логирование на всех восстановленных системах
Проверьте целостность восстановленных файлов по хэш-суммам
Мониторинг после восстановления
Даже после очистки и восстановления система, которую скомпрометировали, требует повышенного внимания. Именно сюда атакующий попытается вернуться в первую очередь.
Что мониторить после восстановления:
Все входы в систему, особенно в нерабочее время
Сетевые соединения с внешними адресами
Изменения в файловой системе в критичных директориях
Попытки обращения к ранее выявленным C2-адресам (даже заблокированным — это сигнал о повторной активности)
Активность сервисных учётных записей
Рекомендуемый период усиленного мониторинга — не менее 30 дней после восстановления. Атакующие нередко выжидают, пока компания расслабится, и возвращаются через скрытые точки повторного входа, которые не были обнаружены при устранении.
Шаг 7. Извлечённые уроки
Инцидент завершён, системы работают, данные восстановлены. Большинство команд на этом останавливаются. Это ошибка. Без структурированного разбора компания обречена повторить тот же сценарий.
Разбор инцидента
Разбор инцидента (Post-Incident Review, PIR) — обязательная встреча команды, которая работала над инцидентом. Следует провести встречу в течение 24-72 часов (но не позднее 7 дней) после закрытия инцидента, пока детали свежи в памяти.
Структура разбора инцидента
Хронология. Восстановите полную цепочку событий: проникновение → закрепление → горизонтальное перемещение → финальный ущерб. Покажет, где были слепые пятна в мониторинге.
Анализ атаки. Где атакующий мог быть остановлен, но не был? Какие средства защиты сработали, какие нет?
Оценка реагирования. Насколько быстро обнаружили инцидент и провели изоляцию? Какие решения оказались верными, какие нет? Где регламент не работал или отсутствовал?
Финансовый ущерб. Зафиксируйте прямые и косвенные потери — это основа для обоснования бюджета на ИБ.
Корректировка политик безопасности
По итогам разбора инцидента сформируйте конкретный список изменений с ответственными и дедлайнами. Без этого разбор остаётся разговором.
Типичные направления корректировок после инцидента
Управление доступом: ревизия привилегированных учётных записей, внедрение принципа минимальных привилегий, ограничение доступа подрядчиков по времени и периметру.
Мониторинг: расширение покрытия SIEM, добавление источников логов, которые оказались «слепыми зонами».
Список изменений с ответственными и дедлайнами сформирован
Уведомление регуляторов: требования 2025–2026 годов
При инциденте, затрагивающем персональные данные или критическую информационную инфраструктуру (КИИ), организация обязана уведомить регуляторов в жёстко установленные сроки. Нарушение сроков влечёт административную ответственность.
В течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
В течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Уведомление подаётся в электронном виде через портал персональных данных Роскомнадзора. Отсутствие уведомления в срок — самостоятельный состав правонарушения, независимо от факта утечки.
ГосСОПКА / НКЦКИ (субъекты КИИ)
Для субъектов критической информационной инфраструктуры обязательна передача информации об инцидентах в ГосСОПКА через НКЦКИ:
Срок
Действие
3 часа
Уведомление об инциденте для значимых объектов КИИ (ЗОКИИ)
24 часа
Уведомление об инциденте для иных объектов КИИ (не имеющих категории значимости)
48 часов
Передача технических данных об атаке
С 30 января 2026 года вступил в силу Приказ ФСБ России № 546, утверждающий новый порядок обмена информацией о кибератаках для субъектов КИИ. Документ уточняет форматы и каналы передачи данных в НКЦКИ.
ФСТЭК
Субъекты КИИ дополнительно взаимодействуют с ФСТЭК в части категорирования объектов и выполнения требований по защите. При инциденте на значимом объекте КИИ уведомление обязательно.
Практический совет: назначьте ответственного за взаимодействие с регуляторами ещё до инцидента. В кризисной ситуации искать юриста и разбираться в порталах — потеря критического времени.
Кризисные коммуникации: что говорить клиентам и сотрудникам
Попытка скрыть факт инцидента усугубляет репутационный ущерб — и создаёт дополнительные правовые риски. Прозрачная коммуникация, напротив, сохраняет доверие.
Принципы кризисных коммуникаций
Говорите первыми. Сообщение от компании должно выйти раньше, чем информация появится из других источников. Пустота заполняется слухами.
Сообщайте факты, а не предположения. «Мы обнаружили несанкционированный доступ к системам и расследуем инцидент» — лучше, чем молчание или непроверенные детали.
Давайте конкретные инструкции. Клиентам, чьи данные могли быть затронуты: смените пароль, включите двухфакторную аутентификацию, отслеживайте подозрительную активность.
Обновляйте статус. Одно сообщение — недостаточно. Регулярные обновления снижают тревожность и демонстрируют контроль над ситуацией.
Разделяйте аудитории. Сотрудники, клиенты, партнёры и регуляторы получают разные сообщения — по содержанию и каналу доставки.
Внутренние коммуникации во время инцидента ведите по резервным каналам (мессенджер вне корпоративной инфраструктуры, телефон). Корпоративная почта может быть скомпрометирована.
Как предотвратить повторный взлом
Скомпрометированные учётные данные — главный вектор атак. По данным исследования Positive Technologies за 2026 год, кража учётных данных составила 19% от всех инцидентов 2025 года, а доля атак с утечкой конфиденциальной информации достигла 64%. Слабая парольная политика открывает дверь для следующей атаки — даже после полного восстановления инфраструктуры.
Управление паролями и доступом
Уникальные сложные пароли для каждой системы — без исключений
Принудительная смена паролей после любого инцидента
Немедленный отзыв доступа при увольнении или компрометации аккаунта
Разграничение привилегий по принципу минимально необходимых прав
Защита от фишинга
Многофакторная аутентификация на всех привилегированных учётных записях
Обучение сотрудников распознаванию фишинговых писем — с регулярными симуляциями
Фильтрация входящей почты и блокировка подозрительных вложений
Мониторинг и обнаружение
SIEM с настроенными правилами корреляции для раннего обнаружения аномалий
EDR на всех конечных точках
Регулярный аудит учётных записей и прав доступа
Резервное копирование
Правило 3-2-1: три копии, два разных носителя, одна — офлайн
Регулярная проверка восстановления из бэкапов — не реже раза в квартал
Большинство из этих мер требуют системного контроля над доступом. Именно здесь управление учётными данными становится частью архитектуры защиты.
Как Пассворк помогает при реагировании на инциденты
Управление учётными данными — задача, которая влияет на каждый этап реагирования: от сдерживания до восстановления.
До инцидента
Пассворк разворачивается на серверах компании и интегрируется с Active Directory и LDAP. Все учётные данные хранятся в зашифрованном хранилище внутри вашей инфраструктуры. Доступ к паролям разграничен по ролям: каждый сотрудник и подрядчик видит только то, что нужно для его задач.
Это исключает два распространённых сценария компрометации: общие логины на несколько человек и избыточные права, которые никто не пересматривал годами.
Во время инцидента
Когда атака обнаружена, счёт идёт на минуты. Пассворк позволяет заблокировать доступ конкретного пользователя или подрядчика в один клик — без ручного обхода систем и без риска пропустить учётную запись. Журнал аудита фиксирует каждое обращение к паролям: кто запросил, когда, с какого устройства. Эти данные становятся частью доказательной базы при форензике и взаимодействии с регуляторами.
После инцидента
Принудительный сброс паролей после инцидента — обязательный шаг. Пассворк позволяет провести его централизованно: сгенерировать новые уникальные пароли для всех затронутых учётных записей, сразу распределить их по ролям и зафиксировать факт смены в журнале.
Заключение
Инцидент проверяет реальную готовность команды действовать под давлением. Компании, которые отрабатывают сценарии атак заранее, тестируют резервные копии и знают свои роли в кризисной ситуации, восстанавливаются быстрее и с меньшими потерями. Те, кто открывает инструкцию впервые в момент атаки, платят за это простоем, утечками и штрафами регуляторов.
Каждый этап реагирования — от обнаружения до восстановления — требует системности. Чёткие роли, задокументированные процедуры, заранее отработанные сценарии. Именно это отличает управляемый инцидент от катастрофы
После закрытия инцидента не останавливайтесь на устранении последствий. Разберите хронологию, найдите первопричину, обновите регламенты. Каждый инцидент — это данные о реальных слабых местах вашей инфраструктуры. Игнорировать их значит платить дважды.
Управление учётными данными — сквозная задача на каждом этапе. Компрометация паролей открывает первоначальный доступ, хаотичная ротация в разгар инцидента создаёт новые бреши, а незакрытые учётки уволенных сотрудников становятся точкой повторного проникновения. Это не отдельная задача, аконтроль, который должен работать до, во время и после инцидента.
Пассворк хранит учётные данные внутри вашей инфраструктуры, обеспечивает мгновенный отзыв доступа и фиксирует каждое действие в журнале аудита — всё, что нужно для контроля над доступом до, во время и после инцидента. Протестируйте Пассворк бесплатно
Часто задаваемые вопросы
Что делать в первые минуты после обнаружения кибератаки?
Изолируйте поражённые системы от сети, не выключая питание. Зафиксируйте время и симптомы инцидента. Смените пароли привилегированных учётных записей с незатронутого устройства. Уведомьте ответственную команду по резервному каналу связи. Не трогайте подозрительные файлы до начала форензики.
Как понять, что атака завершена и можно восстанавливаться?
Убедитесь, что все точки закрепления атакующего найдены и удалены, уязвимость, через которую произошло проникновение, закрыта, скомпрометированные учётные записи заблокированы или сброшены, а мониторинг не фиксирует новой подозрительной активности. Восстанавливайте только из бэкапа, созданного до момента компрометации.
Нужно ли уведомлять регуляторов при кибератаке?
Зависит от типа инцидента и статуса организации. Субъекты КИИ обязаны уведомить ФСБ (через НКЦКИ) в течение 24 часов по 187-ФЗ. При утечке персональных данных — уведомить Роскомнадзор в течение 24 часов с момента обнаружения (152-ФЗ, статья 21). Рекомендуется заранее подготовить шаблоны уведомлений и согласовать их с юристом.
Что такое ГосСОПКА и кто обязан туда сообщать?
ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Уведомлять НКЦКИ обязаны субъекты критической информационной инфраструктуры: организации из сфер энергетики, финансов, здравоохранения, транспорта и ряда других.
Как восстановить системы после атаки шифровальщика?
Восстановление начинается только после полной очистки инфраструктуры от ВПО и закрытия уязвимости, через которую произошло проникновение. Разворачивайте системы из резервных копий с верифицированной датой, предшествующей компрометации. Поэтапный ввод в эксплуатацию с усиленным мониторингом — минимум 30 дней после восстановления.
Нужно ли сообщать клиентам о взломе?
Да — особенно если затронуты их персональные данные. Это требование закона и вопрос репутации: по данным Сбербанка, каждая четвёртая атакованная компания понесла существенные репутационные потери (ВЭФ-2025). Сообщение от компании должно выйти раньше, чем информация появится из других источников.
Как защититься от атак через подрядчиков?
Для каждого подрядчика создавайте отдельную учётную запись, без общих логинов. Доступ выдавайте только к тем системам, которые нужны для конкретной задачи, и только на период её выполнения. Все действия подрядчика фиксируйте в журнале. Как только работы завершены, доступ отзывается немедленно.
Как реагировать на кибератаку: пошаговый план действий
Первые минуты кибератаки определяют масштаб ущерба — поэтому действовать нужно по плану. Как изолировать угрозу, сохранить улики, уведомить регуляторов и вернуть бизнес в строй.
Территория безопасности — ежегодный новаторский форум в сфере информационной безопасности, организованный группой ComNews. Пассворк выступил партнёром форума и принял участие в мероприятии, которое объединило четыре тематические конференции и технологическую выставку отечественных ИБ-решений.
Аудитория форума — люди, которые принимают решения и несут за них ответственность: ИТ-директоры, архитекторы безопасности, CISO, представители государственных органов, топ-менеджеры крупных компаний, производители ПО и оборудования, интеграторы.
1000+ участников и более 90+ спикеров — практики, исследователи уязвимостей, специалисты по расследованию инцидентов.
Структура программы
Четыре конференционных трека выстроены по PDCA-модели (цикл Деминга-Шухарта) — последовательно, от стратегии к практике:
ПРО планирование: тактическая карта CISO: от чекапа к стратегии
ПРО действие: как избежать слепых зон и предотвратить инциденты
ПРО контроль: все инструменты и процессы под контролем CISO
ПРО улучшения: как прокачивать себя и свою команду
Участники обсудили текущие тенденции, реальные кейсы и конкретные шаги по укреплению защиты.
Доклад Пассворка: секреты без слепых зон
На форуме выступил технический директор Пассворка Илья Гарах с докладом «Секреты без слепых зон: как взять под контроль корпоративные пароли, доступы и аудит».
В докладе разобрали практические подходы к тому, как выстроить прозрачную и аудируемую систему управления учётными данными:
Где возникают слепые зоны — точки в инфраструктуре, где учётные данные хранятся вне контроля
Почему хаотичное хранение паролей остаётся одной из главных точек входа для атак — и как это исправить системно
Как выстроить прозрачную, аудируемую систему управления доступами — без потери удобства для команды
Как Пассворк решает задачу
Пассворк помогает компаниям и государственным организациям централизовать хранение паролей и секретов, внедрить ролевую модель доступа и настроить детальный аудит действий пользователей.
Такой подход снижает риски человеческого фактора, повышает прозрачность доступа к критичным системам и упрощает соответствие требованиям регуляторов — в том числе в контурах КИИ.
Архитектура построена на принципе нулевого знания (zero knowledge): сервер хранит данные исключительно в зашифрованном виде. Ключи шифрования генерируются на стороне клиента и никогда не передаются на сервер — расшифровать данные не может никто, включая администраторов.
Реальный уровень защиты верифицируют независимые исследователи на платформе Standoff Bug Bounty — в условиях, приближённых к реальным атакам.
Живой диалог
На выставке в рамках форума собрались ключевые игроки российского ИБ-рынка. У стендов обсуждались конкретные архитектурные решения, сценарии внедрения, интеграции. Именно такой формат даёт то, чего не даёт ни один аналитический отчёт: прямой срез того, что реально происходит в индустрии.
«Такие мероприятия важны не только как площадка для демонстрации продуктов — они показывают, как меняется мышление рынка. В этом году заметно вырос запрос на системные решения: компании хотят не закрыть отдельную уязвимость, а выстроить управляемую среду. Именно в этом направлении развивается Пассворк, и этот разговор с рынком для нас очень ценен», — Илья Гарах, технический директор ООО «Пассворк»
Для Пассворка участие в форуме — это возможность услышать рынок напрямую и стать частью диалога, который формирует направление развития отрасли.
Пассворк закрывает слепые зоны в управлении доступами — ролевая модель, аудит действий и централизованное хранение секретов. Протестируйте бесплатно