Менеджер паролей для госсектора: требования и выбор
Государственные организации и компании с госучастием оказались в непростой ситуации: зарубежные решения для управления паролями одно за другим уходят с российского рынка, а требования регуляторов к информационной безопасности становятся строже с каждым годом. При этом вопрос «как правильно хранить корпоративные пароли» в госсекторе давно перестал быть просто технической задачей — это вопрос соответствия законодательству и готовности к проверке.
В этой статье разбираем, какие требования предъявляет регулятор, на что обращать внимание при выборе решения и почему корпоративный менеджер паролей давно перестал быть опциональным инструментом для государственных структур.
Регуляторный контекст: что изменилось
Ещё несколько лет назад управление паролями в государственных организациях регулировалось в основном организационными мерами — внутренними приказами и инструкциями, соблюдение которых проверялось формально. Сегодня ситуация другая.
Указ Президента №166 от 30 марта 2022 года запретил государственным организациям и компаниям с долей государственного участия более 50% закупать иностранное программное обеспечение для использования на значимых объектах критической информационной инфраструктуры. С 1 января 2025 года зарубежное ПО на таких объектах нельзя не только закупать, но и продолжать использовать.
Это означает: если организация до сих пор использует 1Password, LastPass, KeePass или любое другое иностранное решение на объектах КИИ — она нарушает требование. Переход на российский аналог из «желательного» стал обязательным.
Приказ ФСТЭК №117 регулирует защиту государственных информационных систем и напрямую касается управления учётными записями и паролями. Регулятор проверяет не только наличие антивируса и межсетевого экрана, но и то, как организация управляет доступами: есть ли ролевая модель, фиксируются ли действия пользователей, соблюдается ли парольная политика.
152-ФЗ в редакции 2025 года ужесточил ответственность операторов персональных данных. Штраф за утечку для юридических лиц составляет от 3 до 15 миллионов рублей, при повторном нарушении — от 1 до 3% годовой выручки, но не менее 20 миллионов рублей. Для государственных организаций, которые по определению обрабатывают персональные данные граждан, управление доступами к этим данным становится вопросом прямой финансовой и уголовной ответственности.
Что такое КИИ и кого это касается
Критическая информационная инфраструктура — понятие, введённое Федеральным законом №187-ФЗ. К субъектам КИИ относятся организации, работающие в стратегически важных отраслях: государственное управление, здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, финансовый рынок, оборонная промышленность.
Требования указа №166 распространяются на:
- государственные органы и органы местного самоуправления,
- государственные корпорации и компании,
- АО и ООО с долей государственного участия более 50%, включая их дочерние структуры,
- бюджетные учреждения,
- государственные и муниципальные унитарные предприятия.
Если организация попадает хотя бы в один из этих пунктов и эксплуатирует значимые объекты КИИ — требование об использовании российского ПО обязательно.
Конкретные требования к парольной политике
Помимо требования об отечественном ПО, регуляторные документы устанавливают конкретные технические и организационные требования к управлению паролями. Вот основные из них в части, касающейся менеджера паролей.
Уникальность паролей. Приказы ФСТЭК требуют исключить использование одинаковых паролей для разных систем и учётных записей. На практике это невозможно обеспечить без централизованного инструмента — люди не способны помнить десятки уникальных сложных паролей.
Сложность и регулярная смена. Пароли должны соответствовать требованиям по длине и составу символов, а также регулярно меняться. Менеджер паролей с политиками безопасности позволяет принудительно применять эти требования ко всем сотрудникам автоматически.
Разграничение доступа. Каждый пользователь должен иметь доступ только к тем ресурсам, которые необходимы для выполнения служебных обязанностей. Это прямое требование к реализации ролевой модели доступа (RBAC).
Фиксация действий пользователей. Системы должны вести журнал событий, связанных с доступом к защищаемой информации. В контексте менеджера паролей это означает: кто и когда открывал пароль, кто изменял, кто выдавал или отзывал права доступа.
Своевременный отзыв доступов. При увольнении или переводе сотрудника его права доступа должны быть отозваны незамедлительно. Без централизованного управления паролями выполнить это требование в полной мере практически невозможно.
На что обращать внимание при выборе
Для государственной организации при выборе менеджера паролей критически важны несколько факторов.
Наличие в Реестре отечественного ПО Минцифры. Это первый и обязательный критерий. Без записи в реестре решение не может быть использовано в рамках импортозамещения и не пройдёт согласование при закупке по 44-ФЗ или 223-ФЗ. Проверить наличие решения можно на сайте реестра: reestr.digital.gov.ru.
On-premise развёртывание. Данные государственной организации не могут храниться в иностранных облаках. Менеджер паролей должен разворачиваться на серверах самой организации или в российском сертифицированном облаке. Облачные решения с хранением данных на зарубежных серверах автоматически исключаются из рассмотрения.
Поддержка шифрования по ГОСТ. Для систем, обрабатывающих государственную тайну или данные КИИ определённых классов, может потребоваться шифрование в соответствии с российскими криптографическими стандартами. Не все менеджеры паролей поддерживают ГОСТ.
Ролевая модель доступа. Полноценный RBAC с возможностью создания групп пользователей, разграничением прав на уровне папок и отдельных записей. Без этого выполнить требования по разграничению доступа невозможно.
Журнал событий с возможностью экспорта. Аудит всех действий пользователей, экспорт в SIEM-системы для централизованного мониторинга.
Интеграция с Active Directory и LDAP. Государственные организации, как правило, используют корпоративные каталоги пользователей. Менеджер паролей должен синхронизироваться с ними, а не требовать ведения отдельной базы пользователей.
Возможность развёртывания в закрытом контуре. Ряд государственных систем работает в изолированных сетях без выхода в интернет. Менеджер паролей должен корректно функционировать в таких условиях.
Почему иностранные решения больше не подходят
До 2022 года многие государственные организации использовали KeePass, 1Password, Bitwarden или аналогичные западные решения. Каждое из них имеет существенные ограничения в новых реалиях.
KeePass — файловая база, нет централизованного управления, нет журнала событий, нет RBAC, нет интеграции с LDAP. Подходит для индивидуального использования, но не для организации.
1Password и LastPass — иностранные облачные сервисы. Данные хранятся за рубежом. Прямо противоречат требованиям по локализации данных и импортозамещению.
Bitwarden — открытый код, можно развернуть на своих серверах, но это иностранное решение и оно отсутствует в Реестре отечественного ПО. Использование на объектах КИИ противоречит указу №166.
CyberArk, Thycotic, BeyondTrust — иностранные PAM-системы, ушедшие с российского рынка или ограничившие поддержку. Компании, использовавшие их, оказались без вендорской поддержки и обновлений безопасности.
Как выглядит типичное внедрение в государственной организации
Внедрение менеджера паролей в государственной структуре отличается от коммерческого сектора прежде всего требованиями к согласованию и документированию.
Типичный процесс выглядит так. Сначала проводится инвентаризация — составляется реестр всех информационных систем и учётных записей, существующих в организации. Это часто самый трудоёмкий этап, особенно если до этого момента никакого централизованного учёта не было.
Затем формируется ролевая модель — определяются группы пользователей и соответствующие им права доступа. В государственной организации это напрямую связано с должностными инструкциями и регламентами обработки информации.
После этого проводится пилотное внедрение на одном из подразделений, документируется результат, при необходимости вносятся корректировки. Затем следует тиражирование на всю организацию.
Важно: современные российские менеджеры паролей разворачиваются за 1–2 часа через Docker или нативно на Linux, включая отечественные дистрибутивы — Астра Линукс, РЕД ОС, ALT Linux. Весь процесс от установки до начала работы занимает несколько дней.
BearPass в контексте требований госсектора
BearPass включён в Реестр отечественного ПО Минцифры под номером 15427. Это означает, что решение может закупаться в рамках 44-ФЗ и 223-ФЗ без дополнительных согласований в части импортозамещения.
Из технических характеристик, важных для государственного сектора: on-premise развёртывание на собственных серверах организации, поддержка шифрования AES-256 и ГОСТ, полноценный RBAC с группами пользователей, интеграция с LDAP и Active Directory включая ALD Pro (Астра Линукс), журнал событий с экспортом в SIEM, работа в закрытых контурах сети.
Итог
Менеджер паролей для государственной организации сегодня — это не вопрос удобства. Это вопрос соответствия требованиям регуляторов, готовности к проверке и защиты от реальных угроз.
Основные критерии выбора: наличие в Реестре отечественного ПО, on-premise развёртывание, поддержка ГОСТ, полноценная ролевая модель, журнал событий, интеграция с корпоративным каталогом.
Промедление здесь стоит дорого: штрафы за утечку данных существенно выросли, а регуляторные проверки становятся более детальными. Выстроить систему управления доступами значительно проще до инцидента, чем объяснять его последствия.
Запросите демо BearPass или попробуйте бесплатно — развёртывание на вашем сервере, без передачи данных во внешние системы.
