Об авторе: Мария Рукавишникова, основатель и генеральный директор Getmobit, участник АРПП «Отечественный софт»
Вокруг новых требований ФСТЭК к защите государственных информационных систем, вступивших в силу весной 2026 года, идут активные дискуссии – приказом №117 ФСТЭК меняет модель доверия при организации удалённого доступа к государственным информационным системам.
Если на протяжении многих лет безопасность строилась вокруг трёх ключевых вопросов, кто подключается, как подтверждается его личность и насколько защищён канал связи, то сегодня на первый план выходит новый критерий — откуда именно осуществляется доступ к информационной системе, и можно ли доверять пользовательскому устройству.
Подрядчик становится частью периметра безопасности
Развитие крупных федеральных IT-проектов сформировало сложные экосистемы, которые объединяют интеграторов, сервисные организации, разработчиков программного обеспечения и специализированных подрядчиков.
Вот несколько примеров. На платформе «ГосТех», по данным правительства, в 2026 году функционируют 52 ведомственные и региональные системы, ещё 30 находятся в разработке и опытной эксплуатации. В развитии АИС ФНС России «Налог-3» участвуют более 350 подрядных организаций и поставщиков технологий, а экосистема включает свыше 100 информационных систем и сервисов. Проект ГИС ЖКХ, по данным Минстроя, охватывает более 100 тысяч зарегистрированных поставщиков информации и более 7 тысяч информационных систем. Как следствие, каждая организация, входящая в подобные цифровые экосистемы, в той или иной степени становится участником процессов сопровождения и эксплуатации государственных информационных систем и объектов КИИ.
Оператор информационной системы должен быть уверен не только в личности пользователя, но и в том, что подключение выполняется с доверенного рабочего места, находящегося в разрешённой зоне эксплуатации. Именно поэтому новые требования ФСТЭК уделяют особое внимание удалённому доступу к информационным системам.
Недостоверность IP адреса как метода определения точки входа
В настоящее время большинство существующих схем удалённого администрирования строится вокруг VPN-доступа и терминальных серверов. Эти технологии используют средства многофакторной аутентификации, однако гарантированно ответить на вопрос, откуда осуществляется подключение, они не могут.
Современные средства удалённого доступа позволяют использовать промежуточные узлы, VPN-сервисы и различные механизмы маршрутизации и манипуляции трафиком, скрывая фактическое расположение рабочего места. В результате классическая модель защиты может перестать работать. Даже если периметр заказчика надёжно защищён, злоумышленник может получить доступ через инфраструктуру подрядной организации.
Эту тенденцию подтверждают и мировые, и российские исследования. Согласно Verizon Data Breach Investigations Report 2025, доля инцидентов, связанных с третьими сторонами, выросла с 15% до 30% всего за один год. Иными словами, почти каждый третий расследованный инцидент связан с подрядчиками, поставщиками сервисов, IT-аутсорсингом и другими участниками цепочки поставок. Аналогичные данные приводит RED Security по России, доля таких инцидентов в 2025 году также достигла 30%, а годом ранее она не превышала 10%.
Для государственных заказчиков это означает, что безопасность ГИС сегодня определяется не только уровнем защищённости самого ведомства, но и уровнем контроля удалённых рабочих мест подрядчиков. Поэтому в методических документах ФСТЭК особое внимание уделяется контролю точки подключения и геопозиционированию конечных устройств. Регулятор задает новый стандарт доверия, в котором сетевой адрес уже не является достаточным подтверждением местонахождения пользователя.
Доверенное рабочее место: что меняется для подрядчиков
Наиболее важные следствия новых требований: если раньше последним объектом контроля был канал связи, то теперь им становится рабочее место пользователя.
Организации необходимо понимать, какое устройство используется для подключения, соответствует ли оно требованиям безопасности, не были ли изменены его настройки, где оно физически находится и кто работает под конкретной учётной записью. Для решения этой проблемы можно, например, использовать централизованно управляемые рабочие места с неизменяемым системным ПО и аппаратными модулями. Такая архитектура позволит определять положение устройства, если системы спутниковой навигации не могут выступать в качестве надёжных средств.
Несколько лет назад большинству государственных заказчиков было достаточно предоставить подрядчику VPN-доступ и учётную запись. Теперь регулятор установил значительно более высокий уровень контроля. Действия привилегированных пользователей регистрируются, а уровень защищённости удалённых рабочих мест сопоставим с требованиями, предъявляемыми к собственным информационным системам.
Такая практика уже существует. В ряде случаев государственные органы требуют от подключающихся организаций – подрядчиков и поставщиков – подтвердить, что их информационные системы отвечают тем же требованиям по защищённости, что и системы самого заказчика. С высокой вероятностью в ближайшие годы этот подход станет отраслевым стандартом.
Если раньше главным вопросом безопасности было «кто подключился», то сегодня – «можем ли мы подтвердить, что пользователь работает именно с того устройства и из того места, которому мы готовы доверять». Архитектуре защищённого удалённого доступа в государственном секторе предстоит серьёзная эволюция.













