Нужна консультация?

Нужна консультация?
Позвоните нам

+7 (495) 161-97-84

Получить консультацию

Каждое четвертое успешное проникновение в корпоративную инфраструктуру происходит через подрядчиков. С 1 марта 2026 года бесконтрольный удаленный доступ стал еще и нарушением: приказ ФСТЭК № 117 обязал организации перестроить архитектуру дистанционных подключений и внедрить контроль привилегированных пользователей. Рассказываем, что именно изменилось и как PAM-система Solar SafeInspectSolar SafeInspect — PAM-платформа ГК «Солар» для контроля привилегированных учетных записей и сессий в классических и облачных IT-системах. с модулем SafeConnect закрывает новые требования.

Что такое удаленное подключение

Дистанционная работа стала нормой задолго до того, как регуляторы успели ее зарегулировать. Сегодня к корпоративным системам подключаются не только штатные сотрудники из домашнего офиса — внешние разработчики, сервисные инженеры, аутсорс-команды ежедневно получают доступ к инфраструктуре заказчика с устройств, которые служба безопасности не контролирует. Технологически удаленный доступ реализуется через несколько протоколов:

  • VPN строит зашифрованный туннель между внешней точкой и корпоративной сетью, но не изолирует сессию — пользователь получает прямой сетевой доступ к ресурсам.
  • RDP открывает графический интерфейс удаленной машины для управления ею через защищенное соединение.
  • SSH дает командный доступ по клиент-серверной схеме: сервер ждет подключения на заданном порту и пропускает прошедшего аутентификацию пользователя.
  • VNC транслирует рабочий стол целевого компьютера — пользователь видит и управляет им в реальном времени.

Каждый из этих инструментов решает свою задачу, но ни один сам по себе не дает ответа на вопрос, что именно делал пользователь внутри сессии.

Удаленный доступ: риск на входе

Подрядчик с широкими правами и без жесткого контроля сессии — открытая дверь в инфраструктуру. Мониторинг удаленных подключений привилегированных пользователей должен быть непрерывным, а не выборочным.

Эксперты Solar SafeInspect

Важность контроля удаленного подключения привилегированных пользователей

По итогам 2025 года Solar 4RAYS зафиксировала резкий сдвиг в тактике злоумышленников: доля атак через подрядчиков выросла в четыре раза — с 6 до 24% от общего числа успешных проникновений. Логика атакующих проста: IT-компания, обслуживающая крупного заказчика, сама по себе может быть слабо защищена, зато имеет прямой сетевой доступ к его инфраструктуре. Взломать подрядчика — значит получить легитимный ключ к цели.

Особую опасность представляют подрядчики с расширенными правами. Расширенные права — то, что отличает привилегированного пользователя от рядового сотрудника. Администратор баз данных, инженер поддержки, внешний разработчик с правами на деплой — каждый работает с собственного устройства, никак не связанного с политиками безопасности заказчика. При этом его учетная запись открывает доступ к ресурсам, компрометация которых означает полноценный инцидент.

Стандартные средства мониторинга здесь не помогают: они фиксируют сам факт соединения, но не то, что происходило внутри сеанса. Полноценный контроль действий пользователей с расширенными правами возможен только через специализированную систему управления привилегированным доступомPAMPAM-система — инструмент управления привилегированным доступом: изолирует сессии пользователей с расширенными правами, записывает их действия и применяет политики доступа к критическим ресурсам.. Именно она записывает сессию, применяет политики и способна прервать подозрительный сеанс прежде, чем ущерб будет нанесен.

требование ФСТЭК к удаленному подключению

Новые требования ФСТЭК: приказ № 117 и роль PAM-систем

До марта 2026 года типичная схема дистанционного подключения в организациях выглядела так: VPN-клиент на ноутбуке подрядчика, прямой доступ к нужным сегментам сети, никаких журналов внутри сессии. Технически это работало. С точки зрения безопасности — создавало слепое пятно размером с весь привилегированный доступ.

Приказ ФСТЭК № 117 переопределил правила. Для дистанционного подключения к ГИС теперь обязательны три условия: средство доступа должно быть сертифицированным; сессия — изолированной от прямого сетевого контакта с инфраструктурой; все действия пользователя внутри сеанса — зарегистрированными. Несертифицированные VPN-клиенты и прямой проброс портов под эти требования не подпадают.

Выполнить все три условия без специализированного инструмента не получится. Именно здесь в игру входит PAM-система — и закрывает каждое требование точечно:

  • Сертификация — Solar SafeInspect с модулем Solar SafeConnect имеет сертификат ФСТЭК России по четвертому уровню доверия и зарегистрирован в реестре российского ПО Минцифры (№ 3341). Это готовый документальный аргумент на любой проверке.
  • Изоляция сессии — PAM встает между устройством пользователя и целевой системой: прямого сетевого контакта нет, подрядчик работает внутри контролируемого шлюза.
  • Регистрация действий — все события внутри сеанса фиксируются автоматически: видеозапись экрана, журнал команд, лог подключений. Данные хранятся для расследований и аудита.

Именно поэтому управление привилегированным доступом стало обязательным компонентом для ГИС, объектов КИИКИИ — Критическая информационная инфраструктура — объекты, нарушение работы которых влечет значимые последствия для государства, экономики или жизнедеятельности граждан. и финансовых организаций под надзором Банка России: PAM — единственный инструмент, который закрывает все три требования приказа № 117 в рамках одного решения.

Мониторинг удаленных подключений: контроль сотрудников и подрядчиков

Когда подрядчик получает доступ к инфраструктуре заказчика, контроль над ситуацией фактически теряется: внешний специалист работает с личного устройства, действует за периметром безопасности и при этом держит в руках учетные данные с широкими правами. Заказчик видит факт подключения, но не то, что происходило внутри сеанса. По данным Solar 4RAYS, именно этот слепой канал стал точкой входа в каждом четвертом успешном проникновении в 2025 году.

Мониторинг удаленных подключений закрывает эту уязвимость системно. Для подрядчиков и внешних поставщиков IT-услуг критичны три уровня контроля:

  • Строгая аутентификация при каждом входе — многофакторная, без исключений для «доверенных» подрядчиков.
  • Наблюдение за сессией в реальном времени — с возможностью немедленного прерывания при аномальном поведении, не дожидаясь завершения сеанса.
  • Полная запись сессии — видеозапись экрана и журнал команд, которые хранятся для расследований и аудита.

Отдельный инструмент контроля для подрядчиков — временные рамки доступа. Постоянно действующие привилегии для внешнего специалиста недопустимы: права должны выдаваться под конкретную задачу и автоматически истекать по ее завершении. Именно так работает модель Just-in-TimeJust-in-Time доступ — модель предоставления привилегий: расширенные права выдаются только на конкретный временной интервал и автоматически отзываются по его истечении., реализованная в Solar SafeConnect, — подрядчик получает ровно тот доступ, который нужен, ровно на то время, которое необходимо.

Держим планку по ФСТЭК — не снижаем темп. PAM-платформа Solar SafeInspect: изоляция сессий, контроль привилегированного доступа и полное соответствие приказу № 117 — все в одном решении.

Безопасность удаленного подключения: изоляция и строгая аутентификация

Атака через подрядчика разворачивается по одному сценарию: злоумышленник получает доступ к учетным данным внешнего специалиста и входит в корпоративную систему так же, как входил бы легитимный пользователь. Остановить его на этом этапе стандартными средствами невозможно: VPN уже аутентифицировал соединение, а что происходит внутри, никто не видит.

Разрыв этой цепочки требует другой архитектуры. Устройство подрядчика и целевая система не должны находиться в одном сетевом сегменте — между ними нужен управляемый шлюз, который видит каждое действие пользователя и способен прервать сеанс в любой момент. Именно так устроен Solar SafeConnect: пользователь работает в браузере, сессия идет через портал по RDP, SSH или HTTPS, а инфраструктура заказчика остается за периметром — недоступной напрямую.

Второй уровень защиты — аутентификация. Один пароль давно не считается достаточным барьером: Solar SafeConnect интегрируется со сторонними MFA-решениями, позволяя настроить столько факторов подтверждения, сколько требует политика безопасности организации.

Solar SafeConnect против стандартного VPN: сравнение по ключевым параметрам

Параметр

Solar SafeConnect

Стандартный VPN

Изоляция сессии от устройства пользователя

Работа без агентов на устройстве

Запись всех действий внутри сессии

Сертификат ФСТЭК (4-й УД)

Just-in-Time-доступ с автоотзывом прав

Подстановка учетных данных без раскрытия

Работа на Astra Linux (импортозамещение)

Соответствие приказу ФСТЭК № 117

безопасность удаленного подключения

Держим доступ под контролем — увеличиваем защиту

Настройте безопасное удаленное подключение по требованиям ФСТЭК № 117 уже сегодня. Покажем, как Solar SafeConnect и Solar SafeInspect закроют необходимые требования в вашей инфраструктуре.

Solar SafeConnect: сертифицированный модуль для легального удаленного доступа

Solar SafeConnect — модуль дистанционного доступа в составе PAM-платформы Solar SafeInspect. Он прошел сертификацию ФСТЭК России по четвертому уровню доверия и зарегистрирован в реестре отечественного ПО Минцифры (№ 3341). Для ГИС и объектов КИИ это означает, что решение можно предъявить регулятору без дополнительных объяснений. Функционально модуль закрывает полный цикл управления дистанционным доступом:

  • Веб-портал как единая точка входа — без агентов на устройствах пользователей, работает через браузер.
  • Встроенная тикет-система — оформление и согласование заявок на доступ без выхода за пределы продукта.
  • Ролевая модель с категорированием — пользователи и ресурсы распределяются по уровням доступа, лишние права не назначаются.
  • Автоматическая подстановка учетных данных — пользователь входит в целевую систему, не зная ее пароля, что исключает его утечку.
  • Интеграция с любым MFA-решением — настраивается под инфраструктуру, которая уже используется в организации.
  • Just-in-Time: права выдаются под конкретную задачу и истекают автоматически по ее завершении.

В связке с Solar SafeInspect цикл замыкается полностью. SafeConnect принимает заявку, проверяет пользователя и открывает сессию. SafeInspect авторизует его в целевой системе, подставляет учетные данные и применяет политики. Дальше — непрерывный мониторинг удаленных подключений: запись каждого действия, уведомление при аномалии или автоматическое завершение сеанса.

Импортозамещение и работа PAM-системы на отечественной платформе

Для госсектора и КИИ программная база решения — не технический нюанс, а условие допуска к эксплуатации. Solar SafeInspect с модулем SafeConnect работает на Astra Linux: сертифицированная отечественная ОС, включенная в реестр Минцифры, без иностранных компонентов в стеке. Санкционный риск исключен на уровне архитектуры.

Для крупных организаций с несколькими площадками важна еще одна характеристика — масштабируемость. Платформа наращивается горизонтально: новые узлы подключаются без изменения логики работы уже развернутых. Solar SafeInspect встраивается в существующую инфраструктуру безопасности через интеграции с DLP-системами и VPN — полная замена стека не требуется.

Мониторинг удаленных подключений

Solar SafeInspect — сертифицированное решение для соответствия ФСТЭК

Требования приказа № 117 не оставляют пространства для маневра: либо организация демонстрирует аудитору сертифицированное средство с изолированными сессиями и полными журналами, либо нарушает нормативные требования. Третьего варианта нет.

Solar SafeInspect с модулем Solar SafeConnect решает эту задачу без компромиссов: сертификат ФСТЭК четвертого уровня доверия, изоляция сессий на уровне архитектуры, непрерывный мониторинг удаленных подключений, журнал каждого действия привилегированного пользователя.

Часто задаваемые вопросы

Какие изменения вводит приказ ФСТЭК № 117 для удаленного доступа?

С 1 марта 2026 года организации обязаны применять сертифицированные средства для дистанционного подключения, обеспечивать полную изоляцию сессий и вести сплошной журнал действий привилегированных пользователей.

Чем Solar SafeConnect отличается от обычного VPN-клиента?

SafeConnect изолирует сессию архитектурно: прямого сетевого контакта между устройством пользователя и целевой системой нет. Обычный VPN такой изоляции не дает и не соответствует приказу ФСТЭК № 117.

Нужно ли устанавливать ПО на устройства подрядчиков?

Нет. Solar SafeConnect работает через веб-браузер — никаких агентов или клиентских приложений на устройстве внешнего специалиста устанавливать не требуется.

Как обеспечивается изоляция между устройством администратора и ГИС?

Пользователь подключается к порталу SafeConnect, проходит аутентификацию и получает доступ к целевой системе внутри изолированной сессии. Прямого сетевого взаимодействия с инфраструктурой не происходит.

Подходит ли решение для финансовых организаций по ГОСТ Р 57580.1?

Да. Связка Solar SafeInspect и Solar SafeConnect обеспечивает выполнение требований ГОСТ по управлению логическим доступом на всех трех уровнях защиты.

По какому уровню доверия ФСТЭК сертифицирована платформа?

Solar SafeInspect с модулем Solar SafeConnect сертифицированы ФСТЭК России по четвертому уровню доверия.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

FTP-трафик: чем опасен для бизнеса и как его контролировать через SWG

FTP-трафик: чем опасен для бизнеса и как его контролировать через SWG

Узнать больше
Контроль работы подрядчиков: как PAM помогает управлять доступом без слепых зон

Контроль работы подрядчиков: как PAM помогает управлять доступом без слепых зон

Узнать больше
Шифрование каналов связи: методы, стандарты и решения для бизнеса

Шифрование каналов связи: методы, стандарты и решения для бизнеса

Узнать больше
Готовое IdM-решение: как выбрать коробочную систему

Готовое IdM-решение: как выбрать коробочную систему

Узнать больше
EDR, SIEM, SOAR: вместе, вместо или эволюция использования классов решений ИБ

EDR, SIEM, SOAR: вместе, вместо или эволюция использования классов решений ИБ

Узнать больше
Архивы как канал доставки угроз в веб-трафике: аналитика, кейсы и выводы

Архивы как канал доставки угроз в веб-трафике: аналитика, кейсы и выводы

Узнать больше
Создание учетной записи без ошибок и лишних прав

Создание учетной записи без ошибок и лишних прав

Узнать больше
VPN: что это такое, как работает и зачем нужен бизнесу

VPN: что это такое, как работает и зачем нужен бизнесу

Узнать больше
Приказ ФСТЭК России № 117: какие требования к веб-каналу важно учесть

Приказ ФСТЭК России № 117: какие требования к веб-каналу важно учесть

Узнать больше