исследование 3 июня 2026

Российские PAM-системы: замена CyberArk, BeyondTrust и Delinea

После 2022 года CyberArk, BeyondTrust и Delinea (бывш. Thycotic) прекратили продажи, обновления и поддержку в России — а управление привилегированным доступом (PAM) при этом осталось одним из самых чувствительных контуров безопасности. К 2026 году отечественные PAM-системы закрыли базовый функционал: запись и контроль привилегированных сессий, хранилище секретов, выдача доступа по запросу, интеграция с каталогами и SIEM. Различия — в зрелости отдельных функций, отказоустойчивости и статусе сертификации. **Если коротко:** заменить CyberArk, BeyondTrust или Delinea для большинства задач уже есть чем. Выбор зависит не от бренда, а от того, какие активы вы защищаете (Unix/Windows, сетевое оборудование, базы данных, облако), нужны ли запись сессий и хранилище секретов одного класса, как устроены отказоустойчивость и интеграции, и каковы требования регуляторов. Ниже — кто представлен на рынке, что проверять при замене и как спланировать переход без потери контроля доступа. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге PAM-систем](/rating/pam).

7 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

privileged access

Привилегированные доступы требуют отдельного контроля

PAM-проект начинается с инвентаризации админских учётных записей, сессий и систем, где ошибка доступа особенно критична.

Тематическое фото для исследования: Российские PAM: замена CyberArk, BeyondTrust, Delinea — Тематическая иллюстрация к исследованию: Российские PAM: замена CyberArk, BeyondTrust, Delinea. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему рынок PAM в России изменился

Уход западных вендоров PAM ударил по самому критичному месту инфраструктуры — учётным записям администраторов, сервисным аккаунтам и доступу подрядчиков. Продлевать лицензии CyberArk, BeyondTrust или Delinea в штатном режиме больше нельзя: обновления, патчи и техподдержка недоступны, а PAM без актуальных обновлений — это риск в самом привилегированном сегменте сети.

Параллельно ужесточилась регуляторика. Для значимых объектов критической информационной инфраструктуры (КИИ) и госсектора переход на доверенные отечественные средства защиты стал требованием: 187-ФЗ и приказы ФСТЭК задают рамку, а ограничения на иностранное ПО на значимых объектах ускорили миграцию. Контроль привилегированного доступа при этом — частый пункт в требованиях к защите, поэтому замену PAM откладывать сложнее, чем многих других классов СЗИ.

Рынок PAM в России: коротко в цифрах

Ушли с рынка 3

CyberArk, BeyondTrust, Delinea — продажи и поддержка свёрнуты

Зрелых российских PAM 4+

Indeed PAM, СКДПУ НТ, Solar SafeInspect, Zecurion PAM и др.

Для КИИ и госсектора доверенные СЗИ

Переход требуют 187-ФЗ и приказы ФСТЭК

Типичный пилот 2–4 нед.

Проверка записи сессий и интеграций на боевых активах

Кто представлен на российском рынке PAM

Ниже — ориентир по основным игрокам. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/pam). Цель таблицы — показать, чем продукты различаются по позиционированию и под какие сценарии заходят чаще всего.

Решение	Вендор	Позиционирование	Чаще всего подходит для
Indeed PAM	Indeed	Зрелая PAM-платформа с хранилищем секретов	Средний и крупный бизнес, контроль администраторов
СКДПУ НТ	АйТи Бастион	Контроль действий подрядчиков и привилегированных сессий	КИИ, промышленность, доступ внешних подрядчиков
Solar SafeInspect	Ростелеком-Солар	PAM в составе портфеля управляемых услуг и SOC	Компании, идущие в сторону MSSP/SOC
Zecurion PAM	Zecurion	PAM в составе единой экосистемы безопасности	Компании с фокусом на контроль и DLP-контур

Чем российский PAM отличается от западного на практике

Функционально ведущие отечественные PAM закрывают тот же контур, что CyberArk, BeyondTrust или Delinea: контроль и запись привилегированных сессий, хранилище секретов и ротация паролей, выдача доступа по запросу (JIT), интеграция с каталогами (AD/LDAP) и SIEM. Разница — в деталях, которые и определяют успех миграции:

- **Запись и контроль сессий.** Видеозапись и текстовая стенограмма сессий, разбор по командам, блокировка опасных действий в реальном времени — глубина проработки у вендоров разная, проверяется на пилоте. - **Хранилище секретов и ротация.** Безопасное хранилище паролей, ключей и токенов, автоматическая ротация и подстановка учётных данных без раскрытия их администратору — ключевая функция замены CyberArk; уточняйте поддержку ваших типов активов. - **Just-in-Time доступ.** Выдача привилегий по запросу на ограниченное время вместо постоянных прав — зрелость подхода у отечественных вендоров догоняет западные. - **Интеграции.** Поддержка целевых систем (Unix/Linux, Windows, сетевое оборудование, СУБД, гипервизоры, облако) и связка с SIEM/IdM — частое узкое место; проверяйте под ваш парк. - **Отказоустойчивость.** Кластеризация, поведение при отказе узла, восстановление доступа в аварии — критично: PAM сам становится точкой, через которую идёт весь привилегированный доступ.

Зрелость класса российских PAM по функциям

Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашей инфраструктуре.

Запись и контроль привилегированных сессий 90 /100

90 /100

Контроль доступа подрядчиков 90 /100

90 /100

Интеграция с AD/LDAP и SIEM 85 /100

85 /100

Хранилище секретов и ротация паролей 80 /100

80 /100

Отказоустойчивость и кластеризация 75 /100

75 /100

Just-in-Time доступ 70 /100

70 /100

Чек-лист выбора PAM под замену

Запись сессий проверьте видео и текстовую стенограмму, разбор по командам, блокировку опасных действий онлайн.

Хранилище секретов убедитесь в ротации паролей и подстановке учётных данных без их раскрытия администратору.

JIT-доступ оцените выдачу привилегий по запросу на время вместо постоянных прав.

Интеграции сверьте поддержку ваших целевых систем (Unix, Windows, сеть, СУБД, облако) и связку с SIEM/IdM.

Отказоустойчивость проверьте режимы кластера, восстановление доступа при отказе узла, аварийный сценарий.

Сертификат ФСТЭК подтвердите статус в реестре отечественного ПО и сертификат под вашу задачу (класс, тип).

Пилот заложите проверку на боевых активах (2–4 недели) до тендера, а не после.

Рейтинг сравните вендоров по подтверждённым внедрениям в [рейтинге PAM](/rating/pam).

План миграции с западного PAM: 6 шагов

01 Инвентаризация
Выгрузите учётные записи, секреты, политики доступа и списки целевых систем из CyberArk / BeyondTrust / Delinea.
02 Профилирование доступа
Опишите, кто, к чему и как подключается: администраторы, сервисные аккаунты, подрядчики, критичные активы.
03 Шорт-лист и пилот
2–3 кандидата, пилот на части боевых систем, проверка записи сессий, хранилища секретов и интеграций.
04 Перенос секретов и политик
Безопасная миграция паролей и ключей, настройка ротации, чистка устаревших и избыточных прав.
05 Параллельный режим
Перевод части администраторов и подрядчиков на новый PAM, сверка событий, обкатка отказоустойчивости.
06 Переключение и вывод
Поэтапный перевод доступа по сегментам, контроль инцидентов, отзыв старых учётных данных и вывод западного PAM.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом PAM](/rating/pam): здесь — рынок и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с критериями — переходите к сравнению поставщиков: **[рейтинг PAM-систем →](/rating/pam)**. Полезно прочитать рядом: [что такое PAM и зачем он нужен](/research/chto-takoe-pam) и [рейтинг PAM-систем 2026](/research/rejting-pam-sistem-2026).

Частые вопросы

Можно ли продолжать пользоваться CyberArk или BeyondTrust в России?

В штатном режиме поддержка, обновления и продление лицензий недоступны, а PAM без актуальных обновлений — риск в самом привилегированном сегменте. Для КИИ и госсектора это к тому же противоречит требованиям к доверенным средствам защиты.

Российский PAM реально заменяет CyberArk по функциям?

Для большинства корпоративных сценариев — да: контроль и запись сессий, хранилище секретов с ротацией паролей, JIT-доступ, интеграция с каталогами и SIEM присутствуют у ведущих вендоров. Расхождения по глубине отдельных функций проверяются на пилоте под ваш парк систем.

Чем отличается контроль сессий от хранилища секретов?

Контроль сессий записывает и ограничивает действия администратора при подключении к целевой системе. Хранилище секретов хранит и ротирует пароли, ключи и токены, подставляя их без раскрытия пользователю. Полноценная замена западного PAM обычно требует обоих механизмов — уточняйте, что именно покрывает продукт.

Что важнее при выборе — сертификат ФСТЭК или функциональность?

Оба фактора, но в разном порядке для разных задач. Для значимых объектов КИИ сертификация и наличие в реестре — входной барьер; дальше решает полнота функций (запись сессий, хранилище секретов, интеграции) и отказоустойчивость под вашу инфраструктуру.

Сколько занимает миграция с западного PAM?

От нескольких недель для ограниченного контура до нескольких месяцев при большом числе целевых систем и подрядчиков. Критичны пилот и параллельный режим — они убирают риск потери контроля доступа при переключении.

Где сравнить конкретных вендоров между собой?

В рейтинге PAM-систем — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг PAM-систем Сравнить поставщиков по подтверждённым сигналам Что такое PAM и зачем он нужен Рейтинг PAM-систем 2026