Удалённый доступ к КИИ: требования регуляторов и ГОСТ-криптография
Удалённый доступ к объектам критической информационной инфраструктуры (КИИ) — это не обычный корпоративный VPN. Канал «сотрудник → значимый объект» рассматривается регуляторами как точка проникновения, поэтому к нему предъявляют отдельные требования: шифрование по ГОСТ, сертифицированные средства криптографической защиты информации (СКЗИ), строгая аутентификация, контроль устройства и журналирование событий доступа. **Если коротко:** организовать удалённый доступ к КИИ «как обычно» — на иностранном или несертифицированном VPN — нельзя. Нужны криптошлюзы и клиенты на отечественной криптографии, многофакторная аутентификация, проверка состояния устройства, сегментация доступа к ресурсам и полное журналирование. Ниже — почему так, какие требования закрывать и в каком порядке выстраивать проект. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге VPN и ZTNA](/rating/vpn-ztna-remote-access).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
author
Антон Смирнов
Старший редактор исследований ИБ-рынка
Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.
- 7 лет в SEO-аналитике и редакционных B2B-исследованиях
- Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T
author
Ирина Карпова
Редактор методологии и проверки источников
Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.
- 9 лет в редакционной аналитике, проверке источников и методологии рейтингов
- Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Почему к удалённому доступу на КИИ особые требования
Базовую рамку задаёт Федеральный закон № 187-ФЗ «О безопасности КИИ»: субъекты КИИ обязаны обеспечивать безопасность значимых объектов, включая защиту от несанкционированного доступа. Конкретные меры детализируют приказы ФСТЭК России по защите значимых объектов КИИ, а требования к самой криптографии и средствам её реализации — нормативные акты ФСБ России.
Удалённый доступ при этом — отдельная зона риска. Сотрудник или подрядчик подключается из недоверенной среды (домашний интернет, личное устройство, публичная сеть), и этот канал фактически расширяет периметр значимого объекта наружу. Поэтому регуляторы требуют, чтобы канал был защищён сертифицированными средствами, а доступ — управляемым и прослеживаемым: кто, откуда, к какому ресурсу и когда подключался.
Практический итог: иностранные VPN-решения для значимых объектов КИИ применять нельзя, а «самописные» или несертифицированные шифрованные каналы не закрывают требования к СКЗИ. Вопрос звучит не «нужен ли защищённый удалённый доступ», а «как собрать его на доверенных сертифицированных компонентах».
Удалённый доступ к КИИ: коротко в ориентирах
Безопасность значимых объектов КИИ
Сертифицированные СКЗИ, требования ФСБ России
Класс подбирается под модель угроз объекта
Минимум два фактора для удалённого подключения
Что такое СКЗИ и классы криптошлюзов простыми словами
Средство криптографической защиты информации (СКЗИ) — это сертифицированный продукт (криптошлюз, VPN-клиент, библиотека), который реализует шифрование по российским стандартам ГОСТ и прошёл оценку соответствия. Для удалённого доступа к КИИ важно, чтобы и шлюз на стороне объекта, и клиент на стороне пользователя были именно сертифицированными СКЗИ, а не «любым» VPN с поддержкой ГОСТ-алгоритмов.
СКЗИ различаются по классам защиты — их обозначают как КС1, КС2, КС3 (а также КВ, КА для более высоких уровней). Если описывать общими словами:
- **КС1** — нижний уровень: защита от нарушителя, у которого нет доступа к месту размещения средства и который действует извне. - **КС2** — добавляется устойчивость к нарушителю, имеющему ограниченные возможности внутри контролируемой зоны. - **КС3** — более высокий уровень с учётом нарушителя, обладающего расширенными возможностями, в том числе на самом узле.
Какой класс СКЗИ нужен в конкретном проекте, определяется не «по умолчанию», а моделью угроз и категорией значимого объекта. Поэтому в этой статье мы намеренно не присваиваем классы конкретным продуктам: актуальный статус и класс сертификата всегда проверяются в [реестре сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/) и по документам ФСБ России.
Какие требования закрывает защищённый удалённый доступ
Грамотно собранный удалённый доступ к КИИ — это не один продукт, а набор мер, каждая из которых отвечает на конкретное требование регулятора. Ниже — карта «требование → что обеспечить», по которой удобно проверять архитектуру проекта.
| Требование | Что нужно обеспечить | На что опираться |
|---|---|---|
| Защита канала | Шифрование трафика по ГОСТ через сертифицированный криптошлюз/клиент | Сертифицированные СКЗИ, требования ФСБ |
| Сертифицированные средства | Применение СКЗИ нужного класса, наличие в реестрах | Реестр СЗИ ФСТЭК, реестр российского ПО |
| Строгая аутентификация | Многофакторная аутентификация (MFA) для каждого подключения | Меры защиты значимых объектов КИИ |
| Контроль устройства | Проверка состояния и доверенности устройства до доступа | Модель угроз объекта |
| Сегментация доступа | Доступ только к нужным ресурсам, а не ко всей сети | Принцип минимальных привилегий |
| Журналирование | Регистрация событий доступа и действий, хранение журналов | Требования к мониторингу и реагированию |
Чем защищённый доступ к КИИ отличается от обычного VPN
Функционально удалённый доступ к КИИ решает ту же задачу, что и корпоративный VPN, — безопасное подключение сотрудника к ресурсам. Но требования регуляторов смещают акценты, и именно детали определяют, пройдёт ли решение проверку:
- **Криптография только по ГОСТ.** Шифрование канала должно выполняться сертифицированным СКЗИ с российскими алгоритмами, а не произвольным набором шифров. - **Сертификация, а не «поддержка ГОСТ».** Важно не наличие ГОСТ-режима «на бумаге», а действующий сертификат соответствия и присутствие в реестрах. - **Доступ к ресурсу, а не к сети.** Подключённый пользователь должен видеть строго разрешённые сервисы; плоский доступ ко всему сегменту — антипаттерн. - **Контроль устройства до подключения.** Проверка доверенности конечного устройства — обязательная часть, особенно для подрядчиков и личной техники. - **Полная прослеживаемость.** События подключения и действий журналируются и хранятся для разбора инцидентов и проверок.
Значимость требований к удалённому доступу на КИИ
Усреднённая редакционная оценка приоритетности требований при проектировании доступа к значимым объектам КИИ. Это ориентир, а не нормативная шкала: финальный набор мер задаётся моделью угроз и категорией объекта.
Чек-лист организации удалённого доступа к КИИ
План проекта защищённого удалённого доступа: 6 шагов
-
01
Категоризация и модель угроз
Определите категорию значимого объекта и модель
-
02
Сбор требований
Сведите требования 187-ФЗ, приказов ФСТЭК и нормативов ФСБ в
-
03
Подбор сертифицированных средств
Выберите криптошлюз и клиент из числа
-
04
Проектирование доступа
Спроектируйте сегментацию, MFA, контроль устройства и
-
05
Пилот и обкатка
Разверните пилот на ограниченной группе, проверьте каналы, MFA,
-
06
Ввод в эксплуатацию
Поэтапно подключите пользователей и подрядчиков, настройте
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом VPN и ZTNA](/rating/vpn-ztna-remote-access): здесь — требования и критерии, там — сравнение конкретных компаний по подтверждённым фактам.
Следующий шаг
Определились с требованиями — переходите к сравнению поставщиков: **[рейтинг VPN и ZTNA для удалённого доступа →](/rating/vpn-ztna-remote-access)**. Полезно прочитать рядом: [ZTNA против VPN](/research/ztna-protiv-vpn-pochemu-uhodyat), [российские решения удалённого доступа 2026](/research/rossiyskie-resheniya-udalennogo-dostupa-reyting-2026) и [чем заменить Cisco AnyConnect и Zscaler](/research/zamena-cisco-anyconnect-zscaler-alternativy).
Частые вопросы
Можно ли использовать иностранный VPN для удалённого доступа к КИИ?
Для значимых объектов КИИ — нет: требуется защита канала сертифицированными СКЗИ с криптографией по ГОСТ, а иностранные решения этим требованиям не отвечают. Опираться нужно на сертифицированные средства из реестра СЗИ ФСТЭК.
Что такое СКЗИ и зачем оно для удалённого доступа?
СКЗИ — это сертифицированное средство криптографической защиты, которое шифрует трафик по российским стандартам и прошло оценку соответствия. Для доступа к КИИ и криптошлюз на объекте, и клиент у пользователя должны быть именно сертифицированными СКЗИ, а не просто VPN с «поддержкой ГОСТ».
Какой класс СКЗИ — КС1, КС2 или КС3 — нужен?
Это определяется не по умолчанию, а моделью угроз и категорией значимого объекта: чем выше возможности предполагаемого нарушителя, тем выше требуемый класс. Конкретный класс под ваш проект согласуется по нормативам ФСБ России и фиксируется в проектной документации.
Достаточно ли только ГОСТ-шифрования канала?
Нет. Шифрование по ГОСТ закрывает защиту канала, но удалённый доступ к КИИ требует ещё многофакторной аутентификации, контроля состояния устройства, сегментации доступа к ресурсам и журналирования событий. Это набор мер, а не один продукт.
Где проверить, что средство действительно сертифицировано?
В реестре сертифицированных СЗИ ФСТЭК и в реестре российского ПО. Это проверяемые первоисточники; правовая рамка — текст 187-ФЗ.
Где сравнить конкретных поставщиков VPN и ZTNA?
В рейтинге VPN и ZTNA для удалённого доступа — там компании ранжированы по подтверждённым сигналам, а не по рекламе.
Источники и метод проверки
Удалённый доступ к объектам критической информационной инфраструктуры (КИИ) — это не обычный корпоративный VPN. Канал «сотрудник → значимый объект» рассматривается регуляторами как точка проникновения, поэтому к нему предъявляют отдельные требования: шифрование по ГОСТ, сертифицированные средства криптографической защиты информации (СКЗИ), строгая аутентификация, контроль устройства и журналирование событий доступа. **Если коротко:** организовать удалённый доступ к КИИ «как обычно» — на иностранном или несертифицированном VPN — нельзя. Нужны криптошлюзы и клиенты на отечественной криптографии, многофакторная аутентификация, проверка состояния устройства, сегментация доступа к ресурсам и полное журналирование. Ниже — почему так, какие требования закрывать и в каком порядке выстраивать проект. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге VPN и ZTNA](/rating/vpn-ztna-remote-access).