У бизнеса больше нет одного понятного периметра, который можно закрыть межсетевым экраном и считать задачу решенной. Сотрудники подключаются из дома и командировок, подрядчики получают доступ к внутренним системам, данные хранятся в облачных сервисах. Модель нулевого доверия, или Zero Trust Architecture (ZTA), предлагает другой принцип: не доверять пользователю, устройству или приложению автоматически, даже если запрос идет из корпоративной сети.
В статье рассмотрим, как появилась эта концепция, как работает политика нулевого доверия, чем она полезна российскому бизнесу в 2026 году и с чего начать внедрение без резкой перестройки всей ИТ-инфраструктуры.
Что такое модель нулевого доверия
Политика нулевого доверия — это подход к кибербезопасности, когда компания проверяет каждый запрос к данным, приложениям и внутренним системам. Это значит, что каждый доступ к данным, сервисам или внутренним системам проходит дополнительную проверку: кто запрашивает доступ, с какого устройства, где он находится и имеет ли он право выполнять конкретное действие.
Zero Trust строится на концепции: «Никогда не доверяй, всегда проверяй». В английском названии слова «zero» и «trust» отражают эту идею.
Раньше компании защищали в основном офисную сеть и внутренние серверы. Считалось, что если человек уже внутри корпоративной сети, значит, ему можно доверять. После входа с логином и паролем сотрудник часто получал широкий доступ к системам.
Проблема в том, что такой подход легко обойти. Достаточно украсть пароль, заразить рабочий ноутбук или получить доступ через подрядчика — и злоумышленник оказывается внутри системы уже с «доверенным» статусом и может свободно перемещаться по инфраструктуре.
Модель Zero Trust убирает это допущение и проверяет каждый запрос отдельно, независимо от того, откуда он приходит.
Как появилась концепция Zero Trust
Концепцию ZTA связывают с работами аналитика Forrester Джона Киндервага. В конце 2000-х он сформулировал подход, в основе которого лежит мысль: доверие само по себе создает уязвимость. В 2010 году американская исследовательская компания Forrester выпустила отчет: «Больше никаких мягких середин: представляем модель Zero Trust для информационной безопасности», где описала отказ от автоматического доверия внутри корпоративной сети.
К 2026 году Zero Trust уже не выглядит узкой темой для крупных технологических компаний. Forbes Technology Council в публикации «Революция Zero Trust: как защитить компанию изнутри» объясняет рост интереса к модели тем, что облака, удаленная работа и мобильные устройства размыли границы корпоративной сети.
Почему старый подход к защите перестал работать
Раньше все ключевые системы находились внутри корпоративной сети, сотрудники работали с офисных компьютеров, а доступ к данным получали через внутренние сервисы.
Со временем эта схема перестала быть надежной. Бизнес начал пользоваться облачной архитектурой, сотрудники работают удаленно, а доступ к системам стал возможен с разных устройств и из разных мест. В результате привычная граница безопасности размылась, а вместе с ней появились новые риски.
Компании работают с персональными данными, коммерческой тайной, платежной информацией, внутренними документами и клиентскими базами. Если доступы настроены хаотично, украденный пароль может привести к утечке данных и потере доверия клиентов.
Как работает сеть с нулевым доверием
Сеть с нулевым доверием строится на связке правил и проверок.
Проверка пользователя
Первый шаг — определить, кто именно запрашивает доступ. Для этого используют логин и пароль, а также дополнительные способы подтверждения: одноразовые коды, уведомления в приложении, аппаратные ключи или другие формы многофакторной аутентификации.
Один пароль больше не считается надежной защитой. Его могут украсть, перехватить через фишинговый сайт или найти в утекших базах данных. Поэтому компании добавляют второй и третий уровень проверки.
Например, сотрудник вводит пароль от корпоративной почты. После этого система отправляет запрос в мобильное приложение, где нужно подтвердить вход через мобильное приложение или одноразовый код в СМС.
Проверка устройства
Zero Trust учитывает не только пользователя, но и устройство. Один и тот же сотрудник может входить с рабочего ноутбука, личного компьютера, телефона.
Перед доступом автоматическая система может проверить:
- установлены ли обновления;
- включено ли шифрование диска;
- есть ли защита от вредоносных программ;
- не заблокировал ли администратор устройство;
- соответствует ли оно корпоративным правилам.
Например, менеджер по продажам открывает CRM-систему (система управления взаимоотношениями с клиентами) с рабочего ноутбука — доступ разрешают. Потом он пытается войти с личного компьютера без обновлений и защиты — система запрашивает дополнительную проверку или ограничивает доступ.
Анализ контекста
В модели нулевого доверия система оценивает не только личность пользователя и устройство, но и условия, в которых происходит вход или действие. Учитываются время, место, привычное поведение и тип запроса.
Например, бухгалтер обычно заходит в систему в рабочее время из Москвы. Если вдруг ночью появляется попытка входа из другой страны, система воспринимает это как подозрительную активность. В таком случае сервис может запросить дополнительное подтверждение, временно ограничить доступ или отправить сообщение о подозрительной попытке входа специалистам по безопасности.
Минимально необходимый доступ
Один из ключевых принципов Zero Trust — дать человеку только те права, которые нужны для работы.
Менеджеру по продажам нужен доступ к CRM и коммерческим предложениям, но не к зарплатным ведомостям. Бухгалтеру нужны финансовые документы, но не исходный код продукта. Подрядчику нужен доступ к конкретному проекту, а не ко всем внутренним папкам компании. Даже если аккаунт сотрудника будет скомпрометирован, злоумышленник не получит полный доступ ко всей инфраструктуре — только к ограниченному набору функций.
Как внедрить политику нулевого доверия
Переход к Zero Trust не означает, что бизнесу нужно за один месяц заменить всю ИТ-инфраструктуру. На практике компании начинают с самых рискованных зон и постепенно усиливают контроль.
Шаг 1. Разобрать, какие данные и системы есть в компании
Сначала нужно понять, что именно бизнес защищает. Без этого невозможно настроить разумные правила доступа.
Стоит составить список:
- какие сервисы используют сотрудники;
- где хранятся персональные данные;
- где находятся финансовые документы;
- кто имеет доступ к CRM-системе, почте, папкам в облаке;
- какие подрядчики подключаются к рабочим ресурсам.
Шаг 2. Разделить ресурсы по важности
Ресурсы лучше разделить по критичности.
К наиболее чувствительным обычно относятся:
- персональные данные клиентов и сотрудников;
- платежные данные;
- бухгалтерские документы;
- коммерческая тайна;
- договоры с сотрудниками и контрагентами;
- логины и пароли от административных панелей;
- резервные копии;
- системы управления производством или продажами.
Шаг 3. Включить многофакторную проверку
Начинать лучше с сервисов, где компрометация особенно опасна: корпоративная почта, CRM-системы, бухгалтерия, облачные хранилища, системы удаленного доступа, административные учетные записи.
Почему Zero Trust важен для российских компаний
В России бизнесу приходится одновременно решать несколько задач: защищать данные, соблюдать требования законодательства, работать с российскими и импортозамещенными ИТ-решениями, управлять удаленными сотрудниками и снижать зависимость от отдельных поставщиков.
Для компаний, которые работают с персональными данными, особенно важен Федеральный закон № 152-ФЗ «О персональных данных». Он обязывает оператора защищать персональные данные от неправомерного доступа, изменения, копирования, предоставления, распространения и уничтожения.
Поэтому принципы нулевого доверия становятся новой нормой: бизнесу приходится выстраивать контроль доступа не формально, а на уровне ежедневных проверок. Это помогает снизить риск утечек, быстрее реагировать на подозрительную активность и понимать, кто и к каким данным имеет доступ в каждый момент времени.
Итог
Zero Trust помогает выстроить более строгую и логичную систему доступа: каждый раз проверять пользователя, его устройство, условия входа и уровень прав, прежде чем дать доступ к данным или системам.
Переход к такому подходу не требует резких изменений. Начать можно постепенно: описать, какие данные и сервисы есть в компании, включить многофакторную проверку для самых важных систем, убрать избыточные права, отдельно контролировать администраторов и регулярно пересматривать, кому действительно нужен доступ.
Параллельно компании используют инструменты управленческого контроля, чтобы лучше понимать, как организована работа. Например, система БОСС Контроль помогает отслеживать рабочее время, видеть фактическую активность сотрудников и поддерживать прозрачность процессов в распределенных и гибридных командах. Это дает руководителю больше ясности в управлении удаленными командами.
Вместе эти подходы закрывают две ключевые задачи: защищают доступ к данным и делают рабочие процессы более понятными и управляемыми.