ГрамотаИБ ГрамотаИБ

Личный компьютер для удалённой работы: риски даже при надёжном VPN

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Почему надёжный VPN не решает вопрос удалённой работы с личного компьютера сотрудника: VPN защищает канал связи, но не сам компьютер и данные на нём. Разбираем риски неконтролируемого личного ПК (вредоносное ПО, кейлоггеры, оседание персональных данных на диске, доступ третьих лиц), последствия для оператора по 152-ФЗ и как правильно организовать удалённый доступ, чтобы снизить риски.

Частое заблуждение: «поставим сотруднику надёжный VPN — и можно работать с личного компьютера». На самом деле VPN закрывает только часть рисков. Разберём, почему личный (неконтролируемый) ПК опасен даже с хорошим VPN и как организовать удалённую работу правильно.

Что защищает VPN, а что нет

VPN шифрует трафик между устройством сотрудника и сетью организации, поэтому защищает от перехвата данных в канале связи. Но VPN не защищает саму конечную точку — личный компьютер и то, что на нём происходит. Если компьютер заражён или данные сохраняются на его диске, VPN против этого бессилен: он лишь безопасно доставляет данные на уже небезопасное устройство.

Риски личного (неконтролируемого) ПК

  • Вредоносное ПО. Вирусы, трояны, кейлоггеры и стилеры на личном ПК крадут пароли и данные прямо с экрана и клавиатуры — VPN этому не мешает.
  • Нет управляемой защиты. Оператор не контролирует антивирус, обновления и настройки личного устройства; уязвимости остаются открытыми.
  • Данные оседают на диске. Персональные данные попадают в кэш, загрузки, скриншоты и временные файлы личного ПК — без шифрования и вне контроля организации.
  • Доступ третьих лиц. Членов семьи, при ремонте, продаже или утере устройства; на личном ПК нет корпоративного разграничения доступа.
  • Невозможность контроля и аудита. Оператор не может проверить меры защиты и журналировать действия на чужом устройстве.

Почему это проблема оператора

Оператор обязан обеспечивать безопасность персональных данных и контролировать принимаемые меры (статья 19 152-ФЗ, приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21). На неконтролируемом личном устройстве выполнить и подтвердить это невозможно. При этом ответственность за утечку несёт оператор — даже если фактической причиной стал заражённый личный компьютер сотрудника, а с 2025 года штрафы за утечки выросли.

Как снизить риски

  • Терминальный доступ (RDP/VDI). Сотрудник работает на сервере организации, а на личный ПК передаётся только изображение — данные не покидают периметр. Это главный способ снизить риски (но полностью их не убирает: кейлоггер или снимок экрана на личном ПК всё ещё угроза).
  • Корпоративные устройства. Лучший вариант — выдавать настроенные и защищённые рабочие устройства с антивирусом, обновлениями, шифрованием диска и управлением (MDM).
  • Если личное устройство неизбежно (BYOD): минимум — только терминальный режим без сохранения и копирования данных; требования к устройству (актуальный антивирус, обновления, шифрование диска, пароль/блокировка); двухфакторная аутентификация; запрет работать с чужих устройств; инструктаж и согласие сотрудника; учёт и быстрый отзыв доступа.
  • Организационно. Закрепить правила в регламенте о дистанционной работе и инструкции по удалённому доступу — как организовать удалёнку в целом, см. статью про удалённую работу и доступ к 1С; про защиту канала — ГОСТ VPN.

Главное

VPN необходим, но недостаточен: он защищает канал связи, а не личный компьютер и данные на нём. Личный неконтролируемый ПК несёт риски вредоносного ПО, оседания персональных данных на диске и доступа третьих лиц, а оператор обязан обеспечивать и контролировать защиту (152-ФЗ, приказ №21) и отвечает за утечку. Правильный подход — терминальный доступ, при котором данные не покидают сервер, а лучше — корпоративные устройства; если без личного устройства не обойтись, применяют строгие ограничения, требования к устройству, 2FA, инструктаж и учёт доступа.

Частые вопросы

Достаточно ли VPN для работы с личного компьютера?

Нет. VPN защищает канал связи от перехвата, но не защищает сам компьютер и данные на нём. Если личный ПК заражён (вирус, кейлоггер) или данные оседают на его диске, VPN против этого бессилен — он лишь безопасно доставляет данные на небезопасное устройство.

Чем рискует оператор, если сотрудник работает с личного ПК?

Оператор обязан обеспечивать и контролировать безопасность ПДн (статья 19 152-ФЗ, приказ ФСТЭК №21), а на неконтролируемом личном устройстве это невозможно. Ответственность за утечку несёт оператор, даже если причиной стал заражённый личный компьютер сотрудника.

Как снизить риски при удалённой работе?

Надёжнее всего терминальный доступ (RDP/VDI), при котором данные не покидают сервер, а ещё лучше — корпоративные защищённые устройства. Если без личного устройства не обойтись — только терминальный режим без сохранения данных, требования к устройству (антивирус, обновления, шифрование диска), 2FA, инструктаж и учёт доступа.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Угрозы ИБ для малого бизнеса и как защититься без больших затрат

Характерные угрозы информационной безопасности для малого бизнеса: фишинг, вредоносное ПО во вложениях и человеческий фактор (низкая грамотность сотрудников). Как руководителю повысить защищённость своих ресурсов без серьёзных вложений — типовые организационные и технические меры, которые можно внедрить силами компании и бесплатными или встроенными инструментами.

Как организовать удалённую работу сотрудников: регламенты, инструкции и доступ к 1С

Как правильно организовать дистанционную работу сотрудников с точки зрения оформления и информационной безопасности: какие нужны регламенты и инструкции (положение о дистанционной работе, инструкция по удалённому доступу и ИБ), требования ТК РФ и 152-ФЗ. Кратко о технических решениях для удалённой работы с 1С на сервере организации — терминальный доступ, VPN, веб-клиент, облако.

Требования по ИБ в России и за рубежом: сравнение с GDPR (ЕС) и США

Чем требования по информационной безопасности и защите персональных данных в России отличаются от европейского GDPR и подхода США. Сравнительные таблицы по надзору, локализации данных, уведомлению об утечках и штрафам, разбор уникальности требований Роскомнадзора и ФСТЭК и того, где российский правовой режим строже, а где мягче.

Домашняя лаборатория для обучения информационной безопасности

Как собрать домашнюю лабораторию для безопасной и легальной практики по ИБ: зачем она нужна, какие требования к железу, из каких компонентов состоит (атакующая машина, уязвимые учебные цели, средства защиты и мониторинга), как изолировать лабораторию от домашней сети, что отрабатывать и какие бесплатные ресурсы использовать. Тренироваться можно только на своих системах — чужие тестировать нельзя.