Удалённая работа и BYOD в 2026 году: минимальный обязательный набор мер безопасности

Когда личный ноутбук становится главной дырой в корпоративной обороне

Почему 2026 год — переломный

Удалённая работа перестала быть чрезвычайной мерой. Она стала конкурентным преимуществом, инструментом найма и устойчивым способом организации труда. Одновременно с этим эпоха «мягких» последствий за безопасность закончилась: законодательство ужесточилось, штрафы выросли кратно, а атаки стали точнее и дороже.

Для большинства российских компаний именно 2026 год — момент, когда уже нельзя откладывать выстраивание системы безопасности для распределённых команд. Эта статья — практическое руководство: что именно должно быть сделано, почему это важно и как это соотносится с требованиями регуляторов.

Удалёнка в России: цифры, которые нельзя игнорировать

Рынок дистанционного труда в России вырос устойчиво, хотя и неравномерно. По данным Центра трудовых исследований ВШЭ, среди занятых в IT удалённо работает каждый восьмой-четвёртый сотрудник — максимальная доля составляет 26,9% в сфере информации и связи [6]. За 2025 год работодатели разместили более 900 тысяч вакансий с возможностью дистанционной работы — около 10% от общего рынка вакансий, который превысил 9,7 млн [3].

Важно понимать: дистанционные сотрудники в России — это прежде всего «белые воротнички» из крупных городов, специалисты в ИТ, финансах, медиа, консалтинге [6]. Именно они работают с конфиденциальными данными: клиентскими базами, финансовыми документами, персональными данными сотрудников. Именно их устройства становятся первой мишенью.

Параллельно растёт практика BYOD (Bring Your Own Device — «принеси своё устройство»). По мировым данным, 82% организаций используют BYOD-программы, а почти 90% сотрудников применяют личные телефоны или ноутбуки для рабочих задач [7]. В России этот тренд выражен даже острее: ТК РФ прямо предусматривает возможность использования личного оборудования дистанционным работником с согласия работодателя, с выплатой соответствующей компенсации [8].

Новый ландшафт угроз: что изменилось

Кибератаки обошлись российскому бизнесу в 1,5 трлн рублей только за восемь месяцев 2025 года [1]. В 2024 году Роскомнадзор зафиксировал 135 утечек баз данных, в результате которых было скомпрометировано свыше 710 млн записей о россиянах [9]. По данным аналитиков InfoWatch, только за 2024 год из российских компаний утекло 1,581 млрд записей персональных данных — рост более чем на 30% к 2023 году [10].

Глобальный контекст не менее тревожен. Отчёт Verizon Data Breach Investigations Report 2025 фиксирует, что участие третьих сторон в утечках за год удвоилось — с 15% до 30% [11]. Украденные учётные данные остаются ведущим вектором первичного проникновения. Отчёт IBM Cost of a Data Breach 2025 показывает: когда удалённая работа является фактором утечки, её стоимость в среднем на $131 тыс. выше, чем в случаях без дистанционного компонента [4].

Изменился и характер атак. В 2025 году 68% всех утечек связаны с человеческим фактором [12]. Фишинг стал ведущим вектором первичного доступа (16% утечек по данным IBM), обогнав украденные учётные данные [12]. Голосовой фишинг (вишинг) вырос на 442% за первые два полугодия 2024 года [12]. Сотрудник на личном устройстве дома — идеальная цель: он изолирован от корпоративного периметра, отвлечён, использует те же каналы для работы и личной жизни.

Правовая рамка: что требует российское законодательство

Трудовой кодекс: права и обязанности при BYOD

Статья 312.6 Трудового кодекса РФ устанавливает, что работодатель обязан обеспечить дистанционного работника необходимыми оборудованием, программно-техническими средствами, средствами защиты информации [8]. Если работник с согласия работодателя использует личное устройство, работодатель выплачивает компенсацию, а порядок и размеры компенсации фиксируются в трудовом договоре или локальном нормативном акте.

Это означает две принципиальные вещи. Во-первых, работодатель, разрешая сотруднику работать с личного устройства, принимает на себя ответственность за организацию защиты информации на этом устройстве — и де-факто, и де-юре. Во-вторых, компания вправе включить в трудовой договор обязанность сотрудника использовать рекомендованные работодателем средства защиты (ч. 8 ст. 312.2 ТК РФ), что создаёт законный механизм для обязательной установки MDM-агента или VPN-клиента на личный телефон сотрудника [8].

152-ФЗ и 420-ФЗ: штрафы, которые меняют экономику инцидентов

С 30 мая 2025 года вступил в силу Федеральный закон №420-ФЗ, кардинально изменивший размеры административных санкций за нарушения в сфере персональных данных [2]. До этого момента штрафы за утечку носили символический характер — максимум 700 тысяч рублей. Новые штрафы принципиально иные:

1. За утечку данных от 1 000 до 10 000 физлиц — от 3 до 5 млн рублей для организации [2].
2. За утечку данных от 10 000 до 100 000 физлиц — от 5 до 10 млн рублей [2].
3. За утечку данных более 100 000 физлиц — от 10 до 15 млн рублей [2].
4. За утечку биометрических данных — от 15 до 20 млн рублей [2].
5. За неуведомление Роскомнадзора о факте утечки в течение 24 часов — от 1 до 3 млн рублей для организаций [2].
6. При повторной утечке — оборотный штраф от 1 до 3% годовой выручки, но не менее 25 млн и не более 500 млн рублей [13].

Важен контекст: персональные данные обрабатывает практически любая организация — это данные сотрудников, клиентов, контрагентов. Когда удалённый сотрудник на личном ноутбуке открывает CRM с базой клиентов или скачивает выгрузку из 1С с данными сотрудников, он создаёт точку обработки ПДн вне корпоративного периметра. Если это устройство будет скомпрометировано — ответственность несёт работодатель как оператор персональных данных.

Кроме административной ответственности, с конца 2024 года действует уголовная ответственность за использование и передачу персональных данных с тяжкими последствиями — до пяти лет лишения свободы [14].

Приказ ФСТЭК №117: конец «бумажной безопасности»

С 1 марта 2026 года вступил в силу Приказ ФСТЭК России №117 от 11 апреля 2025 года. Он регулирует требования к защите информации в государственных информационных системах, однако де-факто задаёт стандарт для всего рынка [5]. Ключевое изменение — переход от модели «прошли аттестацию и забыли» к непрерывному контролю и регулярной отчётности перед регулятором.

Приказ вводит обязательную многофакторную аутентификацию при удалённом доступе, строгую аутентификацию при работе с мобильных устройств, PAM-системы для привилегированных учётных записей [15]. Кроме того, требования теперь распространяются на подрядчиков и ИТ-аутсорсеров, что напрямую затрагивает любую компанию, передающую данные на обработку третьим лицам [5].

Семь минимальных мер, которые должны быть у каждой компании

Ниже описаны меры, без которых в 2026 году нельзя говорить о сколько-нибудь приемлемом уровне безопасности при удалённой работе или использовании BYOD. Они применимы как к крупным компаниям, так и к небольшим командам.

1. Политика допустимого использования (AUP/BYOD-политика)

Первый и фундаментальный документ — это формализованная политика, регулирующая, какие устройства допускаются к корпоративным данным, какие приложения разрешены, что сотрудник обязан сделать при потере устройства, кто несёт ответственность за тот или иной класс инцидентов.

Без такой политики невозможно ни предъявить требования к сотруднику, ни провести расследование инцидента, ни пройти аудит регулятора. Политика должна включать:

1. Перечень поддерживаемых устройств и минимальные требования к ОС (версия, поддержка производителя).
2. Требования к парольной защите и автоблокировке экрана.
3. Обязанность использовать корпоративный VPN или ZTNA при доступе к внутренним ресурсам.
4. Перечень запрещённых действий: передача корпоративных файлов на личные облачные сервисы, использование несанкционированных мессенджеров для рабочей переписки, установка приложений из неверифицированных источников.
5. Порядок действий при потере или краже устройства (немедленное уведомление ИБ-службы).
6. Условия дистанционного удаления корпоративных данных с устройства (remote wipe).

Хорошая политика существует не только «в ящике стола», но пересматривается хотя бы раз в полгода и сопровождается реальным обучением сотрудников [16]. По данным Verizon DBIR, 68% утечек связаны с человеческим фактором [11] — то есть даже самая технически совершенная защита разбивается о необученного пользователя.

2. Многофакторная аутентификация (MFA) для всех точек доступа

MFA — единственная мера, которая существенно снижает риск от кражи или утечки пароля. По данным Microsoft, MFA блокирует более 99% автоматизированных атак по скомпрометированным учётным данным (данные не найдены в открытых российских источниках, однако эта цифра широко цитируется в международной профессиональной литературе — рекомендуем уточнять по актуальным отчётам Microsoft).

Применять MFA следует ко всем точкам входа: корпоративной почте, VPN, корпоративному порталу, CRM, ERP, облачным сервисам. Приказ ФСТЭК №117 напрямую обязывает использовать строгую двухстороннюю аутентификацию при удалённом доступе для привилегированных пользователей и при доступе с мобильных устройств [15].

Важный нюанс, который часто упускают: SMS-коды — наиболее слабый вид второго фактора, уязвимый к SIM-swapping и SS7-атакам. Предпочтительные варианты для корпоративной среды — TOTP-приложения (например, российские аналоги, прошедшие верификацию), аппаратные токены, смарт-карты или FIDO2-ключи. Эксперты в области ИБ особо отмечают: использование VPN само по себе не делает соединение безопасным без двухфакторной аутентификации [17].

3. Зашифрованный канал доступа: VPN или ZTNA

Любой доступ к корпоративным ресурсам из внешней сети должен идти через защищённый зашифрованный канал. Два основных подхода:

Корпоративный VPN — традиционный способ. Создаёт зашифрованный туннель между устройством сотрудника и корпоративной сетью. Ключевые требования: регулярное обновление VPN-клиента и серверной части, строгие политики допустимых подключений, логирование сессий. Эксперты «Кода Безопасности» описывают необходимый минимум при работе через VPN: цифровая гигиена на стороне клиента, наложенные средства защиты, контроль активности на удалённом устройстве, ролевой доступ [18].

ZTNA (Zero Trust Network Access) — более современный подход, основанный на принципе «никому не доверяй по умолчанию». В отличие от VPN, ZTNA не предоставляет доступ ко всей корпоративной сети — только к конкретным приложениям и ресурсам, необходимым пользователю для выполнения задач. После успешной аутентификации система анализирует контекст запроса: роль пользователя, состояние устройства, местоположение, время — и применяет политики доступа [19]. ZTNA значительно снижает «радиус взрыва» при компрометации одного устройства или аккаунта.

Для работы с КИИ или государственными информационными системами используемые средства защиты должны быть сертифицированы ФСТЭК или ФСБ и включены в реестр отечественного ПО [20].

4. Управление устройствами: MDM/MAM/UEM

Без инструментов управления устройствами компания работает вслепую: она не знает, какой ОС пользуется удалённый сотрудник, установлены ли обновления безопасности, не скомпрометировано ли устройство вредоносным ПО.

Три основных класса решений:

1. MDM (Mobile Device Management) — управление устройством целиком. Позволяет удалённо настраивать устройство, принудительно применять политики, получать данные о его состоянии, дистанционно блокировать или стирать данные. Максимальный контроль, но требует установки агента, что вызывает вопросы о приватности на личном устройстве.
2. MAM (Mobile Application Management) — управление только приложениями, без вмешательства в личную часть устройства. Оптимально для BYOD: корпоративные приложения разворачиваются в защищённом контейнере, а личные фото, переписка и приложения остаются вне досягаемости работодателя.
3. UEM (Unified Endpoint Management) — объединяет возможности MDM и MAM для всех типов устройств (смартфоны, ноутбуки, планшеты, IoT) в единой консоли [21].

Ключевые функции, которые должны быть активированы: проверка соответствия устройства требованиям при подключении (compliance check), блокировка доступа для неподходящих устройств (устаревшая ОС, отсутствие шифрования, наличие признаков jailbreak/root), дистанционное удаление корпоративных данных (remote selective wipe) при увольнении сотрудника или потере устройства.

5. Шифрование данных на устройствах

Шифрование — страховка на случай физической потери или кражи устройства. Если диск зашифрован, украденный ноутбук превращается в бесполезный «кирпич» для злоумышленника.

Требования минимального уровня для 2026 года:

1. Полнодисковое шифрование на всех устройствах, имеющих доступ к корпоративным данным (BitLocker для Windows, FileVault для macOS, аналогичные решения для Linux).
2. Шифрование данных в транзите: обязательное использование HTTPS/TLS для всех корпоративных веб-приложений и API [7].
3. Шифрование корпоративного контейнера на мобильных устройствах при использовании MAM-подхода.

Важно понимать: шифрование не защищает от вредоносного ПО или фишинга — оно защищает только от физического доступа к носителю. Поэтому шифрование является необходимой, но недостаточной мерой.

6. Разделение личного и рабочего контента (контейнеризация)

Один из принципиальных рисков BYOD — «перетекание» данных: сотрудник случайно или намеренно копирует рабочий файл в личное облако, пересылает клиентскую переписку через личный мессенджер, делает скриншот и отправляет его в Telegram. Контейнеризация — технический ответ на эту проблему.

Суть подхода: корпоративные приложения и данные изолируются в отдельном защищённом «контейнере» (workspace, secure enclave) на устройстве сотрудника. Данные внутри контейнера зашифрованы, доступ к буферу обмена ограничен, скриншоты корпоративных экранов блокируются, а при увольнении сотрудника контейнер удаляется без касания личных данных [7].

Такой подход решает одновременно два конфликта: для ИБ-службы он обеспечивает контроль над корпоративными данными, для сотрудника — гарантию приватности личной части устройства. Именно баланс между этими интересами является главным условием реального, а не номинального соблюдения BYOD-политики.

7. Регулярное обновление ПО и контроль уязвимостей

Устаревшее программное обеспечение — один из ведущих векторов атак. По данным Verizon DBIR 2025, эксплуатация уязвимостей для первичного доступа выросла на 34% по сравнению с предыдущим годом [11]. При этом почти половина уязвимостей периметральных устройств так и остаётся неустранённой [11].

Минимальный набор действий:

1. Установить требования к минимально допустимой версии ОС для доступа к корпоративным ресурсам (например, не старше двух лет с момента выхода, поддерживаемая производителем).
2. Включить автоматические обновления безопасности на всех корпоративных устройствах, а для BYOD — контролировать наличие последних обновлений через MDM-проверку при подключении.
3. Применять антивирусное ПО и/или EDR (Endpoint Detection and Response) на всех устройствах с корпоративным доступом [17].
4. Проводить регулярный аудит используемого ПО: как на корпоративных устройствах, так и в рамках MDM — на личных устройствах с рабочим профилем.

Для устройств, не прошедших проверку соответствия (compliance check), следует автоматически ограничивать доступ до устранения несоответствий.

Дополнительные меры для зрелых команд

Перечисленные выше семь мер составляют обязательный минимум. Компании с более высоким уровнем зрелости ИБ и большими рисками (финансовый сектор, ритейл с большой клиентской базой, операторы КИИ) должны двигаться дальше:

1. DLP (Data Loss Prevention) — системы предотвращения утечек данных. Отслеживают и блокируют передачу конфиденциальных данных через несанкционированные каналы: личную почту, USB-носители, облачные хранилища.
2. PAM (Privileged Access Management) — управление привилегированным доступом. Критично для ИТ-администраторов и других пользователей с расширенными правами, работающих удалённо. Приказ ФСТЭК №117 прямо обязывает внедрять PAM-системы для доступа к ГИС [15].
3. SIEM и SOC — централизованный мониторинг событий безопасности и реагирование на инциденты. Позволяет замечать аномалии: вход в нерабочее время, доступ с нетипичного географического местоположения, массовая выгрузка данных.
4. Сегментация сети — изоляция BYOD-устройств в отдельном VLAN, без прямого доступа к критическим внутренним системам.
5. Регулярные учения по фишингу и осведомлённости. По данным IBM, фишинг является ведущим вектором первичного доступа в 2025 году [12] — технические средства защиты всегда дополняются человеческим фактором.

Типичные ошибки и как их избежать

В практике российских компаний встречается несколько устойчивых паттернов неправильного подхода к безопасности при удалённой работе.

Ошибка первая: «У нас VPN — значит, мы защищены». VPN шифрует трафик, но не проверяет состояние самого устройства. Если на личном ноутбуке сотрудника установлен троян — VPN бесполезен: злоумышленник получает доступ уже внутри зашифрованного туннеля [17]. VPN — одна из мер, но не единственная.

Ошибка вторая: «Мы запретили BYOD в политике — значит, его нет». Запрет на бумаге без технических средств контроля не работает. Сотрудники всё равно пользуются личными устройствами для рабочих задач — особенно в небольших командах, где корпоративные ноутбуки не предоставляются. Реальность должна соответствовать политике, а не наоборот.

Ошибка третья: «Shadow IT» — несанкционированные инструменты. Когда сотрудники не находят в корпоративных инструментах удобного способа передать файл коллеге или согласовать документ, они используют личные Telegram, Dropbox, Google Drive. Данные уходят из-под контроля компании. Решение — обеспечивать удобные и одобренные альтернативы, а не просто запрещать.

Ошибка четвёртая: игнорирование сотрудников подрядчиков. По данным Verizon DBIR 2025, участие третьих сторон в утечках удвоилось [11]. Подрядчики, фрилансеры, аутсорсеры нередко имеют доступ к корпоративным системам с собственных устройств без каких-либо требований безопасности.

Ошибка пятая: отсутствие процедуры «деонбординга». Когда сотрудник увольняется, его доступ должен быть немедленно закрыт, а корпоративные данные — удалены с личного устройства. Половина компаний не имеют автоматизированных процедур для этого.

Ошибка шестая: забыть о личной Wi-Fi-сети сотрудника. Домашний роутер с дефолтным паролем, прошивкой 2019 года и открытым UPnP — это уязвимая точка входа, о которой компания знает меньше всего. Минимальная мера — рекомендации сотруднику (как часть onboarding-инструктажа) и требование использовать VPN даже в домашней сети [17].

Кейсы и примеры инцидентов

Российская практика 2024–2025 годов демонстрирует, что ни один сектор не застрахован. В январе 2025 года произошла утечка данных около 500 тысяч клиентов «АльфаСтрахование-Жизнь», предположительно через инфраструктуру подрядчика [9]. Ростелеком сообщил о возможной утечке данных, причиной которой стало использование инфраструктуры подрядчика, обслуживающего корпоративные веб-ресурсы [9].

Оба случая указывают на одну и ту же точку отказа: третья сторона с доступом к корпоративным системам. В контексте BYOD это прямая аналогия: личное устройство сотрудника — это точка, которую компания не контролирует напрямую, но которая имеет доступ к корпоративным данным.

Мировой опыт также показателен. Исследование SpyCloud (на основе данных Verizon DBIR 2025) установило, что 30% скомпрометированных систем в логах инфостилеров — это корпоративные устройства [11]. При этом 66% заражений вредоносным ПО происходят на устройствах, где установлены антивирус или EDR, — то есть наличие средств защиты само по себе не является гарантией безопасности [11].

Тренды 2026–2027: что будет дальше

Ряд тенденций уже формируют то, какой будет безопасность удалённой работы в ближайшие годы.

Первая тенденция — Zero Trust как стандарт, а не опция. Zero Trust из концепции превращается в операционную модель. Отечественные аналитики отмечают, что Zero Trust хорошо сочетается с российскими стандартами ИБ, но требует строгого соответствия нормативной базе при работе с КИИ, ПДн и госзаказами [20].

Вторая тенденция — переход от MDM к UEM. Рост числа типов конечных точек (смартфоны, планшеты, ноутбуки, умные часы, IoT-устройства) требует единой платформы управления. UEM заменяет разрозненные решения для каждого типа [21].

Третья тенденция — корпоративный eSIM для BYOD. Для смартфонов появляется возможность разделить личный и корпоративный трафик на уровне SIM-карты — с раздельным биллингом и контролем без слежки за личными переговорами [7].

Четвёртая тенденция — ИИ в обнаружении угроз. По данным, приводимым в российских отраслевых материалах, в 2025 году 76% атак применяют ИИ для обхода традиционных средств защиты [1]. В ответ ИБ-системы всё активнее используют поведенческую аналитику: система «знает» типичное поведение пользователя и автоматически выявляет аномалии — вход в нетипичное время, резкий рост скачиваемых данных, работа из нестандартной геолокации.

Пятая тенденция — ужесточение требований к подрядчикам. Закон №325-ФЗ от 31 июля 2025 года закрепил контроль за цепочкой поставок для субъектов КИИ [1], требования ФСТЭК №117 распространяются на договорных подрядчиков [5]. Это означает, что даже небольшой ИТ-аутсорсер теперь обязан соответствовать требованиям своих клиентов из числа субъектов КИИ — включая вопросы безопасности удалённого доступа.

Как навести порядок с персональными данными в BYOD-среде

Отдельную, нередко недооценённую проблему создаёт следующая ситуация: компания не знает, где именно в её ИТ-ландшафте находятся персональные данные. Это само по себе нарушение 152-ФЗ, поскольку оператор ПДн обязан знать, что обрабатывает, где и на каких основаниях.

В контексте удалённой работы и BYOD эта проблема многократно усугубляется. Когда десятки сотрудников подключаются к корпоративным системам с личных устройств, данные начинают «расплёскиваться»: осесть в локальных кешах браузера, в загрузках, в несинхронизированных копиях документов. Новые интеграции, новые подрядчики, новые сервисы — каждый из них потенциально становится точкой появления ПДн вне заявленного периметра обработки.

«Пятый фактор» эта платформа, которая решает именно эту проблему. Это on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах — базах данных, хранилищах, почте, AD/LDAP, CRM, 1С, API. Принципиальная особенность — система работает только с метаданными, структурой и агрегатами, не передавая и не сохраняя сами сырые значения ПДн. Это значит, что «Пятый фактор» сам по себе не создаёт дополнительной точки риска.

В результате компания получает живую «карту ПДн»: где и какие данные есть, кто их владелец, что изменилось с последней проверки. Система заблаговременно сигнализирует о новых рисках — новых полях в базах данных, новых источниках, новых интеграциях — пока они не превратились в инцидент. Аудит, который раньше занимал недели ручной работы, превращается в управляемый непрерывный процесс с понятными статусами и ответственными. В условиях, когда каждая утечка ПДн может обойтись компании в десятки миллионов рублей, такой контроль — не опция, а необходимость.

Заключение и чек-лист

Удалённая работа и BYOD в 2026 году — не временное явление и не исключение из правил. Это устойчивая реальность, требующая системного ответа. Законодательство сформировало жёсткую финансовую ответственность. Регулятор перешёл к модели непрерывного контроля. Угрозы выросли и усложнились.

Хорошая новость: большинство компаний могут существенно снизить риски, последовательно реализовав семь базовых мер. Это не требует многомиллионных бюджетов — требует системности и воли.

Минимальный чек-лист для руководителя и ИБ-специалиста:

1. Принята и актуализирована BYOD-политика (AUP), с которой знакомы все сотрудники.
2. Многофакторная аутентификация включена для всех корпоративных сервисов и точек удалённого доступа.
3. Весь удалённый доступ к корпоративным ресурсам осуществляется только через VPN или ZTNA.
4. Развёрнуто MDM/MAM-решение; личные устройства проходят проверку соответствия перед подключением.
5. На всех устройствах с корпоративным доступом включено полнодисковое шифрование.
6. Корпоративные данные изолированы от личного контента на устройстве (контейнеризация или раздельный профиль).
7. Обновления ОС и критические патчи устанавливаются в течение установленного срока (например, 72 часа для критических уязвимостей).
8. Есть процедура немедленного отзыва доступа и удалённого удаления данных при увольнении или потере устройства.
9. Проводится регулярное обучение сотрудников основам кибергигиены и распознаванию фишинга.
10. Ведётся актуальная «карта» мест хранения и обработки персональных данных, включая удалённые точки доступа.

Безопасность удалённой работы — не разовый проект, а непрерывный процесс. Именно так теперь смотрит на неё и российский регулятор.

Источники

[1] Информационная безопасность для бизнеса в 2026: угрозы и защита — https://passwork.ru/blog/small-business-infosec/

[2] Персональные данные: новые штрафы с 30 мая 2025 года — КонсультантПлюс — https://www.consultant.ru/legalnews/28492/

[3] Удалённая работа в России в 2025 году: статистика — Коммерсантъ — https://www.kommersant.ru/doc/8295770

[4] Data Breach Statistics — Varonis — https://www.varonis.com/blog/data-breach-statistics

[5] ФСТЭК №117: изменения в защите информации с 1 марта 2026 — BearPass — https://bearpass.ru/blog/fstec-117-nepreryvnyy-kontrol-ib-2026

[6] Удалёнка в России остаётся редкой, но приносит больше денег — МК — https://www.mk.ru/economics/2025/11/15/udalyonka-v-rossii-ostayotsya-redkoy-no-prinosit-bolshe-deneg.html

[7] BYOD in 2026: Benefits, Risks & Best Practices — Spenza — https://spenza.com/byod/byod-in-2025-benefits-risks-and-best-practices/

[8] ТК РФ, ст. 312.6. Особенности организации труда дистанционных работников — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_34683/c4d2fdfd8d3dcffc305bdc93b7d5fa48583f21b7/

[9] Утечки данных в России — TAdviser — https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России

[10] Количество слитых персональных данных в 2024 году выросло на треть — InfoWatch — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[11] Breaking Down the 2025 Verizon Data Breach Investigations Report — SpyCloud — https://spycloud.com/blog/verizon-2025-data-breach-report-insights/

[12] 110+ of the Latest Data Breach Statistics to Know for 2026 — Secureframe — https://secureframe.com/blog/data-breach-statistics

[13] С 30 мая 2025 года значительно ужесточена ответственность — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_490308/3b904c06ca00c18b687ec94295a0a967ddc5cce7/

[14] С 30 мая возрастут штрафы за утечку персональных данных — ГАРАНТ.РУ — https://www.garant.ru/news/1816746/

[15] MFA как основа Zero Trust — ФСТЭК №117 — CISOclub — https://cisoclub.ru/mfa-kak-osnova-zero-trust-zashhita-dostupa-i-kljuchej-v-realnyh-processah/

[16] Smarter BYOD policy — Boost security in 2026 — TrustCloud — https://www.trustcloud.ai/grc/empower-remote-teams-update-your-byod-policy/

[17] Удалённый доступ в 2025: новые требования ФСТЭК, Zero Trust — Anti-Malware — https://www.anti-malware.ru/analytics/Technology_Analysis/Remote-Access-in-2025-AM-Live

[18] Роскомнадзор порекомендовал ограничить работу с VPN — ComNews — https://www.comnews.ru/content/238773/2025-04-14/2025-w16/1007/roskomnadzor-porekomendoval-rossiyskim-kompaniyam-ogranichit-rabotu-vpn

[19] Zero Trust и как он внедряется в России — Инфратех — https://blog.infra-tech.ru/zero-trust-vnedrenie-rossiya/

[20] Информационная безопасность: основы защиты данных — Cloud.ru — https://cloud.ru/blog/informatsionnaya-bezopasnost

[21] BYOD management: How to protect company data on personal devices — ConnectWise — https://www.connectwise.com/blog/byod-management