Как межсетевой экран ИКС ФСТЭК обеспечивает выполнение требований приказа 117
С 1 марта 2026 года вступил в силу Приказ ФСТЭК России №117. Этот документ знаменует собой переход от статической, «бумажной» модели обеспечения информационной безопасности к процессному непрерывному подходу. Защита перестает быть разовым мероприятием, приуроченным к аттестации. Она становится постоянным процессом: непрерывное управление уязвимостями, регулярный мониторинг событий, оперативное реагирование на инциденты и плановое восстановление функций после сбоев.
Новый приказ — это не свод абстрактных требований «для галочки». Это архитектурная схема, где каждый пункт диктует конкретный сценарий противодействия атакам.
Одним из ключевых условий, напрямую влияющих на выбор средств защиты, становится жесткая привязка класса СЗИ к классу защищенности информационной системы. Разберём это требование детально.
Какой класс защищённости информационных систем нужен именно вам
Приказ №117 сохраняет трехуровневую классификацию информационных систем — К1, К2, К3 — в зависимости от уровня значимости информации и масштаба системы. Однако п. 71–72 вводят принципиальное уточнение: класс используемых средств защиты информации (СЗИ) теперь обязан строго соответствовать классу защищенности самой информационной системы.
| Класс защищенности ИС | Минимальный класс защиты и уровень доверия к СЗИ |
|---|---|
| 1 класс (К1) | не ниже 4 уровня |
| 2 класс (К2) | не ниже 5 уровня |
| 3 класс (К3) | 6 уровень |
Иными словами, если ваша система аттестована как К1 (наивысший уровень значимости), то и межсетевой экран, должен иметь сертификат ФСТЭК соответствующего класса защиты или выше. Это исключает практику использования «облегченных» решений в критически значимых контурах.
Этим требованиям в полной мере соответствует межсетевой экран ИКС ФСТЭК. Решение имеет сертификат ФСТЭК России №4832 от 02.08.2024, подтверждающий:
— Межсетевой экран типа «А» и «Б» — 4 класса защищенности;
— Систему обнаружения вторжений (СОВ) — уровня сети 4 класса.
Это позволяет применять ИКС ФСТЭК в системах
- ГИС — до 1 класса защищенности включительно;
- ИСПДн — до 1 уровня защищенности включительно;
- КИИ — 1 категория;
- АСУ ТП — до 1 класса защищенности включительно;
- ИСОП — 2 класса;
- Системы классов К1, К2, К3 — все три класса.
Кроме того, Интернет Контроль Сервер включен в Единый реестр отечественного ПО (запись №322) — важное условие для средств защиты, используемых в государственных информационных системах.
Базовые меры пункта 63: какие функции закрывает ИКС ФСТЭК
Приказ №117 заметно расширил состав базовых мер по сравнению с предыдущими документами. Появились требования к обнаружению вторжений, контент-фильтрации, защите беспроводных сегментов — то, что раньше часто оставляли «на потом». В таблице ниже показано, какие конкретные функции ИСК ФСТЭК помогают закрыть требования п.63.
| № п. | Требования | Механизм реализации в ИКС ФСТЭК |
|---|---|---|
| п. 63а | Идентификация и аутентификация | Авторизация по IP- и MAC-адресу. Авторизация Captive Portal. Возможность синхронизации и авторизации пользователей через LDAP. Поддержка Active Directory, FreeIPA (ALD Pro), Samba DC. |
| п. 63б | Управление доступом | Межсетевой экран (Firewall) — фильтрация трафика на основе IP-адресов, портов, протоколов, MAC-адресов. Контроль приложений (Application Firewall) — разрешение/блокировка доступа к конкретным приложениям и сервисам. |
| п. 63в | Регистрация событий безопасности | IDS/IPS — ведение журналирования инцидентов информационной безопасности. Система логирования — регистрация попыток доступа, подключения пользователей, изменения правил, административные действия. Формирование отчетов по требованиям. Соединение с SIEM по протоколу syslog. |
| п. 63м | Защита точек беспроводного доступа | Межсетевой экран (Firewall) — изоляция Wi-Fi-сегмента от корпоративной сети. |
| п. 63о | Обнаружение и предотвращение вторжений на сетевом уровне | IDS/IPS — блокирует попытки несанкционированного доступа, эксплойты, ботнеты, DoS-атаки, вирусную активность в сети, spyware, TOR, анонимайзеры, телеметрию Windows и скомпрометированные IP-адреса. |
| п. 63п | Сегментация и межсетевое экранирование | Межсетевой экран — защищает сеть организации от различных внешних угроз; контролирует движение трафика на уровне IP-адресов и портов; позволяет настроить запрещающие и разрешающие правила, указать приоритеты. |
| п. 63р | Защита от компьютерных атак, направленных на отказ в обслуживании | IDS/IPS — защита от DoS-атак. МЭ — ограничивает количество подключений к ИКС. Fail2ban — защищает от брутфорс-атак (защита от перебора паролей и многократного подключения). |
Две обязательные функции, которые часто забывают
Помимо базовых мер, приказ выделяет два важных направления, которые часто требуют отдельного внимания при проектировании защиты.
Контент-фильтрация (п. 40, 59)
Эти пункты предъявляют требования к фильтрации информации, передаваемой по сетям связи, в том числе к блокировке доступа к ресурсам, включенным в единый реестр запрещенной информации. Контент-фильтр ИКС — отвечает за блокировку нежелательной информации по словам и выражениям. Обновление списков Минюста, Госнаркоконтроля и списков слов для школ. Максимально быстрое реагирование на возникающие угрозы. А межсетевой экран обеспечивает контроль трафика, возможность блокировки по геолокации.
Мониторинг безопасности и сбор событий (п. 49)
Этот пункт вводит обязательный мониторинг событий информационной безопасности с их последующей обработкой и анализом. Цель — выявление признаков реализации угроз и нарушений внутренних стандартов защиты. В рамках МЭ ИКС ФСТЭК это требование закрывается через централизованное логирование всех событий (попытки доступа, подключения пользователей, изменения правил, административные действия), ведение журналов и возможностью интеграции с внешними SIEM-системами по протоколу syslog для последующего анализа.
Архитектурные механизмы: как МЭ ИКС ФСТЭК обеспечивает надежность, восстановление и управляемость
Приказ №117 предъявляет требования не только к функциональности средств защиты, но и к их надежности, возможности восстановления после сбоев и централизованному управлению в распределенной инфраструктуре. Межсетевой экран ИКС ФСТЭК включает три ключевых архитектурных механизма, которые закрывают эти аспекты.
Кластеризация
В ИКС ФСТЭК поддерживается отказоустойчивый кластер, работающий в режиме active/standby. При выходе активного узла из строя его функции автоматически перехватываются резервным. Это обеспечивает высокую доступность системы защиты и соответствует требованиям п. 55 к восстановлению значимых функций.
Резервное копирование
Зачем это нужно? Чтобы после атаки вы могли вернуться к работе, а не пересобирать всё с нуля. В МЭ ИКС ФСТЭК доступно ручное и автоматическое резервное копирование. Регулярное создание копий и тестирование восстановления гарантируют работоспособность системы даже при компрометации.
Агрегация каналов
Функция агрегации в МЭ ИКС ФСТЭК позволяет объединить несколько физических каналов в один логический. Такое объединение увеличивает пропускную способность и отказоустойчивость сетевых подключений, снижая риск недоступности информационной системы.
Кто попадает под действие Приказа №117
Одно из ключевых изменений Приказа №117 — расширение круга организаций, на которые он распространяется.
Раньше документ регулировал в первую очередь государственные информационные системы. Теперь под его действие попадают:
- Государственные информационные системы (ГИС) всех уровней;
- Иные информационные системы госорганов, ГУПов, государственных и муниципальных учреждений (включая бухгалтерские, кадровые, документооборотные системы);
- Подрядные организации, имеющие доступ к таким системам.
Простыми словами: если ваша организация получает бюджетные средства, оказывает государственные услуги или работает по контракту с госорганами — требования приказа касаются и вас.
Конкретные типы учреждений:
- Школы, колледжи, вузы (эксплуатация ГИС в сфере образования)
- Больницы, поликлиники (эксплуатация ГИС в здравоохранении)
- Муниципальные администрации и их ГУПы
- Центры обработки данных, обслуживающие госзаказчиков
- Любые подрядчики, подключающиеся к ГИС или ИСПДн госорганов
- Подрядные организации, имеющие доступ к ГИС или ИСПДн госорганов:
- IT-разработчики (создают или дорабатывают ПО для госорганов)
- Интеграторы (настраивают подключения и СЗИ)
- Специалисты по сопровождению и техподдержке
Более детальное рассмотрение нововведений Приказа №117, а также разбор других ключевых пунктов вы можете найти в нашей отдельной статье.
Варианты внедрения межсетевого экрана ИКС ФСТЭК
Решение доступно в двух формах поставки — в зависимости от того, где и как вы планируете его использовать:
- Программное решение — возможна интеграция в существующую инфраструктуру — без её кардинальной перестройки. Подходит только для МЭ типа «Б»
- Программно-аппаратный комплекс (ПАК) — готовое сертифицированное устройство, которое поставляется вместе с предустановленным ПО.
Доступны две модели программно-аппаратных комплексов. Все они включены в Единый реестр отечественного ПО и имеют действующий сертификат ФСТЭК.
| Аппаратная платформа RF50 | Аппаратная платформа RF700 |
|---|---|
|
|
Межсетевой экран ИКС ФСТЭК обеспечивает выполнение требований Приказа №117:
- сертифицирован ФСТЭК (МЭ типа «А» и «Б» 4 класса, СОВ 4 класса);
- подходит для К1, К2, К3, ГИС, ИСПДн, КИИ, АСУ ТП, ИСОП
- закрывает ключевые требования;
Тестирование
Вы можете бесплатно протестировать ИКС в вашей корпоративной сети. Почему стоит это сделать?
- Быстрая установка ИКС: до 15 минут
- Приоритетная поддержка с первого дня тестирования
- Сохранение настроек при переходе на полную версию
Как протестировать?
- Установите ИКС на сервер или виртуальную машину
- Подключите ИКС к корпоративной сети и интернету
- Выполните настройку
- Начните тестирование
Заполните форму, чтобы получить дистрибутивы.
Действует специальное предложение: бесплатное тестирование межсетевого экрана ИКС ФСТЭК на аппаратной платформе в вашей сети. Если межсетевой экран вам не подойдет — вы просто вернете его нам. Подробности уточняйте у менеджеров:
