Как выбрать межсетевой экран для ИСПДн 3 и 4 уровня защищенности

При построении системы защиты персональных данных операторы чаще всего устанавливают 3-й и 4-й уровни защищенности. Одно из обязательных технических требований — внедрение сертифицированного межсетевого экрана (МЭ, файрвола). Разбираемся, какие именно характеристики должны быть у такого экрана и почему для этих уровней достаточно решений с запасом по классу защиты.

Требования к межсетевым экранам для персональных данных

Согласно ст. 19 Федерального закона №152-ФЗ «О персональных данных», оператор обязан применять технические средства защиты. Постановление Правительства РФ №1119 (п. 13) уточняет: если средство необходимо для нейтрализации актуальных угроз, оно должно пройти сертификацию. Перечень актуальных угроз оператор определяет самостоятельно или с привлечением лицензиата ФСТЭК России.

Приказ ФСТЭК №21 от 18.02.2013 (п. 13 Состава и содержания организационных и технических мер) прямо указывает: для защиты ИСПДн 3-го и 4-го уровней защищенности обязателен сертифицированный межсетевой экран.

Задачи межсетевого экрана для 3 и 4 уровня ИСПДн

Внедряемый файрвол должен решать следующие задачи:

• Контроль доступа и фильтрация соединений к серверам ИСПДн;
• Контроль межсетевого доступа к автоматизированным рабочим местам, где обрабатываются персональные данные;
• Управление доступом в интернет;
• Разграничение доступа к сетевым ресурсам: веб-серверам, базам данных, приложениям.

Класс защиты межсетевого экрана: требования ИТ.МЭ.Б6.ПЗ

Методический документ ФСТЭК ИТ.МЭ.Б6.ПЗ определяет, что для 3-го и 4-го уровней защищенности необходимы межсетевые экраны типа «Б» не ниже 6-го класса защиты (требования усиливаются от 6-го класса к 1-му). Такой МЭ обязан обеспечивать:

• Фильтрацию трафика по IP-адресам, протоколам и портам;
• Фильтрацию всех операций, проходящих через экран;
• Явное разрешение или запрет потоков согласно правилам администратора;
• Блокировку всех соединений при некорректной работе самого МЭ;
• Идентификацию и аутентификацию администратора до начала любых действий;
• Ролевую модель управления;
• Переход в режим аварийной поддержки для восстановления штатного функционирования.

Новые требования для государственных информационных систем

С 1 марта 2026 года при обработке персональных данных в составе государственных информационных систем (ГИС) дополнительно вступает в силу приказ ФСТЭК России №117 от 11.04.2025. Он устанавливает повышенные требования к МЭ, включая многофункциональные экраны уровня сети 6-го класса защиты с расширенной фильтрацией. Если ваша система относится к ГИС, применяются одновременно постановление №1119 и приказ №117.

Готовое сертифицированное решение: межсетевой экран ИКС ФСТЭК

Всем перечисленным критериям полностью соответствует межсетевой экран ИКС ФСТЭК. Продукт имеет действующий сертификат ФСТЭК России №4832 от 02.08.2024, подтверждающий соответствие требованиям к МЭ типа «А» и «Б» четвертого класса защиты. Это с запасом перекрывает минимально необходимый 6-й класс для ИСПДн 3-го и 4-го уровней.

Ключевые возможности ИКС ФСТЭК:

• Фильтрация трафика по IP-адресам, портам и протоколам;
• Встроенная система предотвращения вторжений (IDS/IPS);
• Контроль приложений и контентная фильтрация;
• Авторизация пользователей;
• Кластеризация для отказоустойчивости;
• Регистрация событий безопасности с возможностью интеграции с SIEM-системами.

Такой файрвол не только формально закрывает требования регуляторов, но и реально противостоит актуальным атакам, обеспечивая барьер между внутренней сетью и интернетом.