Приказ ФСТЭК России № 117: Как Ideco NGFW помогает выполнить новые требования к защите ГИС
Практическое руководство для специалистов по информационной безопасности в государственных структурах
Приказ № 117 заменяет действовавший более десяти лет Приказ ФСТЭК России от 11.02.2013 № 17 и вносит принципиальные изменения в подход к обеспечению информационной безопасности (ИБ)
В этой статье мы проанализируем ключевые нововведения приказа, разберём, какие конкретные задачи он ставит перед организациями, и покажем, как межсетевой экран нового поколения Ideco NGFW помогает выполнить эти требования.
Главное структурное изменение — Приказ № 117 распространяется не только на классические ГИС, но и на любые информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений и муниципальных структур. Это означает, что системы электронного документооборота, кадровые и бухгалтерские системы, внутренние порталы — все они попадают под регулирование.
Кроме того, требования распространяются на организации, взаимодействующие с ГИС — подрядчиков, поставщиков услуг и партнеров, получающих доступ к данным из защищенных систем.
Переход к процессному подходу
Приказ № 117 вводит принципиально новую парадигму: непрерывное управление защитой информации по циклу PDCA (Plan — Do — Check — Act), аналогично международным стандартам ISO/IEC 27 001. Защита информации перестает быть разовым мероприятием по принципу «аттестовали и забыли» — теперь это постоянный процесс.
Пункт 28 приказа прямо определяет четыре составляющие управления:
- Разработка и планирование мероприятий и мер по защите информации;
- Проведение мероприятий и принятие мер по защите информации;
- Оценка состояния защиты информации;
- Совершенствование мероприятий и мер по защите информации.
Отказ от фиксированной таблицы мер
В отличие от Приказа № 17 с его жесткой привязкой мер к классам защищенности, новый документ не содержит итоговой таблицы мер защиты. Вместо этого организации должны самостоятельно формировать набор мер, исходя из модели угроз, архитектуры систем и уровня зрелости процессов ИБ (п. 62).
Впервые в российском регулировании вводятся конкретные временные рамки для реагирования (п. 38):
Уровень опасности уязвимости | Срок устранения |
Критический | Не более 24 часов |
Высокий | Не более 7 календарных дней |
Средний и низкий | Определяется оператором во внутреннем регламенте |
Обязательная отчетность и показатели зрелости
Приказ вводит два количественных показателя оценки защищенности:
- Показатель защищенности (Кзи) — характеризует текущее состояние защиты; рассчитывается не реже 1 раза в 6 месяцев;
- Показатель уровня зрелости (Пзи) — определяет достаточность и эффективность мероприятий; рассчитывается не реже 1 раза в 2 года.
Результаты оценки направляются в ФСТЭК России в срок не позднее 5 рабочих дней (п. 32).
Новые направления защиты
Приказ № 117 впервые включает требования по защите:
- облачных вычислений и виртуализации (п. 63г);
- контейнерных сред и оркестрации (п. 63д);
- сервисов электронной почты (п. 63е);
- веб-технологий (п. 63ж);
- программных интерфейсов взаимодействия приложений — API (п. 63з);
- технологий интернета вещей (п. 63л);
- искусственного интеллекта (п. 61).
№ | Базовая мера защиты | Пункт приказа |
а) | Идентификация и аутентификация | п. 63а |
б) | Управление доступом | п. 63б |
в) | Регистрация событий безопасности | п. 63в |
г) | Защита виртуализации и облачных вычислений | п. 63г |
д) | Защита контейнерных сред и оркестрации | п. 63д |
е) | Защита сервисов электронной почты | п. 63е |
ж) | Защита веб-технологий | п. 63ж |
з) | Защита программных интерфейсов (API) | п. 63з |
и) | Защита конечных устройств | п. 63и |
к) | Защита мобильных устройств | п. 63к |
л) | Защита технологий интернета вещей | п. 63л |
м) | Защита точек беспроводного доступа | п. 63 м |
н) | Антивирусная защита | п. 63н |
о) | Обнаружение и предотвращение вторжений | п. 63о |
п) | Сегментация и межсетевое экранирование | п. 63п |
р) | Защита от DDoS-атак | п. 63р |
с) | Защита каналов передачи данных | п. 63с |
Именно на уровне реализации этих мер межсетевой экран нового поколения играет ключевую роль. Рассмотрим, как Ideco NGFW закрывает каждое из применимых направлений.
№ 117
Это позволяет применять Ideco NGFW для защиты:
- ГИС до 1-го класса защищенности включительно;
- ИСПДн до 1-го уровня защищенности включительно;
- Значимых объектов КИИ в соответствии с 187-ФЗ;
- АСУ ТП до 1-го класса включительно.
В таблице ниже показано, какие конкретные модули и функции Ideco NGFW реализуют требования приказа № 117.
Требование приказа № 117 | Модуль Ideco NGFW | Что обеспечивает |
Сегментация и межсетевое экранирование (п. 63п) | Zone-Based Firewall, L2-мост | Гранулярная сегментация сети по зонам; изоляция сегментов ГИС от общедоступных сетей; контроль трафика между сегментами |
Обнаружение и предотвращение вторжений (п. 63о) | IPS/IDS с обновляемыми базами, включая базу НКЦКИ | Защита от атак, DoS, шпионского ПО, ботнетов, криптомайнеров; блокировка по GeoIP и IP-репутации; обнаружение вирусной активности |
Защита каналов передачи данных (п. 63с, п. 46) | VPN (IKEv2/IPSec, SSTP), ZTNA | Шифрование каналов для удаленного доступа и Site-to-Site; строгая аутентификация; проверка профилей устройств (HIP); ZTNA-контроль |
Управление доступом и аутентификация (п. 63а, б) | Интеграция с AD/LDAP/ALD/FreeIPA, авторизация по IP/MAC | Идентификация пользователей через каталоги; привязка политик к группам; контроль доступа на основе Zero Trust |
Регистрация событий безопасности (п. 63 В, п. 49) | Журналирование, интеграция с SIEM, Ideco Center | Централизованный сбор событий; аудит с детализацией; передача данных в SIEM |
Антивирусная защита (п. 63н) | Потоковый антивирус (появится в ближайшей сертифицированной версии) | Проверка веб- и почтового трафика; блокировка вредоносного ПО на сетевом периметре до попадания в локальную сеть |
Защита веб-технологий (п. 63ж) | WAF (Web Application Firewall, появится в одном из ближайших обновлений ФСТЭК-версии), SSL-инспекция | Публикация внутренних ресурсов с защитой от веб-атак; профили WAF для каждого сервиса; защита от DoS |
Контентная фильтрация и контроль доступа в интернет (п. 40, п. 59) | Контент-фильтр (67+ категорий), блокировка анонимайзеров, GeoIP | Блокировка фишинга, вредоносных сайтов, анонимайзеров; предотвращение утечек через веб-каналы; разграничение по группам |
Защита точек беспроводного доступа (п. 63 м, п. 47) | Зональная политика, сегментация WiFi | Изоляция беспроводных сетей от корпоративных сегментов; контроль подключений к точкам доступа через Zone-Based Firewall |
Взаимодействие с ГосСОПКА (п. 34х) | Интеграция с SIEM, экспорт событий | Передача данных о событиях безопасности в SIEM для дальнейшей отправки в ГосСОПКА; журналирование инцидентов |
Класс защищенности | Максимальное время восстановления |
К1 (высший) | Не более 24 часов |
К2 | Не более 7 календарных дней |
К3 | Не более 4 недель |
Ideco NGFW обеспечивает выполнение этих требований:
- Кластеризация (HA) — автоматическое переключение на резервный узел при отказе основного, что критично для систем класса К1;
- Резервное копирование конфигураций — возможность быстрого восстановления настроек после инцидента (в том числе без перезагрузки межсетевого экрана, «мгновенное восстановление» конфигурации);
- Централизованное управление (Ideco Center) — единая точка контроля для распределенной инфраструктуры, ускоряющая восстановление;
- LACP (агрегирование каналов) — повышение пропускной способности и отказоустойчивости сетевых подключений.
Ideco NGFW полностью соответствует этим требованиям:
Параметр | Ideco NGFW |
Сертификат ФСТЭК | № 4503 от 28.12.2021 |
Уровень доверия | 4-й уровень |
Сертификат ФСТЭК (классы) | МЭ А4, Б4; СОВ С4; УД4 |
Реестр отечественного ПО | Включен в реестр Минцифры России |
Применимость по классам ИС | ГИС до К1, ИСПДн до 1 уровня, АСУ ТП до К1, значимые объекты КИИ |
Согласно пункту 72 приказа, для защиты ИС 1 класса требуются средства не ниже 4-го уровня доверия — Ideco NGFW полностью соответствует этому требованию.
Линейка решений Ideco NGFW ФСТЭК включает аппаратно-программные комплексы для организаций любого масштаба:
- Ideco SX+ ФСТЭК — филиалы, малые офисы, торговые точки;
- Ideco MX2 ФСТЭК — средние офисы, филиалы, учебные заведения;
- Ideco LX / LX+ ФСТЭК — узлы агрегации, дата-центры, госструктуры, готовность к КИИ;
- Ideco EX ФСТЭК — флагманское решение для крупных холдингов, телеком, банковских сетей.
- Провести инвентаризацию всех ИС, обрабатывающих информацию ограниченного доступа, включая муниципальные системы и системы подрядчиков;
- Обновить модель угроз с учетом новых направлений защиты (облачные технологии, контейнеры, ИИ, API);
- Разработать политику защиты информации и внутренние стандарты/регламенты в соответствии с п. 14 приказа;
- Внедрить сертифицированные средства защиты: межсетевой экран Ideco для реализации базовых мер сегментации, межсетевого экранирования, IPS и контентной фильтрации;
- Настроить процесс управления уязвимостями с соблюдением сроков 24 часа/7 дней;
- Обеспечить мониторинг ИБ и интеграцию с SIEM/ГосСОПКА для выполнения требований отчетности;
- Пересмотреть договоры с подрядчиками — включить требования по ИБ, определить порядок доступа и ответственность;
- Подготовить кадровое обеспечение: не менее 30% специалистов подразделения ИБ должны иметь профильное образование или переподготовку.
Ideco NGFW закрывает значительную часть технических требований приказа — от сегментации и межсетевого экранирования до обнаружения вторжений и контентной фильтрации. Сертификация ФСТЭК, включение в реестр отечественного ПО, линейка решений для любого масштаба инфраструктуры и поддержка архитектуры Zero Trust делают его оптимальным выбором для государственных организаций, приводящих свои системы в соответствие с новыми требованиями.
Команда Ideco готова помочь в проектировании архитектуры защиты, подборе решений и подготовке к аттестации информационных систем.
