ФСТЭК России 10 марта 2026 года опубликовала детальные рекомендации по защите сетевого периметра информационных (автоматизированных) систем. Документ является фактическим чек-листом для организаций, эксплуатирующих информационные системы классов защищенности К1-К3, государственные информационные системы (ГИС), а также ИСПДн органов власти.

В этой статье покажем, как реализовать требования ФСТЭК к защите периметра в гос-сегменте на базе сертифицированного ФСТЭК межсетевого экрана Ideco NGFW.

Новые рекомендации ФСТЭК разработаны по итогам анализа реальных успешных кибератак и представляют собой переход от общих требований к жесткой, детализированной технической политике. Документ описывает единый подход к построению периметровой защиты для государственных ИС, ГИС и систем с персональными данными.

Документ охватывает восемь ключевых блоков защиты периметра:

• Безопасное администрирование и управление конфигурациями пограничных устройств
• Защита от DDoS-атак и фильтрация неразрешенного трафика
• Сегментирование сети, организация VLAN, DMZ и ZTNA-модели
• Резервное копирование конфигураций
• Управление уязвимостями и обновлениями безопасности
• Аутентификация и управление доступом (включая MFA и NAC)
• Регистрация событий ИБ, интеграция с SIEM и анализ инцидентов
• Учения по реагированию на инциденты

Сертифицированный ФСТЭК Ideco NGFW позволяет реализовать все эти требования в единой точке, что особенно важно для сложных, многоуровневых сетей органов государственной власти.

ФСТЭК требует администрировать пограничные устройства с изолированных автоматизированных рабочих мест без доступа в Интернет, не публиковать SSH, RDP, VNC и веб-интерфейсы управления на периметр и в DMZ, использовать сложные пароли или сертификаты и разграничивать роли администраторов.

Изоляция административного доступа

Ideco NGFW позволяет реализовать эти требования следующим образом:

Административный VLAN. Доступ к веб-интерфейсу и SSH задается обычными правилами INPUT в межсетевом экране, поэтому админ-доступ легко ограничить только выделенной админ-подсетью, полностью закрыв управление Ideco NGFW с внешних и DMZ-интерфейсов.

Ролевое разграничение администраторов для госорганов

В рекомендациях отдельно указано требование минимизации привилегий и разделения ролей «администратор безопасности», «администратор сети», «оператор».

Ideco NGFW поддерживает предопределенные роли администраторов и управление ими, что позволяет жестко разделить доступ к политике безопасности, сетевым настройкам и отчетам.

Это позволяет описать матрицу ролей в локальных нормативных документах ИБ для ИС К1-К3 и ГИС, а также формально подтвердить выполнение требований ФСТЭК при проверках.

Рекомендации ФСТЭК прямо требуют сегментации сети с использованием VLAN, выделения DMZ для внешних взаимодействий, запрета прямого доступа из DMZ к внутренним сегментам, кроме строго регламентированных взаимодействий, а также настройки доступа по модели нулевого доверия (ZTNA).

Практическая реализация сегментации

В типовой сети органа власти обычно есть пользовательские подсети (АРМ сотрудников), серверный сегмент (базовые сервисы, прикладные системы ИС), DMZ с внешними веб-порталами, шлюзами интеграции, почтовыми и прикладными сервисами, а также отдельный административный сегмент.

С помощью Ideco NGFW это реализуется следующим образом:

Поддержка нескольких интерфейсов и VLAN позволяет разделить пользовательские, серверные, DMZ- и админ-подсети и жестко разграничить трафик между ними через правила FORWARD.

Типовые схемы DMZ в документации Ideco показывают, как правильно разнести IP-адреса, настроить SNAT/DNAT и обеспечить отсутствие несанкционированных маршрутов из DMZ во внутренние сегменты.

Модель нулевого доверия (ZTNA) на базе Ideco NGFW

ФСТЭК рекомендует настраивать доступ к сети по модели нулевого доверия, когда принадлежность к внутренней сети не дает автоматического доступа к ресурсам.

Ideco NGFW реализует ZTNA-подход за счет:

• VPN-доступа (IKEv2/IPsec, L2TP/IPsec, SSTP), через которые пользователи попадают только в нужные сегменты
• Привязки аутентификации к AD/ALD/RADIUS с поддержкой TOTP-MFA и Мультифактор

Для ИС К1-К3 и ГИС это позволяет строго разделить доступ сотрудников, подрядчиков и удаленных пользователей к различным подсистемам и документально описать ZTNA-модель в модели угроз и политике ИБ периметра.

ФСТЭК в разделе по устойчивости к DDoS требует жесткой фильтрации входящего и исходящего трафика, использования WAF в режиме противодействия атакам, включения средств защиты от DoS и ограничения числа соединений с одного IP-адреса, а также взаимодействия с оператором связи по плану реагирования на DDoS.

Многоуровневая защита от DDoS

В Ideco NGFW для этого используется сразу несколько механизмов:

Детальные правила межсетевого экрана FORWARD и INPUT по принципу «deny by default» позволяют разрешить только необходимые сервисы для государственных порталов и интеграционных шлюзов. Включая возможность блокировки трафика по GeoIP (причем одним правилом «не РФ», можно заблокировать весь трафик не из российского интернет-сегмента).

IDS/IPS с обновляемыми сигнатурами CVE и профилями под различные протоколы (HTTP, DNS, TLS и др.) выявляет типовые атаки на прикладном и сетевом уровнях.

ФСТЭК требует формализовать процесс резервного копирования конфигураций пограничных устройств, хранить минимум три копии на двух типах носителей (одну — в отдельном месте), регулярно проверять возможность восстановления конфигураций, а также организовать процесс управления уязвимостями и установки обновлений безопасности по утвержденным методикам.

Реализация резервного копирования

Ideco NGFW помогает выполнить эти требования следующим образом:

• Экспорт конфигураций. Конфигурации можно экспортировать и импортировать, а также использовать кластерные и внешние хранилища — это позволяет реализовать схему «3−2−1» (три копии, два типа носителей, одна вне площадки) для контура периметровой защиты.
• Автоматизация резервного копирования. Возможна настройка автоматической отправки снимков конфигурации на внешний SFTP/SCP-сервер.
• Контроль восстановления. Ежеквартальное тестовое восстановление конфигурации на тестовом стенде или в нерабочее время позволяет подтвердить работоспособность процедур резервного копирования.

Управление уязвимостями и обновлениями

Для управления уязвимостями Ideco NGFW предоставляет:

• Мониторинг доступности обновлений через встроенный раздел «Система → Обновления» и уведомления от производителя.
• Сертификация ФСТЭК. Ideco NGFW имеет сертификат ФСТЭК России № 4503 от 28.12.2021, что подтверждает соответствие требованиям к межсетевым экранам типа, А и Б 4-го класса защиты.
• Процедура применения обновлений включает оценку критичности уязвимости, тестирование обновлений на тестовом стенде, создание снимка конфигурации перед обновлением и контроль результатов после применения.

Рекомендуемые сроки применения обновлений: критичные уязвимости — в течение 3−7 дней, важные уязвимости — в течение 30 дней, средние и низкие — в течение 90 дней или в ближайшее плановое окно обслуживания.

Айдеко выпускает обновления продукта включающие исправления найденных уязвимостей несколько раз в месяц, соблюдая самые строгие требования по SLA для доставки критичных обновлений.

ФСТЭК требует обеспечить централизованный сбор, хранение и анализ журналов регистрации событий безопасности информации с установлением максимально детализированного уровня журналирования.

События, подлежащие регистрации

Ideco NGFW регистрирует следующие категории событий:

• Успешные и неуспешные попытки авторизации (с указанием имени пользователя, метода аутентификации, IP-адреса источника, времени события)
• Журналы сервисов и приложений (HTTP/HTTPS-запросы, SSH-сеансы, с детализацией URI, User-Agent, кодов состояния)
• Обновления программного обеспечения (успешные и неудачные попытки, версии, инициатор)
• Изменения в конфигурации устройств
• Резервное копирование конфигурации, экспорт, загрузка
• Попытки очистки или изменения журналов

Интеграция с SIEM-системами

Ideco NGFW поддерживает отправку журналов в формате CEF (Common Event Format) или Syslog по защищенному каналу (TCP/TLS) в российские SIEM-системы:

• MaxPatrol SIEM (Positive Technologies)
• Solar SIEM (Ростелеком-Солар)
• RuSIEM (КПД)
• PT NAD (Positive Technologies)

Формат CEF обеспечивает лучшую совместимость с SIEM-системами для автоматической корреляции событий и выявления инцидентов.

Оповещение о критичных событиях

ФСТЭК требует реализацию механизмов оповещения администраторов информационной безопасности о фактах успешной аутентификации с административными привилегиями, множественных неуспешных попыток аутентификации, смены способа аутентификации, внесении изменений в конфигурацию и других критичных событиях.

Ideco NGFW позволяет настроить уведомления через Telegram (Ideco Monitoring Bot) для оперативного информирования ответственных лиц, а также использовать корреляционные правила в SIEM для автоматического оповещения о подозрительной активности.

Использование сертифицированного ФСТЭК Ideco NGFW для реализации новых рекомендаций ФСТЭК дает госорганизациям ряд преимуществ:

Единая точка контроля. Все функции защиты периметра реализованы в одном решении — это упрощает администрирование и снижает риски неправильной конфигурации.

Документальное подтверждение соответствия. Наличие сертификата ФСТЭК № 4503 позволяет формально подтвердить выполнение требований регулятора при проверках.

Российское решение. Полное соответствие указам Президента Р Ф от 01.05.2022 № 250 и от 30.03.2022 № 166 о переходе на отечественное ПО.

Техническая поддержка. Доступность технической поддержки от российского производителя и регулярные обновления безопасности.

Готовые схемы внедрения. Документация Ideco содержит типовые схемы настройки DMZ, VLAN, VPN и других компонентов защиты периметра специально для госсектора.

Новые рекомендации ФСТЭК по защите сетевого периметра отражают консолидированный опыт, полученный в ходе расследования реальных инцидентов, и знаменуют переход от общих требований к жесткой, детализированной технической политике.

Сертифицированный ФСТЭК Ideco NGFW предоставляет необходимый функционал для реализации всех восьми ключевых блоков защиты периметра: безопасное администрирование с ролевой моделью, защиту от DoS-атак, полноценную сегментацию с поддержкой ZTNA-модели, резервное копирование и управление уязвимостями, а также детальное журналирование с интеграцией в российские SIEM-системы.

Для органов государственной власти и организаций, эксплуатирующих ИС К1-К3, ГИС и ИСПДн, внедрение этих рекомендаций является необходимым минимумом для противодействия современным угрозам, исходящим из внешней сети. Ideco NGFW позволяет реализовать требования ФСТЭК в единой точке, обеспечивая практическую, проверяемую устойчивость периметра.