Дата публикации: 20.03.2026
Статья
Межсетевые экраны ФСТЭК России
Сертификация межсетевых экранов
Всё больше решений для защиты сетей получают сертификаты ФСТЭК России. Зачем нужны сертифицированные средства защиты информации и какую гарантию они дают пользователям? Давайте разберёмся!
Сертификация — регламентированный процесс оценки соответствия продукции или услуг требованиям, установленным нормативными документами. Сертификация может проводиться как на добровольной, так и на обязательной основе. Документальным подтверждением соответствия продукции заявленным требованиям, его качества и безопасности для потребителя является сертификат соответствия.
Сертификация — регламентированный процесс оценки соответствия продукции или услуг требованиям, установленным нормативными документами. Сертификация может проводиться как на добровольной, так и на обязательной основе. Документальным подтверждением соответствия продукции заявленным требованиям, его качества и безопасности для потребителя является сертификат соответствия.
Нормативные требования к проведению сертификации средств защиты информации (СЗИ) на территории Российской Федерации закреплены Федеральным законом «О техническом регулировании» № 184-ФЗ и Постановлением Правительства Р Ф № 608 «О сертификации средств защиты информации». Стоит отметить, что в случае сертификации СЗИ возможна только обязательная сертификация, гарантирующая безопасность обрабатываемой информации. При этом сертификат соответствия также является обязательным документом и неотъемлемой частью изделия. Также наличие сертификата гарантирует потребителю, что СЗИ будет сопровождаться заявителем, а это, как правило, сам производитель СЗИ, и обнаруженные в изделии уязвимости будут оперативно закрыты.
В настоящий момент в качестве органа по сертификации, курирующего сертификацию СЗИ, выступают: Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Российской Федерации, Министерство обороны Российской Федерации (МО РФ), Федеральная служба безопасности Российской Федерации (ФСБ России) и Служба внешней разведки Российской Федерации. Сами сертификационные испытания проводят аккредитованные испытательные лаборатории по программам и методикам испытаний, утвержденных регулятором.
Как правило, сертификаты соответствия по требованиям безопасности на межсетевые экраны выдает ФСТЭК России, но такая процедура также предусмотрена в системах сертификации ФСБ РФ и МО РФ. Защита межсетевых экранов зафиксирована в требованиях технических регламентов. Сертификаты соответствия ФСТЭК России на межсетевые экраны выдаются сроком до пяти лет. При продлении сертификата проводится проверка изделий по сокращенной форме.
Межсетевые экраны, сертифицированные ФСТЭК России, могут применяться для защиты информации, в том числе гостайны, некриптографическими методами, т. е. без использования криптографических вычислений, в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), АСУ ТП и на объектах критической информационной инфраструктуры (КИИ). В случае, если межсетевой экран выступает в качестве средства криптографической защиты информации (СКЗИ) и применяет отечественное ГОСТ шифрование, сертификация проводится по системе сертификации ФСБ России.
В настоящий момент в качестве органа по сертификации, курирующего сертификацию СЗИ, выступают: Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Российской Федерации, Министерство обороны Российской Федерации (МО РФ), Федеральная служба безопасности Российской Федерации (ФСБ России) и Служба внешней разведки Российской Федерации. Сами сертификационные испытания проводят аккредитованные испытательные лаборатории по программам и методикам испытаний, утвержденных регулятором.
Как правило, сертификаты соответствия по требованиям безопасности на межсетевые экраны выдает ФСТЭК России, но такая процедура также предусмотрена в системах сертификации ФСБ РФ и МО РФ. Защита межсетевых экранов зафиксирована в требованиях технических регламентов. Сертификаты соответствия ФСТЭК России на межсетевые экраны выдаются сроком до пяти лет. При продлении сертификата проводится проверка изделий по сокращенной форме.
Межсетевые экраны, сертифицированные ФСТЭК России, могут применяться для защиты информации, в том числе гостайны, некриптографическими методами, т. е. без использования криптографических вычислений, в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), АСУ ТП и на объектах критической информационной инфраструктуры (КИИ). В случае, если межсетевой экран выступает в качестве средства криптографической защиты информации (СКЗИ) и применяет отечественное ГОСТ шифрование, сертификация проводится по системе сертификации ФСБ России.
Требования ФСТЭК России к межсетевым экранам
Актуальные требования ФСТЭК России безопасности информации к сертифицированным межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. № 9, пришли на смену устаревшим требованиям «Руководящего документа. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (РД МЭ).
Новые требования имеют существенный ряд отличий. Во-первых, появились новые функции безопасности: оповещение о критических событиях безопасности, приоритезация информационных потоков, взаимодействие с другими СЗИ и маркирование наличия межсетевого экрана. Во-вторых, многие функции были усилены (контроль и фильтрация, идентификация и аутентификация, регистрация событий, тестирование и контроль целостности межсетевого экрана, администрирование).
Дополнительно приказом ФСТЭК России от 2 июня 2020 г. № 76 введены требования уровней доверия (УД) к техническим средствам защиты информации, под которые попадают межсетевые экраны. Для дифференциации требований применяется 6 УД. На каждый уровень доверия определен свой уровень контроля и исследований по выявлению уязвимостей и недекларированных возможностей.
Новые требования имеют существенный ряд отличий. Во-первых, появились новые функции безопасности: оповещение о критических событиях безопасности, приоритезация информационных потоков, взаимодействие с другими СЗИ и маркирование наличия межсетевого экрана. Во-вторых, многие функции были усилены (контроль и фильтрация, идентификация и аутентификация, регистрация событий, тестирование и контроль целостности межсетевого экрана, администрирование).
Дополнительно приказом ФСТЭК России от 2 июня 2020 г. № 76 введены требования уровней доверия (УД) к техническим средствам защиты информации, под которые попадают межсетевые экраны. Для дифференциации требований применяется 6 УД. На каждый уровень доверия определен свой уровень контроля и исследований по выявлению уязвимостей и недекларированных возможностей.
Типы межсетевых экранов в терминологии ФСТЭК России
Для межсетевых экранов по способу их интеграции ФСТЭК определил 5 типов:
- тип «А» (межсетевой экран уровня сети) — межсетевой экран программно-аппаратного исполнения, устанавливаемый на периметре защищаемой информационной системы или между физическими границами её сегментов;
- тип «Б» (межсетевой экран уровня логических границ сети) — межсетевой экран программного или программно-аппаратного исполнения, устанавливаемый на логическом периметре защищаемой информационной системы или между логическими границами её сегментов;
- тип «В» (межсетевой экран уровня узла) — программный межсетевой экран, устанавливаемый на хосте (мобильном или стационарном) информационной системы;
- тип «Г» (межсетевой экран уровня веб-сервера) — межсетевой экран программного или программно-аппаратного исполнения, устанавливаемый на веб-сервер или на периметре сегмента таких серверов и обеспечивающий контроль и фильтрацию HTTP-трафика;
- тип «Д» (межсетевой экран уровня промышленной сети) — межсетевой экран программного или программно-аппаратного исполнения, устанавливаемый в АСУ ТП и обеспечивающий контроль и фильтрацию промышленных протоколов передачи данных.
Помимо типа каждому межсетевому экрану присваивается один из 6 классов защиты, начиная от 6-го как самого низкого.
В 2023 году ФСТЭК России ввела новый тип сертифицируемых средств защиты — многофункциональные межсетевые экраны уровня сети (МФМЭУС), требования к которым утверждены приказом ФСТЭК России от 7 марта 2023 г. № 44. МФМЭУС объединяют функции традиционного межсетевого экрана с возможностями глубокой инспекции трафика, контроля приложений, обнаружения и предотвращения вторжений, фильтрации веб-контента и контроля доступа к ресурсам сети общего пользования. По сути, новый тип формализует класс NGFW в российской нормативной базе: продукты, сертифицированные по требованиям к МФМЭУС, могут применяться в значимых объектах КИИ, ГИС, ИСПДн и АСУ ТП вплоть до 1-го класса защищённости. Для МФМЭУС предусмотрено шесть классов защиты: класс 6 охватывает системы с минимальными требованиями, класс 4 — объекты КИИ 1-й категории значимости и ГИС 1-го класса защищённости.
Таблица 1. Классификация сертифицированных в системе сертификации ФСТЭК России межсетевых экранов
На каждый тип межсетевого экрана и каждый класс защиты ФСТЭК разработал методические документы «Профили защиты», учитывающий положения ГОСТ Р ИСО/МЭК 15 408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» и подробно детализирующий требования безопасности к межсетевым экранам, разработанным ФСТЭК России. Начиная с третьего класса межсетевых экранов, профили защиты имеют гриф секретности.
Основания для внедрения сертифицированных МЭ
В 2022 году многие сертификаты ФСТЭК России на межсетевые экраны были отозваны регулятором. Это связано с невозможностью заявителей, объявивших об уходе с российского рынка, выполнять обязательства по технической поддержке своих продуктов, а территории Российской Федерации. Данное требование зафиксировано законодательно и обязует заявителя осуществлять устранение выявленных недостатков и уязвимостей средств защиты информации, своевременно информировать пользователей о них, выпускать обновления и патчи ПО, актуализировать эксплуатационную документацию. В связи с этим важно выбирать изделия отечественных производителей.
Основной причиной внедрения сертифицированных межсетевых экранов является необходимость осуществлять контроль и фильтрацию сетевых потоков в целях защиты конфиденциальной информации (государственная тайна, коммерческая тайна или иная информация ограниченного доступа).
Дополнительно можно выделить следующие причины:
При выборе нужного типа межсетевых экранов, сертифицированных по требованиям ФСТЭК России, следует руководствоваться классом автоматизированной системы и степенью конфиденциальности обрабатываемой в ней информации.
- защита информационной сети или ее сегментов от несанкционированного доступа;
- соответствие требованиям регуляторов к обеспечению безопасности информационной системы;
- управление репутационными рисками в случае инцидентов безопасности.
При выборе нужного типа межсетевых экранов, сертифицированных по требованиям ФСТЭК России, следует руководствоваться классом автоматизированной системы и степенью конфиденциальности обрабатываемой в ней информации.
Список, содержащий сертифицированные межсетевые экраны по требованиям ФСТЭК России и их производителей, приведет в открытом реестре СЗИ на официальном сайте ФСТЭК России.
Среди таких сертифицированных межсетевых экранов присутствует программно-аппаратный межсетевой экран нового поколения (Next-Generation Firewall, NGFW) от Ideco (сертификат соответствия ФСТЭК России № 4503 от 28 декабря 2021 г.), соответствующий следующим требованиям:
Сертифицированное решение оснащено следующими механизмами безопасности:
- 4 уровень доверия;
- профили защиты межсетевых экранов типа, А четвертого класса защиты (ИТ.МЭ.А4.ПЗ) и типа Б четвертого класса защиты (ИТ.МЭ.Б4.ПЗ);
- профиль защиты средств обнаружения вторжения уровня сети четвертого класса (ИТ.СОВ.С4.ПЗ).
Сертифицированное решение оснащено следующими механизмами безопасности:
- непосредственно самим межсетевым экранированием, защищающим информационную систему от внешних атак на основе правил фильтраций для сети и подсетей, динамических IP-адресов, пользователей и устройств;
- системой обнаружения и предотвращения вторжений, выявляющей и блокирующей DoS-атаки, ботнет-сети, шпионское ПО, анонимайзеры и анонимное сетевое соединение посредством TOR, эксплоиты и вирусы;
- контролем приложений за счет L7-фильтрации;
- контентной фильтрацией;
- контролем доступа;
- защита от перебора паролей;
- интеграция с SIEM-системами по протоколу Syslog;
- журналированием и генерацией отчетов.
Сертифицированное решение Ideco поставляется исключительно в форм-факторе программно-аппаратного комплекса (ПАК) на аппаратных платформах, включённых в реестр Минпромторга. Линейка сертифицированных ПАК включает модели Ideco SX+, Ideco MX, Ideco LX, Ideco LX+ и Ideco EX, перекрывающие диапазон от компактных устройств для малых офисов до высоконагруженных решений для корпоративных ЦОД и объектов критической инфраструктуры. Модели различаются производительностью в режиме межсетевого экрана, NGFW-режиме, максимальным числом одновременных соединений и рекомендуемым числом пользователей. Конкретная сертифицированная версия и актуальный срок действия сертификата уточняются у менеджера Ideco на этапе сделки.
Специалисты компании «Айдеко» подготовили оптимальные сценарии фильтрации, позволяющие эффективно использовать решения компании для защиты сети прямо «из коробки», а техническая поддержка включает помощь пользователей в настройке и эксплуатации межсетевого экрана.
Специалисты компании «Айдеко» подготовили оптимальные сценарии фильтрации, позволяющие эффективно использовать решения компании для защиты сети прямо «из коробки», а техническая поддержка включает помощь пользователей в настройке и эксплуатации межсетевого экрана.
Ideco NGFW Novum для решения
ваших задач
Заполните форму, чтобы получить доступ к пилотированию
Узнайте, как аналогичную задачу можно решить в вашей компании
Другие публикации по теме