Дата публикации: 04.06.2026
Статья
Приказ ФСБ № 554 вступил в силу: что меняется для субъектов КИИ и где здесь NGFW
Разбираем, какие требования к средствам ГосСОПКА вводит приказ ФСБ № 554, чем он отличается от старого приказа № 196 – и какую часть этих требований реально закрывает Ideco NGFW, а какую нет.
Содержание статьи:
Что произошло
Что именно меняет приказ № 554
Требования по категориям средств
Где здесь NGFW, а где – нет
Источник событий для средств обнаружения и SIEM
Мониторинг пользовательской активности
Поиск признаков атак и предотвращение вторжений
Сегментация, контроль и российское происхождение
Кому и что делать на практике
Итог
Что именно меняет приказ № 554
Требования по категориям средств
Где здесь NGFW, а где – нет
Источник событий для средств обнаружения и SIEM
Мониторинг пользовательской активности
Поиск признаков атак и предотвращение вторжений
Сегментация, контроль и российское происхождение
Кому и что делать на практике
Итог
Что произошло
В конце 2025 года ФСБ выпустила сразу несколько приказов, которые поменяли правила для субъектов критической информационной инфраструктуры (КИИ). Центральный документ для тех, кто отвечает за технические средства защиты, – приказ ФСБ России от 26.12.2025 № 554 «Об установлении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе к средствам, предназначенным для поиска признаков компьютерных атак».
Приказ заменяет действовавший с 2019 года приказ № 196 и приводит требования к средствам ГосСОПКА в соответствие с тем, как система развивалась последние шесть лет.
С этого лета приказ вступает в силу и становится действующей нормой.
Приказ заменяет действовавший с 2019 года приказ № 196 и приводит требования к средствам ГосСОПКА в соответствие с тем, как система развивалась последние шесть лет.
С этого лета приказ вступает в силу и становится действующей нормой.
Что именно меняет приказ № 554
Приказ распространяется не только на субъектов КИИ, но и на иные организации, которые обмениваются информацией с ГосСОПКА. Он задаёт требования к шести категориям средств: обнаружения, предупреждения, ликвидации последствий, поиска признаков компьютерных атак (ППКА), обмена информацией и средствам криптографической защиты, применяемым при реагировании.
Если сравнивать с приказом № 196, ключевых сдвигов несколько:
Отдельно стоит держать в голове смежный приказ ФСБ № 547 от 25.12.2025, который с 30 января 2026 года задаёт порядок информирования. Именно он устанавливает сроки уведомления НКЦКИ: для компьютерного инцидента на значимом объекте КИИ – не позднее 3 часов с момента обнаружения, для иных объектов КИИ и информационных ресурсов – не позднее 24 часов, а для компьютерной атаки – также 24 часа.
Если сравнивать с приказом № 196, ключевых сдвигов несколько:
- Мониторинг пользовательской активности. Появилось прямое требование к функции наблюдения за действиями пользователей.
- Удалённое управление средствами. Закреплено право на удалённое управление средствами со стороны работников привлекаемого аккредитованного центра ГосСОПКА.
- Сертификация по классам. Для средств обнаружения введено требование о сертификате соответствия классам «Г» или «ГП», для нового раздела средств ППКА – классам «В» или «ВП» по приказу ФСБ № 564 от 13.11.1999.
- Российское происхождение и поддержка. Производство и сопровождение средств ГосСОПКА – российскими юридическими лицами; обслуживание, гарантийная и техническая поддержка ИБ-решений иностранными компаниями прямо запрещены (даже если зарубежные вендоры продолжают поддержку и продажи на территории России).
- Разделение требований к ППКА. Средства поиска признаков атак разведены на два раздела – для сетей электросвязи и общий.
Отдельно стоит держать в голове смежный приказ ФСБ № 547 от 25.12.2025, который с 30 января 2026 года задаёт порядок информирования. Именно он устанавливает сроки уведомления НКЦКИ: для компьютерного инцидента на значимом объекте КИИ – не позднее 3 часов с момента обнаружения, для иных объектов КИИ и информационных ресурсов – не позднее 24 часов, а для компьютерной атаки – также 24 часа.
Требования по категориям средств
Чтобы было понятно, где проходит граница ответственности, сведём ключевые требования в таблицу.
Дополнительно средства, взаимодействующие с ГосСОПКА, должны хранить агрегированные события ИБ не менее 6 месяцев и обеспечивать резервирование и восстановление работоспособности.
Категория средства | Ключевые требования приказа № 554 |
Обнаружение | Сбор и первичная обработка событий ИБ из разных источников, корреляция, выявление инцидентов, хранение и анализ; сертификат соответствия ФСБ (классы «Г»/«ГП») |
Предупреждение | Работа с индикаторами компрометации, данными о ВПО, тактиках и техниках; проверка актуальности данных не реже 1 раза в 24 часа; поддержка API |
Ликвидация последствий | Учёт инцидентов, управление реагированием, карточки инцидентов, автоматизированный обмен с НКЦКИ в установленных форматах |
ППКА | Анализ сетевого трафика и служебных полей протоколов, хранение и экспорт фрагментов трафика, уведомления о признаках атак, интерфейсы взаимодействия с ГосСОПКА; сертификат ФСБ |
Обмен/СКЗИ | Передача информации, необходимой для реагирования; криптозащита при обмене |
Дополнительно средства, взаимодействующие с ГосСОПКА, должны хранить агрегированные события ИБ не менее 6 месяцев и обеспечивать резервирование и восстановление работоспособности.
Где здесь NGFW, а где – нет
Отметим, что NGFW сам по себе не является средством ГосСОПКА в смысле приказа № 554. Сертификат соответствия ФСБ по классам «Г»/«ГП» или «В»/«ВП» – это требование к средствам обнаружения и ППКА как к элементам ГосСОПКА, и закрывается оно специализированными решениями: SIEM, средствами обмена с НКЦКИ, сертифицированными ФСБ сенсорами.
Но списывать NGFW со счетов не стоит. В архитектуре соответствия приказу межсетевой экран нового поколения играет роль, без которой остальные средства работают вслепую: источник событий и телеметрии, точка контроля доступа и сегментации, а также средство первичного обнаружения и предотвращения атак на периметре и между сегментами.
Разложим по требованиям приказа, что закрывает именно сетевой уровень.
Но списывать NGFW со счетов не стоит. В архитектуре соответствия приказу межсетевой экран нового поколения играет роль, без которой остальные средства работают вслепую: источник событий и телеметрии, точка контроля доступа и сегментации, а также средство первичного обнаружения и предотвращения атак на периметре и между сегментами.
Разложим по требованиям приказа, что закрывает именно сетевой уровень.
Источник событий для средств обнаружения и SIEM
Требование о сборе и корреляции событий ИБ из разных источников ничего не значит без самих источников. А NGFW – один из самых насыщенных поставщиков сетевой телеметрии.
Ideco NGFW Novum экспортирует события в SIEM по Syslog (форматы Syslog и CEF), NetFlow (версии 5, 9, 10), а также через REST API и SNMP – это часть базовой архитектуры нашего продукта, а не отдельная надстройка требующая интеграции. В SIEM уходит структурированная телеметрия с детализацией до конкретного пользователя или устройства: сетевые инциденты, трафик и сессии, действия пользователей и администраторов, события безопасности приложений (WAF, IPS, антивирус, файрвол).
Ideco NGFW Novum экспортирует события в SIEM по Syslog (форматы Syslog и CEF), NetFlow (версии 5, 9, 10), а также через REST API и SNMP – это часть базовой архитектуры нашего продукта, а не отдельная надстройка требующая интеграции. В SIEM уходит структурированная телеметрия с детализацией до конкретного пользователя или устройства: сетевые инциденты, трафик и сессии, действия пользователей и администраторов, события безопасности приложений (WAF, IPS, антивирус, файрвол).
Связка «NGFW как сенсор + сертифицированный SIEM как средство обнаружения» – рабочая схема выполнения требований к корреляции и хранению событий.
Мониторинг пользовательской активности
Новое требование приказа о наблюдении за действиями пользователей ложится на функциональность контроля доступа. Здесь NGFW работает не только как фильтр трафика, но и как точка, где личность пользователя связывается с сетевыми событиями.
В Ideco NGFW это реализовано через несколько механизмов:
Для регулятора важно не просто «видеть трафик», а уметь связать инцидент с учётной записью. Именно эту связку NGFW и отдаёт наверх – в средства обнаружения и реагирования.
В Ideco NGFW это реализовано через несколько механизмов:
- Identity-Based Control – авторизация по логину, IP, MAC, прозрачный Single Sign-On по Kerberos/NTLM, интеграция с Active Directory, LDAP, ALD Pro, Samba DC, FreeIPA.
- Аудит действий администраторов – логирование всех изменений конфигурации из веб-интерфейса, локального меню и терминала, с возможностью передачи этих событий во внешний SIEM для обеспечения неизменяемости журналов.
- Отчётность по пользователям – трафик, категории сайтов, DNS-запросы, события безопасности в разрезе конкретного пользователя или группы.
Для регулятора важно не просто «видеть трафик», а уметь связать инцидент с учётной записью. Именно эту связку NGFW и отдаёт наверх – в средства обнаружения и реагирования.
Поиск признаков атак и предотвращение вторжений
Раздел приказа о средствах ППКА – про анализ сетевого трафика, служебных полей протоколов и уведомления о признаках атак. Это профильная зона NGFW, хотя статус сертифицированного средства ППКА в смысле ГосСОПКА закрепляется отдельной сертификацией ФСБ.
На уровне функциональности Ideco NGFW Novum закрывает обнаружение и предотвращение:
Все эти события – материал для корреляции в средствах обнаружения и поводы для карточек инцидентов в средствах ликвидации последствий.
На уровне функциональности Ideco NGFW Novum закрывает обнаружение и предотвращение:
- IDS/IPS блокирует эксплойты, ботнеты, DoS, вирусную активность, телеметрию, анонимайзеры и TOR, скомпрометированные IP по обновляемой базе IP Reputation. Поддерживается и список блокировки НКЦКИ – прямая интеграция с тем, что требует регулятор.
- Расширенная база правил IPS от «Лаборатории Касперского» – более 4600 правил, включая сигнатуры на эксплуатацию CVE, обновляемые на потоке около 400 тысяч вредоносных файлов в день.
- Контроль приложений Layer 7 – более 417 приложений в 28 группах, включая мессенджеры, средства удалённого доступа и криптомайнеры.
- WAF для защиты опубликованных веб-приложений от сканирования, SQLi, XSS и DoS.
- DNS Security – блокирующий DNS-туннели, обращения к командным центрам, фишинг, на уровне DNS, еще до создания соединения.
Все эти события – материал для корреляции в средствах обнаружения и поводы для карточек инцидентов в средствах ликвидации последствий.
Сегментация, контроль и российское происхождение
Приказ ужесточает требования к происхождению и поддержке: производство и сопровождение – российскими юрлицами, обслуживание иностранными компаниями запрещено. Для NGFW на периметре и между сегментами КИИ это означает, что зарубежные Palo Alto, Fortinet или Check Point в этой роли больше не вариант – не из-за технологий, а из-за невозможности легальной поддержки.
Ideco NGFW отвечает на эту часть требований статусом продукта:
Сетевой стек Novum построен на собственной реализации с использованием VPP и DPDK, что даёт обработку трафика в userspace и предсказуемую производительность –до 10 Гбит/с на флагмане EX при сотнях правил файрвола на EMIX-трафике.
Ideco NGFW отвечает на эту часть требований статусом продукта:
- Соответствие требованиям ФСТЭК подтверждено сертификатом № 4503 от 29.12.2021 (Ideco).
- Запись в Реестре российского ПО Минцифры № 329 от 08.04.2016, аппаратные платформы – в реестре Минпромторга.
- Прямая техническая поддержка от вендора из России, без посредников и иностранных сервисных контрактов.
Сетевой стек Novum построен на собственной реализации с использованием VPP и DPDK, что даёт обработку трафика в userspace и предсказуемую производительность –до 10 Гбит/с на флагмане EX при сотнях правил файрвола на EMIX-трафике.
Кому и что делать на практике
Свести всё воедино проще через зоны ответственности.
Практический порядок действий для субъекта КИИ:
Что требует приказ № 554 | Чем закрывается | Роль NGFW |
Сертифицированное средство обнаружения, корреляция событий | SIEM, сертифицированный по классам ФСБ | Источник событий и телеметрии |
Автоматизированный обмен с НКЦКИ, карточки инцидентов | Средства ликвидации последствий, центр ГосСОПКА | Поставщик данных об инцидентах |
Мониторинг пользовательской активности | NGFW + SIEM | Прямая реализация на уровне контроля доступа |
Поиск признаков атак в трафике | Сертифицированные средства ППКА, IDS/IPS | Обнаружение и предотвращение на сетевом уровне |
Российское происхождение и поддержка | Реестр Минцифры, сертификат ФСТЭК | Соответствует |
Хранение событий ИБ не менее 6 месяцев | SIEM, средства обнаружения | Передаёт события на хранение |
Практический порядок действий для субъекта КИИ:
- Разделить требования по средствам. Не пытаться закрыть весь приказ одним продуктом – ни NGFW, ни SIEM по отдельности этого не сделают.
- Проверить происхождение и поддержку. Любое средство в контуре ГосСОПКА должно сопровождаться российским юрлицом. Иностранные решения на поддержке – риск несоответствия.
- Выстроить контур «сенсор – SIEM – обмен с НКЦКИ». NGFW отдаёт телеметрию по Syslog/CEF и NetFlow, SIEM коррелирует и хранит, средство обмена уведомляет НКЦКИ в сроки 3 и 24 часа.
- Заложить сроки. Приказ уже действует. План реагирования для значимого объекта разрабатывается в течение 90 дней с момента включения в реестр.
Итог
Приказ № 554 – это смена логики регулирование: государство закрепило, что средства защиты КИИ должны быть российскими по происхождению и поддержке, сертифицированными по требованиям ФСБ и работать как единый контур обнаружения и реагирования, замкнутый на ГосСОПКА.
NGFW в этой картине – не просто «коробка соответствия», а фундамент наблюдаемости сети: источник событий, точка контроля доступа и средство предотвращения атак. Ideco NGFW мы изначально проектировали как открытую платформу для интеграции с инфраструктурой ИБ заказчика – именно поэтому связка с сертифицированным SIEM и средствами обмена с НКЦКИ собирается без доработок. Требования регуляторов будут только ужесточаться, и закладывать архитектуру стоит так, чтобы она не успевала устареть к следующему приказу.
NGFW в этой картине – не просто «коробка соответствия», а фундамент наблюдаемости сети: источник событий, точка контроля доступа и средство предотвращения атак. Ideco NGFW мы изначально проектировали как открытую платформу для интеграции с инфраструктурой ИБ заказчика – именно поэтому связка с сертифицированным SIEM и средствами обмена с НКЦКИ собирается без доработок. Требования регуляторов будут только ужесточаться, и закладывать архитектуру стоит так, чтобы она не успевала устареть к следующему приказу.
Ideco NGFW Novum для решения
ваших задач
Заполните форму, чтобы получить доступ к пилотированию
Узнайте, как аналогичную задачу можно решить в вашей компании
Другие публикации по теме