Дата публикации: 19.02.2026
Статья
Указание ЦБ 7219-У:
как Ideco NGFW помогает некредитным финансовым организациям выполнить новые требования по информационной безопасности
как Ideco NGFW помогает некредитным финансовым организациям выполнить новые требования по информационной безопасности
6 февраля 2026 года Минюст зарегистрировал Указание Банка России от 28.10.2025 № 7219-У, которое вносит масштабные изменения в Положение 757-П — основной нормативный акт по информационной безопасности для некредитных финансовых организаций (НФО). Основная часть требований вступает в силу 1 января 2027 года — у НФО остаётся менее 11 месяцев на приведение инфраструктуры в соответствие.
Под действие обновлённого Положения попадают страховые компании, негосударственные пенсионные фонды, профессиональные участники рынка ценных бумаг (брокеры, дилеры, управляющие компании, депозитарии, регистраторы), операторы инвестиционных и финансовых платформ, операторы информационных систем с цифровыми финансовыми активами (ЦФА), а также — впервые в истории регулирования — микрофинансовые организации.
Под действие обновлённого Положения попадают страховые компании, негосударственные пенсионные фонды, профессиональные участники рынка ценных бумаг (брокеры, дилеры, управляющие компании, депозитарии, регистраторы), операторы инвестиционных и финансовых платформ, операторы информационных систем с цифровыми финансовыми активами (ЦФА), а также — впервые в истории регулирования — микрофинансовые организации.
Что именно ужесточается
Указание 7219-У расширяет перечень НФО, обязанных реализовывать усиленный и стандартный уровни защиты информации по ГОСТ Р 57 580.1−2017, а также вводит ряд принципиально новых требований:
Для МФО, которые раньше не подпадали под обязательные меры ИБ, с 2027 года вводится минимальный уровень защиты: антивирус, регистрация событий ИБ, базовые организационные меры.
- Обязательная сегментация сети и межсетевое экранирование в соответствии с мерами ГОСТ Р 57 580.1−2017.
- Система предотвращения вторжений (IPS) для контроля и блокировки атак на сетевом уровне.
- Защита каналов связи при передаче электронных сообщений, включая шифрование и контроль целостности трафика.
- Детальное логирование сетевых сессий клиентов: IP-адреса, порты, время начала и окончания соединений на транспортном уровне (новый пункт 1.11).
- Запрет технологии единого входа (SSO) через ЕСИА при финансовых операциях (новый пункт 1.9²).
- Жёсткие SLA по уведомлению ЦБ об инцидентах: 3 часа для организаций с усиленным уровнем, 24 часа для стандартного и минимального.
- Обязательная оценка соответствия по ГОСТ Р 57 580.2−2018 с привлечением внешнего аудитора, имеющего лицензию ФСТЭК.
- Цикл PDCA (планирование — применение — контроль — совершенствование) для мер защиты информации — впервые формализован для всех категорий НФО.
Для МФО, которые раньше не подпадали под обязательные меры ИБ, с 2027 года вводится минимальный уровень защиты: антивирус, регистрация событий ИБ, базовые организационные меры.
Какие меры ГОСТ 57 580.1 закрывает NGFW
ГОСТ Р 57 580.1−2017 «Безопасность финансовых (банковских) операций» — это стандарт, на который напрямую опирается Положение 757-П. Он определяет конкретные технические и организационные меры для каждого уровня защиты. Значительная часть этих мер относится к сетевой безопасности — именно той области, которую закрывает межсетевой экран нового поколения.
Ideco NGFW — сертифицированный ФСТЭК России межсетевой экран (сертификат № 4503), соответствующий требованиям доверия 4 уровня, профилям защиты МЭ типа, А и Б 4-го класса, а также требованиям к системам обнаружения вторжений (СОВ) сети 4-го класса. Продукт включён в реестр отечественного П О Минцифры и соответствует указам Президента Р Ф № 250 и № 166.
Ниже — список ключевых требований ГОСТ 57 580.1 и обновлённого 757-П на функции Ideco NGFW.
Ideco NGFW — сертифицированный ФСТЭК России межсетевой экран (сертификат № 4503), соответствующий требованиям доверия 4 уровня, профилям защиты МЭ типа, А и Б 4-го класса, а также требованиям к системам обнаружения вторжений (СОВ) сети 4-го класса. Продукт включён в реестр отечественного П О Минцифры и соответствует указам Президента Р Ф № 250 и № 166.
Ниже — список ключевых требований ГОСТ 57 580.1 и обновлённого 757-П на функции Ideco NGFW.
Сегментация вычислительных сетей
Требование ГОСТ 57 580.1:
Выделение сегментов вычислительных сетей, определение правил межсетевого взаимодействия между сегментами, ограничение сетевого доступа между зонами безопасности.
Как закрывает Ideco NGFW:
Ideco NGFW реализует архитектуру Zone-Based Firewall — управление трафиком на уровне зон безопасности, а не отдельных хостов. Это позволяет создавать изолированные сетевые сегменты (бухгалтерия, АБС, клиентский сегмент, серверная ферма, DMZ) и задавать дифференцированные правила доступа между ними. Поддержка виртуальных контекстов (VCE) позволяет на одном физическом устройстве создать несколько независимых межсетевых экранов, что особенно удобно для НФО, совмещающих несколько видов финансовой деятельности в едином контуре.
Выделение сегментов вычислительных сетей, определение правил межсетевого взаимодействия между сегментами, ограничение сетевого доступа между зонами безопасности.
Как закрывает Ideco NGFW:
Ideco NGFW реализует архитектуру Zone-Based Firewall — управление трафиком на уровне зон безопасности, а не отдельных хостов. Это позволяет создавать изолированные сетевые сегменты (бухгалтерия, АБС, клиентский сегмент, серверная ферма, DMZ) и задавать дифференцированные правила доступа между ними. Поддержка виртуальных контекстов (VCE) позволяет на одном физическом устройстве создать несколько независимых межсетевых экранов, что особенно удобно для НФО, совмещающих несколько видов финансовой деятельности в едином контуре.
Межсетевое экранирование
Требование ГОСТ 57 580.1:
Межсетевое экранирование на периметре и между внутренними сегментами сети. Контроль и фильтрация трафика на основе правил доступа.
Как закрывает Ideco NGFW:
Файрвол Ideco NGFW работает на уровнях L3-L7, поддерживает до 100 000 правил фильтрации, обеспечивает Deep Packet Inspection (DPI) и контроль приложений (Application Control). В режиме NGFW (IPS + контент-фильтр + контроль приложений + файрвол) пропускная способность составляет от 1 до 30 Гбит/с в зависимости от модели, а в высокопроизводительной версии VPP — до 200 Гбит/с. Для НФО, которым не требуется изменять топологию сети, доступен режим L2-моста — прозрачная фильтрация без модификации маршрутов.
Межсетевое экранирование на периметре и между внутренними сегментами сети. Контроль и фильтрация трафика на основе правил доступа.
Как закрывает Ideco NGFW:
Файрвол Ideco NGFW работает на уровнях L3-L7, поддерживает до 100 000 правил фильтрации, обеспечивает Deep Packet Inspection (DPI) и контроль приложений (Application Control). В режиме NGFW (IPS + контент-фильтр + контроль приложений + файрвол) пропускная способность составляет от 1 до 30 Гбит/с в зависимости от модели, а в высокопроизводительной версии VPP — до 200 Гбит/с. Для НФО, которым не требуется изменять топологию сети, доступен режим L2-моста — прозрачная фильтрация без модификации маршрутов.
Предотвращение вторжений (IPS)
Требование ГОСТ 57 580.1:
Обнаружение и предотвращение компьютерных атак в вычислительных сетях.
Как закрывает Ideco NGFW:
Встроенная система предотвращения вторжений (IPS) Ideco NGFW сертифицирована ФСТЭК как СОВ сети 4-го класса. Она обнаруживает и блокирует DoS-атаки, ботнеты, эксплойты, сканирование портов, brute-force и другие типы сетевых атак в реальном времени. База сигнатур обновляется регулярно; поддерживается интеграция с внешними системами через Syslog и ICAP.
Обнаружение и предотвращение компьютерных атак в вычислительных сетях.
Как закрывает Ideco NGFW:
Встроенная система предотвращения вторжений (IPS) Ideco NGFW сертифицирована ФСТЭК как СОВ сети 4-го класса. Она обнаруживает и блокирует DoS-атаки, ботнеты, эксплойты, сканирование портов, brute-force и другие типы сетевых атак в реальном времени. База сигнатур обновляется регулярно; поддерживается интеграция с внешними системами через Syslog и ICAP.
Защита каналов связи
Требование 757-П (п. 1.10.3 в новой редакции):
Защита информации при её передаче по каналам связи.
Как закрывает Ideco NGFW:
Ideco NGFW поддерживает полный спектр VPN-протоколов: IKEv2/IPsec, SSL VPN, SSTP, GRE over IPsec, а также — что критически важно для финансового сектора — ГОСТ VPN для site-to-site подключений между площадками. Это обеспечивает шифрование каналов связи между головным офисом НФО и филиалами, а также защищённый удалённый доступ сотрудников. Поддерживается многофакторная аутентификация (2FA) при VPN-подключениях, интеграция с RADIUS, Active Directory, ALD Pro.
Защита информации при её передаче по каналам связи.
Как закрывает Ideco NGFW:
Ideco NGFW поддерживает полный спектр VPN-протоколов: IKEv2/IPsec, SSL VPN, SSTP, GRE over IPsec, а также — что критически важно для финансового сектора — ГОСТ VPN для site-to-site подключений между площадками. Это обеспечивает шифрование каналов связи между головным офисом НФО и филиалами, а также защищённый удалённый доступ сотрудников. Поддерживается многофакторная аутентификация (2FA) при VPN-подключениях, интеграция с RADIUS, Active Directory, ALD Pro.
Контроль и фильтрация интернет-трафика
Требование ГОСТ 57 580.1:
Контроль содержимого сетевого трафика, блокировка вредоносного ПО, фильтрация контента.
Как закрывает Ideco NGFW:
Модуль контентной фильтрации с потоковой антивирусной проверкой (включая HTTPS-трафик через SSL-инспекцию) блокирует вредоносные сайты, фишинг и загрузку малвари. Контроль приложений (DPI) позволяет ограничивать использование мессенджеров, торрентов и других нецелевых приложений на рабочих станциях финансовой организации.
Контроль содержимого сетевого трафика, блокировка вредоносного ПО, фильтрация контента.
Как закрывает Ideco NGFW:
Модуль контентной фильтрации с потоковой антивирусной проверкой (включая HTTPS-трафик через SSL-инспекцию) блокирует вредоносные сайты, фишинг и загрузку малвари. Контроль приложений (DPI) позволяет ограничивать использование мессенджеров, торрентов и других нецелевых приложений на рабочих станциях финансовой организации.
Логирование и передача событий в SIEM
Требование 757-П (п. 1.11 в новой редакции):
Регистрация сетевых сессий клиентов, включая IP-адреса и порты устройств, время начала и окончания соединений.
Как закрывает Ideco NGFW:
Ideco NGFW ведёт структурированный журнал трафика с фиксацией всех параметров, требуемых новым пунктом 1.11 Положения 757-П: IP-адреса и порты источника и назначения, временные метки сессий, протоколы, идентификаторы пользователей. Данные передаются по Syslog в SIEM-системы для централизованного хранения, анализа и формирования отчётности для Банка России. Поддержка NetFlow (v5, IPFIX v9) обеспечивает дополнительные возможности мониторинга трафика в крупных инфраструктурах.
Регистрация сетевых сессий клиентов, включая IP-адреса и порты устройств, время начала и окончания соединений.
Как закрывает Ideco NGFW:
Ideco NGFW ведёт структурированный журнал трафика с фиксацией всех параметров, требуемых новым пунктом 1.11 Положения 757-П: IP-адреса и порты источника и назначения, временные метки сессий, протоколы, идентификаторы пользователей. Данные передаются по Syslog в SIEM-системы для централизованного хранения, анализа и формирования отчётности для Банка России. Поддержка NetFlow (v5, IPFIX v9) обеспечивает дополнительные возможности мониторинга трафика в крупных инфраструктурах.
Концепция Zero Trust (ZTNA)
Требование ГОСТ 57 580.1:
Контроль доступа к ресурсам на основе идентификации и аутентификации, минимизация привилегий.
Как закрывает Ideco NGFW:
Ideco NGFW реализует концепцию Zero Trust Network Access (ZTNA) через механизм HIP-профилей (Host Integrity Profiles). Ideco Client проверяет состояние устройства пользователя: членство в домене, наличие и статус антивируса, версию ОС, наличие обновлений, список запущенных процессов. Только устройства, прошедшие проверку, получают доступ к финансовым системам — независимо от их местоположения в сети. Это особенно актуально для НФО с распределёнными офисами и удалёнными сотрудниками.
Контроль доступа к ресурсам на основе идентификации и аутентификации, минимизация привилегий.
Как закрывает Ideco NGFW:
Ideco NGFW реализует концепцию Zero Trust Network Access (ZTNA) через механизм HIP-профилей (Host Integrity Profiles). Ideco Client проверяет состояние устройства пользователя: членство в домене, наличие и статус антивируса, версию ОС, наличие обновлений, список запущенных процессов. Только устройства, прошедшие проверку, получают доступ к финансовым системам — независимо от их местоположения в сети. Это особенно актуально для НФО с распределёнными офисами и удалёнными сотрудниками.
Какие типы НФО получат максимальную пользу
Страховые компании и НПФ
Впервые получают отдельные формы отчётности по ИБ для ЦБ и обязаны пройти оценку по ГОСТ 57 580.2 с привлечением внешнего аудитора. У большинства сетевая защита ограничена базовым файрволом или устаревшими Cisco ASA. Ideco NGFW закрывает сразу блок сетевых мер ГОСТ 57 580.1: сегментация, МЭ, IPS, VPN — и становится центральным элементом контура безопасности.
Брокеры, управляющие компании, депозитарии, регистраторы
Уже были под 757-П, но 7219-У ужесточает требования: появляются SLA по инцидентам (3/24 часа), обязательное логирование сессий, запрет SSO. Для этих организаций актуально импортозамещение: переход с Cisco, Fortinet, Check Point на отечественное решение, находящееся в реестре Минцифры и сертифицированное ФСТЭК.
МФО
Впервые попадают под обязательные требования ИБ. Для них Ideco NGFW в базовой конфигурации закрывает сразу несколько требований одним решением: межсетевой экран + потоковый антивирус + IPS + логирование. Это дешевле и проще, чем собирать «зоопарк» из нескольких продуктов.
Операторы платформ и ЦФА
Технологичные компании, но часто без формализованной сетевой защиты. Ideco NGFW обеспечивает контроль трафика к веб-приложениям и API, SSL-инспекцию, интеграцию с WAF и DLP через ICAP, что критически важно для онлайн-платформ.
Впервые получают отдельные формы отчётности по ИБ для ЦБ и обязаны пройти оценку по ГОСТ 57 580.2 с привлечением внешнего аудитора. У большинства сетевая защита ограничена базовым файрволом или устаревшими Cisco ASA. Ideco NGFW закрывает сразу блок сетевых мер ГОСТ 57 580.1: сегментация, МЭ, IPS, VPN — и становится центральным элементом контура безопасности.
Брокеры, управляющие компании, депозитарии, регистраторы
Уже были под 757-П, но 7219-У ужесточает требования: появляются SLA по инцидентам (3/24 часа), обязательное логирование сессий, запрет SSO. Для этих организаций актуально импортозамещение: переход с Cisco, Fortinet, Check Point на отечественное решение, находящееся в реестре Минцифры и сертифицированное ФСТЭК.
МФО
Впервые попадают под обязательные требования ИБ. Для них Ideco NGFW в базовой конфигурации закрывает сразу несколько требований одним решением: межсетевой экран + потоковый антивирус + IPS + логирование. Это дешевле и проще, чем собирать «зоопарк» из нескольких продуктов.
Операторы платформ и ЦФА
Технологичные компании, но часто без формализованной сетевой защиты. Ideco NGFW обеспечивает контроль трафика к веб-приложениям и API, SSL-инспекцию, интеграцию с WAF и DLP через ICAP, что критически важно для онлайн-платформ.
Маппинг: функции Ideco NGFW → требования 757-П / ГОСТ 57 580.1
Требование 757-П / ГОСТ 57 580.1 | Функция Ideco NGFW |
Сегментация вычислительных сетей | Zone-Based Firewall, виртуальные контексты (VCE) |
Межсетевое экранирование (МЭ типа А, Б) | Файрвол L3-L7, DPI, контроль приложений. Сертификат ФСТЭК № 4503 |
Обнаружение и предотвращение вторжений | IPS/СОВ сети 4-го класса. Сертификат ФСТЭК № 4503 |
Защита информации при передаче по каналам связи | VPN (IKEv2/IPsec, SSL VPN, ГОСТ VPN), шифрование трафика |
Контроль и фильтрация интернет-трафика | Контентная фильтрация, потоковый антивирус, SSL-инспекция |
Регистрация сетевых сессий клиентов (п. 1.11¹) | Структурированный журнал трафика, Syslog → SIEM, NetFlow |
Контроль доступа по принципу минимальных привилегий | ZTNA (HIP-профили, Ideco Client), интеграция с AD/RADIUS |
Антивирусная защита сетевого трафика | Потоковый антивирус, проверка HTTPS-трафика |
Взаимодействие с DLP и SIEM | ICAP (DLP), Syslog (SIEM), SNMP (мониторинг) |
Сертификация и соответствие
- Сертификат ФСТЭК России № 4503 — МЭ типа, А и Б 4-го класса, СОВ сети 4-го класса, уровень доверия 4.
- Реестр отечественного ПО Минцифры — соответствие указам Президента Р Ф № 250 и № 166.
- Применим для защиты ИСПДн до 1-го уровня защищённости, ГИС, КИИ.
Почему важно начать сейчас
До вступления основной части требований 7219-У в силу осталось менее 11 месяцев. Внедрение Ideco NGFW — это один из первых и наиболее результативных шагов в приведении НФО к соответствию: он закрывает сразу блок сетевых мер ГОСТ 57 580.1, обеспечивает логирование для отчётности перед ЦБ и даёт организации сертифицированный инструмент, который аудитор примет при оценке по ГОСТ 57 580.2.
Ideco предлагает бесплатное пилотирование — возможность развернуть и протестировать NGFW в инфраструктуре НФО до принятия решения о покупке. Для интеграторов доступны партнёрские программы и проектная поддержка пресейл-инженеров Ideco.
Протестировать и получить консультацию вы можете заполнив форму ниже.
Ideco предлагает бесплатное пилотирование — возможность развернуть и протестировать NGFW в инфраструктуре НФО до принятия решения о покупке. Для интеграторов доступны партнёрские программы и проектная поддержка пресейл-инженеров Ideco.
Протестировать и получить консультацию вы можете заполнив форму ниже.
Ideco NGFW Novum для решения
ваших задач
Заполните форму, чтобы получить доступ к пилотированию
Узнайте, как аналогичную задачу можно решить в вашей компании
Другие публикации по теме