Аналитика

ИБ без формальностей: «Код Безопасности» — как требования к защите инфраструктуры перешли от галочек к реальной устойчивости

  • 04-06-2026 14:01
  • 0
Защита данных
|

Павел Коростелев, «Код Безопасности»: Требования к ИБ сместились с чек-листа на реальную устойчивость инфраструктуры

Приказ №117 ФСТЭК России стал одним из важнейших этапов в эволюции нормативов по защите государственных информационных систем и связанной с ними инфраструктуры. Этот документ не только расширяет границы охраняемых систем, но и ужесточает нормы, касающиеся их фактической устойчивости, сегментации и контроля взаимодействий. Как данные изменения сказываются на архитектуре сетевой безопасности, какие методы становятся основополагающими и каким образом заказчики приспосабливают свои инфраструктуры к новым стандартам, в беседе с CNews рассказал Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности».

«Мы переходим к более комплексной и многоуровневой модели защиты»

CNews: Как вы оцениваете ключевые изменения, которые принес приказ №117 ФСТЭК России для системы защиты государственных информационных систем?

Павел Коростелев: В целом я бы охарактеризовал изменения положительно. Видно, что регулятор заинтересован в адаптации требований под современные реалии: угрозы меняются — и требования развиваются вслед за ними.

Второй важный момент — смещение фокуса в сторону более регулярной оценки защищенности. Причем я имею в виду оценку в широком смысле: это не только аудиты, аттестации или пентесты, но и необходимость для заказчика регулярно, например раз в полгода, проверять, не возникли ли в инфраструктуре типовые ошибки, которые по статистике чаще всего приводят к серьезным инцидентам.

Фактически мы уходим от ситуации, когда есть некий чек-лист, который нужно выполнить, чтобы «все было хорошо», к более гибкому, адаптивному и при этом более эффективному подходу к построению защиты.

CNews: В чем, на ваш взгляд, принципиальное отличие новых требований от предыдущего подхода к обеспечению безопасности?

Павел Коростелев: Различий достаточно много. Прежде всего, стоит отметить расширение зоны применения нормативов. Теперь акцент сделан не только на обеспечении безопасности самой государственной информационной системы, но и на защите окружающей ее инфраструктуры.

Помимо этого, с первого сентября государственные органы обязаны обеспечивать защиту не только ГИС, но и прочих информационных систем, выполняющих стандартные задачи: электронная почта, коммуникационные сервисы, бухгалтерские и финансовые модули, внутренние порталы и прочее. Ранее основное внимание уделялось именно ГИС, а остальные системы можно было защищать гораздо менее строго.

Еще одно изменение — ликвидация возможностей для формального уклонения от соблюдения правил. Раньше существовали некоторые «лазейки», позволявшие отдельным организациям относиться к требованиям менее тщательно. Сейчас такие пути исчезают.

В результате те, кто системно вкладывал средства в безопасность, столкнутся лишь с незначительными корректировками. А тем, кто занимался этим от случая к случаю, придется в сжатые сроки повышать уровень своей защищенности.

Также я бы особо выделил упор на противодействие атакам через подрядчиков. Согласно статистике последних лет, подавляющая часть серьезных инцидентов начиналась именно со взлома подрядных организаций. Регулятор уделяет этому аспекту особое внимание.

CNews: Можно ли утверждать, что регулятор переключился с формального соблюдения норм на реальную защищенность инфраструктуры? Как это проявляется на практике?

Павел Коростелев: Я бы не сказал, что это произошло внезапно — например, с выходом приказа. Скорее, речь идет о постепенном и целенаправленном процессе, который регулятор последовательно проводит уже на протяжении нескольких лет.

Сейчас мы наблюдаем движение к равновесию между формальными предписаниями и фактической безопасностью. Это, по сути, два противоположных подхода: с одной стороны, нужен минимальный набор обязательных мер — тот самый контрольный список, а с другой — требуется доказательство того, что эти меры действительно эффективны.

ФСТЭК планомерно развивает эту стратегию — через корректировку нормативов, внедрение практик пентестов, аудитов и других инструментов.

На практике это ведет к усложнению и углублению защиты. Например, в области сетевой безопасности усиливается сегментация: если раньше выделялся периметр одной системы, то теперь необходимо создавать большее количество сегментов. Для систем с высоким классом значимости вводится микросегментация — сеть делится на множество изолированных зон, что затрудняет распространение атаки внутри инфраструктуры.

Кроме того, усиливается подход, близкий к концепции ZTNA (Zero Trust Network Access — сетевой доступ с нулевым доверием). Если раньше безопасность во многом опиралась на IP-адреса, то теперь этого недостаточно — требуются дополнительные атрибуты для идентификации устройств и управления доступом.

Сейчас формулируются более точные правила для обеспечения безопасности удаленного доступа: требуется верификация удаленных устройств на соответствие политикам безопасности и применение надежных методов аутентификации.

Требования к системам обнаружения вторжений становятся шире — теперь они обязательны для всех типов систем. Вводятся отдельные нормы для защиты веб-приложений и программных интерфейсов, а также для противодействия атакам типа «отказ в обслуживании».

В целом наблюдается переход к более всесторонней и многослойной модели защиты, нацеленной не просто на формальное соблюдение норм, а на обеспечение реальной устойчивости информационных систем.

«В ближайшее время рынок будет активно формировать рабочие модели соответствия новым требованиям»

CNews: Как новые требования влияют именно на подходы к построению сетевой безопасности?

Павел Коростелев: Если раньше считалось, что достаточно обозначить периметр одной информационной системы, то теперь, из-за расширения сферы действия требований, речь идет о необходимости более тщательной сегментации. По сути, требуется создание множества изолированных сегментов внутри инфраструктуры.

Для государственных информационных систем класса К1 вводится особое требование — микросегментация. Это подразумевает деление сети на большое количество мельчайших сегментов. Такой подход значительно сдерживает распространение атаки: даже если злоумышленник проникнет на один узел, ему будет намного труднее продвигаться по сети.

Еще один ключевой момент — развитие концепции, близкой к модели нулевого доверия. Новые требования фактически закрепляют необходимость учета дополнительных атрибутов безопасности при организации сетевого доступа. Идея в том, что традиционные идентификаторы, например IP-адреса, больше не могут служить надежной основой для политики безопасности. Требуется применять дополнительные признаки, позволяющие точно идентифицировать устройство, и на их основе формировать правила доступа и фильтрации трафика.

Кроме того, ужесточаются требования к защите удаленного доступа. Нужно не только аутентифицировать пользователей, к примеру, с помощью сертификатов, но и проверять, соответствуют ли удаленные устройства установленным политикам безопасности.

Расширяется и перечень обязательных средств защиты. Если раньше системы обнаружения вторжений были обязательны не для всех классов, то теперь их использование требуется повсеместно.

Также появляется отдельный блок требований, касающийся защиты веб-технологий и программных интерфейсов, а также противодействия атакам отказа в обслуживании. Это влечет за собой внедрение дополнительных специализированных решений.

В общем и целом, суть преобразований сводится к тому, чтобы сделать сетевую защиту более всеобъемлющей и эшелонированной. Подобный подход призван укрепить устойчивость инфраструктуры, а также уменьшить вероятность как вторжения, так и перемещения угроз внутри информационных систем.

CNews: Какие трансформации в построении сетевой инфраструктуры сегодня становятся обязательными, и какие методики или инструменты позволяют внедрить их без кардинального изменения всей ИТ-экосистемы?

Павел Коростелев: Основой сетевой безопасности до сих пор служит аппаратный межсетевой экран. Это универсальное устройство, прочно интегрированное в инфраструктуру, однако у него имеются недостатки — в первую очередь, ограничения по вычислительным мощностям и пропускной способности. Чем больше задач по защите на него возлагается, тем заметнее снижается его быстродействие.

Проблема усугубляется тем, что в настоящее время до 80% сетевого трафика шифруется, а запросы на пропускную способность непрерывно увеличиваются. При этом межсетевые экраны по факту не проверяют весь поток: они анализируют лишь несколько пакетов, после чего «помечают» сессию и прекращают ее углубленную инспекцию. Это открывает лазейки для обхода защитных механизмов.

Еще один фактор — повышение стоимости аппаратных решений из-за удорожания комплектующих. В итоге рынок постепенно смещается в сторону гибридной модели.

Речь идет о комбинировании различных видов межсетевых экранов. Аппаратные устройства сохраняются на периметре — например, на стыке с интернетом. Однако внутри инфраструктуры, особенно в виртуальной среде, все большее значение приобретают программные продукты: файрволы уровня гипервизора, встроенные в системы виртуализации, а также хостовые экраны.

Это особенно важно для современных дата-центров, где пропускная способность сети составляет десятки и сотни гигабит в секунду — в таких условиях опора исключительно на аппаратные решения становится нерациональной.

Ключевой принцип — интеграция всех этих компонентов в единую систему управления и мониторинга: аппаратных, виртуальных, хостовых, а в перспективе — облачных и контейнерных. Это дает возможность повысить эффективность контроля доступа, уменьшить угрозу проникновения и локализовать распространение атак внутри сети.

По сути, мы движемся к распределенной многослойной модели сетевой защиты, которую можно внедрить без коренной перестройки инфраструктуры.

CNews: С какими ключевыми проблемами сталкиваются компании при приведении своих систем в соответствие с новыми нормативами — и как их можно смягчить на практике?

Павел Коростелев: Основная трудность сегодня заключается в том, что требования уже установлены, однако устоявшейся методики их выполнения пока не существует. Типовые подходы только начинают складываться, поэтому организации фактически становятся первопроходцами и вынуждены самостоятельно искать решения.

Существенные вопросы возникают к регламентной составляющей: требуется пересмотр политик, стандартов и внутренних регламентов. Особую сложность представляет обязательный переход на сертифицированные операционные системы, а также инструменты виртуализации и контейнеризации. Это влечет за собой не локальные корректировки, а значительную трансформацию инфраструктуры и внутренних рабочих процессов.

Следует подчеркнуть, что требования к самим защитным механизмам становятся более жесткими. Если ранее часть решений, к примеру системы выявления вторжений, применялась точечно, то сейчас они становятся обязательными к внедрению. Также необходимо внедрять инструменты, обеспечивающие более всесторонний контроль и защиту.

Особая проблема — согласование различных контуров безопасности: государственных информационных систем, критически важных объектов КИИ и систем, обрабатывающих персональные данные. В зонах их пересечения возникает множество противоречий и практических сложностей.

Снизить эти риски можно благодаря постепенному внедрению, разработке внутренних стандартов и пилотированию решений перед их масштабированием. Однако в целом текущий этап можно охарактеризовать как период накопления опыта: в ближайшее время рынок будет активно формировать рабочие модели для соблюдения новых требований.

CNews: Какие классы решений сегодня становятся основными при создании защищенной сетевой инфраструктуры, и какие из них, на ваш взгляд, остаются недооцененными?

Павел Коростелев: Основными элементами по-прежнему выступают межсетевые экраны — это фундаментальные «строительные блоки» системы сетевой безопасности, от которых невозможно отказаться из-за их универсальности. Существует множество сценариев, где без них обойтись крайне трудно, особенно на границе сети.

Особого внимания заслуживают системы защиты веб-приложений. Это критически важное направление, так как веб-приложения относительно легко создавать, но значительно сложнее обезопасить. В итоге именно они часто становятся точкой входа для атак и последующего проникновения в инфраструктуру.

Также значимую роль играют системы обнаружения вторжений с возможностью хранения сетевого трафика. Они позволяют не только выявлять атаки, но и проводить ретроспективный анализ — например, разбирать инциденты задним числом и понимать, как именно происходило проникновение.

Еще один важный класс — решения для безопасного удаленного доступа. Если раньше это был, по сути, VPN с сертификатом, то теперь требования ужесточились: необходимо проверять состояние конечного устройства, наличие защитных средств и соответствие политикам безопасности до установки соединения.

При этом, на мой взгляд, недооцененными остаются альтернативные методы фильтрации трафика — в первую очередь хостовые межсетевые экраны и решения уровня гипервизора. Их применение может значительно упростить обеспечение безопасности, особенно в крупных и распределенных инфраструктурах.

«Наши продукты позволяют точечно настраивать защиту между различными сегментами инфраструктуры, не усложняя при этом архитектуру»

CNews: Каким образом трансформируется значение комплексного подхода и объединения разных защитных инструментов? Насколько критично формирование единой экосистемы решений, а не простого набора изолированных продуктов?

Павел Коростелев: В данном случае многое определяется типом клиента и особенностями его инфраструктуры. При этом ситуация, когда применяются полностью автономные средства без какой-либо координации, в реальности встречается нечасто: как минимум на этапе мониторинга данные с логов обычно стекаются и обрабатываются в одном центре.

Крупные заказчики, в свою очередь, с осторожностью относятся к концепции единой экосистемы от одного производителя. Согласно нашей практике, подобные модели зачастую расцениваются как источник риска — из-за привязки к вендору, увеличения расходов и ограниченного влияния на эволюцию продукта.

Таким образом, наиболее сбалансированный вариант находится между двумя этими полюсами. Мы ведем речь не о замкнутой универсальной экосистеме, а о комплексе решений с отработанными интеграциями. Производитель должен формировать прозрачную модель технологического партнерства и совместно с другими участниками рынка развивать востребованные сценарии.

Это могут быть, к примеру, интеграция инструментов аутентификации в контексте удаленного доступа, взаимодействие межсетевых экранов с песочницами для углубленного анализа трафика, а также системы для централизованного управления и проверки политик безопасности в среде с несколькими вендорами.

В конечном счете именно такая стратегия — через продуманные интеграции и согласование развития с технологическими партнерами — сегодня оказывается наиболее эффективной. Крупные заказчики не склонны переходить на моновендорные экосистемы, однако они заинтересованы в том, чтобы продукты функционировали как единое целое: это уменьшает эксплуатационные расходы и позволяет направить ресурсы специалистов на более приоритетные задачи.

CNews: А каким образом решения «Кода Безопасности» содействуют заказчикам в построении такой архитектуры и выполнении требований регулятора в сфере сетевой безопасности?

Павел Коростелев: Мы уже долгое время занимаемся сетевой безопасностью, и для нас государственный сектор вместе со смежными организациями представляет собой один из главных рынков. Поэтому все продукты на протяжении своего жизненного цикла проходят сертификацию согласно стандартам ФСТЭК, а при необходимости — и ФСБ.

Исторически мы придерживаемся принципов нулевого доверия: при принятии решений мы учитываем не только IP-адреса, но и дополнительные атрибуты безопасности. Это дает возможность повысить уровень защиты инфраструктуры и соответствовать актуальным нормативным требованиям.

Отдельное направление — это обеспечение безопасности каналов связи, в том числе для систем с жесткими криптографическими требованиями. Мы предлагаем решения, сертифицированные по классам КС3 и КВ, что особенно значимо для федеральных государственных информационных систем.

Основным решением в сфере сетевой безопасности выступает межсетевой экран следующего поколения (NGFW) «Континент 4», который сочетает в себе базовую фильтрацию трафика, распознавание пользователей, систему предотвращения вторжений и способность взаимодействовать с иными защитными инструментами. Для нас крайне важно подтверждать его результативность с помощью независимых внешних испытаний.

Кроме того, мы активно развиваем направление безопасного удаленного подключения: поддерживаем VPN-клиенты для разных операционных систем — от Windows и macOS до мобильных платформ и «Авроры» — и гарантируем проверку соответствия устройств требованиям безопасности.

Также мы сосредотачиваем усилия на защите веб-технологий — как в части безопасного доступа к корпоративным ресурсам, так и в части обеспечения безопасности веб-приложений.

В итоге это дает возможность формировать всеобъемлющую архитектуру сетевой безопасности, объединять разные защитные механизмы и удовлетворять требования регулятора без необходимости кардинальной перестройки инфраструктуры.

CNews: Хотелось бы отдельно обсудить защиту виртуальных сред. Какие риски и требования в этой области сегодня становятся наиболее актуальными?

Павел Коростелев: Рынок виртуализации сейчас переживает активные изменения. Если до 2022 года лидировали зарубежные продукты, то сейчас клиенты постепенно переходят на отечественные платформы. При этом вместо одного-двух привычных решений появляется множество вариантов, и каждый вендор предлагает собственное видение архитектуры и взаимодействия. Это порождает дополнительные сложности и неопределенность при организации защиты.

С другой стороны, для разработчиков средств безопасности это открывает новые перспективы. Усиливается сотрудничество с вендорами виртуализации, что позволяет внедрять подходы к защите, которые ранее были недоступны — в том числе на уровне сетевой безопасности внутри виртуальной среды.

С точки зрения требований, ключевым аспектом является необходимость применения сертифицированных операционных систем, сред виртуализации и контейнеризации. Однако одной сертификации самой платформы недостаточно. Если речь идет о фильтрации трафика внутри виртуальной среды, она должна либо сама обладать функционалом межсетевого экрана с соответствующей сертификацией, либо потребуется использовать отдельные защитные средства, сертифицированные для работы в таких средах.

Таким образом, основной акцент смещается на контроль и сегментацию трафика внутри виртуальной инфраструктуры, а также на правильную интеграцию средств защиты с платформами виртуализации. Именно здесь сегодня возникает наибольшее количество как рисков, так и новых возможностей.

CNews: Какую роль в этом контексте играют решения для защиты виртуальной инфраструктуры, например vGate, и как они помогают справляться с новыми требованиями и задачами безопасности?

Павел Коростелев: Инструменты, подобные vGate, позволяют организовать дополнительный уровень защиты непосредственно внутри виртуального окружения. Один из главных вариантов использования — совместная работа vGate с NGFW «Континент 4»: в такой схеме трафик между виртуальными машинами может перехватываться без изменений, отправляться на анализ и затем возвращаться обратно. Это дает возможность точечно применять защитные механизмы между разными сегментами инфраструктуры, не усложняя ее архитектуру.

Подобный метод значительно увеличивает гибкость и скорость внедрения изменений, а также помогает соблюдать требования регулятора без установки множества отдельных специализированных виртуальных средств защиты. При этом эффективность системы возрастает по мере расширения инфраструктуры: чем больше виртуальная среда, тем более целесообразным становится использование vGate.

Также важно, что это зрелое решение с высокой степенью надежности: оно прошло тестирование на крупных стендах — более 10 тысяч виртуальных машин — и успешно справляется с такой нагрузкой. Это особенно значимо в условиях перехода клиентов на сертифицированные платформы виртуализации в соответствии с требованиями 117-го приказа и общей цифровой трансформацией.

Дополнительное преимущество дает модель лицензирования: по мере роста инфраструктуры применение vGate становится экономически более выгодным, чем использование отдельных виртуальных или физических средств защиты.

Отдельно стоит упомянуть интеграцию с решениями для безопасного удаленного доступа. Здесь ключевую роль играют многофакторная аутентификация и проверка состояния конечного устройства до подключения. В рамках развития решений класса ZTNA, таких как «Континент ZTN», эти функции уже реализованы и могут дополняться интеграцией с другими продуктами — например, средствами контроля защищенности рабочих станций. Это помогает снизить риски компрометации через удаленный доступ и дополнительно укрепить защиту виртуальной инфраструктуры.

Оформить подписку на обновления Краткий адрес
Поделиться:
Устали от зоопарка IT-систем? Одна платформа заменит десяток инструментов

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Новости Hardware 1928 Новости Software 1621 Игры 119 Смартфоны и связь 70 Авто и транспорт 18 Гаджеты 25 Носимая электроника 9 Фото и видео 3 ОС и софт 745 Космос 13 Графика и дизайн 0 Аудио и видео 1 Наука 21 Процессоры 30 Безопасность 751 AI и нейросети 47 Открытое ПО 15 Аналитика 582 Мероприятия 4 Пресс-релизы 0 ИКТ-бизнес 739 Телеком 738 Интернет 768 Новости 1237
Похожие новости
Card image
Новости Hardware
ИИ-пузырь лопнул? Акции технологических гигантов США обвалились на фоне страхов инвесторов
Card image
ИКТ-бизнес
Колледж как трамплин в IT и креатив: почему это работает
Card image
Новости Hardware
Самый тонкий Android-планшет в мире: представлен новый флагман
Популярные новости
product
Цифровизация промышленности: кейсы российских лидеров на CNews FORUM 2026

28/04/2026

product
Цифровизация промышленности: кейсы и опыт лидеров рынка на CNews FORUM 2026

02/05/2026

product
Топ-менеджеры российских компаний раскроют секреты цифровой трансформации на CNews FORUM Кейсы 2026

08/05/2026

product
Cyberbird запускает «вечный» кредит: как работает возобновляемая линия для бизнеса

14/05/2026

product
Ozon вступает в гонку с Китаем за дефицитные ИИ-серверы на Nvidia B300: цена достигла $1 млн

10/05/2026

product
Мест в «белых списках» сайтов больше нет: Минцифры признало лимит

06/05/2026

product
Цифровой паспорт здоровья: каждому россиянину создадут электронный медпрофиль к 2030 году

28/04/2026

product
CNews FORUM Кейсы 2026: Как ИТ-директора решают реальные проблемы бизнеса — встретимся лично

22/05/2026

product
ЕС ударил по «глазам» и «мозгам» российских дронов: под санкции попали разработчики БПЛА и ключевой поставщик электроники

06/05/2026

product
Telegram теряет корпоративный сектор: бизнес массово переходит на российские мессенджеры

04/05/2026

Популярные теги
Apple Google Microsoft NVIDIA OpenAI Samsung Steam ИИ ИТ-инфраструктура Китай МТС МегаФон Россия США ЦОД автоматизация анонс безопасность дата выхода дата-центры защита данных импортозамещение инвестиции информационная безопасность искусственный интеллект кибератаки кибербезопасность мобильная связь мобильный интернет обзор обновление полупроводники российское ПО связь суд телекоммуникации фишинг характеристики цена цифровая трансформация
Показать все теги