Журнал "Information Security/ Информационная безопасность" #1, 2026

Приказ № 117 1 требует реализовать базовые меры, адаптировать их к кон- кретной архитектуре, проверить их при- менимость с учетом актуальных угроз и, при необходимости, обосновать компен- сирующие решения. Это означает, что при проверке будут анализироваться не только документы и перечень внедрен- ных средств, но и то, как именно они встроены в инфраструктуру и каким образом управляются. Предметом оценки становится архи- тектура: сегментация сети, разграниче- ние сред, контроль межсегментных взаи- модействий, порядок изменения политик безопасности. В этой логике сетевой уровень – не вспомогательный элемент, а механизм, через который реализуется значительная часть требований. Изменение топологии – изменение статуса Поправки к 187-ФЗ уточнили порядок категорирования объектов КИИ и меха- низм актуализации категории. Пере- смотр требуется не только по истечении установленного срока, но и при измене- нии назначения объекта, параметров его функционирования или появлении новых угроз. Практическое следствие поправок: архитектурные изменения при- обретают регуляторное значение. Под- ключение нового внешнего сервиса, рас- ширение интеграций, рост числа поль- зователей, изменение схемы удаленного доступа или перераспределение функ- ций между площадками могут повлиять на категорию значимости ОКИИ. Если сегменты информационной системы связаны напрямую и без управ- ляемых ограничений, инцидент в одном из них автоматически повышает мас- штаб потенциального ущерба. Форма- лизованная сегментация, реализованная через сетевые политики, позволяет ограничить распространение воздей- ствия и обосновать локализацию риска. Межсетевой экран или NGFW 2 в этой конструкции выступает как инструмент технического разделения контуров. При оценке возможного масштаба послед- ствий архитектура сегментации может играть существенную роль, поскольку она определяет, насколько локализуемо воздействие инцидента. Адаптация мер к архитектуре Новые требования требуют реализо- вать базовые меры защиты, адаптировать их к конкретной информационной систе- ме и подтвердить их соответствие акту- альным угрозам. В случае невозможности реализации отдельных мер оператор обя- зан внедрить компенсирующие решения и обосновать их достаточность. Это означает, что модель "реализова- ли меры по классу защищенности и закрыли вопрос" больше не работает. Архитектура системы становится пере- менной, от которой зависит выбор и кон- фигурация мер. Если в инфраструктуре присутствуют внешние интеграции, удаленное адми- нистрирование, распределенные пло- щадки, облачные компоненты или под- рядчики, то регулятор будет оценивать, каким образом ограничены взаимодей- ствия между сегментами и как контро- лируется доступ к значимым узлам. На практике адаптация мер чаще всего реализуется на сетевом уровне. Именно через межсетевой экран L4 или NGFW настраиваются: l ограничения маршрутов между сег- ментами, l разрешенные сервисы и приложения, l правила межсегментного взаимодей- ствия, l контроль трафика на уровне прило- жений, l журналирование сетевых соединений. Если сетевые политики построены формально (например, "разрешено все внутри контура"), то адаптация мер к архитектуре отсутствует. В этом случае соответствие требованиям будет носить декларативный характер. Другими словами, сетевой контроль становится технической площадкой, где выполняется требование об адаптации мер к конкретной ИС. Изоляция подрядчиков должна быть реализована технически Приказ № 117 уделяет отдельное вни- мание взаимодействию с подрядными организациями. Оператор обязан исклю- чить возможность несанкционированно- го доступа или воздействия на инфор- мационную систему через инфраструк- туру подрядчика, каналы связи или интерфейсы взаимодействия. С практической точки зрения это озна- чает, что доступ подрядчика должен быть строго ограничен по: l сегментам сети, l конкретным узлам, l протоколам и сервисам, l времени доступа, l действиям, подлежащим журналиро- ванию. Модель, при которой подрядчик под- ключается по VPN и получает доступ к продуктивному сегменту без дополни- тельной сегментации, трудно признать соответствующей этим требованиям. Изоляции реализуется через управ- ляемые сетевые политики. NGFW поз- воляет ограничить доступ не только по IP-адресам и портам, но и по типам при- 54 • ТЕХНОЛОГИИ Приказ № 117 и роль NGFW в архитектуре защиты марта 2026 г. вступил в силу приказ ФСТЭК России № 117 от 11.04.2025, который заменил приказ № 17 и распростра- нил требования по защите информации не только на ГИС, но и на иные информационные системы государственных органов и учреждений. А поправки к 187-ФЗ, принятые в 2025 г., уточнили состав субъектов КИИ и усилили требования по взаимодействию с ГосСОПКА. Содержательно это не револю- ция, набор мер защиты не стал принципиально иным, но изменился фокус проверки. 1 Антон Рысев, директор по правовым вопросам, Ideco Фото: Ideco 1 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-utverzhdeny-prikazom-fstek-rossii-ot- 11-aprelya-2025-g-n-117 2 https://ideco.ru/ngfw-novum