Журнал "Information Security/ Информационная безопасность" #1, 2026

ложений, конкретным сервисам и сце- нариям взаимодействия. Кроме того, сетевой уровень обеспечивает фиксацию факта подключения, направления тра- фика и попыток выхода за пределы раз- решенного сегмента. Если сегментация не реализована тех- нически, а описана только в регламентах, будет сложно продемонстрировать регу- лятору фактическое ограничение воз- действия подрядчика на значимые ком- поненты. В этой части требования при- каза напрямую переводятся в настройки сетевого контроля. Привилегированный доступ Приказ № 117 устанавливает требо- вания к защите информации при предо- ставлении привилегированного доступа. Предусмотрена строгая аутентификация, а при невозможности – многофакторная. Закрепляется также необходимость при- менения систем управления привилеги- рованными учетными записями. В нормативной формулировке это выгля- дит как общее требование к администра- торам. В архитектурной плоскости речь идет о контроле над управлением инфра- структурой, включая сетевые устройства. Изменение политики межсетевого экрана может открыть или закрыть доступ к значимым сегментам, изменить маршруты взаимодействия, расширить или сузить область распространения инцидента. Фактически это изменение модели угроз. Поэтому администриро- вание NGFW – это не техническая опе- рация, а управленческое действие с последствиями для соответствия требо- ваниям. Если доступ к межсетевому экрану осуществляется через локальные учет- ные записи без централизованного конт- роля, если изменения правил не фикси- руются и не проходят процедуру согла- сования, значит требование о контроле привилегированного доступа выполняет- ся формально. В условиях приказа № 117 управление сетевой политикой должно быть включе- но в общий контур контроля: централи- зованная аутентификация, разграниче- ние ролей, журналирование действий, контроль изменений. Без этого сам меха- низм реализации мер становится источ- ником регуляторного риска. Мониторинг и отчетность Новый приказ требует организовать мониторинг событий безопасности и формировать отчеты о его результатах. Для большинства информационных систем это предполагает централизо- ванный сбор и анализ событий. В этой конструкции сетевой уровень играет свою важную роль. Значительная часть признаков инцидентов проявляется именно в трафике: попытки сканирова- ния, аномальные соединения, нетипич- ная активность между сегментами, обра- щения к запрещенным сервисам. NGFW обеспечивает: l анализ трафика на уровне приложе- ний, l контроль использования протоколов и сервисов, l выявление отклонений от установ- ленных политик, l передачу событий в SIEM. Если сетевые соединения проходят без фиксации и корреляции, доказать факт выявления и расследования инци- дента затруднительно. С учетом обяза- тельного взаимодействия с ГосСОПКА и необходимости информирования о компьютерных атаках отсутствие сетевой телеметрии становится слабым местом архитектуры. Таким образом, межсетевой экран выполняет не только функцию фильтра- ции, но и функцию формирования дока- зательной базы – через события, жур- налы и отчеты. Управление уязвимостями сетевых устройств в общем цикле Приказ № 117 закрепляет требования к регулярному обновлению компонентов информационной системы, устранению уязвимостей и документированию результатов. Для критичных уязвимостей предусмотрены сокращенные сроки реа- гирования. Это требование распространяется на все компоненты инфраструктуры, вклю- чая средства защиты. Межсетевой экран не может рассматриваться как статич- ный элемент, установленный один раз и навсегда. Прошивки, модули IPS, меха- низмы анализа приложений и сигнатуры должны обновляться в рамках форма- лизованного процесса. Если сетевое устройство эксплуати- руется без регулярных обновлений и оценки уязвимостей, оно становится потенциальной точкой компрометации значимого сегмента. При проверке будет оцениваться не только наличие NGFW, но и то, как он включен в цикл управления уязвимостями: выявление, оценка, устранение, фиксация резуль- тата. Отсутствие этого цикла может быть расценено как несоблюдение требований по поддержанию защищенности. Непрерывность функционирования Новые требования устанавливают интервалы восстановления функциони- рования информационных систем в зави- симости от класса защищенности. Кроме того, оператор обязан периодически проверять возможность восстановления значимых функций. В типовой архитек- туре межсетевой экран является узлом, через который проходит значительная часть трафика. Его отказ способен оста- новить работу всей системы или отдель- ного сегмента. Если NGFW не имеет резервирования, а процедуры его восстановления не рег- ламентированы и не проверяются, выполнение требований по непрерыв- ности оказывается под вопросом. Отказ сетевого уровня в такой ситуации ста- новится не только технической пробле- мой, но и основанием для признания несоответствия установленным требо- ваниям. Поэтому отказоустойчивость, класте- ризация и регламентированное восста- новление сетевых устройств должны рассматриваться как элементы обес- печения соответствия. Заключение Приказ № 117 не содержит прямого требования внедрить NGFW. В нем нет отдельного пункта, посвященного межсетевым экранам как обязатель- ному классу средств. Однако совокуп- ность требований (адаптация мер к архитектуре, сегментация, контроль доступа, мониторинг, управление уязвимостями, непрерывность функ- ционирования) фактически сходится на сетевом уровне. Это означает необходимость пере- оценки роли межсетевого контроля в инфраструктуре. Вопрос больше не сво- дится к тому, установлен ли межсетевой экран и сертифицирован ли он. Важнее другое: l реализована ли сегментация на прак- тике или только описана в документах; l ограничены ли межсегментные взаи- модействия по принципу необходимости; l контролируются ли изменения сете- вых политик; l фиксируются ли события на уровне приложений, а не только портов; l включен ли NGFW в цикл управления уязвимостями; l обеспечена ли отказоустойчивость сетевого контура. Если сетевой уровень построен по принципу плоской сети с широкими раз- решениями внутри контура, требования приказа будут выполняться формально. При проверке это проявится в невоз- можности продемонстрировать локали- зацию инцидента, контролируемость доступа подрядчиков или управляемость привилегированных изменений. Если же сетевой контроль реализован как управляемая система, с четкой сег- ментацией, централизованным управ- лением, журналированием и интеграцией в мониторинг, – он становится ключевым элементом доказуемого соответствия. Целесообразно не только актуализи- ровать документацию и проверить фор- мальное соответствие требованиям, но и провести архитектурную ревизию сете- вого уровня. Новый приказ усиливает ответствен- ность и делает архитектуру предметом регуляторной оценки. В современных условиях межсетевой контроль – это не просто элемент инфраструктуры, а меха- низм, через который значительная часть требований реализуется на практике, а не просто остается на бумаге. l • 55 ТЕХНОЛОГИИ www.itsec.ru На правах рекламы