Top.Mail.Ru
Мы на Workspace
Наверх
Gendalf Gendalf

Представьте себе цифровую крепость госучреждения. Базы данных с персональными сведениями граждан, внутренние министерские сервисы, порталы госуслуг – все это ежедневно находится под прицелом хакеров. Межсетевой экран (он же МЭ, брандмауэр или файрвол) – это главный страж вашей сети. Он круглосуточно анализирует весь входящий и исходящий трафик по строгим правилам, отсекая кибератаки и блокируя попытки взлома.

Для ИТ-директора или специалиста по безопасности в госсекторе покупка такого оборудования – это не просто выбор железа, а решение сложного квеста, где нужно одновременно угодить и системным администраторам, и строгим регуляторам. Давайте разберем, как пройти этот путь без штрафов и лазеек в безопасности.

Межсетевой экран: какой выбрать?

Если перед вами стоит задача, какой межсетевой экран выбрать для своей организации, забудьте про классические файрволы прошлых поколений. Раньше брандмауэры были довольно простыми: они были обращены только на сетевой и транспортный уровни (L3/L4) – проверяли IP-адреса, порты и состояние соединений. Сегодня хакеры научились легко обходить такую защиту.

Современный стандарт для госструктур – это многофункциональные межсетевые экраны нового поколения, известные как NGFW.

В чем преимущество? Они работают на прикладном уровне (L7). Это значит, что NGFW делает глубокий анализ пакетов (DPI) и видит трафик насквозь. Он понимает, какие именно приложения запущены внутри сети, и может заблокировать условный опасный мессенджер, даже если тот пытается маскироваться под обычный веб-браузер. Кроме того, NGFW умеет заглядывать внутрь зашифрованных SSL/TLS-соединений.

Коротко о разнице с UTM

На рынке часто встречаются устройства UTM (Unified Threat Management). Это «комбайны» для малого бизнеса, где в одну коробку наспех закинули антивирус, спам-фильтр и базовый экран. Для серьезных государственных ИС с огромными пиковыми нагрузками они не подходят – здесь нужны мощные и специализированные NGFW-системы.

Классификация ФСТЭК: межсетевой экран какие бывают по типам и классам

В госсекторе нельзя поставить первый попавшийся красивый роутер. Главный контролирующий орган в ИБ – ФСТЭК России – жестко оценивает защитные решения и выдает им сертификаты соответствия. Давайте разберемся, межсетевой экран, какие бывают версии с точки зрения регулятора.

Разделение по типам (где устанавливаем)

  • Тип «А» (Сечевой периметр). Ставится на физической границе всей сети или между большими департаментами. Для высоких классов защиты должен быть строго в виде отдельного физического устройства (ПАК).

  • Тип «Б» (Логическая граница). Защищает логический периметр сети, может быть как программой, так и «железом».

  • Тип «В» (Уровень хоста). Программа, которая ставится прямо на конкретный рабочий компьютер или сервер сотрудника (часто идет в комплекте систем Endpoint Protection).

  • Тип «Г» (Для веб-сайтов). Это так называемые Web Application Firewall (WAF). Они защищают госсайты и порталы от веб-атак по протоколу HTTP/HTTPS.

  • Тип «Д» (Для заводов и инфраструктуры). МЭ для промышленных сетей (АСУ ТП). Понимают сложные индустриальные протоколы и критически важны для объектов КИИ.

Разделение по классам (что защищаем)

Классы показывают уровень надежности – от 1 (самый мощный) до 6 (базовый). Интересный факт: на 2026 год сертифицированных МЭ 1-го класса в реестре ФСТЭК попросту нет, поэтому для гостайны берут 2-й класс.

Класс защиты Что им защищают в госсекторе? Примеры сертифицированных решений
2 класс Системы с государственной тайной (гриф «секретно»). «Рубикон», Dionis-NX, АПК «Маршрутизатор доступа».
3 класс Информационные системы повышенной конфиденциальности. «Континент 3» (тип «А»).
4 класс Самый частый выбор. ГИС К1, медицинские данные (биометрия, диагнозы), КИИ. UserGate NGFW, ViPNet Coordinator, Ideco NGFW, Kaspersky NGFW, InfoWatch ARMA Стена.
5 класс ГИС К2, стандартные базы данных сотрудников. ESR (тип «А»).
6 класс ГИС К3/К4, открытые данные, ИС муниципальных служб (ЖКХ, транспорт). RusPoint NGFW.

Ключевые характеристики межсетевого экрана и требования к нему

Когда вы будете писать техническое задание для госзакупки, нельзя просто указать: «хотим экран 4-го класса». Нужна конкретика. Главные функции межсетевого экрана и характеристики межсетевого экрана делятся на две части:

Технический минимум

  1. DPI и L7-фильтрация. Устройство должно уметь распознавать типы трафика «на лету» и блокировать угрозы в зашифрованных потоках.

  2. Отечественный VPN (ГОСТ). Для госорганов обязательна организация безопасных каналов связи между филиалами с использованием сертифицированного российского шифрования.

  3. Умный аудит. Экран должен мгновенно записывать все инциденты и уметь передавать логи в SIEM-системы мониторинга.

  4. Защита от обхода. Микрокод устройства должен быть защищен от взлома и несанкционированного изменения настроек.

Эксплуатационные требования (что придется делать вам)

  • Назначить приказом ответственных администраторов.

  • Разработать официальные политики фильтрации и делать бэкапы конфигураций.

  • Регулярно обновлять базы сигнатур угроз, иначе через полгода устройство устареет и пропустит новые вирусы.

Законодательство и импортозамещение

В госсекторе требования законов № 149-ФЗ, № 152-ФЗ (о персональных данных) и № 187-ФЗ (о КИИ) – это не пустой звук. Наличие сертификата ФСТЭК автоматически снимает кучу головной боли при проверках регуляторов и упрощает обязательную аттестацию систем.

Кроме того, работает жесткий курс на импортозамещение: выбранный вами NGFW должен находиться в Едином реестре отечественного ПО Минцифры или в реестре Минпромторга. Продукты вроде Kaspersky NGFW, «Континент 4» или UserGate полностью закрывают эти требования.

Главные ошибки при закупке: как не потерять бюджет?

Напоследок – три типичные ловушки, в которые часто попадают госзаказчики:

  1. Вера в мегабиты. «Пропускная способность – 10 Гбит/с!». Но это скорость работы в режиме простого роутера. Как только вы включите глубокую инспекцию (DPI), проверку SSL и систему предотвращения вторжений (IPS), скорость может упасть в 3–5 раз. Сеть просто перестанет работать. Всегда смотрите на показатель NGFW Throughput (производительность со всеми включенными функциями безопасности).

  2. Покупка железа без подписок. Сам по себе межсетевой экран без обновлений не имеет смысла. Чтобы он распознавал новые угрозы, нужны ежегодные лицензии на сигнатурные базы. Закладывайте эти расходы в бюджет сразу.

  3. Отсутствие запаса. Нагрузка на государственные ИС растет каждый год. Если купить устройство впритык под текущий трафик, уже через пару лет придется проводить новую закупку. Закладывайте запас по производительности хотя бы в 30–50%.

Правильный выбор межсетевого экрана для госсектора – это баланс между требованиями законов и реальной производительностью. Начните с четкого аудита вашей сети, определите нужный класс защиты по ФСТЭК, и ваша цифровая инфтрастуктура будет под надежной охраной.

Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)