Представьте себе цифровую крепость госучреждения. Базы данных с персональными сведениями граждан, внутренние министерские сервисы, порталы госуслуг – все это ежедневно находится под прицелом хакеров. Межсетевой экран (он же МЭ, брандмауэр или файрвол) – это главный страж вашей сети. Он круглосуточно анализирует весь входящий и исходящий трафик по строгим правилам, отсекая кибератаки и блокируя попытки взлома.
Для ИТ-директора или специалиста по безопасности в госсекторе покупка такого оборудования – это не просто выбор железа, а решение сложного квеста, где нужно одновременно угодить и системным администраторам, и строгим регуляторам. Давайте разберем, как пройти этот путь без штрафов и лазеек в безопасности.
Межсетевой экран: какой выбрать?
Если перед вами стоит задача, какой межсетевой экран выбрать для своей организации, забудьте про классические файрволы прошлых поколений. Раньше брандмауэры были довольно простыми: они были обращены только на сетевой и транспортный уровни (L3/L4) – проверяли IP-адреса, порты и состояние соединений. Сегодня хакеры научились легко обходить такую защиту.
Современный стандарт для госструктур – это многофункциональные межсетевые экраны нового поколения, известные как NGFW.
В чем преимущество? Они работают на прикладном уровне (L7). Это значит, что NGFW делает глубокий анализ пакетов (DPI) и видит трафик насквозь. Он понимает, какие именно приложения запущены внутри сети, и может заблокировать условный опасный мессенджер, даже если тот пытается маскироваться под обычный веб-браузер. Кроме того, NGFW умеет заглядывать внутрь зашифрованных SSL/TLS-соединений.
Коротко о разнице с UTM
На рынке часто встречаются устройства UTM (Unified Threat Management). Это «комбайны» для малого бизнеса, где в одну коробку наспех закинули антивирус, спам-фильтр и базовый экран. Для серьезных государственных ИС с огромными пиковыми нагрузками они не подходят – здесь нужны мощные и специализированные NGFW-системы.
Классификация ФСТЭК: межсетевой экран какие бывают по типам и классам
В госсекторе нельзя поставить первый попавшийся красивый роутер. Главный контролирующий орган в ИБ – ФСТЭК России – жестко оценивает защитные решения и выдает им сертификаты соответствия. Давайте разберемся, межсетевой экран, какие бывают версии с точки зрения регулятора.
Разделение по типам (где устанавливаем)
-
Тип «А» (Сечевой периметр). Ставится на физической границе всей сети или между большими департаментами. Для высоких классов защиты должен быть строго в виде отдельного физического устройства (ПАК).
-
Тип «Б» (Логическая граница). Защищает логический периметр сети, может быть как программой, так и «железом».
-
Тип «В» (Уровень хоста). Программа, которая ставится прямо на конкретный рабочий компьютер или сервер сотрудника (часто идет в комплекте систем Endpoint Protection).
-
Тип «Г» (Для веб-сайтов). Это так называемые Web Application Firewall (WAF). Они защищают госсайты и порталы от веб-атак по протоколу HTTP/HTTPS.
-
Тип «Д» (Для заводов и инфраструктуры). МЭ для промышленных сетей (АСУ ТП). Понимают сложные индустриальные протоколы и критически важны для объектов КИИ.
Разделение по классам (что защищаем)
Классы показывают уровень надежности – от 1 (самый мощный) до 6 (базовый). Интересный факт: на 2026 год сертифицированных МЭ 1-го класса в реестре ФСТЭК попросту нет, поэтому для гостайны берут 2-й класс.
| Класс защиты | Что им защищают в госсекторе? | Примеры сертифицированных решений |
|---|---|---|
| 2 класс | Системы с государственной тайной (гриф «секретно»). | «Рубикон», Dionis-NX, АПК «Маршрутизатор доступа». |
| 3 класс | Информационные системы повышенной конфиденциальности. | «Континент 3» (тип «А»). |
| 4 класс | Самый частый выбор. ГИС К1, медицинские данные (биометрия, диагнозы), КИИ. | UserGate NGFW, ViPNet Coordinator, Ideco NGFW, Kaspersky NGFW, InfoWatch ARMA Стена. |
| 5 класс | ГИС К2, стандартные базы данных сотрудников. | ESR (тип «А»). |
| 6 класс | ГИС К3/К4, открытые данные, ИС муниципальных служб (ЖКХ, транспорт). | RusPoint NGFW. |
Ключевые характеристики межсетевого экрана и требования к нему
Когда вы будете писать техническое задание для госзакупки, нельзя просто указать: «хотим экран 4-го класса». Нужна конкретика. Главные функции межсетевого экрана и характеристики межсетевого экрана делятся на две части:
Технический минимум
-
DPI и L7-фильтрация. Устройство должно уметь распознавать типы трафика «на лету» и блокировать угрозы в зашифрованных потоках.
-
Отечественный VPN (ГОСТ). Для госорганов обязательна организация безопасных каналов связи между филиалами с использованием сертифицированного российского шифрования.
-
Умный аудит. Экран должен мгновенно записывать все инциденты и уметь передавать логи в SIEM-системы мониторинга.
-
Защита от обхода. Микрокод устройства должен быть защищен от взлома и несанкционированного изменения настроек.
Эксплуатационные требования (что придется делать вам)
-
Назначить приказом ответственных администраторов.
-
Разработать официальные политики фильтрации и делать бэкапы конфигураций.
-
Регулярно обновлять базы сигнатур угроз, иначе через полгода устройство устареет и пропустит новые вирусы.
Законодательство и импортозамещение
В госсекторе требования законов № 149-ФЗ, № 152-ФЗ (о персональных данных) и № 187-ФЗ (о КИИ) – это не пустой звук. Наличие сертификата ФСТЭК автоматически снимает кучу головной боли при проверках регуляторов и упрощает обязательную аттестацию систем.
Кроме того, работает жесткий курс на импортозамещение: выбранный вами NGFW должен находиться в Едином реестре отечественного ПО Минцифры или в реестре Минпромторга. Продукты вроде Kaspersky NGFW, «Континент 4» или UserGate полностью закрывают эти требования.
Главные ошибки при закупке: как не потерять бюджет?
Напоследок – три типичные ловушки, в которые часто попадают госзаказчики:
-
Вера в мегабиты. «Пропускная способность – 10 Гбит/с!». Но это скорость работы в режиме простого роутера. Как только вы включите глубокую инспекцию (DPI), проверку SSL и систему предотвращения вторжений (IPS), скорость может упасть в 3–5 раз. Сеть просто перестанет работать. Всегда смотрите на показатель NGFW Throughput (производительность со всеми включенными функциями безопасности).
-
Покупка железа без подписок. Сам по себе межсетевой экран без обновлений не имеет смысла. Чтобы он распознавал новые угрозы, нужны ежегодные лицензии на сигнатурные базы. Закладывайте эти расходы в бюджет сразу.
-
Отсутствие запаса. Нагрузка на государственные ИС растет каждый год. Если купить устройство впритык под текущий трафик, уже через пару лет придется проводить новую закупку. Закладывайте запас по производительности хотя бы в 30–50%.
Правильный выбор межсетевого экрана для госсектора – это баланс между требованиями законов и реальной производительностью. Начните с четкого аудита вашей сети, определите нужный класс защиты по ФСТЭК, и ваша цифровая инфтрастуктура будет под надежной охраной.