04 Июня 2026 13:02 | 04 Июн 2026 13:02 | |

Поделиться

Павел Коростелев, «Код Безопасности»: Требования к ИБ сместились с чек-листа на реальную устойчивость инфраструктуры

«Мы переходим к более комплексной и многоуровневой модели защиты»

CNews: Как вы оцениваете ключевые изменения, которые принес приказ №117 ФСТЭК России для системы защиты государственных информационных систем?

Павел Коростелев: В целом я бы охарактеризовал изменения положительно. Видно, что регулятор заинтересован в адаптации требований под современные реалии: угрозы меняются — и требования развиваются вслед за ними.

Второй важный момент — смещение фокуса в сторону более регулярной оценки защищенности. Причем я имею в виду оценку в широком смысле: это не только аудиты, аттестации или пентесты, но и необходимость для заказчика регулярно, например раз в полгода, проверять, не возникли ли в инфраструктуре типовые ошибки, которые по статистике чаще всего приводят к серьезным инцидентам.

Фактически мы уходим от ситуации, когда есть некий чек-лист, который нужно выполнить, чтобы «все было хорошо», к более гибкому, адаптивному и при этом более эффективному подходу к построению защиты.

CNews: В чем, на ваш взгляд, принципиальное отличие новых требований от предыдущего подхода к обеспечению безопасности?

Павел Коростелев: Отличий довольно много. Первый важный момент — расширение области действия требований. Теперь речь идет не только о защите самой государственной информационной системы, но и инфраструктуры вокруг нее.

Кроме того, с 1 сентября органы власти должны защищать не только ГИС, но и иные информационные системы — те, которые обеспечивают типовые функции: почту, коммуникационные платформы, бухгалтерские и финансовые системы, внутренние порталы и так далее. Раньше основной фокус был именно на ГИС, а все остальное можно было защищать значительно проще.

Еще один момент — устранение возможностей формального обхода требований. Раньше существовали определенные «лазейки», которые позволяли некоторым организациям подходить к требованиям менее вдумчиво. Сейчас такие возможности исчезают.

В итоге те, кто системно инвестировал в безопасность, столкнутся с относительно небольшими доработками. А вот тем, кто занимался этим эпизодически, придется в ускоренном режиме наращивать уровень защиты.

Также я бы отдельно отметил акцент на защите от атак через подрядчиков. По статистике последних лет подавляющее большинство крупных инцидентов начиналось именно с компрометации подрядных организаций. Регулятор на это обращает особое внимание.

CNews: Можно ли говорить о том, что регулятор сместил фокус с формального соответствия на реальную защищенность инфраструктуры? Как это отражается на практике?

Павел Коростелев: Я бы не сказал, что это произошло одномоментно — например, с публикацией приказа. Здесь лучше говорить о поступательном, однонаправленном процессе, который регулятор последовательно реализует уже несколько лет.

Мы видим сейчас движение к балансу между формальными требованиями и реальной защищенностью. Это, по сути, два полюса: с одной стороны, необходим базовый перечень обязательных мер — тот самый чек-лист, а с другой — необходимо подтверждение, что меры действительно работают.

ФСТЭК последовательно развивает такой подход — через изменения в требованиях, развитие практики пентестов, аудитов и других инструментов.

На практике это приводит к усложнению и углублению защиты. Например, в сетевой безопасности усиливается сегментация: если раньше выделялся периметр одной системы, то теперь требуется формировать большее количество сегментов. Для систем высокого класса значимости вводится микросегментация — сеть делится на большое количество изолированных участков, что затрудняет распространение атаки внутри инфраструктуры.

Кроме того, усиливается подход, близкий к концепции ZTNA (Zero Trust Network Access, сетевой доступ с нулевым доверием). Если раньше безопасность во многом строилась на IP-адресах, то сейчас этого недостаточно — требуются дополнительные атрибуты для идентификации устройств и управления доступом.

Появляются более детализированные требования к защите удаленного доступа: необходимо проверять соответствие удаленных устройств политикам безопасности и использовать надежные механизмы аутентификации.

Расширяются требования к средствам обнаружения вторжений — теперь они актуальны для всех классов систем. Добавляются отдельные требования к защите веб-приложений и программных интерфейсов, а также к защите от атак отказа в обслуживании.

В целом мы переходим к более комплексной и многоуровневой модели защиты, которая направлена не только на формальное соответствие, но и на реальную устойчивость информационных систем.

«В ближайшее время рынок будет активно формировать рабочие модели соответствия новым требованиям»

CNews: Как новые требования влияют именно на подходы к построению сетевой безопасности?

Павел Коростелев: Если раньше предполагалось, что достаточно выделить периметр одной информационной системы, то теперь, с учетом расширения области действия требований, речь идет уже о необходимости более детального сегментирования. Фактически нужно выстраивать множество изолированных сегментов внутри инфраструктуры.

Для государственных информационных систем класса К1 вводится отдельное требование — микросегментация. Это означает, что сеть должна делиться на большое количество атомарных сегментов. Такой подход позволяет существенно ограничить распространение атаки: даже если злоумышленник получил доступ к одному узлу, ему будет значительно сложнее двигаться дальше по сети.

Еще один важный аспект — развитие подхода, близкого к концепции нулевого доверия. В новых требованиях фактически закрепляется необходимость учитывать дополнительные атрибуты безопасности при организации сетевого доступа. Идея здесь в том, что традиционные идентификаторы, такие как IP-адреса, уже не могут рассматриваться как надежная основа для построения политики безопасности. Требуется использовать дополнительные признаки, которые позволяют однозначно идентифицировать устройство и на их основе выстраивать правила доступа и фильтрации трафика.

Также усиливаются требования к защите удаленного доступа. Необходимо не только аутентифицировать пользователей, например с использованием сертификатов, но и проверять соответствие удаленных устройств установленным политикам безопасности.

Расширяется и набор обязательных средств защиты. Если раньше системы обнаружения вторжений были обязательны не для всех классов, то теперь их использование требуется повсеместно.

Кроме того, появляется отдельный блок требований, связанный с защитой веб-технологий и программных интерфейсов, а также с защитой от атак отказа в обслуживании. Это требует внедрения дополнительных специализированных решений.

В целом логика изменений заключается в том, чтобы сделать сетевую безопасность более комплексной и многоуровневой. Такой подход должен повысить устойчивость инфраструктуры и снизить риски как проникновения, так и распространения атак внутри информационных систем.

CNews: Какие изменения в архитектуре сетевой инфраструктуры сегодня становятся необходимыми и какие подходы или решения позволяют реализовать их без радикальной перестройки всей ИТ-среды?

Павел Коростелев: Базовым элементом сетевой безопасности по-прежнему остается аппаратный межсетевой экран. Это универсальный инструмент, глубоко встроенный в инфраструктуру, но у него есть ограничения — прежде всего по ресурсам и пропускной способности. Чем больше функций безопасности на него возлагается, тем сильнее падает его производительность.

Ситуацию усложняет то, что сегодня до 80% сетевого трафика зашифровано, а требования к пропускной способности постоянно растут. При этом межсетевые экраны фактически не анализируют весь поток: они проверяют несколько пакетов, после чего «маркируют» сессию и перестают ее глубоко инспектировать. Это создает потенциальные возможности для обхода защиты.

Дополнительный фактор — рост стоимости аппаратных решений из-за удорожания компонентов. В результате рынок постепенно движется в сторону гибридной модели.

Речь идет о сочетании разных типов межсетевых экранов. Аппаратные решения остаются на периметре — например, на границе с интернетом. Но внутри инфраструктуры, особенно в виртуальной среде, все большую роль играют программные средства: файрволы уровня гипервизора, интегрированные с системами виртуализации, а также хостовые файрволы.

Это особенно актуально для современных дата-центров, где пропускная способность сети достигает десятков и сотен гигабит в секунду — в таких условиях использование только аппаратных решений становится неэффективным.

Ключевой подход — объединение всех этих средств в единую систему управления и мониторинга: аппаратных, виртуальных, хостовых, а в перспективе — облачных и контейнерных. Это позволяет повысить эффективность разграничения доступа, снизить риск проникновения и ограничить распространение атак внутри сети.

По сути, мы переходим к распределенной многоуровневой модели сетевой защиты, которую можно реализовать без радикальной перестройки инфраструктуры.

CNews: С какими основными трудностями сталкиваются организации при приведении своих систем в соответствие с новыми требованиями — и как их можно минимизировать на практике?

Павел Коростелев: Главная сложность сейчас в том, что требования уже сформулированы, но устоявшейся практики их реализации пока нет. Типовые подходы только формируются, поэтому компании фактически выступают первопроходцами и вынуждены самостоятельно вырабатывать решения.

Серьезные вопросы вызывает регламентная часть: необходимо пересматривать политики, стандарты и внутренние процедуры. Отдельный вызов — обязательный переход на сертифицированные операционные системы, а также средства виртуализации и контейнеризации. Это требует не просто точечных изменений, а заметной переработки инфраструктуры и внутренних процессов.

Нужно отметить, что расширяются требования к самим средствам защиты. Если раньше часть решений, например системы обнаружения вторжений, применялась выборочно, то теперь они становятся обязательными. Необходимо внедрять и инструменты, обеспечивающие более широкий контроль и защиту.

Отдельная сложность — согласование разных контуров безопасности: государственных информационных систем, значимых объектов КИИ и систем обработки персональных данных. В местах их пересечения возникает много нестыковок и практических вопросов.

Минимизировать эти трудности можно за счет поэтапного внедрения, выработки внутренних стандартов и пилотирования решений до их масштабирования. Но в целом текущий период можно назвать этапом накопления практики: в ближайшее время рынок будет активно формировать рабочие модели соответствия новым требованиям.

CNews: Какие классы решений сегодня становятся ключевыми при построении защищенной сетевой инфраструктуры, и какие из них вы считаете недооцененными?

Павел Коростелев: Ключевыми элементами по-прежнему остаются межсетевые экраны — это базовые «кирпичики» системы сетевой безопасности, от которых невозможно отказаться в силу их многофункциональности. Есть целый ряд сценариев, где без них обойтись крайне сложно, особенно на периметре.

Отдельно стоит выделить системы защиты веб-приложений. Это критически важное направление, поскольку веб-приложения относительно просто разрабатывать, но значительно сложнее защищать. В результате именно они часто становятся точкой входа для атак и дальнейшего проникновения в инфраструктуру.

Также важную роль играют системы обнаружения вторжений с функцией хранения сетевого трафика. Они позволяют не только выявлять атаки, но и проводить ретроспективный анализ — например, разбирать инциденты постфактум и понимать, как именно происходило проникновение.

Еще один значимый класс — решения для защищенного удаленного доступа. Если раньше это был, по сути, VPN с сертификатом, то теперь требования ужесточились: необходимо проверять состояние конечного устройства, наличие средств защиты и соответствие политикам безопасности до установления соединения.

При этом, на мой взгляд, недооцененными остаются альтернативные подходы к фильтрации трафика — прежде всего хостовые межсетевые экраны и решения уровня гипервизора. Их использование может существенно упростить обеспечение безопасности, особенно в крупных и распределенных инфраструктурах.

«Наши решения дают возможность адресно применять механизмы безопасности между любыми сегментами инфраструктуры без усложнения архитектуры»

CNews: Как меняется роль комплексного подхода и интеграции различных средств защиты? Насколько важно выстраивать единую экосистему решений, а не набор разрозненных инструментов?

Павел Коростелев: Здесь многое зависит от типа заказчика и его инфраструктуры. При этом ситуация, когда используются полностью разрозненные решения без какой-либо связки, на практике встречается редко: как минимум на уровне мониторинга логи обычно централизуются и анализируются в единой точке.

Крупные заказчики при этом настороженно относятся к идее единой экосистемы от одного вендора. По нашим наблюдениям, такие модели часто воспринимаются как риск — из-за зависимости от поставщика, роста затрат и ограниченного влияния на развитие продукта.

Поэтому оптимальный подход находится между этими крайностями. Мы говорим не о единой закрытой экосистеме, а о наборе решений с проверенными интеграциями. Вендор должен выстраивать понятную модель технологического партнерства и совместно с другими игроками развивать ключевые сценарии.

Это может быть, например, интеграция средств аутентификации в сценариях удаленного доступа, связка межсетевых экранов с песочницами для глубокой проверки трафика, а также решения для централизованного управления и аудита политик безопасности в мультивендорной среде.

В итоге именно такой подход — через продуманные интеграции и синхронизацию развития с технологическими партнерами — сегодня оказывается наиболее жизнеспособным. Крупные заказчики не готовы переходить на моновендорные экосистемы, но при этом заинтересованы в том, чтобы решения работали как единое целое: это снижает затраты на эксплуатацию и позволяет высвободить ресурсы специалистов для более приоритетных задач.

CNews: А как решения «Кода Безопасности» помогают заказчикам выстраивать такую архитектуру и закрывать требования регулятора в части сетевой безопасности?

Павел Коростелев: Мы давно работаем в области сетевой безопасности, и для нас государственный сектор и смежные организации — один из ключевых рынков. Поэтому все продукты в рамках жизненного цикла проходят сертификацию по требованиям ФСТЭК и, где это необходимо, ФСБ.

Исторически мы реализуем принципы нулевого доверия: при принятии решений опираемся не только на IP-адреса, но и на дополнительные атрибуты безопасности. Это позволяет повышать защищенность инфраструктуры и соответствовать современным требованиям регулятора.

Отдельное направление — защита каналов связи, в том числе для систем с высокими требованиями к криптографии. Мы поддерживаем решения, сертифицированные по классам КС3 и КВ, что особенно важно для федеральных государственных информационных систем.

Ключевым продуктом в части сетевой безопасности является межсетевой экран нового поколения (NGFW, Next-Generation Firewall) «Континент 4», который объединяет базовую фильтрацию трафика, идентификацию пользователей, систему обнаружения вторжений и возможности интеграции с другими средствами защиты. При этом для нас принципиально важно подтверждать его эффективность через независимые внешние тесты.

Также мы активно развиваем направление защищенного удаленного доступа: поддерживаем VPN-клиенты для различных операционных систем — от Windows и macOS до мобильных платформ и «Авроры» — и обеспечиваем контроль соответствия устройств требованиям безопасности.

Дополнительно мы уделяем внимание защите веб-технологий — как в части безопасного доступа к корпоративным ресурсам, так и в части защиты веб-приложений.

В совокупности это позволяет выстраивать комплексную архитектуру сетевой безопасности, интегрировать различные механизмы защиты и закрывать требования регулятора без необходимости радикальной перестройки инфраструктуры.

CNews: Отдельно хотелось бы остановиться на защите виртуальных сред. Какие риски и требования в этой области сегодня выходят на первый план?

Павел Коростелев: Рынок виртуализации сейчас находится в фазе активной трансформации. Если до 2022 года доминировали зарубежные решения, то сегодня заказчики постепенно переходят на российские платформы. При этом вместо одного-двух стандартных решений появляется сразу несколько, и у каждого вендора — свое видение архитектуры и взаимодействия. Это создает дополнительную сложность и неопределенность при построении защиты.

С другой стороны, для разработчиков средств безопасности это открывает новые возможности. Появляется более плотное взаимодействие с вендорами виртуализации, что позволяет реализовывать подходы к защите, которые раньше были недоступны — в том числе на уровне сетевой безопасности внутри виртуальной среды.

С точки зрения требований, ключевой момент — необходимость использовать сертифицированные операционные системы, среды виртуализации и контейнеризации. Но одной сертификации самой платформы недостаточно. Если речь идет о фильтрации трафика внутри виртуальной среды, она должна либо сама иметь функциональность межсетевого экрана с соответствующей сертификацией, либо необходимо использовать отдельные средства защиты, сертифицированные для работы в этих средах.

Таким образом, основной фокус смещается на контроль и сегментацию трафика внутри виртуальной инфраструктуры, а также на корректную интеграцию средств защиты с платформами виртуализации. Именно здесь сегодня возникает наибольшее количество как рисков, так и новых возможностей.

CNews: Какую роль в этом контексте играют решения для защиты виртуальной инфраструктуры, такие как vGate, и как они помогают закрывать новые требования и задачи безопасности?

Павел Коростелев: Решения вроде vGate позволяют выстроить дополнительный контур защиты непосредственно внутри виртуальной среды. Один из ключевых сценариев — интеграция vGate с NGFW «Континент 4»: в этом случае трафик между виртуальными машинами может в прозрачном режиме перехватываться, направляться на проверку и возвращаться обратно. Это дает возможность адресно применять механизмы безопасности между любыми сегментами инфраструктуры без усложнения архитектуры.

Такой подход существенно повышает гибкость и скорость изменений, а также позволяет выполнять требования регулятора без развертывания большого количества отдельных виртуальных специализированных компонентов защиты. При этом эффективность решения растет вместе с масштабом инфраструктуры: чем больше виртуальная среда, тем более оправдано использование vGate.

Важно и то, что это зрелое решение с высокой степенью надежности: оно протестировано на крупных стендах — более 10 тысяч виртуальных машин — и выдерживает такую нагрузку. Это особенно актуально в условиях перехода заказчиков на сертифицированные среды виртуализации в рамках требований 117-го приказа и общей цифровой трансформации.

Дополнительный эффект дает модель лицензирования: при росте инфраструктуры использование vGate оказывается экономически выгоднее по сравнению с отдельными виртуальными или физическими средствами защиты.

Отдельно стоит отметить интеграцию с решениями для защищенного удаленного доступа. Здесь ключевыми становятся многофакторная аутентификация и проверка состояния конечного устройства перед подключением. В рамках развития решений класса ZTNA таких как «Континент ZTN», эти механизмы уже встроены и могут дополняться интеграциями с другими продуктами — например, средствами контроля защищенности рабочих станций. Это позволяет снизить риски компрометации через удаленный доступ и дополнительно усилить защиту виртуальной инфраструктуры.

Поделиться

Короткая ссылка