Алексей Ветров
Эксперт по защите данных IC-TECH
Для объектов КИИ “сетевая безопасность” – это про то, чтобы объект был максимально изолирован от лишних сетей и точек входа, а все разрешённые соединения были контролируемыми, наблюдаемыми и защищёнными.
Проще говоря: сегментируем сеть, ставим защищённые “ворота” на границе, делаем DMZ для внешних сервисов, следим за трафиком и умеем блокировать атаки, а критичные соединения шифруем/защищаем и подтверждаем их подлинность.
Проще говоря: сегментируем сеть, ставим защищённые “ворота” на границе, делаем DMZ для внешних сервисов, следим за трафиком и умеем блокировать атаки, а критичные соединения шифруем/защищаем и подтверждаем их подлинность.
Что говорит законодательство
- 187-ФЗ задаёт общий смысл: обеспечение безопасности КИИ делается ради устойчивого функционирования при компьютерных атаках и определяет полномочия/обязанности субъектов.
- Конкретика по сетевой защите закреплена в Приказе ФСТЭК № 239 (обязателен для значимых объектов КИИ):
- требования распространяются на информационные системы, АСУ и ИТКС, отнесённые к значимым объектам; при желании субъекта могут применяться и к незначимым.
- набор мер выбирается по категории значимости (1/2/3) и включает меры, напрямую относящиеся к сети: защита периметра, сегментирование, DMZ, защита при передаче по каналам связи, доверенные каналы/маршруты, подлинность сетевых соединений, защита беспроводных соединений, контроль/анализ трафика и предотвращение атак.
- Приказ ФСТЭК № 235 дополняет: безопасность значимых объектов обеспечивается через систему безопасности, включающую силы и средства, регламенты и процессы эксплуатации (в т.ч. для сетевой защиты – “кто администрирует, как меняются правила, как ведётся мониторинг”).
Как это работает на практике
На практике требования к сетевой безопасности для значимого объекта КИИ обычно “раскладываются” на следующие обязательные темы (по смыслу мер ФСТЭК №239):
- Защита сетевого периметра: выделение границы объекта, фильтрация вход/выход, контроль точек подключения.
- Сегментация: разделение сети на зоны (например, пользователи / серверы / технологический контур / администрирование), минимизация “сквозных” маршрутов между сегментами.
- DMZ для внешних сервисов: если есть веб-сервисы/интеграции с внешними сетями – вынос в демилитаризованную зону, чтобы внешний контур не имел прямого доступа к внутренним сегментам.
- Управление сетевыми потоками: разрешены только нужные направления/протоколы/порты, остальное – запрещено; изменения – по регламенту.
- Мониторинг и контроль трафика + аудит: сбор/анализ сетевых событий и трафика, корреляция, хранение и защита журналов.
- Предотвращение вторжений/атак: использование средств обнаружения и предотвращения атак (IDS/IPS и аналоги) там, где это требуется по категории.
- Защита данных при передаче: защищённые каналы связи, а также доверенные канал/маршрут и подтверждение подлинности сетевых соединений (чтобы снизить риск подмены/перехвата).
- Беспроводные сети: если Wi-Fi/радиоканалы используются – отдельные меры их защиты.
Выводы и рекомендации
Для значимых объектов КИИ “сетевые требования” – это не абстрактные советы, а конкретный набор мер ФСТЭК №239, выбираемый по вашей категории значимости (периметр, сегментация, DMZ, управление потоками, мониторинг/аудит трафика, предотвращение атак, защищённая передача и т.д.).
Для незначимых объектов формально эти меры можно применять по решению субъекта – на практике это часто делают, чтобы унифицировать защиту и снизить риски.
Возникли трудности с категорированием КИИ?
Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.
