Как выполнить требования №152-ФЗ технически

Для аудита важны реальные настройки. Инспектор проверяет сегментацию, правила доступа, режимы защитных модулей и полноту журналов. Если конфигурация не подтверждает выполнение мер Приказа № 21, это фиксируют как несоответствие и выдают предписание.

Какие требования закона №152-ФЗ и Приказа ФСТЭК №21 касаются сетевой инфраструктуры

Закон №152-ФЗ обязывает оператора защищать персональные данные. Уровень защищённости ИСПДн задают подзаконные акты, а перечень и содержание технических мер для этого уровня описывает приказ ФСТЭК № 21.

Перечень мер выбирают по уровню защищённости ИСПДн и модели угроз.

Функции сетевого администратора: настраивать средства защиты, чтобы они ограничивали доступ к ИСПДн, вели журналы, разделяли сегменты сети и защищали каналы передачи данных. Именно эти настройки определяют выполнение требований.

К сетевой инфраструктуре относятся следующие меры:

• Управление доступом и сетевыми потоками (УПД) — фильтрация трафика между сегментами, маршрутизация и контроль соединений между узлами ИСПДн и внешними системами.
• Регистрация событий безопасности (РСБ) — фиксация сетевых подключений, отказов в доступе, действий администраторов и хранение журналов в течение установленного срока.
• Обнаружение вторжений (СОВ) — выявление попыток атак и регистрация событий безопасности. Реагирование реализуют настройками средств защиты.
• Защита передачи данных по каналам связи (ЗИС) — защита персональных данных при передаче по сетям связи, включая удалённый доступ и взаимодействие сегментов ИСПДн.
• Антивирусная защита узлов и сетевого трафика (АВЗ) — проверка файлов и потоков данных на вредоносный код и контроль обновления антивирусных баз.

Эти меры реализуются в настройках сетевых средств защиты и проверяются при аудите ИСПДн.

Общие требования к обеспечению информационной безопасности в РФ

Межсетевой экран уровня NGFW используют как один из базовых элементов системы защиты ИСПДн. Через него реализуют меры приказа ФСТЭК № 21: разграничение доступа, сегментацию сети, регистрацию событий, защиту каналов связи и выявление атак. Соответствие требованиям формируется архитектурой и настройками, а не фактом установки устройства.

Сегментация и межсетевое экранирование

Меры управления потоками и сегментации (УПД, ЗИС). В UserGate создают зоны безопасности и настраивают межзонные правила. Доступ к сегменту ИСПДн открывают только по нужным сервисам и направлениям. Любые «широкие» правила между внутренними сегментами рассматривают как риск и на проверке фиксируют.

Зачем нужна DMZ и сегментация сети

Обнаружение вторжений

Меры группы СОВ. Включают профили IPS, настраивают обновление сигнатур и применяют их к правилам, через которые проходит трафик к сегментам ИСПДн. События должны фиксироваться в журналах, а критичные атаки — блокироваться после настройки исключений.

Как работает IPS и блокировка атак

Идентификация пользователей и разграничение доступа

Меры ИАФ и УПД. UserGate интегрируют с AD/LDAP, настраивают SSO или иной механизм привязки пользователя к сессии. Политики применяют к группам и конкретным ресурсам. В журналах соединений должно отображаться имя пользователя, иначе невозможно подтвердить разграничение доступа.

Как настроить пользователей в UserGate

Защита каналов связи

Меры ЗИС и УПД. Удалённый доступ к системам с персональными данными настраивают через VPN с многофакторной аутентификацией. Доступ открывают только из доверенных сетей и для конкретных пользователей. На проверке смотрят наличие шифрования и дополнительной аутентификации.

Зачем бизнесу многофакторная аутентификация

Регистрация событий безопасности

Меры РСБ. Включают журналирование межзонных правил, административного доступа и срабатываний защитных модулей. Журналы хранят в течение установленного срока и передают во внешнюю систему хранения или SIEM. Без централизованного сбора подтвердить выполнение требований на практике сложно.

Как работают SIEM-системы

Этот набор настроек формирует основу сетевой защиты ИСПДн. Дальше требования приказа № 21 проверяют уже на уровне конкретной конфигурации: правил доступа, сегментации, журналов и режимов работы защитных модулей.

Полный гайд по продуктам UserGate

Как настроить UserGate под требования приказа №21

Для системного администратора выполнение требований закона №152-ФЗ — это конкретная конфигурация NGFW. Сопоставим меры Приказа № 21 с функциональными модулями UserGate и правилами их настройки.

Правила firewall в UserGate закрывают значимую часть сетевых мер приказа: через них администратор разграничивает доступ между сегментами ИСПДн, контролирует соединения и фиксирует события безопасности.

Управление доступом и идентификация: ИАФ, УПД

В UserGate реализуется гранулярное разграничение доступа. Правила строят комбинированно: источник задают зоной или подсетью, затем уточняют доступ по пользователям и группам. Это нужно, чтобы сохранить контроль на сетевом уровне и одновременно ограничить доступ по учётным записям.

Для аудита важно, чтобы политика учитывала не только группу пользователя, но и конкретный ресурс. Доступ настраивают по принципу минимальных привилегий, чтобы при компрометации учётной записи злоумышленник не получил свободного перемещения по сети.

Как настроить: подключите AD/LDAP, проверьте поиск пользователей и групп и настройте механизм привязки пользователя к сетевой сессии. Для доменных рабочих мест используйте Kerberos/SSO там, где это поддерживает ваша схема авторизации, для гостевых и исключений — Captive Portal.

В журналах соединений должно отображаться имя пользователя, а не только IP-адрес. Затем в межзонном правиле задайте направление (зона-источник → зона-назначение), укажите источник как зону или подсеть, дополнительно задайте группу пользователей из AD/LDAP, в назначении укажите конкретный сервер или подсеть ИСПДн и разрешите только необходимые сервисы.

Правила firewall в этом случае выступают механизмом реализации мер УПД: через них определяют, кто из какой зоны и к какому ресурсу ИСПДн имеет доступ и по каким сервисам.

После настройки проверьте два сценария: разрешённый доступ должен работать для тестовой учётной записи из нужной группы, а попытки доступа к другим сервисам или сегментам должны блокироваться. В журналах должны фиксироваться отказы с указанием пользователя, правила и направления трафика.

Регистрация событий безопасности: РСБ

Фиксация событий, необходимых для расследований и подтверждения выполнения мер защиты: входы администраторов, изменения конфигурации, сетевые сессии, отказы в доступе, срабатывания защитных модулей. Эти события относятся к мерам группы РСБ приказа № 21 и должны регистрироваться и храниться в течение установленного срока.

UserGate ведёт системные и сетевые журналы, фиксирует события по правилам межсетевого экрана и модулям защиты, хранит их локально и может передавать во внешние системы по syslog. Для расследований и подтверждения соответствия обычно настраивают централизованный сбор логов в SIEM или лог-коллектор.

Нужно настроить передачу журналов во внешнюю систему хранения или рассчитать локальный объём так, чтобы записи за требуемый срок не затирались. Синхронизируйте время шлюза с NTP-сервером: без единого времени события из разных систем не сопоставляются, и расследование инцидентов затрудняется.

Как настроить:

• включите журналирование на правилах доступа к сегментам ИСПДн, на административном доступе и на правилах запрета;
• задайте срок хранения и проверьте, что он перекрывает требования аудита и внутренние регламенты;
• настройте экспорт журналов во внешнюю систему (syslog/SIEM/лог-коллектор);
• убедитесь, что фиксируются отказы в доступе, входы администраторов и изменения конфигурации.

Локальное хранение используйте как буфер на случай недоступности внешнего сервера. Для длительного хранения и расследований необходим централизованный сбор журналов.

Сегментация сети ИСПДн и межзонный доступ в UserGate

Для сегментов ИСПДн применяют принцип «запрещено по умолчанию». Межзонный доступ открывают только под конкретные сервисы и направления трафика. Так вы уберете лишнюю сетевую связность и сделаете схему разграничения прозрачной для проверки: инспектор увидит, какие системы и по каким сервисам взаимодействуют с ИСПДн.

В UserGate сеть делят на зоны безопасности и применяют к ним межзонные политики доступа. Фильтрация выполняется на уровне адресов и портов (L3–L4) и при необходимости уточняется на уровне приложений. Через правила межсетевого экрана реализуют меры УПД и ЗИС. Правила задают допустимые направления трафика, сервисы и категории приложений между сегментами.

Для аудита важно, чтобы правила доступа соответствовали модели угроз и реальным сценариям работы. Контроль на уровне приложений помогает закрыть обходные каналы через разрешённые сервисы и уточнить разграничение доступа между сегментами ИСПДн, хотя сам приказ № 21 не требует обязательного L7-анализа.

Как настроить: в межзонном правиле задайте направление (зона-источник → зона-назначение), укажите конкретные источники и назначения, разрешите только необходимые сервисы и проверьте, что маршрутизация и NAT не создают обходных путей между сегментами. Частая ошибка — DNAT, настроенный «широко», в сочетании с неверным порядком правил или слишком общим разрешающим правилом. В итоге доступ к серверу ИСПДн открывается шире, чем задумано.

При необходимости включите контроль приложений, чтобы исключить передачу данных через разрешённые, но нерабочие сервисы и уточнить правила доступа.

IPS и обнаружение вторжений в UserGate: СОВ

Модуль IPS анализирует трафик по сигнатурам атак и выявляет попытки компрометации сетевых сервисов. Эта функциональность относится к мерам группы СОВ приказа № 21: система должна обнаруживать попытки вторжения и фиксировать события безопасности.

Важно для аудита: проверяют актуальность сигнатур и режим работы IPS. Обычно сначала включают режим обнаружения и настраивают исключения, затем переводят критичные категории атак в режим блокирования. Это снизит риск ложных срабатываний и предотвратит блокировку легитимного трафика.

Мониторинг сетевого трафика и атак

Проверьте, что профиль IPS применён именно к разрешающим правилам, а не только к периметру. Иначе трафик между внутренними сегментами остаётся без анализа.

Как настроить: создайте профиль IPS, включите автоматическое обновление сигнатур и задайте действие блокирования для критичных категорий атак. Затем привяжите профиль к разрешающим межзонным правилам, через которые проходит трафик к сегментам ИСПДн. Если профиль не привязан к правилу, трафик к защищаемым ресурсам проходит без проверки.

После включения проверьте журналы: события обнаружения должны фиксироваться с указанием сигнатуры, правила и направления трафика. При ложных срабатываниях добавьте исключения и только после этого расширяйте область применения профиля.

Антивирус и проверка трафика в UserGate: АВЗ

Потоковый антивирус проверяет передаваемые файлы и сетевые потоки на вредоносный код. Эта функциональность относится к мерам группы АВЗ приказа № 21: система должна обеспечивать антивирусную защиту и обновление сигнатур.

Важно для аудита: проверяют, распространяется ли антивирусная защита на каналы передачи данных, через которые в ИСПДн поступают файлы и почтовый трафик, а также обновляются ли базы сигнатур. Недостаточно включить модуль — нужно убедиться, что он применён к правилам, через которые проходит трафик к сегментам ИСПДн.

Как настроить: включите антивирусную проверку для протоколов, которые реально используются в инфраструктуре, и привяжите профиль антивируса к межзонным правилам, через которые идёт доступ к ресурсам ИСПДн.
Для шифрованных соединений (HTTPS, SMTPS, IMAPS и др.) предусмотрите SSL-инспекцию, иначе антивирус проверяет только незашифрованные данные и не видит содержимое передаваемых файлов.

Перед включением SSL-инспекции:

• выпустите корневой сертификат и установите его в доверенные на рабочих станциях и серверах;
• подготовьте исключения для сервисов с certificate pinning и критичных внешних ресурсов;
• включайте инспекцию поэтапно и контролируйте ошибки в журналах.

Приказ № 21 описывает меры защиты, а не конкретные продукты. В UserGate антивирусная защита реализуется через профили проверки трафика, их привязку к правилам доступа и контроль обновления сигнатур. Если модуль есть, а вы его не применяете, это значит, что данная мера защиты не выполняется.

Как сетевые меры приказа реализуются в настройках UserGate:

На техническом аудите проверяют фактическую работу мер защиты. Ниже — три сценария, на которых чаще всего находят замечания, и действия администратора, который эти замечания снимает.

Что такое аудит информационных систем и зачем он нужен, рассказали в статье.

Разграничение доступа и сегментация: УПД, ЗИС

Вопрос инспектора: «Почему узел из гостевого сегмента имеет сетевую связность с сервером ПДн?»

Где возникает проблема: шлюз стоит на периметре, а внутри сети нет сегментации. Гостевая или пользовательская сеть видит серверы ИСПДн на уровне IP. Это фиксируют как нарушение разграничения доступа, даже если шлюз сертифицирован.

Как настроить правильно: разделите сеть на зоны безопасности: ИСПДн, пользовательская, административная, гостевая. Межзонный доступ откройте только по нужным направлениям и сервисам.

Принцип минимальных привилегий: вместо доступа «ко всей подсети» открывайте доступ к конкретному серверу и только по портам, которые нужны сервису. «Широкие» правила между зонами — источник лишней связности.

Правила доступа должны соответствовать модели угроз и реальной архитектуре системы. Доступ к Web-консоли и SSH оставляйте только из административного сегмента.

Регистрация событий безопасности: РСБ

Вопрос инспектора: «Покажите действия администраторов за прошлый месяц и отказы в доступе к ИСПДн за неделю».

Где возникает проблема: журналирование включено, но объём хранения не рассчитан. Записи перезаписываются через несколько дней. Если нельзя показать события за проверяемый период, меру РСБ считают нереализованной.

Как настроить правильно: включите журналирование на критичных правилах: доступ к сегменту ИСПДн, административный вход, запретные правила, срабатывания защитных профилей. Настройте экспорт логов во внешнюю систему хранения или анализа, например, Log Analyzer или SIEM. Локальное хранилище на шлюзе используйте как буфер. Синхронизируйте время через NTP, иначе события из разных систем не совпадут при разборе.

Обнаружение вторжений и антивирусная проверка: СОВ, АВЗ

Контроль приложений и SSL-инспекция усиливают защиту, но настраиваются по модели угроз и архитектуре.

Вопрос инспектора: «В каком режиме работает IPS и контролируете ли вы трафик к ресурсам ИСПДн?»

Где возникает проблема: IPS работает только в уведомлениях, сигнатуры не обновляются. Антивирус не проверяет содержимое HTTPS без SSL-инспекции. В результате атаки фиксируются, но не останавливаются.

Как настроить правильно: переведите критичные категории IPS в режим блокировки и включайте его поэтапно — сначала на тестовом узле, затем на сегменте. Для трафика к ресурсам ИСПДн настройте SSL-инспекцию там, где нужно проверять содержимое. При необходимости добавьте контроль приложений, чтобы ограничить нерабочие каналы передачи данных через разрешённые сервисы.

Что контролировать при эксплуатации

Любое изменение правил может открыть лишний доступ или выключить контроль на нужном трафике.

После правок проверяйте три вещи: сегментацию, журналирование, применение профилей защиты.

• Профили защиты на разрешающем доступе. Привязывайте IPS и антивирус к тем правилам, через которые идёт доступ к ресурсам ИСПДн. Если профиль не привязан к правилу, трафик проходит без проверки.
• Актуальность сигнатур. Контролируйте обновления IPS и антивируса и смотрите в журналах, что профили реально срабатывают.
• Безопасное администрирование. Доступ к Web-консоли и SSH оставляйте только из административного сегмента и по спискам доверенных адресов.
• Анализ отказов. Регулярно просматривайте логи запретов. Если рабочие станции постоянно пытаются достучаться до серверов ПДн, ужимайте правила и ищите источник лишней связности.

Ошибка в одном правиле часто ломает сразу несколько мер: доступ становится шире, журналы перестают фиксироваться, профили защиты не применяются.

Что учесть при настройке UserGate в ИСПДн: практические нюансы

Некорректная конфигурация СЗИ — основная причина замечаний при проверке выполнения Приказа № 21 ФСТЭК. Разберем типичные ошибки настройки UserGate в области защиты ПДн и способы их решения.

SSL-инспекция и нагрузка на шлюз

Проверка шифрованного трафика увеличивает нагрузку на процессор и может повлиять на производительность сервисов. Инспекцию не включают для всего трафика. Её настраивают точечно — для сегментов и ресурсов, где передаются персональные данные или возможна загрузка файлов. Так вы снизите нагрузку на шлюз и сохраните контроль над критичными каналами передачи данных.

Ложные срабатывания IPS

После перевода IPS в режим блокирования возможны ложные срабатывания на внутренние системы или специализированные приложения. В таких случаях настраивают исключения по сигнатурам, источникам или сервисам. Это не отменяет мер защиты, а уточняет их применение с учётом модели угроз и фактической работы сервисов. На аудите оценивают наличие механизма реагирования, а не отсутствие исключений.

Изолированные сегменты и обновление сигнатур

В изолированных сегментах ИСПДн межсетевой экран может не иметь прямого доступа к серверам обновлений. В этом случае настройте локальный сервер обновлений или регулярную загрузку пакетов сигнатур вручную. Устаревшие базы антивируса или IPS рассматривают как неработающую меру защиты, даже если модуль включён.

Отчёты для аудита ИСПДн

При проверке часто запрашивают выборку событий: доступ к сегментам ИСПДн, действия администраторов, срабатывания IPS. Подготовьте шаблоны отчётов и убедитесь, что журналы хранятся за требуемый период.

Удалённый доступ к ИСПДн

Настройте удалённый доступ к системам с персональными данными через VPN с многофакторной аутентификацией. Подключение должно быть ограничено доверенными сетями и конкретными пользователями. Этим вы закроете требования идентификации, защиты каналов связи и уменьшите риск компрометации учётных записей.

На проверке инспектор проверит использование шифрованного канала дополнительную аутентификацию пользователя при подключении.

О самых частых ошибках настройки UserGate читайте наш материал

Главное

Требования закона №152-ФЗ и приказа ФСТЭК № 21 выполняются не фактом установки NGFW, а его конфигурацией. Инспектор проверяет сегментацию, правила доступа, режимы защитных модулей и полноту журналов. Если доступ между сегментами настроен шире, чем нужно, профили защиты не привязаны к разрешающим правилам или журналы не сохраняются за нужный период, мера считается нереализованной.

Сертификат ФСТЭК подтверждает возможность применения средства защиты, но соответствие требованиям формируется настройками: сегментацией, правилами доступа, журналированием и режимами защитных модулей.

Администратор отвечает за то, как работает защита сети. Нужно уметь строить межзонные политики, применять профили IPS и антивируса к критичным сервисам, контролировать обновления сигнатур и проверять журналы после изменений конфигурации.

На нашем бесплатном курсе вы разберете практику настройки UserGate: работу с зонами, правилами доступа, журналами и защитными модулями. На занятиях отрабатываются типовые схемы и реальные сценарии из инфраструктуры, которые вы сможете уверенно применять в работе.