Сертифицированный ФСТЭК межсетевой экран обязателен в информационных системах, где обрабатывается защищаемая информация: персональные данные, гостайна, данные ГИС/МИС, АСУ ТП и значимых объектов КИИ. Требования к МЭ задаёт Приказ ФСТЭК №9 от 09.02.2016: выделяются пять типов (А-Д) и шесть классов защищённости. Класс МЭ выбирается по типу и категории информационной системы. ВИСТЛАН подбирает сертифицированное решение под класс вашей ИС и помогает построить систему защиты под требования регуляторов.
Зачем нужна сертификация
Сертификацию средств защиты информации, не связанную с криптографией, курирует ФСТЭК. Сертификат соответствия подтверждает, что СЗИ разрешено применять для защиты охраняемой информации. В системах, где такие сведения обрабатываются, использование сертифицированных СЗИ обязательно. Основания — приказы ФСТЭК, подзаконные соответствующим федеральным законам и постановлениям правительства.
| Тип данных / ресурса | Нормативный акт |
|---|---|
| Государственная тайна (ГТ) | Руководящие документы Гостехкомиссии, закрытые документы |
| Персональные данные (ПДн) | Приказ ФСТЭК №21 от 18.02.2013 |
| ГИС и МИС | Приказ ФСТЭК №17 от 11.02.2013 |
| АСУ ТП | Приказ ФСТЭК №31 от 14.03.2014 |
| Значимые объекты КИИ | Приказ ФСТЭК №239 от 25.12.2017 |
Сертифицированные СЗИ требуются и в ряде других систем: связанных с госуслугами в электронном виде, ИС общего пользования, межведомственного электронного документооборота. Требования к ним, как правило, отсылают к Приказу №17 или мягче.
Как проходит сертификация
Процедура — это комплекс мероприятий, в среднем от полугода до года. Она включает разработку организационно-распорядительной, конструкторской и эксплуатационной документации, а также сертификационные испытания. Проверки функций безопасности обычно содержат:
- анализ исходного кода на выполнение заявленных функций;
- анализ на отсутствие уязвимостей и недекларированных возможностей;
- проверку механизма контрольных сумм и их неизменности;
- проверку подсистемы регистрации событий и оповещения.
Типы и классы МЭ по Приказу №9
Требования к межсетевым экранам устанавливает Приказ ФСТЭК №9 от 09.02.2016 (информационное сообщение №240/24/1986 от 28.04.2016). Документ закрытый, так как касается защиты ГТ. Выделяются пять типов и шесть классов защищённости.
Типы МЭ различаются по точке размещения:
- тип А — на границе физической сети ИС или сегментов;
- тип Б — внутри физической сети, на логической границе ИС или сегментов;
- тип В — внутри сети, на хосте;
- тип Г — внутри сети, на web-сервере;
- тип Д — в АСУ ТП.
МЭ типа А выпускаются только в программно-техническом исполнении, типа В — только в программном; для остальных типов исполнение выбирается свободно.
| Тип и категория ИС | Требуемый класс МЭ |
|---|---|
| ГТ | 3, 2, 1 |
| ГИС 1 класса защищённости | 3 и выше |
| ИСПДн 1 уровня защищённости | 4 и выше |
| ИСПДн 2 уровня защищённости | 5 и выше |
| АСУ ТП К1, КИИ 1 категории | 4 и выше |
| ИС более низких категорий | 5-6 |
Профили защиты и новые требования
Конкретные требования к файрволам задаются в профилях защиты (ПЗ), разработанных регулятором. Идентификатор формируется из типа и класса, например ИТ.МЭ.А4.ПЗ — это 4 класс типа А. Всего существует 24 профиля, из них 15 в открытом доступе. ПЗ адресованы разработчикам-заявителям, органам сертификации и лабораториям.
Приказ №9 заменил руководящий документ Гостехкомиссии 1997 года (РД МЭ). По старому документу было аттестовано множество МЭ, поэтому регулятор разрешил продолжать производить и сертифицировать такие изделия — при условии современного анализа уязвимостей. Первичная аттестация новых систем возможна только по Приказу №9. Нововведения ужесточили требования:
| Функция безопасности | РД МЭ | Приказ №9 |
|---|---|---|
| Контроль и фильтрация | Имеется | Усилено |
| Идентификация и аутентификация | С 3 класса | С 6 класса, усилено |
| Оповещение о критичных событиях | Отсутствует | Имеется |
| Маскирование наличия МЭ | Отсутствует | Имеется |
| Приоритизация потоков | Отсутствует | Имеется |
| Взаимодействие с другими СЗИ | Отсутствует | Имеется |
Также во всех ПЗ появились требования доверия, которых раньше почти не было: анализ уязвимостей, контроль отсутствия НДВ, процедуры и анализ влияния обновлений, полная функциональная спецификация. Особое внимание уделяется организации производства и процедуре обновлений.
Что есть в реестре: акцент на российские решения
На момент исходного обзора в реестре сертифицированных СЗИ действовали сертификаты на десятки серийных МЭ; большинство сертифицировано по 4 классу, что позволяет применять их в любых ИС без гостайны. В реестре исторически присутствовали как российские решения (например, линейка С-Терра), так и зарубежные (Cisco ASA, ASA 5500-X и другие).
В 2026 году акцент сместился: с уходом зарубежных вендоров с российского рынка и прекращением официальных поставок (по состоянию на июнь 2026 — только параллельный импорт без обновлений) для новых проектов выбирают отечественные сертифицированные МЭ и NGFW. Среди российских решений — продукты UserGate, Ideco, С-Терра и других вендоров. ВИСТЛАН как системный интегратор подбирает сертифицированное решение под нужный класс ИС; собственных лицензий ФСТЭК мы не декларируем, а работаем с сертифицированными продуктами правообладателей. Подробнее — в материале российские NGFW: замена firewall.
Подберём сертифицированный ФСТЭК межсетевой экран под класс вашей ИС и построим систему защиты под требования регуляторов.
Частые вопросы
Когда обязателен сертифицированный ФСТЭК межсетевой экран?
В информационных системах с защищаемой информацией: персональные данные (Приказ №21), ГИС и МИС (№17), АСУ ТП (№31), значимые объекты КИИ (№239), а также при защите гостайны. Если система относится к нескольким типам, применяются более строгие требования.
Что означают типы А-Д и классы защищённости МЭ?
Типы определяют точку размещения МЭ: А — граница сети, Б — логическая граница внутри сети, В — хост, Г — web-сервер, Д — АСУ ТП. Классы (от 6 до 1) задают строгость требований: чем выше категория информации, тем выше требуемый класс, где 1 — максимальный.
Какой класс МЭ нужен для персональных данных?
Зависит от уровня защищённости ИСПДн. Например, для 1 уровня защищённости по Приказу №9 требуется МЭ 4 класса и выше, для 2 уровня — 5 класса и выше. Точный класс определяется при категорировании системы.
Есть ли у ВИСТЛАН лицензии ФСТЭК?
ВИСТЛАН работает как системный интегратор и подбирает сертифицированные ФСТЭК решения правообладателей под класс вашей информационной системы. Собственных лицензий ФСТЭК мы не декларируем; конкретный сертифицированный продукт и схему построения системы защиты подбираем под требования регуляторов.