117 приказ ФСТЭК 2026: защита виртуализации и новые классы СЗИ

В последние годы требования регуляторов к защите информационных систем существенно усилились. Для организаций, работающих с государственными информационными системами и объектами критической информационной инфраструктуры, одним из ключевых документов остаётся 117 приказ ФСТЭК.

Этот приказ определяет требования к защите информационных систем и инфраструктуры, включая:

• контроль доступа и управление привилегиями
• мониторинг событий безопасности
• защиту серверной инфраструктуры
• обеспечение защищённой виртуализации
• контроль действий администраторов.

При этом многие компании сталкиваются с практической проблемой: требования регулятора формально понятны, но их реализация в современной ИТ-инфраструктуре вызывает множество вопросов.

Особенно это касается инфраструктур, где активно используются виртуализация, контейнерные среды и распределённые системы.
Разберёмся по порядку, какие задачи ставит регулятор и как их решать на практике.

Приказ формирует комплекс требований к информационным системам, который охватывает несколько ключевых направлений защиты.
В первую очередь речь идёт о контроле доступа и управлении привилегиями.

Контроль действий администраторов
Администраторы обладают максимально широкими правами доступа к инфраструктуре. Это означает, что ошибки или злоупотребления могут привести к серьёзным последствиям.
Поэтому регулятор требует обеспечить:

• контроль действий привилегированных пользователей
• фиксацию административных операций
• аудит действий в системе
• возможность анализа инцидентов.

На практике для решения этой задачи применяются системы класса PAM (Privileged Access Management), которые позволяют:

• управлять привилегированными учетными записями
• контролировать доступ администраторов
• записывать административные сессии
• предотвращать несанкционированные действия.

Мониторинг событий безопасности
Следующее важное требование касается выявления инцидентов информационной безопасности.
Организация должна обеспечить сбор и анализ событий безопасности в инфраструктуре.
Для этого используются:

• системы централизованного мониторинга
• платформы корреляции событий
• SIEM-решения.

Такие системы позволяют:

• собирать события безопасности из различных источников
• выявлять подозрительную активность
• анализировать атаки
• оперативно реагировать на инциденты.

Защита конечных устройств
Современные атаки всё чаще происходят через рабочие станции пользователей или серверы.
Поэтому важную роль играют решения класса EDR (Endpoint Detection and Response).
Они позволяют:

• выявлять сложные атаки
• обнаруживать вредоносную активность
• анализировать поведение процессов
• реагировать на угрозы на уровне конечных устройств.

Проблема современной инфраструктуры
Одна из ключевых сложностей заключается в том, что современные ИТ-системы значительно усложнились.
Если раньше инфраструктура состояла из физических серверов и рабочих станций, то сегодня она включает:

• виртуальные машины
• контейнерные среды
• облачные платформы
• распределённые системы.

Это создаёт дополнительные риски безопасности.
Особенно это касается платформ виртуализации, которые становятся основой всей ИТ-инфраструктуры.

Виртуализация сегодня используется практически во всех корпоративных инфраструктурах.

Она позволяет:

• эффективно использовать вычислительные ресурсы
• быстро разворачивать новые сервисы
• масштабировать системы.

Однако при этом возникает новая точка риска — гипервизор и платформа виртуализации.
Если платформа виртуализации скомпрометирована, злоумышленник может получить доступ сразу ко многим системам.

Поэтому важно обеспечить:

• контроль доступа к инфраструктуре виртуализации
• изоляцию виртуальных машин
• аудит действий администраторов
• защищённое управление виртуальной средой.

Кроме того, для многих организаций актуален вопрос импортозамещения инфраструктурных решений.
Платформа виртуализации Numa vServer

Одним из решений, которое используется для построения защищённых инфраструктур, является Numa vServer.

Это отечественная платформа виртуализации, предназначенная для построения отказоустойчивых инфраструктур и корпоративных облаков.

Платформа позволяет:

• разворачивать и управлять виртуальными машинами
• централизованно администрировать инфраструктуру
• контролировать доступ пользователей
• обеспечивать изоляцию рабочих нагрузок.

Кроме того, решение может интегрироваться с другими средствами безопасности, используемыми в организации.

Это позволяет использовать его как часть комплексной архитектуры защиты.

Как выстраивать соответствие требованиям 117 приказа
Практика показывает, что выполнение требований регуляторов требует системного подхода.
Обычно работа начинается с анализа текущей инфраструктуры.

На этом этапе определяется:

• какие средства защиты уже используются
• какие требования приказа закрыты
• где существуют риски и пробелы.

После этого формируется архитектура системы безопасности.

Она определяет:

• какие решения должны быть внедрены
• как они будут интегрированы между собой
• каким образом будет обеспечиваться контроль инфраструктуры.

Следующий этап — внедрение и настройка решений.

Это может включать:

• внедрение систем мониторинга безопасности
• внедрение решений для управления привилегированным доступом
• внедрение платформ виртуализации
• интеграцию с SIEM-системами.

После внедрения важно обеспечить постоянный контроль и развитие системы безопасности.

Это включает:

• анализ событий безопасности
• регулярную проверку инфраструктуры
• обновление средств защиты.

117 приказ ФСТЭК формирует требования к построению защищённой инфраструктуры информационных систем.

Особое внимание уделяется:

• контролю действий администраторов
• мониторингу событий безопасности
• защите конечных устройств
• безопасности платформ виртуализации.

При этом выполнение требований регулятора требует комплексного архитектурного подхода, а не внедрения отдельных средств защиты.

Только системная работа с инфраструктурой позволяет:

• обеспечить соответствие требованиям регуляторов
• снизить риски инцидентов безопасности
• повысить устойчивость ИТ-систем.