Требования ФСТЭК к защите от DDoS-атак

Приказом ФСТЭК от 11.02.2013 № 17 были установлены следующие меры защиты государственных информационных систем от DDoS-атак:

• СОВ.1 - Обнаружение вторжений
• СОВ.2 - Обновление базы решающих правил
• ЗИС.22 - Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы.

Указанные меры актуальны для 1 и 2 класса защищенности информационной системы.

28 августа 2024 г. в приказ ФСТЭК № 17 были внесены изменения, в том числе был добавлен раздел про защиту от DDoS:
Меры защиты для ИС, доступной из Интернет:
- инвентаризация интерфейсов и адресов ИС, взаимодействующих с Интернет;
- определение возможных типов взаимодействия ГИС через Интернет;
- использование on-prem инструментов для защиты ГИС от DDoS-атак на L3 и L7, пример такого инструмента;
- наличие двукратного резерва каналов по пропускной способности;
- использование GeoIP от ЦМУ ГРЧЦ;
- сбор и хранение в течение 3-х лет аналитики о произошедших DDoS-атаках.
Организационные меры защиты ГИС от DDoS:
- взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и национальной системой противодействия DDoS-атакам (НСПА);
- взаимодействие с хостингом/провайдером, у которых оборудование для защиты от DDoS расположено в РФ;
- разработка регламента взаимодействия ГИС с хостингом/провайдером при DDoS;
- предоставление доступа из Интернет к ГИС после согласования с ИБ и при условии фильтрации трафика;
- при отсутствии возможности самостоятельно организовать защиту ГИС от DDoS – размещать ИС в инфраструктуре хостинга с защитой от DDoS.

В актуальном 117 приказе ФСТЭК защита от DDoS также выделена в отдельное направление защиты, с рамках которого требуется применение как организационных, так и технических мер.
В отличие от 17 приказа, в 117 приказе не приведены конкретные технические меры, они вынесены в отдельную методику.
На данный момент ФСТЭК как раз дорабатывает проект методики по защите информации в ГИС. Оператор ГИС или иной ИС обязан реализовать комплекс технических мер защиты информации по снижению влияния атак типа «отказ в обслуживании», а также обеспечить взаимодействие с ГосСОПКА и ЦМУ ССОП (при наличии возможности).
В разделе 16. Защита от атак, направленных на отказ в обслуживании (ЗОО) перечислены конкретные меры защиты:

• ЗОО.1 Контроль и фильтрация входящего трафика - исключение нелегитимного трафика за счёт постоянной или адаптивной фильтрации на всех уровнях периметра до L4 с опорой на матрицу коммуникаций и списки разрешённых адресов; при необходимости применяется геофильтрация и привлекаются внешние сервисы очистки трафика, включая L7-защиту. Должны быть регламентированы процессы публикации сервисов, схема прохождения трафика, зоны ответственности и обеспечено хранение информации об атаках не менее трёх лет; усиление включает постоянную фильтрацию и анализ TLS-трафика.
• ЗОО.2 Мониторинг состояния сервисов и интерфейсов - непрерывный контроль доступности и производительности ИС через мониторинг загрузки ресурсов (CPU, память, сеть), числа соединений, интенсивности запросов и ошибок приложений, а также фиксацию событий недоступности. При использовании внешних провайдеров дополнительно контролируется эффективность их сервисов, а также доступность системы с внешних точек (из Интернета).
• ЗОО.3 Балансировка нагрузки - обеспечение устойчивости к всплескам трафика за счёт подключения к нескольким провайдерам по независимым каналам с возможностью одновременного приёма трафика и вертикального масштабирования сервисов. Усиление предусматривает горизонтальное масштабирование и распределение нагрузки между узлами, а также (при наличии архитектуры) геораспределение между площадками.
• ЗОО.4 Ограничение скорости - снижение риска истощения ресурсов путём ограничения числа TCP-соединений и количества запросов в секунду с одного IP-адреса на сетевом и прикладном уровнях, предотвращая перегрузку сервисов.
• ЗОО.5 Поддержка резерва достаточной пропускной способности и расширение ресурсов при сбоях - создание двукратного запаса пропускной способности каналов связи, внутренних сегментов сети и производительности всех компонентов ИС относительно пикового легитимного трафика, что позволяет сохранять работоспособность системы даже в условиях DDoS-атаки.

Требования ФСТЭК России к защите от DDoS-атак эволюционировали от базовых мер в приказе ФСТЭК № 17 к более системному и ориентированному на практику подходу в актуальном приказе ФСТЭК № 117.
Сегодня регулятор требует не просто наличия отдельных средств защиты, а построения комплексной архитектуры, включающей фильтрацию трафика, мониторинг, балансировку, резервирование ресурсов и организационные процессы реагирования.
Операторы ГИС должны рассматривать защиту от DDoS как непрерывный процесс обеспечения устойчивости, а не как разовое внедрение решения. Соответствие требованиям напрямую зависит от реальной готовности инфраструктуры выдерживать атаки, поэтому ключевая задача — выстроить многоуровневую, масштабируемую систему защиты с учётом технических и организационных мер.