Приказ ФСТЭК России № 117: какие требования к веб-каналу важно учесть

1 марта 2026 года вступил в силу приказ ФСТЭК России № 117 от 11.04.2025. Документ заменил приказ ФСТЭК России № 17 и стал новой нормативной основой для построения системы защиты таких информационных систем. Его логика шире: оператор должен выстроить систему защиты с учетом класса защищенности информационной системы, модели угроз, архитектуры, состава обрабатываемой информации, ролей пользователей, внешних подключений, подрядчиков и применяемых технологий.

Один из самых чувствительных участков в этой логике — веб-канал. Через него сотрудники работают с сайтами, облачными сервисами, веб-почтой, мессенджерами и публичными ИИ-платформами. Вместе с этим возникают риски утечек, заражений, обхода политик и неконтролируемой передачи данных. Разбираем, какие требования приказа ФСТЭК России № 117 важно учесть именно для интернет-доступа и веб-трафика, где может помочь Solar webProxy и почему один продукт не заменяет комплексную систему защиты.

Что изменилось в логике приказа

Приказ ФСТЭК России № 117 делает акцент на процессе. Оператору нужно не просто внедрить средства защиты, а связать меры с архитектурой конкретной системы, составом информации, моделью угроз, ролями пользователей, внешними подключениями и мониторингом. Для организаций, где критична защита государственных информационных систем, это означает необходимость доказуемого контроля: кто, когда, к каким ресурсам обращался и какое правило сработало.

Для веб-канала это означает, что интернет-доступ становится полноценной зоной ИБ-контроля. Раньше его часто воспринимали как вспомогательную инфраструктуру: есть интернет-шлюз, есть антивирус, значит риск частично закрыт. В рамках требований приказа ФСТЭК России № 117 этого недостаточно. Нужны политики доступа к внешним ресурсам, работа с файлами, облаками, подрядчиками и публичными ИИ-сервисами, журналирование и передача событий в мониторинг.

Как методический документ ФСТЭК от 12.04.2026 уточняет требования для веб-контура

Методический документ ФСТЭК России от 12.04.2026 конкретизирует состав и содержание мероприятий и мер по защите информации. Для веб-контура особенно важны разделы и меры, которые раскрывают требования приказа № 117 применительно к интернет-доступу, внешним ресурсам и исходящему трафику.

Таким образом, Solar webProxy не является универсальным средством выполнения всех требований приказа ФСТЭК России № 117. Его роль — закрывать прикладной слой веб-безопасности: управлять доступом к интернету и внешним сервисам, контролировать HTTP(S)-трафик, проверять файлы, ограничивать работу с ИИ-платформами, фиксировать события и передавать их в мониторинг. В связке с DLP, SIEM/SOC, EDR, MDM, VPN, PAM, NGFW и организационными регламентами SWG помогает встроить веб-канал в общую систему защиты информации.

Где Solar webProxy помогает выполнить требования

Веб-трафик — это уже не только посещение сайтов. Это работа с веб-приложениями, облачными хранилищами, API, мессенджерами, веб-почтой, SaaS-сервисами и ИИ-платформами. Поэтому контроль веб-канала должен учитывать не только адрес ресурса, но и контекст: пользователя, группу, категорию сайта, тип передаваемого файла, протокол, расписание, риск ресурса и содержание запроса или ответа.

Solar webProxy помогает контролировать ключевые элементы веб-канала, включая:

• HTTP(S), SOCKS5, FTP через HTTP/SOCKS5-прокси и другие сценарии веб-доступа.
• SSL/TLS-инспекцию зашифрованного трафика по правилам политики.
• DPI на уровне L7 для распознавания приложений и протоколов.
• Фильтрацию по URL, IP, категориям, ключевым словам, расписаниям, портам, протоколам и типам файлов.
• Категоризацию ресурсов через Solar webCAT и использование фидов угроз Solar TI Feeds.
• Антивирусную проверку трафика и файлов.
• Контроль загрузки и выгрузки файлов.
• Контроль обращений к ИИ-сервисам.
• Передачу трафика и файлов во внешние DLP, антивирусы и песочницы через ICAP.
• Экспорт событий и журналов во внешние SIEM по syslog.
• Отчеты, дашборды, журналы и «Досье» для анализа активности пользователей.

В части доступа продукт позволяет задавать правила по URL, IP-адресам, категориям сайтов, ключевым словам, расписаниям, портам, протоколам, типам файлов и группам пользователей. Так требования приказа ФСТЭК России № 117, наиболее релевантные для веб-контура, превращаются в прикладные политики: доступ к внешним ресурсам становится управляемым, а не одинаково разрешенным или запрещенным для всех.

Для HTTPS особенно важна управляемая инспекция. Без нее организация видит только факт обращения к ресурсу, но не всегда понимает, какие данные передавались. Solar webProxy позволяет применять SSL/TLS-инспекцию по правилам политики и анализировать зашифрованный трафик там, где это оправдано рисками и допустимо внутренними правилами.

Для защиты от угроз используются webCat, фиды Solar 4RAYS, антивирусная проверка и передача контента во внешние DLP, AV и песочницы через ICAP. Такая система защиты веб-трафика помогает блокировать фишинговые и вредоносные ресурсы, ограничивать нежелательные категории сайтов и контролировать загрузку или выгрузку файлов.

Веб-канал стал зоной аудита

Контроль интернет-доступа больше нельзя сводить к блокировке сайтов. Оператору нужно видеть действия пользователя, тип передаваемых данных, работу политик и цепочку событий. Только так веб-контроль становится не формальной настройкой, а частью управляемой системы защиты.

Екатерина Черкасова

PMM Solar webProxy

Но одна SWG-система не подменяет регламенты, аттестацию, DLP, EDR, PAM, VPN, MDM и другие элементы комплексной защиты. Для аудита важны журналы, отчеты, досье пользователей и передача событий в SIEM. Это дает доказательную базу: какой пользователь обращался к ресурсу, какое правило применено, что было заблокировано. Для защиты государственных информационных систем такая прозрачность особенно важна, потому что контроль должен быть аудируемым.

Где одного SWG недостаточно. Solar webProxy закрывает не весь приказ, а важный слой веб-контроля. Приказ ФСТЭК России № 117 шире: он требует организации системы защиты информации с учетом класса защищенности, модели угроз, архитектуры, процессов эксплуатации, контроля изменений, регистрации событий, реагирования на инциденты, оценки эффективности и аттестации.

SWG не заменяет:

• DLP — для полноценного анализа содержания передаваемых данных и политик по информации ограниченного доступа.
• SIEM/SOC — для корреляции событий, мониторинга и реагирования.
• EDR — для защиты рабочих станций и серверов.
• MDM/UEM — для управления мобильными устройствами.
• VPN и средства криптографической защиты — для защищенных каналов и удаленного доступа.
• PAM — для контроля привилегированных пользователей.
• WAF — для защиты веб-приложений.
• Анти-DDoS — для защиты от атак на доступность.
• Организационные документы, инструкции, договоры с подрядчиками и процедуры аудита.

Solar webProxy помогает реализовать отдельные технические меры и процессы, значимые для веб-канала, но выполнение требований приказа № 117 требует комплексной архитектуры и организационно-технических процедур.

Оцените возможности Solar webProxy в деморежиме.

Получить демо

SWG и NGFW: почему это не одно и то же

Важно не смешивать SWG и NGFW. NGFW отвечает за сетевой периметр, соединения, сегментацию, сетевую фильтрацию и контроль взаимодействия на уровне инфраструктуры. SWG детальнее работает с веб-доступом: URL, категориями ресурсов, HTTP(S), файлами, HTTPS-инспекцией, веб-приложениями, облаками и ИИ-сервисами.

В связке эти классы не конкурируют. NGFW удерживает сетевой контур, а SWG берет на себя детальную веб-фильтрацию, контроль действий пользователей в интернете, анализ веб-трафика и фиксацию событий, связанных с доступом к внешним ресурсам.

Для организаций, которые приводят веб-контур в соответствие требованиям приказа № 117 и методического документа ФСТЭК от 12.04.2026, такая связка помогает разделить зоны ответственности: сетевой периметр остается за NGFW, а управляемый веб-доступ — за специализированной SWG-системой.

Почему ИИ-сервисы требуют контроля

Публичные ИИ-инструменты стали новым внешним каналом передачи данных. Пользователь может отправить в запрос фрагмент служебного документа, персональные данные, код, финансовую информацию или сведения ограниченного доступа. Риск возникает даже без загрузки файла — через обычное текстовое поле.

В контексте приказа ФСТЭК России № 117 это означает, что ИИ нужно включать в правила веб-доступа: какие платформы разрешены, какие запрещены, кому доступ открыт, какие данные нельзя передавать и как фиксируются обращения. Solar webProxy помогает ограничивать доступ к публичным ИИ-сервисам, разрешать только одобренные платформы, контролировать обращения через веб-канал и передавать события в мониторинг.

Для инфраструктуры, использующей облачные сервисы, дата-центры, ИБ-направления и обслуживаются крупные корпоративные клиенты, контроль веб-канала становится частью общей системы мониторинга. В контексте ИИ-сервисов это особенно важно: обращения к таким платформам должны попадать в управляемый контур — с политиками доступа, журналированием и передачей событий специалистам ИБ для дальнейшего анализа.

Но одной технологии недостаточно. Чтобы контроль был полноценным, нужны классификация данных, инструкции для сотрудников, DLP-политики, правовая оценка обработки информации и понятный порядок реагирования на нарушения. Поэтому система защиты веб-трафика должна работать как часть общей модели защиты, а не как отдельный фильтр на интернет-доступе.

Безопасность — это база

Для выполнения требований мало внедрить средство защиты. Нужны роли, актуальные политики, контроль изменений, мониторинг и регулярная проверка эффективности. Безопасность — это база, и мы ее обеспечиваем!

Екатерина Черкасова

PMM Solar webProxy

Практический чек-лист

1. Определить, какие информационные системы, пользователи, подрядчики и сервисы используют интернет-канал.
2. Описать роли, группы доступа и допустимые сценарии работы с веб-ресурсами.
3. Сформировать перечни разрешенных и запрещенных внешних ресурсов.
4. Настроить отдельные политики для офисных, удаленных, мобильных и привилегированных пользователей.
5. Проверить контроль HTTPS, файлов, веб-почты, мессенджеров, облаков и ИИ-сервисов.
6. Настроить журналирование действий пользователей и администраторов.
7. Передавать события SWG в SIEM или SOC-контур для мониторинга и расследований.
8. Интегрировать SWG с DLP, антивирусами и песочницами через ICAP там, где нужен анализ содержания или дополнительная проверка объектов.
9. Определить, какие смежные средства нужны для полного контура защиты: DLP, EDR, MDM, VPN, PAM, WAF, анти-DDoS.
10. Закрепить правила в регламентах, инструкциях, договорах с подрядчиками и процедурах реагирования.

Такой подход помогает реализовывать требования приказа ФСТЭК России № 117, значимые для веб-контура, без подмены смысла приказа. Оператор показывает не просто наличие инструмента, а управляемую систему: с понятными политиками, событиями, ответственными, процедурами и регулярной проверкой эффективности.

Рассказываем, как бороться с Shadow ИТ, или выходим из тени с помощью шлюза веб-безопасности.

Скачать Гайд

Веб-канал без слепых зон

Приказ ФСТЭК России № 117 требует от оператора реальной управляемости защиты: контролировать доступ, фиксировать события, управлять внешними каналами и подтверждать эффективность мер. Для веб-канала это означает, что интернет-доступ становится зоной ИБ-контроля, а не просто сетевой услугой.

Solar webProxy может стать одним из ключевых компонентов этой архитектуры там, где речь идет о веб-доступе, HTTPS, внешних сервисах, ИИ-платформах, журналировании и расследованиях. Но полное выполнение требований требует смежных средств и организационных мер. Для выполнения требований приказа ФСТЭК России № 117 защита должна строиться как система: с понятной архитектурой, регламентами, распределением ответственности, техническими средствами и регулярной проверкой эффективности, — а не сводиться к установке одного продукта. Именно в такой модели SWG помогает сделать веб-канал прозрачным, управляемым и аудируемым.

Обсудите защиту веб-канала с экспертами Solar webProxy

Запросить консультацию

Часто задаваемые вопросы