Zero Trust архитектура по Приказу ФСТЭК №117: практическое внедрение
Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. С марта 2026 обязательно внедрение требований ФСТЭК Приказа №117 по защите информации. Zero Trust Network Access становится не трендом, а regulatory requirement. Рассказываю о practical внедрении ZTNA в enterprise на кейсе финтеха: микросегментация, identity verification, continuous monitoring.
Приказ ФСТЭК №117: ключевые изменения
Новые требования с марта 2026 года:
- Непрерывная аутентификация — проверка identity на каждом запросе
- Микросегментация сети — минимальные права доступа по умолчанию
- Мониторинг аномалий — ML-based детектирование подозрительной активности
- Encrypted communications — TLS 1.3 для всех внутренних коммуникаций
- Incident response — автоматическое блокирование при нарушениях
Zero Trust архитектура: российская практика
# ZTNA stack для ФСТЭК compliance
┌─────────────────────────────────────────┐
│ SIEM (MaxPatrol, Solar appScreener) │ ← Мониторинг и аналитика
├─────────────────────────────────────────┤
│ IAM (Keycloak, Active Directory) │ ← Identity & Access Management
├─────────────────────────────────────────┤
│ Network Access Control (Check Point) │ ← Контроль доступа к ресурсам
├─────────────────────────────────────────┤
│ Микросегментация (Cisco ACI, NSX) │ ← Сетевая изоляция
└─────────────────────────────────────────┘Практическое внедрение: кейс финтеха
Этапы внедрения Zero Trust для соответствия №117:
Фаза 1: Identity & Access Management
# Keycloak для централизованной аутентификации
# keycloak-ztna.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: keycloak-ztna
data:
keycloak.conf: |
# ФСТЭК требования
hostname=auth.company.local
db=postgres
db-url=jdbc:postgresql://postgres:5432/keycloak
# Усиленная аутентификация
spi-password-policy-passwordBlacklist-enabled=true
spi-login-protocol-openid-connect-legacy-logout-redirect-uri=true
# Continuous verification
sso-session-idle-timeout=300
sso-session-max-lifespan=3600
# Audit logging для ФСТЭК
log-level=INFO
log-file=/var/log/keycloak/keycloak.logФаза 2: Микросегментация сети
# Cisco ACI микросегментация
# Contracts для Zero Trust
Contract: DB_ACCESS
Subject: database-access
Filter: tcp-1433 (SQL Server)
Direction: bidirectional
Provider EPG: Database_EPG
Consumer EPG: App_Servers_EPG
Contract: WEB_TO_APP
Subject: web-api-access
Filter: tcp-443 (HTTPS only)
Direction: unidirectional
Provider EPG: App_Servers_EPG
Consumer EPG: Web_Servers_EPG
# Default deny все остальноеФаза 3: Continuous Monitoring
# MaxPatrol SIEM rules для Zero Trust
# Подозрительная активность
Rule: ZTNA_Anomaly_Detection
Condition:
- Failed authentication > 5 attempts in 10min
- Access from new device/location
- Privilege escalation attempt
- Off-hours access to critical systems
Action:
- Block user session immediately
- Send alert to SOC
- Require re-authentication
- Log to ФСТЭК audit trail
Rule: ZTNA_Lateral_Movement
Condition:
- Cross-segment network access
- Multiple system authentication in short time
- Access to systems outside user role
Action:
- Isolate source system
- Block network access
- Escalate to incident responseФСТЭК compliance checklist
Обязательные требования Приказа №117:
| Требование | Реализация | Контроль |
|---|---|---|
| Двухфакторная аутентификация | Keycloak + SMS/TOTP | 100% coverage |
| Шифрование трафика | TLS 1.3 всюду | Network monitoring |
| Контроль целостности | File integrity monitoring | SIEM correlation |
| Аудит доступа | Centralized logging | ФСТЭК отчеты |
| Incident response | Automated blocking | Response time <15min |
Российские решения для Zero Trust
Сертифицированные ФСТЭК продукты:
- MaxPatrol SIEM — российская SIEM с ML-аналитикой
- Solar appScreener — защита веб-приложений
- Secret Net Studio — DLP + контроль доступа
- Континент АП — VPN с continuous verification
- Astra Linux — ОС с встроенной мандатной моделью
ROI внедрения Zero Trust
Экономическое обоснование для компании 200+ сотрудников:
| Показатель | До Zero Trust | После Zero Trust | Экономия |
|---|---|---|---|
| Инциденты ИБ в год | 12 | 3 | -75% |
| Время расследования | 24 часа | 2 часа | -92% |
| Ущерб от утечек | 15M₽ | 2M₽ | 13M₽ |
| Compliance штрафы | 5M₽ | 0₽ | 5M₽ |
| Затраты на внедрение | - | 8M₽ | -8M₽ |
| NET экономия/год | - | - | 10M₽ |
Заключение: готовность к марту 2026
Приказ №117 — не recommendation, а обязательное требование. Компании без Zero Trust архитектуры рискуют:
- Штрафами ФСТЭК до 200M₽
- Потерей лицензий на работу с персданными
- Репутационными рисками при инцидентах
Начинать внедрение нужно сейчас — full compliance занимает 8-12 месяцев.
Нужна помощь с внедрением?
Помогли 40+ российским компаниям с импортозамещением и соответствием ФСТЭК требованиям. Консультируем по выбору решений и migration strategy.