ПЭВМ в защищенном исполнении: состав, требования, выбор
Когда речь идет о ПЭВМ в защищенном исполнении, имеется в виду не особое железо, а готовый комплекс: серийный или промышленный компьютер, на который до поставки заказчику установлены, проверены и задокументированы сертифицированные средства защиты от несанкционированного доступа. Не просто ПК с антивирусом, а программно-аппаратный комплекс с подтвержденным соответствием требованиям ФСТЭК или ФСБ России.
Ниже — что входит в такой комплекс, кому он нужен по закону и на что смотреть при выборе.
Чем защищенное исполнение отличается от обычного ПК
Обычный офисный компьютер превращается в ПЭВМ в защищенном исполнении, когда на него установлены и корректно настроены:
- средство доверенной загрузки (СДЗ) — например, ПАК «Соболь»;
- система защиты от НСД — Dallas Lock 8.0-С, Secret Net Studio или аналоги;
- сертифицированная операционная система или ОС с наложенным СЗИ;
- при необходимости — средства криптографической защиты (СКЗИ).
На такой машине нельзя загрузиться с внешнего носителя, нельзя войти без аутентификации, нельзя подключить несанкционированное устройство и нельзя скопировать данные в обход политик безопасности. Вся конфигурация задокументирована. Именно этот подход описывают ГОСТ Р 51583 и ГОСТ Р 51624, на которые ФСТЭК ссылается при формировании требований к информационным системам.
Кому требуются защищенные рабочие места
Государственные органы и ГИС. По требованиям ФСТЭК рабочие места в ГИС должны быть оснащены СЗИ соответствующего класса. Для ГИС 1-го класса — СЗИ от НСД не ниже 4-го класса, для 3-го класса достаточно 6-го. С 1 марта 2026 года вступает в силу Приказ № 117, который приходит на смену Приказу № 17. Базовая трехклассовая система сохраняется, но добавляются требования к непрерывному мониторингу и полугодовой оценке показателей защищенности.
Операторы персональных данных. Приказ ФСТЭК № 21 для ИСПДн требует технических мер защиты в зависимости от уровня защищенности. При УЗ 1 и УЗ 2 применение сертифицированных СЗИ обязательно.
Объекты КИИ. Приказ № 239 для значимых объектов КИИ предусматривает требования к защите рабочих станций — в том числе к доверенной загрузке и разграничению доступа.
Предприятия с гостайной. Здесь требования формирует ФСБ России. Обязательны специальная проверка и специальные исследования оборудования (СП и СИ) до ввода в эксплуатацию.
Коммерческие организации с требованиями к конфиденциальности — банки, юридические компании, промышленные предприятия — применяют защищенные рабочие места по собственным политикам безопасности, даже если прямого регуляторного требования нет.
Состав типовой ПЭВМ в защищенном исполнении
| Компонент | Назначение | Примеры сертифицированных решений |
|---|---|---|
| Средство доверенной загрузки (СДЗ) | Контроль целостности среды до загрузки ОС, аутентификация до старта системы | ПАК «Соболь» PCI-E, ПАК «Соболь» M.2, Dallas Lock СДЗ |
| СЗИ от НСД | Разграничение доступа, контроль подключения устройств, аудит, замкнутая программная среда | Dallas Lock 8.0-С, Secret Net Studio 8 |
| Антивирусное ПО (сертифицированное) | Защита от вредоносного кода | Dr.Web (сертификат ФСТЭК), Kaspersky (сертификат ФСТЭК) |
| СКЗИ (при необходимости) | Шифрование данных, защищенный документооборот, электронная подпись | КриптоПро CSP, ViPNet Client |
| Операционная система | Базовая среда функционирования | Windows + наложенные СЗИ; сертифицированные дистрибутивы Linux |
Конкретный состав определяется классом защищенности ИС или уровнем защищенности ИСПДн, а также моделью угроз. Не каждой системе нужны все компоненты — переизбыток СЗИ увеличивает стоимость владения и усложняет администрирование без роста реальной защищенности.
Специальная проверка и специальные исследования
Для объектов, на которых обрабатывается информация с грифом секретности, простой установки СЗИ недостаточно.
Специальная проверка — поиск в оборудовании закладных устройств. Проводится в лицензированных организациях с применением специальной аппаратуры.
Специальные исследования — определение реальных технических каналов утечки: электромагнитное излучение, наводки, акустика. По итогам выдается предписание на эксплуатацию с категорией выделенного помещения и зоной безопасности.
Без СП и СИ использовать технику для обработки гостайны нельзя — это требование Постановления Правительства РФ № 214 и нормативных документов ФСБ.
На что смотреть при выборе
Класс ИС первичен. Состав СЗИ определяется классификацией системы. Поставить СЗИ 6-го класса там, где требуется 4-й, — нарушение требований. Поставить 4-й класс там, где достаточно 6-го, — лишние расходы.
Актуальность сертификатов. Сертификаты ФСТЭК выдаются на конкретные версии продукта и имеют срок действия. Перед покупкой стоит сверить используемую версию ПО с реестром сертифицированных СЗИ на сайте ФСТЭК.
Форм-фактор аппаратных СЗИ. ПАК «Соболь» выпускается в версиях PCI-E и M.2 — слот в системном блоке должен совпадать. Этот момент часто упускают при формировании заявки.
Совместимость компонентов. Некоторые связки СДЗ + СЗИ от НСД + антивирус требуют проверки. Крупные производители публикуют таблицы совместимости; если комплекс поставляется от одного интегратора — ответственность за совместимость лежит на нем.
Централизованное управление. При парке от 10–15 машин серверные компоненты (Единый центр управления Dallas Lock, серверная часть Secret Net Studio) существенно упрощают администрирование. При меньшем количестве рабочих мест централизованный сервер скорее создает накладные расходы.
Что меняется с марта 2026 года
Приказ ФСТЭК № 117 с 1 марта 2026 года заменяет Приказ № 17 для ГИС и распространяется также на информационные системы государственных унитарных предприятий и госучреждений. Аттестаты соответствия, выданные ранее, остаются действительными. Однако документацию по защите информации придется актуализировать, а оценку показателей защищенности проводить раз в полгода по методике ФСТЭК.
Если ввод рабочих мест в эксплуатацию запланирован после марта 2026 года, разумно уже сейчас ориентироваться на новые требования — переаттестация обходится дороже, чем корректная конфигурация с самого начала.
ПЭВМ в защищенном исполнении — это рабочее место, которое не загружается с флешки, не пускает без токена, не дает скопировать данные на личный диск и записывает все, что на нем происходит. Для организаций, работающих с персональными данными или в ГИС, такие рабочие места — требование закона. Для остальных — обоснованная мера там, где утечка данных несет реальные последствия.
Если нужна консультация по подбору состава СЗИ под класс вашей системы или комплектация ПЭВМ в защищенном исполнении — свяжитесь с менеджером ЦАУБ.
- Комментарии