DDoS-атаки и отказоустойчивость: Новые требования РКН к критической ИТ-инфраструктуре в 2025 году

📅 Опубликовано:
⏱ Время чтения: 1 мин
👁 Просмотров: 174
DDoS-атаки и отказоустойчивость: Новые требования РКН к критической ИТ-инфраструктуре в 2025 году

С 1 сентября 2025 года в России вступили в силу новые требования Роскомнадзора к обеспечению отказоустойчивости и защите от распределенных атак отказа в обслуживании (DDoS) для операторов критической информационной инфраструктуры (КИИ). Теперь под регулирование попадают не только государственные информационные системы, но и коммерческие компании, чья деятельность признана критически важной для экономики и безопасности страны. Какие меры необходимо принять и как подтвердить соответствие новым стандартам?

1. Расширение перечня объектов КИИ в 2025 году

С сентября 2025 года значительно расширен список организаций, подпадающих под регулирование в сфере КИИ.

Новые категории организаций, обязанные соблюдать требования по DDoS-защите:

 
 
Категория организаций Уровень защиты Срок реализации
Финансовые организации (кредитные, страховые организации) Уровень 1 (максимальный) До 1 января 2026
Транспортные компании (авиа-, ж/д перевозчики, метрополитен) Уровень 1 До 1 января 2026
Энергетические компании (генерация, распределение) Уровень 1 До 1 января 2026
Крупные ритейлеры (с оборотом от 50 млрд руб.) Уровень 2 До 1 июля 2026
Поставщики облачных услуг Уровень 1 До 1 января 2026
Операторы связи (интернет-провайдеры) Уровень 1 До 1 января 2026

2. Новые требования к защите от DDoS-атак

С 2025 года установлены конкретные технические параметры защиты для разных уровней критичности.

Требования к системам защиты для Уровня 1:

  • Обработка трафика: не менее 1 Тбит/с

  • Фильтрация пакетов: не более 5 мс задержки

  • Геораспределение: минимум 3 центра фильтрации в разных ФО

  • Резервирование каналов: 100% резерв по пропускной способности

  • Мониторинг: круглосуточный SOC (Security Operations Center)

Требования для Уровня 2:

  • Обработка трафика: не менее 500 Гбит/с

  • Фильтрация пакетов: не более 10 мс задержки

  • Геораспределение: минимум 2 центра фильтрации

  • Автоматическое переключение при атаке: не более 60 секунд

Важно: С 2025 года запрещено использование иностранных сервисов защиты от DDoS-атак для объектов КИИ. Все решения должны быть российского производства или развернуты на инфраструктуре российских провайдеров.

3. Кейс: Как банк выполнил новые требования по защите от DDoS-атак

Компания: «ФинансБанк» (кредитная организация с 2 млн клиентов).
Проблема: Необходимость приведения системы защиты в соответствие с новыми требованиями Уровня 1 до 1 января 2026 года.

Реализованные меры:

  1. Инфраструктурные изменения:

    • Построены 3 центра фильтрации трафика (ЦФТ) в разных ФО

    • Закуплено российское оборудование для обработки трафика

    • Увеличена пропускная способность каналов связи

  2. Организационные меры:

    • Создан круглосуточный SOC

    • Разработаны регламенты реагирования на инциденты

    • Проведены учения по отражению масштабных DDoS-атак

  3. Бюджет проекта: 650 млн рублей

    • Срок окупаемости: 3 года (за счет снижения рисков)

Результат: Банк успешно прошел аудит и получил сертификат соответствия требованиям РКН.

Комментарий эксперта: «Новые требования 2025 года фактически обязывают компании создавать системы защиты военного уровня, — отмечает Сергей Орлов, эксперт по кибербезопасности rkn-help.ru. — Это особенно сложно для региональных компаний, которые не имеют доступа к необходимым кадровым и техническим ресурсам. Мы рекомендуем таким организациям рассматривать аутсорсинг услуг защиты у аккредитованных российских провайдеров».

4. Ответственность за невыполнение требований

С 2025 года введена строгая ответственность за нарушение требований по защите от DDoS-атак.

Размеры штрафов:

  • За отсутствие системы защиты:

    • Для должностных лиц: от 500 000 до 1 000 000 рублей

    • Для юридических лиц: от 5 до 10 млн рублей

  • За несоблюдение технических требований:

    • Для должностных лиц: от 300 000 до 700 000 рублей

    • Для юридических лиц: от 3 до 7 млн рублей

  • За использование иностранных решений:

    • Аннулирование статуса оператора КИИ

    • Штраф до 15 млн рублей

5. Чек-лист для компаний КИИ на 2025-2026 годы

  1. Определить статус критичности информационной инфраструктуры

  2. Провести аудит существующих систем защиты

  3. Разработать дорожную карту приведения систем в соответствие

  4. Выбрать российского поставщика услуг DDoS-защиты

  5. Внедрить систему мониторинга и реагирования на инциденты

  6. Провести тестовые учения по отражению атак

  7. Получить сертификат соответствия в РКН

Заключение
Новые требования к защите от DDoS-атак в 2025 году означают серьезные изменения для российских компаний, относящихся к критической информационной инфраструктуре. Своевременное выполнение этих требований не только позволит избежать штрафов, но и обеспечит устойчивость бизнеса в условиях растущих киберугроз. Инвестиции в надежные системы защиты становятся обязательным условием ведения бизнеса в цифровой экономике.

← Вернуться к статьям