ENG

22 мая 2026 года ФСТЭК России опубликовал рекомендации по повышению защищенности от атак типа «отказ в обслуживании». Они предназначены для государственных органов и организаций, провайдеров связи, субъектов КИИ и содержат конкретные меры по защите от различных типов DoS-атак. Также документ прописывает порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак. 

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, изучил документ вместе с порталом "Атомная энергия 2.0" 

Проблематика

Количество атак типа «отказ в обслуживании» (DoS-атак) на российские компании растёт ежегодно, меняется их сложность. По оценкам РКН, в 2025 году число DoS-атак удвоилось к году ранее. По данным Kaspersky DDoS Protection, в 2025 году число DDoS-атак в России увеличилось на 42% по сравнению с 2024 годом, рос уровень сложности атак и интенсивности. Самые мощные DoS-атаки зафиксированы в третьем квартале. Целями злоумышленников чаще всего становились телекоммуникационные компании, финансовые организации и предприятия из сферы ретейла.

В начале 2026 года количество атак на промышленный сектор выросло в два раза. В пятёрку «предпочтений» злоумышленников также входят телеком, государственные организации и их сервисы, разработчики ПО и финансовый сектор.

Эксперты по кибербезопасности отмечают, что злоумышленники переходят от массовых DoS-атак к продуманным и таргетированным операциям. Атаки всё чаще проводятся на прикладном уровне (L7), где боты имитируют действия реальных пользователей: идёт перегрузка веб-приложений и воздействия на формы авторизации и регистрации, личные кабинеты и иные сервисы (отправки сообщений, бронирования или расчёта стоимости услуг). Отсечь их обычными фильтрами невозможно — здесь требуется глубокая поведенческая аналитика. 

На этом фоне ФСТЭК России разработал и 22 мая 2026 года опубликовал рекомендации по повышению защищенности от атак типа «отказ в обслуживании». Они предназначены для государственных органов и организаций, провайдеров связи, субъектов КИИ и содержат конкретные меры по защите от различных типов DoS-атак. Также документ прописывает порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак.

Внимательно рассмотрим документ.

 Что предлагает регулятор?

Операторам ГИС и иных информационных систем (ИС) органов государственной власти, субъектам КИИ, которым принадлежат ИС Российской Федерации, информационно-телекоммуникационные сети, автоматизированные системы управления, рекомендуют следующие мероприятия:

  • провести инвентаризацию внешних служб и сервисов, используемых в информационной инфраструктуре и размещённых на её периметре, в целях определения возможной поверхности атаки;

  • провести сегментацию сети и распределить выявленные сервисы по различным IP-адресам или подсетям, организовать административный доступ к сетевому оборудованию только из внутренней сети;

  • обеспечить мониторинг сетевого трафика на пограничных маршрутизаторах и маршрутизаторах ядра. Для выявления аномального трафика по результатам мониторинга необходимо зафиксировать: средние значения пакетов в секунду для пользователей ИС, объём трафика (бит/с), количество TCP флагов, количество запросов в секунду, а также используемые протоколы. Превышение этих значений будет свидетельствовать о выявлении аномального трафика.

  • обеспечить фильтрацию трафика на уровне L3 и ограничение скорости на уровне L4 на пограничных маршрутизаторах;

  • для облачных провайдеров на уровне L7 с использованием межсетевых экранов обеспечить фильтрацию трафика для выявления DoS-атак;

  • реализовать защиту от SYN-флуда, ограничить количество соединений и скорость из установки с одного IP-адреса;

  • на уровне IP-адресов и балансировщиков провести разделение типов трафика и технологических виртуальных частных сетей, а также интерфейсов их взаимодействия (API) для подключения или интеграции со сторонними организациями.

  • обеспечить применение межсетевых экранов уровня приложений (WAF) для доступных извне веб-приложений;

  • организовать ограничение запросов по протоколу DNS на собственных DNS-серверах, или пограничных маршрутизаторах.

  • внедрить «антибот» защиту, на уровне L7 предусмотреть блокировку пустых User-Agent и User-Agent ботов;

  • организовать возможность блокировки на пограничных маршрутизаторах трафика по принадлежности стране;

  • обеспечить резервирование каналов связи, сетевого оборудования и средств защиты информации.

  • ограничить использование из внешних и соседних сетей управляющих протоколов на пограничных маршрутизаторах.

  • по возможности активировать функции защиты от атак типа «отказ в обслуживании» на средствах межсетевого экранирования и других имеющихся средствах защиты информации.

  • обеспечить бесперебойный доступ к сервисам на периметре, входящим в «белый список» IP-адресов или сетей (AS);

  • обеспечить блокировку трафика, поступающего из «теневого Интернета»;

  • в случае обнаружения DoS-атаки на инфраструктуру необходимо реализовать комплекс мер по нейтрализации возникающих угроз безопасности информации, который предлагает ФСТЭК России.

Чуть более расширенный пакет мер, с учётом специфики функционирования, предлагается реализовать операторам связи, являющимся субъектам КИИ, которым принадлежат информационные системы и информационно-телекоммуникационные сети. 

Также документ включает конкретные рекомендации по настройке оборудования для защиты:

  • от атак на пропускную способность (объёмных атак), к которым относятся: UDP-флуд, ICMP-флуд, DNS- (NTP-) амплификация;

  • от протокольных атак, к которым относятся: SYN-флуд и фрагментационные атаки;

  • от атак на уровне приложений, к которым относятся: HTTP-флуд, Slowloris, медленные POST-запросы;

  • от мультивекторных атак, к которым относятся различные комбинации перечисленных ранее атак. 

Порядок действий при DoS-атаках

Рекомендации ФСТЭК по повышению защищённости от атак типа «отказ в обслуживании» также описывают порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак. В рамках реагирования организациям необходимо выполнить пять этапов по нейтрализации угроз:

  • информирование;

  • выявление и анализ;

  • непосредственная нейтрализация;

  • взаимодействие;

  • планирование.

В части информирования необходимо уведомить руководство органа / организации об атаке и определить ответственных лиц для реагирования на инцидент; уведомить регулятора в установленные законом сроки, сообщить об инциденте провайдеру и сотрудникам.

В рамках реализации этапа «Выявление и анализ» рекомендуется определить информационные ресурсы, на которые идёт атака типа «Распределённый отказ в обслуживании» (DDoS-атака), и степень деструктивного влияния. Выявить IP-адреса, с которых осуществляются обращения и конкретный тип DDoS-атаки, а также выявить затронутые сервисы и инфраструктуру.

Для нейтрализации DDoS-атаки следует заблокировать ранее выявленные IP-адреса, отфильтровать вредоносный трафик, применить фильтрацию по гео-IP, совместно с провайдером провести очистку трафика на уровнях L3, L4 и L7, задействовать резервные каналы связи для обеспечения непрерывности работы критически важных сервисов. Также рекомендуется обратиться за квалифицированной помощью и поддержкой в лицензированные ФСТЭК компании и аккредитованные организации, являющиеся центрами ГосСОПКА.

В рамках взаимодействия следует оповестить сотрудников компании о состоянии инфраструктуры и сроках восстановления работоспособности систем, уведомить иные заинтересованные стороны о характере инцидента и мерах по ликвидации его последствий, а также проинформировать регуляторов (НКЦКИ и ФСТЭК России) о ходе расследования и его результатах.

По итогам расследования инцидента рекомендуется принять меры по совершенствованию системы защиты для повышения устойчивости компании к будущим атакам, регулярно проводить аудит защищённости от DDoS- и DoS-атак, а также разработать методику и план тестирования по предотвращению атак типа «отказ в обслуживании» и регулярно проводить учения.

Хотите защититься от DoS/DDoS-атак? Нужна консультация по внедрению рекомендаций регулятора?


03.07.2026

Другие публикации

Атаки типа «отказ в обслуживании» становятся угрозой для российских организаций

22 мая 2026 года ФСТЭК России опубликовал рекомендации по повышению защищенности от атак типа «отказ в обслуживании». Они предназначены для государственных органов и организаций, провайдеров связи, субъектов КИИ и содержат конкретные меры по защите от различных типов DoS-атак. Также документ прописывает порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак.

03.07.2026

Почему DLP не даёт результата без аналитики инцидентов

Системы предотвращения утечек данных (DLP) традиционно воспринимаются как один из базовых инструментов защиты информации. Они контролируют каналы передачи данных, выявляют попытки вывода чувствительной информации и позволяют блокировать или фиксировать такие действия. На уровне ожиданий бизнеса всё выглядит достаточно просто: внедрение DLP — снижение риска утечек.

26.06.2026

Практические рекомендации и примеры оценки показателя защищенности с учетом актуальных требований ФСТЭК России

Российское регулирование в области информационной безопасности в 2025–2026 гг. совершило колоссальный сдвиг. ФСТЭК России утвердила новые нормативные акты, которые полностью пересмотрели подходы к оценке защищенности информационных систем госсектора, субъектов критической информационной инфраструктуры (КИИ).

24.06.2026

Инциденты с персональными данными: уведомление регулятора, внутреннее расследование и минимизация последствий

Реагирование на инциденты информационной безопасности (ИБ) давно стало стандартным доменом безопасности, однако инциденты с персональными данными (ПДн) создают дополнительные вызовы. Они представляют особую категорию киберинцидентов, требующую не только технического реагирования, но и строгого соблюдения норм законодательства, защиты прав субъектов ПДн и управления репутационными рисками.

22.06.2026

Эволюция методов обхода межсетевых экранов веб-приложений

Олег Лебедев, эксперт по кибербезопасности Angara Security, провел глубокий технический анализ векторов уклонения, архитектурных уязвимостей и стратегий противодействия межсетевым экранам веб-приложений.

19.06.2026

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах