ФСТЭК опубликовала методические рекомендации по защите информационной инфраструктуры от DDoS-атак. Документ адресован не только субъектам КИИ, но и госорганам, операторам государственных информационных систем, операторам связи, владельцам информационно-телекоммуникационных сетей — в общем, всем, чьи сервисы доступны из интернета. По сути, регулятор предлагает не «волшебную защиту», а порядок действий: инвентаризация, сегментация, мониторинг, фильтрация и заранее подготовленное реагирование.

Что рекомендует регулятор

Меры перечислены базовые, но именно на них всё и держится. Организациям советуют разобраться, какие сервисы доступны извне, разделить инфраструктуру на сегменты, разнести публичные сервисы по разным IP-адресам или подсетям, настроить мониторинг трафика на пограничных маршрутизаторах и фильтрацию на сетевом периметре. Отдельно описаны основные типы DDoS-угроз: объёмные атаки на пропускную способность, протокольные атаки, атаки уровня приложений и мультивекторные сценарии. Последние особенно неприятны: злоумышленники одновременно бьют по разным уровням, и простая фильтрация «по шаблону» уже не всегда выручает.

Почему тема обострилась

Статистика последних месяцев объясняет появление рекомендаций лучше любых пояснений. В апреле 2026 года специалисты Центра мониторинга и управления сетью связи общего пользования Роскомнадзора отразили 1246 DDoS-атак на системы госуправления и операторов связи. Максимальная мощность достигала 1,03 Тбит/с, скорость — 88,55 млн пакетов в секунду, а самая продолжительная атака длилась больше пяти суток. По данным StormWall, в первом квартале 2026 года в России впервые фиксировались атаки мощностью свыше 3 Тбит/с, а доля мультивекторных атак достигла 37% от общего числа. Это уже не история про «положили сайт на пару часов», а нагрузка, проверяющая зрелость всей инфраструктуры.

Не только железо, но и управление

В рекомендациях скрыта не самая эффектная, но практичная мысль: защита от DDoS не сводится к покупке коробки или подключению одного сервиса.

«Если компания не знает, какие публичные сервисы у неё критичны, кто принимает решение во время атаки и как быстро можно поменять маршрутизацию или фильтрацию, техника не спасёт».

В крупных организациях с тысячами серверов и рабочих станций ручное обновление правил, конфигураций и политик быстро превращается в отдельный риск. Поэтому всё большее значение получают централизованное управление, автоматизация и регулярная проверка того, что инфраструктура действительно находится в нужном состоянии.

Практика вместо красивых слов

Сами по себе рекомендации не остановят атаку, но задают понятную рамку: сначала увидеть весь внешний периметр, затем разделить инфраструктуру, настроить мониторинг, определить фильтрацию и заранее договориться с провайдерами о действиях при всплеске трафика. Это скучная, но рабочая логика. DDoS-атака редко даёт время на спокойные согласования — чем больше решений принято до инцидента, тем меньше хаоса в первые минуты.

ФСТЭК фактически фиксирует новую нормальность: DDoS стал постоянным риском для цифровой инфраструктуры. Атаки растут не только по мощности, но и по сложности — особенно за счёт мультивекторных сценариев. Для компаний это означает переход от точечной защиты к управлению всей сетевой средой: периметр, маршрутизация, мониторинг, провайдеры, сценарии реагирования. Без такой работы даже дорогие средства защиты могут работать хуже, чем обещано в презентации.

Главный вызов теперь не в том, чтобы прочитать документ. Его нужно применить к живой инфраструктуре, где есть наследие, подрядчики, разные сети и много ответственных. Это сложнее, чем купить защитный сервис, но без такой работы устойчивость останется скорее надеждой, чем свойством системы.

Источник: ComNews