22 мая 2026 года ФСТЭК России опубликовал рекомендации по повышению защищенности от атак типа «отказ в обслуживании». Они предназначены для государственных органов и организаций, провайдеров связи, субъектов КИИ и содержат конкретные меры по защите от различных типов DoS-атак. Также документ прописывает порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак.
Проблематика
Количество атак типа «отказ в обслуживании» (DoS-атак) на российские компании растёт ежегодно, меняется их сложность. По оценкам РКН, в 2025 году число DoS-атак удвоилось к году ранее. По данным Kaspersky DDoS Protection, в 2025 году число DDoS-атак в России увеличилось на 42% по сравнению с 2024 годом, рос уровень сложности атак и интенсивности. Самые мощные DoS-атаки зафиксированы в третьем квартале. Целями злоумышленников чаще всего становились телекоммуникационные компании, финансовые организации и предприятия из сферы ретейла.
В начале 2026 года количество атак на промышленный сектор выросло в два раза. В пятёрку «предпочтений» злоумышленников также входят телеком, государственные организации и их сервисы, разработчики ПО и финансовый сектор.
Эксперты по кибербезопасности отмечают, что злоумышленники переходят от массовых DoS-атак к продуманным и таргетированным операциям. Атаки всё чаще проводятся на прикладном уровне (L7), где боты имитируют действия реальных пользователей: идёт перегрузка веб-приложений и воздействия на формы авторизации и регистрации, личные кабинеты и иные сервисы (отправки сообщений, бронирования или расчёта стоимости услуг). Отсечь их обычными фильтрами невозможно — здесь требуется глубокая поведенческая аналитика.
На этом фоне ФСТЭК России разработал и 22 мая 2026 года опубликовал рекомендации по повышению защищенности от атак типа «отказ в обслуживании». Они предназначены для государственных органов и организаций, провайдеров связи, субъектов КИИ и содержат конкретные меры по защите от различных типов DoS-атак. Также документ прописывает порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак.
Внимательно рассмотрим документ.
Что предлагает регулятор?
Операторам ГИС и иных информационных систем (ИС) органов государственной власти, субъектам КИИ, которым принадлежат ИС Российской Федерации, информационно-телекоммуникационные сети, автоматизированные системы управления, рекомендуют следующие мероприятия:
— провести инвентаризацию внешних служб и сервисов, используемых в информационной инфраструктуре и размещённых на её периметре, в целях определения возможной поверхности атаки;
— провести сегментацию сети и распределить выявленные сервисы по различным IP-адресам или подсетям, организовать административный доступ к сетевому оборудованию только из внутренней сети;
— обеспечить мониторинг сетевого трафика на пограничных маршрутизаторах и маршрутизаторах ядра. Для выявления аномального трафика по результатам мониторинга необходимо зафиксировать: средние значения пакетов в секунду для пользователей ИС, объём трафика (бит/с), количество TCP флагов, количество запросов в секунду, а также используемые протоколы. Превышение этих значений будет свидетельствовать о выявлении аномального трафика.
— обеспечить фильтрацию трафика на уровне L3 и ограничение скорости на уровне L4 на пограничных маршрутизаторах;
— для облачных провайдеров на уровне L7 с использованием межсетевых экранов обеспечить фильтрацию трафика для выявления DoS-атак;
— реализовать защиту от SYN-флуда, ограничить количество соединений и скорость из установки с одного IP-адреса;
— на уровне IP-адресов и балансировщиков провести разделение типов трафика и технологических виртуальных частных сетей, а также интерфейсов их взаимодействия (API) для подключения или интеграции со сторонними организациями.
— обеспечить применение межсетевых экранов уровня приложений (WAF) для доступных извне веб-приложений;
— организовать ограничение запросов по протоколу DNS на собственных DNS-серверах, или пограничных маршрутизаторах.
— внедрить «антибот» защиту, на уровне L7 предусмотреть блокировку пустых User-Agent и User-Agent ботов;
— организовать возможность блокировки на пограничных маршрутизаторах трафика по принадлежности стране;
— обеспечить резервирование каналов связи, сетевого оборудования и средств защиты информации.
— ограничить использование из внешних и соседних сетей управляющих протоколов на пограничных маршрутизаторах.
— по возможности активировать функции защиты от атак типа «отказ в обслуживании» на средствах межсетевого экранирования и других имеющихся средствах защиты информации.
— обеспечить бесперебойный доступ к сервисам на периметре, входящим в «белый список» IP-адресов или сетей (AS);
— обеспечить блокировку трафика, поступающего из «теневого Интернета»;
— в случае обнаружения DoS-атаки на инфраструктуру необходимо реализовать комплекс мер по нейтрализации возникающих угроз безопасности информации, который предлагает ФСТЭК России.
Чуть более расширенный пакет мер, с учётом специфики функционирования, предлагается реализовать операторам связи, являющимся субъектам КИИ, которым принадлежат информационные системы и информационно-телекоммуникационные сети.
Также документ включает конкретные рекомендации по настройке оборудования для защиты:
— от атак на пропускную способность (объёмных атак), к которым относятся: UDP-флуд, ICMP-флуд, DNS- (NTP-) амплификация;
— от протокольных атак, к которым относятся: SYN-флуд и фрагментационные атаки;
— от атак на уровне приложений, к которым относятся: HTTP-флуд, Slowloris, медленные POST-запросы;
— от мультивекторных атак, к которым относятся различные комбинации перечисленных ранее атак.
Порядок действий при DoS-атаках
Рекомендации ФСТЭК по повышению защищённости от атак типа «отказ в обслуживании» также описывают порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак. В рамках реагирования организациям необходимо выполнить пять этапов по нейтрализации угроз:
— информирование;
— выявление и анализ;
— непосредственная нейтрализация;
— взаимодействие;
— планирование.
В части информирования необходимо уведомить руководство органа / организации об атаке и определить ответственных лиц для реагирования на инцидент; уведомить регулятора в установленные законом сроки, сообщить об инциденте провайдеру и сотрудникам.
В рамках реализации этапа «Выявление и анализ» рекомендуется определить информационные ресурсы, на которые идёт атака типа «Распределённый отказ в обслуживании» (DDoS-атака), и степень деструктивного влияния. Выявить IP-адреса, с которых осуществляются обращения и конкретный тип DDoS-атаки, а также выявить затронутые сервисы и инфраструктуру.
Денис Бандалетов, руководитель отдела сетевых технологий Angara SecurityДля нейтрализации DDoS-атаки следует заблокировать ранее выявленные IP-адреса, отфильтровать вредоносный трафик, применить фильтрацию по гео-IP, совместно с провайдером провести очистку трафика на уровнях L3, L4 и L7, задействовать резервные каналы связи для обеспечения непрерывности работы критически важных сервисов. Также рекомендуется обратиться за квалифицированной помощью и поддержкой в лицензированные ФСТЭК компании и аккредитованные организации, являющиеся центрами ГосСОПКА.
В рамках взаимодействия следует оповестить сотрудников компании о состоянии инфраструктуры и сроках восстановления работоспособности систем, уведомить иные заинтересованные стороны о характере инцидента и мерах по ликвидации его последствий, а также проинформировать регуляторов (НКЦКИ и ФСТЭК России) о ходе расследования и его результатах.
По итогам расследования инцидента рекомендуется принять меры по совершенствованию системы защиты для повышения устойчивости компании к будущим атакам, регулярно проводить аудит защищённости от DDoS- и DoS-атак, а также разработать методику и план тестирования по предотвращению атак типа «отказ в обслуживании» и регулярно проводить учения.
