Příkaz FSTÉK č. 117: klíčové změny v ochraně GIS a plán migrace z č. 17
Od 1. března 2026 převzal příkaz FSTÉK č. 117 místo zastaralého č. 17, zaváděje procesní přístup k ochraně informací v státních informačních systémech (GIS), systémech orgánů státní moci, jednotných podniků a institucích. Dokument bere v úvahu mikroservisní architektury, cloudové prostředí, kontejnerizaci a hrozby z umělé inteligence, vyžaduje neustálý monitoring a metriky efektivity.
Oblast působnosti a výjimky
Požadavky jsou povinné pro GIS a podobné systémy státních struktur. Výjimky: systémy Úřadu prezidenta, Rady bezpečnosti, Federálního shromáždění, vlády, Ústavního a Nejvyššího soudu, rozvědky, protirozvědky a správy vojenské techniky. Místní informační systémy se řídí tímto příkazem, pokud zákon neříká jinak.
Hierarchie dokumentů a pracovní požadavky
Zavedena trojúrovňová struktura: politika ochrany informací, vnitřní standardy a regulační dokumenty. Kvalifikace personálu je zpřísněna – minimálně 30 % zaměstnanců oddělení kybernetické bezpečnosti musí mít odborné vzdělání nebo přeskolení. Je nutný audit kvalifikací a plán vzdělávání.
Vyžadováno je nasazení systémů správy privilegovaného přístupu (PAM) pro oddělení rolí administrátora, vývojáře a bezpečnostního specialista. Všechny akce jsou zaznamenávány a kontrolovány.
Procesní přístup k řízení kybernetické bezpečnosti
Ochrana je postavena na cyklu PDCA: plánování (hrozby, zdroje), realizace, hodnocení, zlepšování. Zaváděny jsou metriky:
| Ukazatel | Podstata | Pravidelnost |
|----------|----------|--------------|
| Kzi | Stav ochrany proti základním hrozbám | Každých 6 měsíců |
| Pzi | Zralost opatření | Každé 2 roky |
Výsledky jsou odesílány do FSTÉK do 5 pracovních dnů. Vyžadovány nástroje pro automatický sběr dat.
Rozšířené technické opatření
Základní opatření se rozšířilo na 18 skupin, které zahrnují cloudu, kontejnery a webové technologie. Klíčové oblasti:
- Neustálý monitoring děr: Skenování každý měsíc, odstranění kritických chyb do 24 hodin, vysokých do 7 dnů. Nové díry oznámit FSTÉK do 5 dnů. Validace falešných poplachů a exploatability.
- Ochrana webových aplikací: Filtrace provozu na aplikační úrovni.
- Prevence úniků: Kontrola síťových kanálů a vstupně-výstupních portů.
- E-mailové služby: Audit uživatelských účtů, kontrola příloh odkazů, antifishing, izolované prostředí pro analýzu.
- Antivirus: Kontrola souborů a provozu v blízkém reálném čase, pískoviště pro hrozby.
- Konečné body (EDR): Monitorování procesů, detekce anomálií na pracovních stanicích a serverech.
Architektura ochrany je víceúrovňová: perimetr, segmenty, konečné zařízení. Nástroje jsou certifikovány FSTÉK a mají podporu v rámci Ruska.
Plán přechodu na příkaz č. 117
- Audit stávajících systémů podle č. 17.
- Vytvoření politiky kybernetické bezpečnosti a podřízených dokumentů.
- Hodnocení Kzi/Pzi a personálu.
- Nasazení PAM, EDR, DLP, SIEM.
- Měsíční skenování děr a automatizace hlášení.
- Attestační zkoušky po modernizaci.
Pro nové IS – plná shoda s č. 117. Přechodný období umožňuje uzavírat smlouvy podle č. 17, ale plánování migrace je povinné. Očekává se přezkum tříd ochrany od září 2026 s jednodušením pro neveřejné IS.
Co je důležité
- Procesní přístup nahrazuje statickou atestaci neustálým řízením.
- Metriky Kzi/Pzi vyžadují automatizaci pro čtvrtletní/biennální výpočty.
- 18 skupin opatření se zaměřují na moderní technologické zásobníky: cloudu, mikroservisy, IoT.
- Privilegovaný přístup a díry jsou priority s přísnými SLA.
- Certifikace a lokální podpora SIZ je povinná.
— Editorial Team
Zatím žádné komentáře.