FSBTEK-Verordnung Nr. 117: Wichtige Änderungen bei der GII-Sicherheit und Migrationspfad
Die FSBTEK-Verordnung Nr. 117 ersetzt die veraltete Verordnung Nr. 17 und führt einen prozessorientierten Ansatz für den Schutz von Informationen in staatlichen Informationssystemen (GIS), Behörden, Einzelunternehmen und Institutionen ein. Das neue Rahmenwerk berücksichtigt moderne Architekturen wie Mikrodienste, Cloud-Umgebungen, Containerisierung und künstliche Intelligenz-basierte Bedrohungen – mit der Pflicht zur kontinuierlichen Überwachung und Leistungsmessung.
Umfang und Ausnahmen
Die Anforderungen gelten für alle GIS und ähnliche staatliche Systeme. Ausgenommen sind die Präsidentenverwaltung, der Sicherheitsrat, die Bundesversammlung, die Regierung, die Verfassungs- und Oberste Gerichte, Nachrichten- und Gegenespionagebehörden sowie Einheiten zur militärischen Ausrüstungsverwaltung. Kommunale Informationssysteme unterliegen diesen Vorschriften, es sei denn, gesetzlich anders vorgesehen.
Dokumentenhierarchie und Besetzungspflichten
Es wird eine dreistufige Struktur eingeführt: Informationssicherheitspolitik, interne Standards und operative Verfahren. Die Besetzungspflichten werden verschärft – mindestens 30 % der Mitarbeiter im IS-Team müssen über relevante Bildung oder Weiterbildung verfügen. Qualifizierungsprüfungen und Schulungspläne sind obligatorisch.
Die umfassende Implementierung von Privileged Access Management (PAM) ist erforderlich, um administrative, Entwicklungs- und Sicherheitsrollen zu trennen. Alle Aktionen müssen protokolliert und überwacht werden.
Prozessorientiertes Informationsschutzmanagement
Der Schutz folgt dem PDCA-Zyklus: Planen (Bedrohungen, Ressourcen), Durchführen, Überprüfen, Handeln. Kennzahlen sind nun zwingend vorgeschrieben:
| Kennzahl | Definition | Häufigkeit |
|--------|------------|-----------|
| KZI | Baseline-Schutzstatus gegenüber Bedrohungen | Alle 6 Monate |
| PZI | Reife der Schutzmaßnahmen | Alle 2 Jahre |
Die Ergebnisse müssen innerhalb von 5 Werktagen bei der FSBTEK eingereicht werden. Automatisierte Datenerfassungstools sind zwingend erforderlich.
Erweiterte technische Maßnahmen
Die grundlegenden Sicherheitskontrollen wurden auf 18 Kategorien erweitert und decken Cloud-Plattformen, Container und Webtechnologien ab. Schwerpunkte:
- Kontinuierliche Schwachstellenüberwachung: Monatliche Scans; kritische Probleme innerhalb von 24 Stunden, hohe Risiken innerhalb von 7 Tagen beheben. Neue Schwachstellen müssen innerhalb von 5 Tagen bei der FSBTEK gemeldet werden. Validierung von Falschalarmen und Ausnutzbarkeit ist erforderlich.
- Schutz von Webanwendungen: Filterung des Anwendungslayers im Netzwerkverkehr.
- Datensicherheitsverlustprävention (DLP): Überwachung von Netzwerkkanälen und Eingabe-/Ausgabepunkten.
- E-Mail-Dienste: Kontenprüfungen, Kontrolle von Anhängen und Links, Anti-Phishing-Maßnahmen, isolierte Analyseumgebungen.
- Antiviren-Software: Fast-Echtzeit-Scanning von Dateien und Datenströmen mit Sandboxing zur Bedrohungsanalyse.
- Endpoint Detection and Response (EDR): Prozessüberwachung und Anomalieerkennung auf Workstations und Servern.
Die Sicherheitsarchitektur ist mehrschichtig: Perimeter, Segmente, Endgeräte. Sicherheitstools müssen FSBTEK-zertifiziert sein und lokal in Russland unterstützt werden.
Migrationspfad zur Verordnung Nr. 117
- Durchführung einer aktuellen Systemprüfung nach Verordnung Nr. 17.
- Entwicklung der IS-Politik und unterstützender Dokumentation.
- Bewertung der KZI/PZI-Stufen und Qualifikationen des Personals.
- Bereitstellung von PAM, EDR, DLP und SIEM-Lösungen.
- Umsetzung monatlicher Schwachstellenscans und automatisierter Berichterstattung.
- Durchführung von Zertifizierungstests nach Modernisierung.
Neue Informationssysteme müssen ab Tag eins vollständig der Verordnung Nr. 117 entsprechen. Eine Übergangsfrist ermöglicht bestehende Verträge nach Nr. 17, aber die Migrationsplanung ist zwingend. Eine Neubewertung der Sicherheitsklassifizierungen wird ab September 2026 erwartet, mit Vereinfachungen für nicht-staatliche Systeme.
Wichtige Erkenntnisse
- Der Wechsel von statischer Zertifizierung hin zu kontinuierlicher, prozessorientierter Governance.
- Die KZI/PZI-Kennzahlen erfordern Automatisierung für Quartals- und Zweijahresberechnungen.
- Die 18 Kontrollgruppen zielen auf moderne Technologiestacks ab: Cloud, Mikrodienste, IoT.
- Privilegierten Zugriff und Beseitigung von Schwachstellen stehen an erster Stelle mit strengen SLAs.
- FSBTEK-Zertifizierung und lokale Unterstützung für Sicherheitstools sind obligatorisch.
— Editorial Team
Noch keine Kommentare.