Zurück zur Startseite

FSTEC-Anordnung Nr. 117: GIS-Schutz und IB-Maßnahmen

FSTEC-Anordnung Nr. 117 stellt neue Anforderungen für den Informationsschutz in GIS auf, führt einen Prozessansatz, Kzi/Pzi-Metriken und 18 Gruppen von Maßnahmen ein. Beschreibt Änderungen in der Dokumentation, Schwachstellenmanagement, PAM und Übergangsplan von Nr. 17. Material für IB-Spezialisten staatlicher Strukturen.

FSTEC Nr. 117: neue Ära der IB in GIS mit Metriken und PAM
Advertisement 728x90

FSBTEK-Verordnung Nr. 117: Wichtige Änderungen bei der GII-Sicherheit und Migrationspfad

Die FSBTEK-Verordnung Nr. 117 ersetzt die veraltete Verordnung Nr. 17 und führt einen prozessorientierten Ansatz für den Schutz von Informationen in staatlichen Informationssystemen (GIS), Behörden, Einzelunternehmen und Institutionen ein. Das neue Rahmenwerk berücksichtigt moderne Architekturen wie Mikrodienste, Cloud-Umgebungen, Containerisierung und künstliche Intelligenz-basierte Bedrohungen – mit der Pflicht zur kontinuierlichen Überwachung und Leistungsmessung.

Umfang und Ausnahmen

Die Anforderungen gelten für alle GIS und ähnliche staatliche Systeme. Ausgenommen sind die Präsidentenverwaltung, der Sicherheitsrat, die Bundesversammlung, die Regierung, die Verfassungs- und Oberste Gerichte, Nachrichten- und Gegenespionagebehörden sowie Einheiten zur militärischen Ausrüstungsverwaltung. Kommunale Informationssysteme unterliegen diesen Vorschriften, es sei denn, gesetzlich anders vorgesehen.

Dokumentenhierarchie und Besetzungspflichten

Es wird eine dreistufige Struktur eingeführt: Informationssicherheitspolitik, interne Standards und operative Verfahren. Die Besetzungspflichten werden verschärft – mindestens 30 % der Mitarbeiter im IS-Team müssen über relevante Bildung oder Weiterbildung verfügen. Qualifizierungsprüfungen und Schulungspläne sind obligatorisch.

Google AdInline article slot

Die umfassende Implementierung von Privileged Access Management (PAM) ist erforderlich, um administrative, Entwicklungs- und Sicherheitsrollen zu trennen. Alle Aktionen müssen protokolliert und überwacht werden.

Prozessorientiertes Informationsschutzmanagement

Der Schutz folgt dem PDCA-Zyklus: Planen (Bedrohungen, Ressourcen), Durchführen, Überprüfen, Handeln. Kennzahlen sind nun zwingend vorgeschrieben:

| Kennzahl | Definition | Häufigkeit |

Google AdInline article slot

|--------|------------|-----------|

| KZI | Baseline-Schutzstatus gegenüber Bedrohungen | Alle 6 Monate |

| PZI | Reife der Schutzmaßnahmen | Alle 2 Jahre |

Google AdInline article slot

Die Ergebnisse müssen innerhalb von 5 Werktagen bei der FSBTEK eingereicht werden. Automatisierte Datenerfassungstools sind zwingend erforderlich.

Erweiterte technische Maßnahmen

Die grundlegenden Sicherheitskontrollen wurden auf 18 Kategorien erweitert und decken Cloud-Plattformen, Container und Webtechnologien ab. Schwerpunkte:

  • Kontinuierliche Schwachstellenüberwachung: Monatliche Scans; kritische Probleme innerhalb von 24 Stunden, hohe Risiken innerhalb von 7 Tagen beheben. Neue Schwachstellen müssen innerhalb von 5 Tagen bei der FSBTEK gemeldet werden. Validierung von Falschalarmen und Ausnutzbarkeit ist erforderlich.
  • Schutz von Webanwendungen: Filterung des Anwendungslayers im Netzwerkverkehr.
  • Datensicherheitsverlustprävention (DLP): Überwachung von Netzwerkkanälen und Eingabe-/Ausgabepunkten.
  • E-Mail-Dienste: Kontenprüfungen, Kontrolle von Anhängen und Links, Anti-Phishing-Maßnahmen, isolierte Analyseumgebungen.
  • Antiviren-Software: Fast-Echtzeit-Scanning von Dateien und Datenströmen mit Sandboxing zur Bedrohungsanalyse.
  • Endpoint Detection and Response (EDR): Prozessüberwachung und Anomalieerkennung auf Workstations und Servern.

Die Sicherheitsarchitektur ist mehrschichtig: Perimeter, Segmente, Endgeräte. Sicherheitstools müssen FSBTEK-zertifiziert sein und lokal in Russland unterstützt werden.

Migrationspfad zur Verordnung Nr. 117

  • Durchführung einer aktuellen Systemprüfung nach Verordnung Nr. 17.
  • Entwicklung der IS-Politik und unterstützender Dokumentation.
  • Bewertung der KZI/PZI-Stufen und Qualifikationen des Personals.
  • Bereitstellung von PAM, EDR, DLP und SIEM-Lösungen.
  • Umsetzung monatlicher Schwachstellenscans und automatisierter Berichterstattung.
  • Durchführung von Zertifizierungstests nach Modernisierung.

Neue Informationssysteme müssen ab Tag eins vollständig der Verordnung Nr. 117 entsprechen. Eine Übergangsfrist ermöglicht bestehende Verträge nach Nr. 17, aber die Migrationsplanung ist zwingend. Eine Neubewertung der Sicherheitsklassifizierungen wird ab September 2026 erwartet, mit Vereinfachungen für nicht-staatliche Systeme.

Wichtige Erkenntnisse

  • Der Wechsel von statischer Zertifizierung hin zu kontinuierlicher, prozessorientierter Governance.
  • Die KZI/PZI-Kennzahlen erfordern Automatisierung für Quartals- und Zweijahresberechnungen.
  • Die 18 Kontrollgruppen zielen auf moderne Technologiestacks ab: Cloud, Mikrodienste, IoT.
  • Privilegierten Zugriff und Beseitigung von Schwachstellen stehen an erster Stelle mit strengen SLAs.
  • FSBTEK-Zertifizierung und lokale Unterstützung für Sicherheitstools sind obligatorisch.

— Editorial Team

Advertisement 728x90

Weiterlesen