FSBTEK 제117호: 정보보호 및 이전 전략의 핵심 변화
FSBTEK 제117호는 오래된 제17호를 대체하며, 정부 정보 시스템(GIS), 국가 기관, 단일 법인 기업 및 기관에서 정보 보호를 프로세스 중심으로 전환합니다. 새로운 틀은 마이크로서비스 아키텍처, 클라우드 환경, 컨테이너화, 인공지능 기반 위협을 고려하여 지속적인 모니터링과 성능 지표를 의무화합니다.
적용 범위와 면제 사항
모든 GIS 및 유사한 국가 시스템에 해당 규정이 적용됩니다. 면제 대상은 대통령실, 안보위원회, 연방회, 정부, 헌법재판소 및 최고재판소, 정보·반정보 기관, 군수 장비 관리 부서입니다. 지방자치 정보 시스템은 법률에 별도 규정이 없는 한 이 규정을 따릅니다.
문서 계층 구조와 인력 요구사항
3단계 구조가 도입됩니다: 정보보안 정책, 내부 표준, 운영 절차. 인력 요건이 강화되며, IS 부서 직원의 최소 30%는 관련 교육 또는 재교육 자격을 가져야 합니다. 자격 심사 및 교육 계획은 필수입니다.
전체 시스템에 특권 접근 관리(PAM)를 도입해야 하며, 행정, 개발, 보안 역할을 분리해야 합니다. 모든 작업은 로깅되고 모니터링되어야 합니다.
프로세스 기반 정보 보안 관리
보호는 PDCA 사이클(계획 → 실행 → 점검 → 개선)을 따릅니다. 주요 성과 지표(KPI)가 이제 의무화되었습니다:
| 지표 | 정의 | 빈도 |
|------|------|------|
| KZI | 기본 위협 보호 수준 | 6개월마다 |
| PZI | 보호 조치의 성숙도 | 2년마다 |
결과는 5영업일 이내에 FSBTEK에 제출해야 하며, 자동 데이터 수집 도구 사용이 필수입니다.
강화된 기술적 조치
기본 보안 통제 항목이 18개 항목으로 확대되었으며, 클라우드 플랫폼, 컨테이너, 웹 기술을 포함합니다. 주요 초점 분야:
- 지속적인 취약점 모니터링: 월간 스캔; 중대한 문제는 24시간 내, 고위험은 7일 내 해결. 신규 취약점은 5일 내에 FSBTEK에 보고해야 하며, 거짓 긍정 및 공격 가능성 검증이 필요합니다.
- 웹 애플리케이션 보호: 응용 계층 트래픽 필터링.
- 데이터 유출 방지(DLP): 네트워크 채널 및 입출력 포트 모니터링.
- 이메일 서비스: 계정 감사, 첨부파일/링크 제어, 피싱 방지 조치, 격리된 분석 환경.
- 백신 소프트웨어: 실시간 파일 및 트래픽 스캔, 위협 분석을 위한 샌드박스 기능.
- 엔드포인트 탐지 및 반응(EDR): 워크스테이션 및 서버에서의 프로세스 모니터링 및 이상 탐지.
방어 아키텍처는 다층 구조(외곽 → 세그먼트 → 엔드포인트)로 구성됩니다. 보안 도구는 반드시 FSBTEK 인증을 받고, 러시아 내에서 현지 지원이 가능해야 합니다.
제117호로의 이전 로드맵
- 제17호 기준으로 현재 시스템 감사를 수행합니다.
- IS 정책 및 보조 문서를 개발합니다.
- KZI/PZI 수준과 인력 자격을 평가합니다.
- PAM, EDR, DLP, SIEM 솔루션을 배치합니다.
- 월간 취약점 스캔 및 자동 리포팅을 구현합니다.
- 현대화 후 인증 테스트를 수행합니다.
새로운 정보 시스템은 출시 당일부터 제117호를 완전히 준수해야 합니다. 기존 계약은 제17호 기준으로 유지될 수 있지만, 이전 계획 수립은 필수입니다. 2026년 9월부터 보안 등급 분류가 재검토되며, 비국가 시스템에 대한 간소화가 예정되어 있습니다.
핵심 요약
- 정적 인증에서 지속적이고 프로세스 기반의 거버넌스로 전환.
- KZI/PZI 지표는 분기별 및 이년별 계산을 위해 자동화가 필요.
- 18개 통제 그룹은 클라우드, 마이크로서비스, IoT 등 현대 기술 스택을 대상으로 합니다.
- 특권 접근과 취약점 수정은 엄격한 SLA를 갖는 최우선 과제입니다.
- 보안 도구는 FSBTEK 인증과 러시아 내 현지 지원이 필수입니다.
— Editorial Team
아직 댓글이 없습니다.