홈으로 돌아가기

FSTEC Order No. 117: GIS 보호 및 IB 조치

FSTEC Order No. 117은 GIS 정보 보호에 대한 새로운 요구사항을 설정하며, 프로세스 접근 방식, Kzi/Pzi 지표 및 18개 조치 그룹을 도입합니다. 문서화 변경, 취약점 관리, PAM 및 No. 17 전환 계획을 설명합니다. 정부 구조 IB 전문가를 위한 자료.

FSTEC No. 117: 지표와 PAM을 통한 GIS IB의 새로운 시대
Advertisement 728x90

FSBTEK 제117호: 정보보호 및 이전 전략의 핵심 변화

FSBTEK 제117호는 오래된 제17호를 대체하며, 정부 정보 시스템(GIS), 국가 기관, 단일 법인 기업 및 기관에서 정보 보호를 프로세스 중심으로 전환합니다. 새로운 틀은 마이크로서비스 아키텍처, 클라우드 환경, 컨테이너화, 인공지능 기반 위협을 고려하여 지속적인 모니터링과 성능 지표를 의무화합니다.

적용 범위와 면제 사항

모든 GIS 및 유사한 국가 시스템에 해당 규정이 적용됩니다. 면제 대상은 대통령실, 안보위원회, 연방회, 정부, 헌법재판소 및 최고재판소, 정보·반정보 기관, 군수 장비 관리 부서입니다. 지방자치 정보 시스템은 법률에 별도 규정이 없는 한 이 규정을 따릅니다.

문서 계층 구조와 인력 요구사항

3단계 구조가 도입됩니다: 정보보안 정책, 내부 표준, 운영 절차. 인력 요건이 강화되며, IS 부서 직원의 최소 30%는 관련 교육 또는 재교육 자격을 가져야 합니다. 자격 심사 및 교육 계획은 필수입니다.

Google AdInline article slot

전체 시스템에 특권 접근 관리(PAM)를 도입해야 하며, 행정, 개발, 보안 역할을 분리해야 합니다. 모든 작업은 로깅되고 모니터링되어야 합니다.

프로세스 기반 정보 보안 관리

보호는 PDCA 사이클(계획 → 실행 → 점검 → 개선)을 따릅니다. 주요 성과 지표(KPI)가 이제 의무화되었습니다:

| 지표 | 정의 | 빈도 |

Google AdInline article slot

|------|------|------|

| KZI | 기본 위협 보호 수준 | 6개월마다 |

| PZI | 보호 조치의 성숙도 | 2년마다 |

Google AdInline article slot

결과는 5영업일 이내에 FSBTEK에 제출해야 하며, 자동 데이터 수집 도구 사용이 필수입니다.

강화된 기술적 조치

기본 보안 통제 항목이 18개 항목으로 확대되었으며, 클라우드 플랫폼, 컨테이너, 웹 기술을 포함합니다. 주요 초점 분야:

  • 지속적인 취약점 모니터링: 월간 스캔; 중대한 문제는 24시간 내, 고위험은 7일 내 해결. 신규 취약점은 5일 내에 FSBTEK에 보고해야 하며, 거짓 긍정 및 공격 가능성 검증이 필요합니다.
  • 웹 애플리케이션 보호: 응용 계층 트래픽 필터링.
  • 데이터 유출 방지(DLP): 네트워크 채널 및 입출력 포트 모니터링.
  • 이메일 서비스: 계정 감사, 첨부파일/링크 제어, 피싱 방지 조치, 격리된 분석 환경.
  • 백신 소프트웨어: 실시간 파일 및 트래픽 스캔, 위협 분석을 위한 샌드박스 기능.
  • 엔드포인트 탐지 및 반응(EDR): 워크스테이션 및 서버에서의 프로세스 모니터링 및 이상 탐지.

방어 아키텍처는 다층 구조(외곽 → 세그먼트 → 엔드포인트)로 구성됩니다. 보안 도구는 반드시 FSBTEK 인증을 받고, 러시아 내에서 현지 지원이 가능해야 합니다.

제117호로의 이전 로드맵

  • 제17호 기준으로 현재 시스템 감사를 수행합니다.
  • IS 정책 및 보조 문서를 개발합니다.
  • KZI/PZI 수준과 인력 자격을 평가합니다.
  • PAM, EDR, DLP, SIEM 솔루션을 배치합니다.
  • 월간 취약점 스캔 및 자동 리포팅을 구현합니다.
  • 현대화 후 인증 테스트를 수행합니다.

새로운 정보 시스템은 출시 당일부터 제117호를 완전히 준수해야 합니다. 기존 계약은 제17호 기준으로 유지될 수 있지만, 이전 계획 수립은 필수입니다. 2026년 9월부터 보안 등급 분류가 재검토되며, 비국가 시스템에 대한 간소화가 예정되어 있습니다.

핵심 요약

  • 정적 인증에서 지속적이고 프로세스 기반의 거버넌스로 전환.
  • KZI/PZI 지표는 분기별 및 이년별 계산을 위해 자동화가 필요.
  • 18개 통제 그룹은 클라우드, 마이크로서비스, IoT 등 현대 기술 스택을 대상으로 합니다.
  • 특권 접근과 취약점 수정은 엄격한 SLA를 갖는 최우선 과제입니다.
  • 보안 도구는 FSBTEK 인증과 러시아 내 현지 지원이 필수입니다.

— Editorial Team

Advertisement 728x90

다음 읽기