Powrót do strony głównej

Rozporządzenie FSTEC nr 117: ochrona GIS i środki BI

Rozporządzenie FSTEC nr 117 ustanawia nowe wymagania ochrony informacji w GIS, wprowadzając podejście procesowe, metryki Kzi/Pzi i 18 grup środków. Opisano zmiany w dokumentacji, zarządzaniu podatnościami, PAM i planie przejścia z nr 17. Materiał dla specjalistów BI struktur państwowych.

FSTEC nr 117: nowa era BI w GIS z metrykami i PAM
Advertisement 728x90

Decyzja FSTÉK nr 117: kluczowe zmiany w ochronie GIS i plan migracji z nr 17

Wymagania są obowiązkowe dla systemów informacyjnych państwowych (GIS) oraz podobnych systemów instytucji rządowych. Wyjątki: systemy Prezydenta, Rady Bezpieczeństwa, Zgromadzenia Federalnego, Rządu, Sądu Konstytucyjnego i Sądu Najwyższego, służb wywiadowczych i przeciwwywiadowczych, a także zarządzania techniką wojskową. Systemy samorządowe podlegają tym przepisom, chyba że prawo stanowi inaczej.

Hierarchia dokumentów i wymagania kadr

Wprowadzona została trzyetapowa struktura: polityka ochrony informacji, wewnętrzne standardy i regulaminy. Wymagania dotyczące kadry zostały znacznie utrudnione — co najmniej 30% pracowników działu bezpieczeństwa informacji musi posiadać odpowiednie wykształcenie lub przeszkolenie. Obowiązuje audyt kwalifikacji i plan szkoleń.

Wymagane jest wprowadzenie systemów zarządzania uprawnieniami administratora (PAM), aby oddzielić role administracyjne, deweloperskie i bezpieczeństwa. Wszystkie działania są rejestrowane i kontrolowane.

Google AdInline article slot

Przybliżenie procesowe zarządzania bezpieczeństwem informacji

Ochrona opiera się na cyklu PDCA: planowanie (zagrożenia, zasoby), realizacja, ocena, doskonalenie. Wprowadzone są metryki:

| Pokazatel | Znaczenie | Okresowość |

|------------|----------|---------------|

Google AdInline article slot

| Kzi | Stan ochrony przed podstawowymi zagrożeniami | Co 6 miesięcy |

| Pzi | Dojrzałość działań | Co 2 lata |

Wyniki są przekazywane do FSTÉK w ciągu 5 dni roboczych. Wymagane są narzędzia automatycznego zbierania danych.

Google AdInline article slot

Rozszerzone środki techniczne

Podstawowe środki wzrosły do 18 grup, obejmując chmury, kontenery i technologie internetowe. Kluczowe obszary:

  • Niezmienny monitoring luk: skanowanie miesięczne, usunięcie krytycznych luk w ciągu 24 godzin, wysokich — w ciągu 7 dni. Nowe luki należy powiadomić FSTÉK w ciągu 5 dni. Weryfikacja fałszywych alarmów i wykorzystywalności.
  • Ochrona aplikacji internetowych: filtrowanie ruchu na poziomie aplikacji.
  • Zapobieganie wyciekom: kontrola kanałów sieciowych i portów wejścia/wyjścia.
  • Usługi pocztowe: audyt kont, kontrola załączników/linków, antyphishing, izolowane środowiska do analizy.
  • Antywirus: sprawdzanie plików i ruchu w trybie bliskim czasu rzeczywistemu, piaskownice do analizy zagrożeń.
  • Punkty końcowe (EDR): monitorowanie procesów, wykrywanie anomalii na stacjach roboczych i serwerach.

Architektura ochrony wielopoziomowa: perimetralna, segmenty, urządzenia końcowe. Narzędzia są certyfikowane przez FSTÉK, z wsparciem w Rosji.

Plan przejścia na decyzję nr 117

  • Audyt istniejących systemów według nr 17.
  • Opracowanie polityki bezpieczeństwa informacji i dokumentów pomocniczych.
  • Ocena Kzi/Pzi i kadr.
  • Wdrożenie PAM, EDR, DLP, SIEM.
  • Miesięczne skanowanie luk i automatyzacja raportów.
  • Badania akredytacyjne po modernizacji.

Dla nowych IS — pełne zgodność z nr 117. Okres przejściowy pozwala na umowy według nr 17, ale planowanie migracji jest obowiązkowe. Oczekuje się ponownej oceny klas ochrony od września 2026 roku, z uproszczeniami dla niepaństwowych IS.

Co ważne

  • Przybliżenie procesowe zastępuje statyczną akredytację ciągłym zarządzaniem.
  • Metryki Kzi/Pzi wymagają automatyzacji do obliczeń kwartalnych/bienialnych.
  • 18 grup środków skupia się na nowoczesnych technologiach: chmury, mikroserwisy, IoT.
  • Uprawnienia administratora i luki — priorytet z rygorystycznymi SLA.
  • Certyfikacja i lokalne wsparcie środków ochrony informacji są obowiązkowe.

— Editorial Team

Advertisement 728x90

Czytaj dalej