Decyzja FSTÉK nr 117: kluczowe zmiany w ochronie GIS i plan migracji z nr 17
Wymagania są obowiązkowe dla systemów informacyjnych państwowych (GIS) oraz podobnych systemów instytucji rządowych. Wyjątki: systemy Prezydenta, Rady Bezpieczeństwa, Zgromadzenia Federalnego, Rządu, Sądu Konstytucyjnego i Sądu Najwyższego, służb wywiadowczych i przeciwwywiadowczych, a także zarządzania techniką wojskową. Systemy samorządowe podlegają tym przepisom, chyba że prawo stanowi inaczej.
Hierarchia dokumentów i wymagania kadr
Wprowadzona została trzyetapowa struktura: polityka ochrony informacji, wewnętrzne standardy i regulaminy. Wymagania dotyczące kadry zostały znacznie utrudnione — co najmniej 30% pracowników działu bezpieczeństwa informacji musi posiadać odpowiednie wykształcenie lub przeszkolenie. Obowiązuje audyt kwalifikacji i plan szkoleń.
Wymagane jest wprowadzenie systemów zarządzania uprawnieniami administratora (PAM), aby oddzielić role administracyjne, deweloperskie i bezpieczeństwa. Wszystkie działania są rejestrowane i kontrolowane.
Przybliżenie procesowe zarządzania bezpieczeństwem informacji
Ochrona opiera się na cyklu PDCA: planowanie (zagrożenia, zasoby), realizacja, ocena, doskonalenie. Wprowadzone są metryki:
| Pokazatel | Znaczenie | Okresowość |
|------------|----------|---------------|
| Kzi | Stan ochrony przed podstawowymi zagrożeniami | Co 6 miesięcy |
| Pzi | Dojrzałość działań | Co 2 lata |
Wyniki są przekazywane do FSTÉK w ciągu 5 dni roboczych. Wymagane są narzędzia automatycznego zbierania danych.
Rozszerzone środki techniczne
Podstawowe środki wzrosły do 18 grup, obejmując chmury, kontenery i technologie internetowe. Kluczowe obszary:
- Niezmienny monitoring luk: skanowanie miesięczne, usunięcie krytycznych luk w ciągu 24 godzin, wysokich — w ciągu 7 dni. Nowe luki należy powiadomić FSTÉK w ciągu 5 dni. Weryfikacja fałszywych alarmów i wykorzystywalności.
- Ochrona aplikacji internetowych: filtrowanie ruchu na poziomie aplikacji.
- Zapobieganie wyciekom: kontrola kanałów sieciowych i portów wejścia/wyjścia.
- Usługi pocztowe: audyt kont, kontrola załączników/linków, antyphishing, izolowane środowiska do analizy.
- Antywirus: sprawdzanie plików i ruchu w trybie bliskim czasu rzeczywistemu, piaskownice do analizy zagrożeń.
- Punkty końcowe (EDR): monitorowanie procesów, wykrywanie anomalii na stacjach roboczych i serwerach.
Architektura ochrony wielopoziomowa: perimetralna, segmenty, urządzenia końcowe. Narzędzia są certyfikowane przez FSTÉK, z wsparciem w Rosji.
Plan przejścia na decyzję nr 117
- Audyt istniejących systemów według nr 17.
- Opracowanie polityki bezpieczeństwa informacji i dokumentów pomocniczych.
- Ocena Kzi/Pzi i kadr.
- Wdrożenie PAM, EDR, DLP, SIEM.
- Miesięczne skanowanie luk i automatyzacja raportów.
- Badania akredytacyjne po modernizacji.
Dla nowych IS — pełne zgodność z nr 117. Okres przejściowy pozwala na umowy według nr 17, ale planowanie migracji jest obowiązkowe. Oczekuje się ponownej oceny klas ochrony od września 2026 roku, z uproszczeniami dla niepaństwowych IS.
Co ważne
- Przybliżenie procesowe zastępuje statyczną akredytację ciągłym zarządzaniem.
- Metryki Kzi/Pzi wymagają automatyzacji do obliczeń kwartalnych/bienialnych.
- 18 grup środków skupia się na nowoczesnych technologiach: chmury, mikroserwisy, IoT.
- Uprawnienia administratora i luki — priorytet z rygorystycznymi SLA.
- Certyfikacja i lokalne wsparcie środków ochrony informacji są obowiązkowe.
— Editorial Team
Brak komentarzy.