FSBTEK第117号令:政府信息系统安全防护与迁移路线图的关键变革
FSBTEK第117号令取代了过时的第17号令,为政府信息系统(GIS)、国家机构、单一实体企业及事业单位引入了以流程为导向的信息保护新框架。该体系充分考虑微服务架构、云环境、容器化技术以及人工智能驱动的安全威胁,强制要求实施持续监控和性能指标管理。
范围与豁免条款
上述要求适用于所有政府信息系统及相关国家系统。以下机构可豁免:总统办公厅、国家安全委员会、联邦议会、联邦政府、宪法法院与最高法院、情报与反间谍机构,以及军事装备管理部门。地方信息系统的适用性取决于法律另有规定。
文件层级与人员配置要求
建立三级结构:信息安全政策、内部标准与操作规程。人员配置要求收紧——信息安全部门至少30%的员工须具备相关学历或再培训资质。资格审核与培训计划为强制性要求。
全系统必须部署特权访问管理(PAM)机制,实现管理员、开发人员与安全人员角色分离。所有操作行为均需记录并实时监控。
基于流程的信息安全管理
安全防护遵循PDCA循环:计划(识别威胁与资源)、执行、检查、改进。关键绩效指标现为强制项:
| 指标 | 定义 | 频率 |
|--------|------------|-----------|
| KZI | 基线威胁防护状态 | 每6个月一次 |
| PZI | 防护措施成熟度 | 每2年一次 |
结果须在5个工作日内提交至FSBTEK。必须使用自动化数据采集工具。
强化技术措施
基础安全控制已扩展至18个类别,涵盖云平台、容器环境及网络应用技术。重点方向包括:
- 持续漏洞监测:每月扫描;高危漏洞须在24小时内修复,严重风险在7天内解决。新发现漏洞须在5日内上报FSBTEK。需验证误报并评估攻击可行性。
- Web应用防护:应用层流量过滤。
- 数据防泄漏:对网络通道及输入/输出端口进行监控。
- 邮件服务:账户审计、附件与链接管控、防钓鱼机制、隔离分析环境。
- 杀毒软件:近实时文件与流量扫描,结合沙箱用于威胁分析。
- 终端检测与响应(EDR):对工作站与服务器进程进行监控与异常行为识别。
防御架构采用多层设计:边界防护、区域隔离、终端保护。安全工具必须通过FSBTEK认证,并在俄罗斯境内提供本地支持。
迁移至第117号令的实施路线图
- 按照第17号令开展现有系统审计。
- 制定信息安全政策及相关文档。
- 评估KZI/PZI水平及人员资质。
- 部署PAM、EDR、DLP与SIEM解决方案。
- 实施月度漏洞扫描与自动化报告机制。
- 系统升级后完成认证测试。
新建信息系统自启用起即需全面符合第117号令要求。现有合同仍可沿用第17号令,但必须制定明确的迁移计划。预计从2026年9月起启动安全等级分类修订,非国家系统将获得简化处理。
核心要点
- 从静态认证转向持续、流程化的治理模式。
- KZI/PZI指标需借助自动化手段完成季度与双年度计算。
- 18类控制措施聚焦现代技术栈:云平台、微服务、物联网设备。
- 特权访问管理与漏洞修复是重中之重,且设有严格的服务水平协议(SLA)。
- 安全工具必须通过FSBTEK认证,并在俄罗斯境内提供本地技术支持。
— Editorial Team
暂无评论。