Выполнение требований приказа ФСТЭК №117

Что меняется для государственных организаций

По сравнению с Приказом №17, новый приказ изменяет сам подход к обеспечению информационной безопасности (ИБ). Если ранее внимание уделялось, в основном, техническим средствам защиты, то теперь приоритет смещён в сторону организационной модели — структуры, политики, регламентов и регулярной оценки состояния защищённости.

Ключевая идея — строить систему безопасности «сверху вниз». Внедрение средств защиты информации (СЗИ) больше не является начальной точкой. Сначала организация обязана документально описать процессы и инфраструктуру:

• сформировать политику защиты информации;
• составить полный реестр информационных систем (ИС);
• определить архитектуру, модели угроз и требуемый уровень защищённости;
• утвердить регламенты и процедуры обеспечения ИБ.

Еще одно важное изменение — отмена привязки к классам систем. Теперь контроль состояния безопасности строится на показателях защищённости (КЗИ) и уровня зрелости (ПЗИ), по которым необходимо регулярно отчитываться во ФСТЭК.

На кого распространяется Приказ ФСТЭК №117

Документ обязателен для:

• государственных органов и ведомств;
• государственных и муниципальных учреждений;
• государственных унитарных предприятий (ГУП);
• других организаций, которые работают с данными, необходимыми для выполнения государственных функций.

Для негосударственных систем внедрять требования можно добровольно. Но соответствие приказу рассматривается как показатель высокого уровня ИБ и повышает доверие при работе с госзаказчиками.

Что требуется согласно приказу ФСТЭК

Приказ №117 предписывает внедрить следующие меры:

• разработать и утвердить комплект организационно-распорядительной документации (ОРД) по ИБ;
• назначить ответственных сотрудников и создать группу специалистов по защите данных;
• проводить оценку защищённости и уровня зрелости в регламентированные сроки, описанные в приказе ФСТЭК №117;
• обеспечивать постоянный мониторинг событий и уязвимостей;
• ежегодно направлять отчётность во ФСТЭК;
• проходить обязательную аттестацию ГИС (для других систем — по усмотрению владельца);
• использовать только сертифицированные СЗИ из реестра ФСТЭК.

Требования к ответственным за информационную безопасность

Приказ устанавливает новые кадровые и организационные требования:

• в каждой организации должен быть отдел или выделенные специалисты по защите информации;
• должно быть разработано положение об отделе и должностные инструкции, фиксирующие полномочия и зоны ответственности;
• не менее 30% сотрудников подразделения обязаны иметь высшее образование в сфере ИБ либо пройти профессиональную переподготовку по данному направлению.

Тем самым, ФСТЭК усиливает роль кадрового обеспечения и профессиональных компетенций, признавая человеческий фактор ключевым элементом устойчивой защиты.

Какие документы необходимо разработать по защите информации

1. Политика защиты информации

Единый документ, охватывающий все ИС организации, включая ЦОДы. Политика должна содержать описание структуры ИС, механизмов защиты, используемых технологий, порядка контроля и реагирования на инциденты.

2. Список ответственных за защиту информации

Закрепляется распоряжением руководителя организации. Определяются владельцы информационных ресурсов, администраторы безопасности, лица, отвечающие за организационные и технические меры.

3. Внутренние стандарты

Формируют систему норм по основным направлениям ИБ: управление доступом, учёт инцидентов, реагирование, безопасная разработка, эксплуатация систем, управление изменениями, использование СЗИ, ведение журналов безопасности и др.

4. Внутренние регламенты

Определяют процедуры реализации мер защиты: контроль конфигураций, управление уязвимостями, резервное копирование, удалённый доступ, работа с мобильными устройствами, беспроводные сети, обновления, антивирусная защита, SIEM-мониторинг, регламент взаимодействия с внешними провайдерами и т.д.

Управление защитой информации согласно приказу ФСТЭК №117

Система управления ИБ по приказу №117 — это циклический процесс, включающий:

• Планирование и разработку мер;
• Реализацию технических и организационных мероприятий;
• Оценку достигнутого уровня защищённости;
• Совершенствование действующей системы.

Такая модель позволяет поддерживать непрерывность управления и своевременно изменять защитные меры.

1. Разработка и планирование

Организация должна сформировать план мероприятий по защите информации, который принимается руководителем. План включает распределение бюджета, ответственных сотрудников и сроки реализации мер.

2. Проведение мероприятий и принятие мер

На данном этапе реализуются все организационные и технические меры:

• контроль конфигураций и управление уязвимостями — обязательны для всех классов систем;
• регламентация удалённого, мобильного и беспроводного доступа;
• многофакторная аутентификация администраторов, либо криптографический обмен (двусторонний или трёхсторонний);
• защита от DDoS-атак с привлечением провайдеров и взаимодействие с ЦМУ ССОП;
• взаимодействие с ГосСОПКА по вопросам реагирования на инциденты;
• безопасная разработка — обязательна при наличии собственного ПО.

3. Оценка состояния защиты

ФСТЭК вводит систематическую оценку эффективности мер:

• показатель защищённости (КЗИ) — рассчитывается каждые 6 месяцев;
• показатель уровня зрелости (ПЗИ) — оценивается каждые 2 года;
• годовой отчёт о мониторинге событий и уязвимостей направляется во ФСТЭК России;
• контроль уровня защищённости — проводится как минимум один раз в три года, включая элементы пен-тестирования или bug-bounty.

4. Совершенствование

Результаты контроля и оценки используются для актуализации политики и регламентов, а также корректировки планов защиты. Таким образом, защита превращается в непрерывный процесс управления рисками, а не в разовую формальность.

План защиты информации по ФСТЭК №117

План представляет собой комплексный документ, включающий:

• перечень всех применяемых мер защиты;
• ответственных исполнителей и сроки;
• описание используемых средств защиты;
• график оценки эффективности и отчётности;
• порядок взаимодействия с внешними организациями (провайдеры, центры мониторинга, ГосСОПКА).

План утверждается руководителем организации и подлежит регулярной актуализации при изменениях инфраструктуры или выявлении новых угроз. Составлением плана занимаются ответственный за ИБ сотрудник или отдел защиты информации. В Приказе ФСТЭК №117 не задаёт фиксированного срока для разработки самого плана. Но приказ устанавливает сроки выполнения мероприятий, которые напрямую влияют на формирование плана — и их уже нельзя нарушать.

Готовые решения для выполнения требований

Для выполнения требований Приказа №117 могут использоваться только сертифицированные СЗИ, включённые в реестр ФСТЭК.

Ниже приведены примеры решений, которые закрывают ключевые группы требований:

Использование таких решений документально закрепляется в регламентах и подтверждено лицензиями и сертификатами ФСТЭК.

Выполнение требований экспертами компании УИБ

Компания «Управление информационной безопасности» помогает организациям привести свои ИС в соответствие с требованиями Приказа ФСТЭК №117 — от анализа текущего состояния до внедрения необходимых мер защиты.

Эксперты УИБ выполняют:

• анализ текущего состояния ИБ и аудит документации;
• разработку политики ИБ, стандартов и регламентов;
• формирование отдела или назначение ответственных за ИБ;
• внедрение российских сертифицированных СЗИ;
• аттестацию ГИС и подготовку отчётности во ФСТЭК;
• сопровождение процесса оценки показателей защищённости и зрелости.

Благодаря опыту участия в проектах по защите государственных и ведомственных ИС, УИБ обеспечивает практическое выполнение всех пунктов Приказа №117 — от организационного проектирования до технической реализации и последующего сопровождения.

Теперь ФСТЭК задаёт новый уровень зрелости процессов информационной безопасности в государственных структурах. Защита информации — это не набор мер, а комплексная управляемая система, основанная на документах, компетенциях, регулярном контроле и отчётности.

Для большинства организаций переход на новые требования станет серьёзным шагом, требующим методической и технической поддержки.

Эксперты компании «Управление информационной безопасности» готовы обеспечить полное соответствие приказу — надёжно, документально и в установленные сроки.