4) Распространяется ли приказ № 117 на финансовые организации?

Если в финансовой организации есть ГИС и (или) МИС, то действие Приказа ФСТЭК России №117 распространяется на такие системы, но на финансовую организацию в целом Приказ ФСТЭК России №117 не распространяется.

5) Требуется ли приводить информационные системы в соответствие приказу №117, если ранее была проведена аттестация по приказу №17?

Согласно п.3 Приказа ФСТЭК России № 117, аттестаты соответствия на ГИС и иные информационные системы, выданные до дня вступления в силу Приказа ФСТЭК России № 117, считаются действительными. Проведение повторных аттестационных мероприятий не требуется.

6) Требуется ли отдельная аттестация АРМ для подключения к аттестованной ГИС? И кто должен ее проводить?

АРМ (автоматизированное рабочее место), подключаемый к ГИС, рассматривается как часть этой ГИС. Следовательно, к нему применяются требования по безопасности в соответствии с Приказом ФСТЭК России №117. Оператор ГИС в технических условиях на подключение определяет необходимость аттестации АРМ, и в большинстве случаев это требование является обязательным.

7) Требуется ли приведение информационных систем в соответствие приказу №117, если ранее была проведена аттестация по приказу №17?

Работники структурного подразделения (специалисты) по защите информации должны обладать компетенциями, необходимыми для выполнения возложенных на них обязанностей (функций) по защите информации в соответствии с Приказом ФСТЭК России №117. Не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности или пройти обучение по программе профессиональной переподготовки в области информационной безопасности. Следовательно, если security champion обладает необходимыми компетенциями в области защиты информации, то этого будет достаточно, иначе необходимо пройти обучение в области ИБ.

8) Будет ли замена Приказа ФСТЭК России № 21?

На данный момент, нет информации о планах по замене Приказа ФСТЭК России №21. Поэтому предполагаем, что замена не планируется.

9) Неободимо ли выполнять особые требования при интеграции с авторизацией через Госуслуги?

Госуслуги – это федеральный портал. Единая система идентификации и аутентификации (ЕСИА) – это система, которую портал Госууслуги использует для идентификации и аутентификации пользователей, а также для сбора их персональных данных.

Подключение к ЕСИА накладывает ряд требований по безопасности для инфраструктуры и программного обеспечения:

• использование сертифицированных средства криптографической защиты информации класса КС3;
• подключаемая информационная система должна пройти аттестацию по требованиям информационной безопасности;
• взаимодействие с ЕСИА должно осуществляться через шлюзовой модуль (API Gateway).

10) Необходимо ли наличие вида услуг В в лицензии ФСТЭК России на ТЗКИ организациям, которые будут оказывать услуги по аттестации ОИ по требованиям приказа №117?

Согласно п.4 Постановления Правительства Российской Федерации № 79 для аттестация объекта информатизации на соответствие требованиям защиты информации (в том числе и на соответствие Приказу ФСТЭК России №117) необходимо наличие у организации в лицензии ФСТЭК России на ТЗКИ услуг вида Г.

11) Что значит привести государственные информационные системы в соответствие с требованиями приказа № 117?

Привести ИС в соответствие с требованиями значит:

• актуализировать состав уже имеющейся организационно-распорядительной документации (ОРД), а также разработать недостающие ОРД при необходимости;
• произвести расчет и оценку показателя защищенности комплексной защиты информации и уровня зрелости системы защиты информации в соответствии с методическими документами ФСТЭК России;
• актуализировать технические меры защиты: закупка, установка и настройка недостающих средств защиты, изменение конфигурации системы;
• произвести аттестацию принятых мер защиты информационных систем и содержащейся в них информации до начала обработки и (или) хранения информации в ГИС в соответствии с Приказом ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

12) Как ИИ и автоматизация меняют подходы к мониторингу информационной безопасности и какие новые вызовы это создает для ИБ-специалистов?

Управление инцидентами ИБ включает в себя большое количество сложных процессов. Кроме того, учитывая развитие возможностей и компетенций злоумышленников, необходимо сокращать время от обнаружения новых методов атак до разработки механизмов детектирования. Поэтому ИИ применяется для сокращения трудозатрат на рутинные задачи и высвобождения ресурсов на более интеллектуальные процессы. Например, анализ корректности формируемых решений, анализ и выявление аномалий.

13) Информационные системы государственных учреждений попадают под действие приказа № 117 и приказа №21?

Если в этих информационных системах обрабатываются персональные данные, то такие ИС также попадают под действие приказа ФСТЭК России №21.

14) ФСТЭК России требует отчет о результатах мониторинга с рекомендациями по анализу и устранению инцидентов. Как можно устранить инцидент?

Регулятор проверяет, что процесс управления инцидентами выстроен своими силами или с привлечением подрядчика. Необходимо выявлять инциденты, своевременно формировать план реагирования, реализовывать этот план и проводить постинцидентные мероприятия. Для устранения инцидента необходимо обеспечить своевременное принятие мер по локализации, нейтрализации и предотвращению повторного возникновения аналогичных инцидентов.

15) Какие простые шаги можно предпринять для начала эффективного мониторинга ИБ без больших затрат и сложных технологий?

Для начала эффективного мониторинга необходимы следующие шаги:

1. определите основные бизнес-процессы в компании и выделите наиболее значимые из них, чтобы получить список основных систем для мониторинга;
2. включите автоматическое логирование на всех системах и настройте централизованный сбор логов;
3. ежедневно проверяйте логи на предмет неудачных попыток входа, подозрительной активности учетных записей и подозрительных соединений;
4. регулярно проводите сканирование вашей сети с помощью сканеров уязвимостей;
5. настройте логирование на сетевых экранах и серверах. Блокируйте все, что не разрешено явно (принцип default deny);
6. включите встроенные функции мониторинга с помощью антивируса и настройте оповещения о подозрительной активности, а не только о найденных вирусах;
7. формируйте отчет в различных разрезах: событий, источников, элементов информационных систем, групп пользователей. Чтобы видеть целостную картину и иметь возможность корректировать применяемые политики и защитные меры.

16) Всем операторам государственных информационных систем нужно взаимодействовать с ГосСОПКой?

Взаимодействие Оператора ГИС с ГосСОПКой обязательно. Требования Приказа ФСТЭК России № 117 не отменяют положения Приказа ФСТЭК России № 17 в части обеспечения взаимодействия с ГосСОПКА (п.59 Приказа ФСТЭК России №117).

17) Какую SIEM, не основанную на ELK, лучше выбрать как рабочую альтернативу MaxPatrol SIEM с закончившимся сертификатом?

Предлагаем рассмотреть Ankey SIEM как близкую альтернативу MP SIEM, имеющую действующие сертификаты ФСТЭК. У продуктов схожая архитектура и функционал, это обеспечит безболезненную миграцию.

18) Распространяется ли действие приказа №117 на объекты КИИ?

Действие Приказа ФСТЭК России №117 распространяется на информационные системы, которые являются объектом КИИ.

19) Как требования приказа №117 соотносятся с новыми требованиями по безопасной разработке ПО для государственных информационных систем и КИИ?

Приказ ФСТЭК России № 117 регламентирует применение положений ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО» как при самостоятельной разработке безопасного программного обеспечения (далее - ПО), так и в случае с привлечением подрядной организации.

Согласно п.50 Приказа ФСТЭК России №117, в случае привлечения оператором (обладателем информации) для разработки ПО подрядной организации по решению руководителя (ответственного лица) в техническое задание на разработку ПО могут быть включены требования по разработке безопасного ПО в соответствии с ГОСТ Р 56939-2024.

В случае самостоятельной разработки оператором (обладателем информации) ПО, предназначенного для использования в информационных системах, должны быть реализованы меры, предусмотренные разделами 4 и 5 ГОСТ Р 56939-2024.

Кроме того, согласно п.14 Приказа России №117 должен быть разработан регламент, в котором описан порядок и условия взаимодействия с подрядными организациями.
При разработке ПО для КИИ необходимо также руководствоваться требованиями указанными в п. 29.3.1 Приказа ФСТЭК России №240.

20) Каким профессиональным стандартам должны соответствовать лица, ответственные за обеспечение информационной безопасности (ИСПДн, ГИС, КИИ)?

Согласно п. 20 Приказа ФСТЭК №117 не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности или пройти обучение по программе профессиональной переподготовки в области информационной безопасности.

21) В каком объеме можно отдать процессы обеспечения информационной безопасности (ИСПДн, ГИС) на аутсорсинг?

Данный вопрос не регулируется в НПА и зависит от имеющихся в организации бизнес-процессов. Каждая организация сама решает, в каком объеме процессы обеспечения ИБ отдать на аутсорсинг.

22) Необходимо ли выполнять требования приказа №117 при наличии рабочего места, например ФИС ФРДО?

Согласно п.3 Приказа ФСТЭК России № 117 действительными считаются аттестаты соответствия на ГИС и иные информационные системы, выданные до дня вступления в силу Приказа ФСТЭК России № 117. Проведение повторных аттестационных мероприятий не требуется. В случае внесения изменений в ИС необходимо руководствоваться требованиями Приказа ФСТЭК России №117.

23) Если коммерческая организация является разработчиком и сопровождает ГИС, необходимо ли ей выполнять требования приказа № 117 при наличии сертификата соответствия?

Согласно п.16 Приказа ФСТЭК России №117 с политикой защиты информации должны быть ознакомлены подрядные организации, которым предоставляется доступ к информационных системам для оказания услуг, проведения работ по обработке, хранению информации, созданию (развитию), обеспечению эксплуатации информационных систем, а также для выполнения работ и оказания услуг по защите информации.

Обязанность подрядной организации по выполнению политики защиты информации, а так же внутренних регламентов по защите информации должна быть определена в документах оператора (обладателя информации), на основании которых в том числе передается информация, предоставляется доступ к информационным системам.

Ответственность за выполнение данных требований законодательства лежит на операторе, который инициирует процедуру вашего ознакомления. Однако, вы можете заранее запросить эти документы и подтвердить свою готовность их выполнять, демонстрируя высокий уровень зрелости процессов информационной безопасности.

24) Как определить грань между уровнем опасности для персональных данных первой и второй категорий, ведь иногда граница кажется условной?

Уровень значимости (УЗ) информации определяется в зависимости от степени возможных негативных последствий (ущерба) для Оператора. Негативные последствия (ущерб) определяются на основе перечня негативных последствий, включенных в банк данных угроз безопасности информации ФСТЭК России. Грань между УЗ-1 и УЗ-2 заключается в трактовке понятия «существенные».

К существенным негативным последствиям можно отнести ущерб, который:

• прямо угрожает финансовой стабильности Оператора (крупные прямые убытки, потеря крупных контрактов, значительные штрафы регуляторов);
• приводит к необратимому подрыву деловой репутации и утрате доверия клиентов или партнеров;
• вызывает долговременный (критический) сбой основных бизнес-процессов, приводящий к остановке деятельности;
• нарушает требования законодательства, влекущие за собой приостановку деятельности или иные тяжкие правовые последствия;
• создает угрозу национальной безопасности или общественному порядку.

Информация, ущерб от нарушения конфиденциальности, целостности или доступности которой носит ограниченный и обратимый характер, относится к УЗ-2.

25) Есть ли на рынке сертифицированное Средство Обнаружения Вторжений?

Реестра сертифицированных Средств Обнаружения Вторжений (СОВ) как единого документа не существует. Вместо него есть открытые реестры лицензиатов ФСТЭК России на разработку и производство Средств Защиты Конфиденциальной Информации (СЗКИ), которые могут включать СОВ, и также списки сертифицированных ФСБ России СКЗИ, если СОВ реализует такие функции. Для поиска конкретного сертифицированного СОВ необходимо проверять актуальные реестры лицензиатов ФСТЭК или перечни СКЗИ от ФСБ России.

26) С одной стороны, по правилам мы можем использовать только сертифицированную версию SIEM. С другой стороны, вендор постоянно улучшает её, но сертификацию на эти нововведения получает с большим опозданием. Как быть в этой ситуации?

Согласно Приказу ФСТЭК России №76, средство соответствует уровню доверия при наличии действующей поддержки безопасности средства.