Top.Mail.Ru
Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
85

Как перестать опираться на регламенты и начать защищать ИТ-инфраструктуру по ФСТЭК №117

Разбор актуальных требований ФСТЭК 117 для бизнеса и КИИ. Узнайте, как разработать политику защиты информации.

Содержание

Многие российские компании привыкли воспринимать требования регуляторов как неизбежную бюрократическую нагрузку. Долгое время информационная безопасность строилась по принципу формального соответствия: купили сертифицированное решение, написали пачку регламентов, положили их в стол и забыли до следующей проверки.

Однако Приказ ФСТЭК №117 радикально меняет правила игры. Теперь акцент смещается с разовых мероприятий на непрерывный процесс управления и персональную ответственность. Разберемся, из каких блоков состоит современная архитектура безопасности и что конкретно нужно сделать, чтобы соответствовать новым стандартам.

От формализма к жизненному циклу: эволюция подхода

Традиционный «бумажный» подход больше не работает по нескольким причинам. Во-первых, угрозы стали динамичными, и статичные регламенты за ними не успевают. Во-вторых, регулятор теперь требует внедрения процессной модели управления, что подразумевает постоянное совершенствование защиты.

Основные отличия нового подхода?

  • Непрерывность вместо разовых проектов. Вы не можете просто «внедрить ИБ». Это постоянный цикл управления.

  • Глубокий анализ рисков. Вместо типовых решений необходимо проводить самостоятельное моделирование угроз, специфичных для конкретной инфраструктуры.

  • Эшелонированная оборона. Защита выстраивается слоями: от сетевого периметра до контроля привилегий отдельных пользователей.

  • Персональная ответственность. За состояние безопасности теперь отвечает не только абстрактный «отдел ИТ», но и конкретные должностные лица.

Организационный фундамент и кадры

Безопасность начинается не с софта, а с определения правового статуса организации и распределения ролей. Если компания идентифицирована как госорган, ГУП или подрядчик таких структур, требования становятся максимально жесткими.

Ключевые требования к кадрам

  • В организации должно быть официально назначено выделенное ИБ-подразделение или ответственный руководитель.

  • Существует жесткий образовательный ценз: не менее 30% сотрудников профильного подразделения обязаны иметь профильное образование или пройти профессиональную переподготовку.

  • Взаимодействие между ИТ-департаментом и службой ИБ должно быть жестко регламентировано, чтобы исключить конфликты интересов и «серые зоны» в ответственности.

Стратегический анализ и моделирование угроз

Прежде чем внедрять технические средства, необходимо понять, что именно мы защищаем и от кого. Этот этап включает полную инвентаризацию всех информационных систем и их классификацию по уровням защищенности.

Что включает процесс моделирования?

  1. Идентификацию событий: прогнозирование конкретных сбоев, которые могут нарушить безопасность.

  2. Поиск уязвимостей: регулярный аудит программного и аппаратного обеспечения.

  3. Анализ нарушителей: выявление векторов атак как от внешних хакеров, так и от внутренних инсайдеров.

  4. Утверждение актуальной Модели Угроз: документ, который должен отражать реальное положение дел, а не быть скачанным из интернета шаблоном.

Эшелонированная техническая защита

Технический контур делится на три уровня, каждый из которых должен быть закрыт сертифицированными средствами защиты информации (СЗИ). Согласно требованиям, все используемые СЗИ в рамках 18 обязательных направлений должны иметь действующие сертификаты ФСТЭК.

  • Сетевой периметр: использование межсетевых экранов, защита сети и организация безопасного удаленного доступа.

  • Конечные точки: защита операционных систем и контроль мобильных устройств сотрудников.

  • Данные и доступ: внедрение строгой двухфакторной аутентификации, систем предотвращения утечек (DLP), резервного копирования и жесткого контроля привилегий администраторов.

Процессная модель управления

Приказ №117 требует, чтобы управление безопасностью было встроено в ежедневные бизнес-процессы. Модель делится на два больших цикла:

  1. Планирование и реализация: сюда входит строгий контроль изменений конфигурации оборудования и ПО, а также соблюдение регламента обновлений в установленные сроки.

  2. Оценка и совершенствование: непрерывное выявление и устранение уязвимостей, глубокий мониторинг и анализ каждого инцидента.

Любое изменение в инфраструктуре (например, установка нового сервера) должно автоматически проходить через фильтр безопасности.

Человеческий фактор и работа с партнерами

Безопасность компании заканчивается там, где начинается некомпетентность сотрудника или халатность подрядчика. Поэтому контроль расширяется за пределы офиса.

  • Внутренний персонал: проверка знаний должна проводиться не реже одного раза в 3 года или незамедлительно после серьезного инцидента.

  • Цепочка поставок: ИБ-требования теперь должны быть интегрированы в договоры с подрядчиками. Доступ внешних специалистов к корпоративной инфраструктуре должен быть строго регламентирован и контролируем.

Государственная отчетность и аудит

Контроль со стороны регулятора становится цифровым и оперативным. Теперь недостаточно просто «иметь» защиту, нужно подтверждать ее эффективность измеримыми показателями.

Система мониторинга включает:

  • Внутренний аудит: регулярные проверки эффективности принятых мер.

  • Кзи (Показатель защищенности): расчет должен производиться минимум 1 раз в 6 месяцев.

  • Пзи (Уровень зрелости): расчет показателя минимум 1 раз в 2 года.

Важный нюанс: отчеты по результатам расчетов должны отправляться во ФСТЭК строго в течение 5 рабочих дней после их завершения.

Чек-лист готовности инфраструктуры

Чтобы понять, насколько ваша компания готова к работе по новым правилам, проверьте следующие пункты:

  • Назначены ответственные и соблюден ценз в 30% профильных специалистов.

  • Утверждена актуальная модель угроз и классифицированы все системы.

  • Внедрена эшелонированная защита (используются только сертифицированные СЗИ).

  • Настроен непрерывный цикл процессной модели управления уязвимостями.

  • Проводится тестирование персонала и контроль подрядчиков.

  • Настроен регулярный расчет Кзи/Пзи в требуемые сроки.

Трансформация ИБ – это сложный процесс, требующий экспертизы. Если на каком-то из этапов возникают сложности, оптимальным решением будет привлечение внешних аудиторов для выстраивания архитектуры, которая не только пройдет проверку регулятора, но и реально защитит бизнес от современных технологических вызовов.

Разберем нюансы приказа на специализированном вебинаре

Расскажем, как пройти путь трансформации без остановки бизнес-процессов.

Подробнее
ФСТЭК ФСТЭК 117 ЗПДН
Поделиться  

Рейтинг статьи:

4.9

(на основе 12 голосов)

Читайте также

Как выполнить требования ФСТЭК для подключения к ГИС Профилактика? Отвечаем на вопросы

Приказ ФСТЭК 117: как организовать обучение по ИБ для сотрудников и пройти проверку

Тревожный симптом: о чем говорит желание «присматривать» за администраторами данных

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 568 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2026 ГЭНДАЛЬФ