Задачи и проблемы при аттестации и внедрении требований Приказа ФСТЭК России от 11.04.2025 № 117
ЭКСПРЕСС-АНКЕТА (ЧЕК-ЛИСТ)
Отметьте задачи и проблемы, с которыми вы столкнулись (или ожидаете столкнуться) при аттестации и переходе на Приказ № 117
Организация/ информационная система
Ответственный
Инфраструктура и архитектура
Инфраструктура не готова к аттестации
Нет сегментации / изоляции сети, не выделены доверенные зоны
Нет актуального описания ИС и границ аттестуемого объекта
Виртуализация / облако без сертифицированных средств защиты
Устаревшее оборудование не поддерживает нужные механизмы
Гетерогенная среда (разные ОС и платформы) усложняет защиту
Сертифицированные ОС и совместимость ПО
Существующие механизмы защиты в сертифицированной ОС сложно применить
Прикладное ПО несовместимо с отечественной / сертифицированной ОС
Не настроены штатные механизмы ОС (мандатный доступ, замкнутая программная среда)
Нет компетенций по администрированию отечественных ОС
Обновления сертифицированной сборки ОС конфликтуют со требуемыми версиями для ПО\СЗИ
Средства защиты информации (СЗИ / СрЗИ)
Требуется замена СЗИ от НСД / нет совместимости с отечественными ОС
Зарубежные средства без поддержки в РФ - нужна замена
Нет средств защиты веб-технологий (WAF) и программных интерфейсов (API)
Нет средств защиты сервисов электронной почты
Нет защиты от DDoS / не организовано взаимодействие с ГосСОПКА
Нет SIEM / средств мониторинга событий безопасности
Просроченные сертификаты или сертификация по устаревшим требованиям
Средства защиты не покрывают все узлы (нет агентов под нужные ОС)
Идентификация, аутентификация и доступ
Двухфакторная (многофакторная) аутентификация
Нет или сложно внедрить управление привилегированными пользователями (PAM)
Нет централизованного управления учётными записями (IdM)
Обезличенные / совместные учётные записи, избыточные права
Нет управления сервисными и технологическими учётными записями
Нет ролевой модели разграничения доступа
Уязвимости, тестирование и оценка защищённости
Тестирование на проникновение - нет опыта / подрядчика
Невозможно уложиться в сроки устранения уязвимостей (24 ч / 7 дней)
Нет процесса и сканера управления уязвимостями
Нет анализа защищённости / оценки возможных векторов атак
Сложности с расчётом показателей защищённости Кзи и зрелости Пзи
Нет процедуры информирования ФСТЭК об уязвимостях вне БДУ
Документация, процессы, кадры и подрядчики
ОРД не приведена к структуре «политика - стандарты - регламенты»
Нет актуальной модели угроз (по БДУ ФСТЭК)
Нехватка кадров ИБ / не выполняется норматив 30% профильного образования
Не назначено ответственное лицо / не создано подразделение по защите информации
В договорах с подрядчиками нет требований по защите информации
Подрядчик ведёт разработку / тестирование в эксплуатируемой ИС
Нет мониторинга и реагирования на инциденты, отчётности во ФСТЭК
Использование искусственного интеллекта без регламентации
Организационные ограничения
Сжатые сроки
Ограниченный бюджет
Неопределённость методических документов ФСТЭК
Ожидаемый пересмотр классов защищённости - риск переделок
Нужны дополнительные аттестационные испытания при модернизации
Сложности взаимодействия с органом по аттестации / лабораторией
Три наиболее критичные для вас проблемы (по приоритету):
Дополнительные комментарии
Отправить