Приказ 117 ФСТЭК:
новые требования к PAM, SIEM и Awareness

117-й приказ ФСТЭК: аутентификация, SIEM и реальные решения для выполнения требований

С вступлением в силу 117-го приказа ФСТЭК меняется не только перечень требований к защите государственных информационных систем, но и сам подход к их реализации.

Если раньше часть мер можно было закрывать организационно или частично техническими средствами, то теперь акцент смещается на обязательную технологическую реализацию ключевых процессов безопасности.

В фокусе — два направления:

• контроль и аутентификация привилегированного доступа
• мониторинг событий информационной безопасности

Разберём, что именно изменилось и как эти требования закрываются на практике.

117-й приказ пришёл на смену предыдущим требованиям и распространяется на государственные информационные системы. В нём сохраняется широкий набор мер защиты:

• физическая безопасность
• защита информации
• безопасная разработка
• контроль доступа
• регистрация событий

Но при этом меняется главное — уровень конкретики и обязательности выполнения.
Даже несмотря на то, что часть методических документов ещё дорабатывается, уже сейчас очевидно: ряд требований больше нельзя закрыть формально — требуется полноценная техническая реализация.

Одно из ключевых изменений — усиление требований к аутентификации.

Теперь для привилегированного доступа требуется:

• строгая аутентификация
• либо, при технических ограничениях — двухфакторная или многофакторная аутентификация

При этом важно:
прямого требования использовать PAM как отдельный класс решений нет.

Регулятор формулирует задачу шире:
необходимо обеспечить нужный уровень контроля и аутентификации — а уже какими средствами это будет реализовано, остаётся на стороне организации.

Возможные варианты:

• PAM-системы
• IDM-решения
• DLP
• другие средства защиты, выполняющие аналогичный функционал

Но есть нюанс:
если используется специализированное решение, оно должно быть сертифицировано.

Контроль привилегированного доступа — одна из самых уязвимых зон любой инфраструктуры.

Причина проста:
обычный пользователь ограничен бизнес-приложениями, а привилегированный — управляет системой.

К таким пользователям относятся:

• администраторы
• инженеры сопровождения
• владельцы систем
• подрядчики и внешние специалисты

Именно они могут:

• отключать средства защиты
• менять конфигурацию
• управлять доступами
• влиять на доступность сервисов

Именно поэтому большинство серьёзных инцидентов связано не с рядовыми пользователями, а с действиями (или ошибками) привилегированных.

Для реализации требований по контролю привилегированных пользователей используется специализированный подход — централизованное управление доступом и действиями.
Один из примеров — решение Solar SafeInspect.

Что оно делает

• выдаёт доступ только нужным сотрудникам
• ограничивает доступ по времени
• использует одноразовые пароли
• фиксирует все действия пользователя
• хранит записи сессий (в формате метаданных для экономии ресурсов)
• автоматически обрывает сессию при подозрительных действиях

Важный момент — прозрачный режим
Решение может работать в прозрачном режиме, когда пользователь не знает, что его действия контролируются.

Это особенно важно для:

• подрядчиков
• внешних интеграторов
• аутсорс-команд

Такой подход позволяет:

• выявлять нарушения
• проверять качество работы
• фиксировать действия без искажения поведения

Что это даёт бизнесу, ИТ и безопасности
Контроль привилегированных пользователей — это не только про выполнение требований.

Для ИТ

• снижение рутинных операций
• автоматизация выдачи доступов
• освобождение времени

Для ИБ

• полный контроль действий
• прозрачность инцидентов
• доказательная база

Для бизнеса

• защита от ошибок подрядчиков
• возможность разбирательств

снижение рисков

Второе ключевое изменение — обязательность внедрения SIEM.

Если раньше можно было:

• вести журналы локально
• использовать разрозненные системы
• частично закрывать требования

то теперь это не работает.

Полноценный мониторинг событий — обязательный элемент защиты.

Почему без SIEM больше нельзя

Без централизованного мониторинга невозможно:

• видеть полную картину инцидента
• обнаруживать атаки вовремя
• реагировать на события
• взаимодействовать с регулятором

Поэтому SIEM становится не «дополнительным инструментом», а базовой инфраструктурой.

Практическое решение: Solar SIEM + SOAR

В ответ на эти требования используются современные SIEM-платформы.

Пример — Solar SIEM, который сразу включает функциональность реагирования (SOAR).

Ключевые особенности

• централизованный сбор событий
• встроенные сценарии реагирования
• автоматизация обработки инцидентов
• профилирование данных
• интеграция с SOC
• поддержка взаимодействия с ГосСОПКА

Почему это важно
Разделение SIEM и SOAR часто приводит к:

• сложной интеграции
• проблемам совместимости
• дополнительным затратам

Встроенный подход решает эти проблемы сразу.

Искусственный интеллект в SIEM
Дополнительно в систему встроены механизмы ИИ.

Их задача:

• помогать аналитикам
• ускорять разбор инцидентов
• снижать нагрузку
• повышать точность

Это не замена специалиста, а инструмент усиления команды.

Работа с ГосСОПКА и SOC

Мониторинг теперь нельзя рассматривать изолированно.

Он должен быть встроен в:

• процессы реагирования
• взаимодействие с ГосСОПКА
• работу SOC

Практика показывает, что именно связка:
  SIEM + SOC + процессы реагирования
  даёт реальный результат, а не просто формальное соответствие.

Рост атак и почему awareness становится критичным

Отдельный блок — обучение сотрудников.

По статистике:

• количество атак выросло кратно
• основной вектор — фишинг
• ущерб достигает колоссальных значений

При этом даже при наличии всех средств защиты человеческий фактор остаётся ключевым риском.

Практическое решение: Solar Security Awareness

Для решения этой задачи используется платформа Security Awareness.

Что она даёт

• обучение сотрудников по более чем 140 темам
• интерактивные форматы (игры, тесты)
• автоматическое назначение курсов
• контроль прохождения
• снижение нагрузки на ИБ

Почему это важно
ИБ-команда:

• не тратит время на обучение вручную
• получает контроль результатов

А бизнес:

• снижает риск инцидентов
• повышает уровень киберграмотности

Политика ИБ и работа с подрядчиками

117-й приказ усиливает требования к документам.

Теперь обязательно:

• наличие политики информационной безопасности
• отдельный блок по подрядчикам
• закрепление требований в договорах

Это означает, что безопасность выходит за рамки ИТ и становится частью юридической и операционной модели.

Что можно делать уже сейчас

Вывод

117-й приказ — это не просто обновление требований.

Это переход к модели, где безопасность встроена в процессы, контролируется технологически и подтверждается на практике.

Ключевые направления уже очевидны:

• контроль привилегированного доступа
• обязательный SIEM
• работа с подрядчиками
• обучение сотрудников

И именно здесь сейчас формируется реальный уровень зрелости инфраструктуры.