Volver al inicio

Orden FSTEC No. 117: protección de GIS y medidas IB

La Orden FSTEC No. 117 establece nuevos requisitos para la protección de información en GIS, introduciendo un enfoque de procesos, métricas Kzi/Pzi y 18 grupos de medidas. Describe cambios en documentación, gestión de vulnerabilidades, PAM y plan de transición desde la No. 17. Material para especialistas en IB de estructuras gubernamentales.

FSTEC No. 117: nueva era de IB en GIS con métricas y PAM
Advertisement 728x90

Orden FSBTEK N.º 117: Cambios clave en la protección de GII y hoja de ruta para la migración

La Orden FSBTEK N.º 117 sustituye a la antigua Orden N.º 17, introduciendo un enfoque basado en procesos para la protección de la información en sistemas de información gubernamentales (GII), agencias estatales, empresas unipersonales e instituciones. El nuevo marco considera arquitecturas de microservicios, entornos en la nube, contenerización y amenazas impulsadas por IA, exigiendo monitoreo continuo y métricas de rendimiento.

Alcance y excepciones

Los requisitos se aplican a todos los GII y sistemas estatales similares. Excepciones incluyen la Administración Presidencial, el Consejo de Seguridad, la Asamblea Federal, el Gobierno, los Tribunales Constitucional y Supremo, los organismos de inteligencia y contraespionaje, y las unidades de gestión de equipos militares. Los sistemas informatizados municipales están sujetos a estas normas salvo que la ley disponga lo contrario.

Jerarquía documental y requisitos de personal

Se establece una estructura en tres niveles: política de seguridad de la información, estándares internos y procedimientos operativos. Se endurecen los requisitos de personal: al menos el 30 % del personal del departamento de IS debe poseer formación o certificaciones relevantes. Las auditorías de calificación y planes de capacitación son obligatorios.

Google AdInline article slot

Se requiere la implementación a nivel de sistema de Gestión de Acceso Privilegiado (PAM) para separar roles administrativos, de desarrollo y de seguridad. Todas las acciones deben registrarse y supervisarse.

Gestión de seguridad de la información basada en procesos

La protección sigue el ciclo PDCA: Planificar (amenazas, recursos), Hacer, Verificar, Actuar. Ahora son obligatorios indicadores clave de desempeño:

| Métrica | Definición | Frecuencia |

Google AdInline article slot

|--------|------------|-----------|

| KZI | Estado base de protección frente a amenazas | Cada 6 meses |

| PZI | Madurez de las medidas de protección | Cada 2 años |

Google AdInline article slot

Los resultados deben presentarse a FSBTEK dentro de los 5 días hábiles. Se requieren herramientas de recopilación automática de datos.

Medidas técnicas mejoradas

Los controles básicos de seguridad se han ampliado a 18 categorías, cubriendo plataformas en la nube, contenedores y tecnologías web. Áreas clave de enfoque:

  • Monitoreo continuo de vulnerabilidades: escaneos mensuales; problemas críticos resueltos en 24 horas, riesgos altos en 7 días. Las nuevas vulnerabilidades deben notificarse a FSBTEK en 5 días. Es obligatorio validar falsos positivos y explotabilidad.
  • Protección de aplicaciones web: filtrado de tráfico a nivel de aplicación.
  • Prevención de fugas de datos: monitoreo de canales de red y puertos de entrada/salida.
  • Servicios de correo electrónico: auditorías de cuentas, control de archivos adjuntos y enlaces, medidas anti-phishing, entornos aislados para análisis.
  • Antivirus: escaneo casi en tiempo real de archivos y tráfico con sandboxing para análisis de amenazas.
  • Detección y respuesta de puntos finales (EDR): monitoreo de procesos y detección de anomalías en estaciones de trabajo y servidores.

La arquitectura de defensa es multifuncional: perímetro, segmentos, puntos finales. Las herramientas de seguridad deben estar certificadas por FSBTEK y contar con soporte local en Rusia.

Hoja de ruta para la migración a la Orden N.º 117

  • Realizar una auditoría del sistema actual bajo la Orden N.º 17.
  • Desarrollar la política de IS y la documentación de apoyo.
  • Evaluar los niveles KZI/PZI y la cualificación del personal.
  • Implementar soluciones de PAM, EDR, DLP y SIEM.
  • Ejecutar escaneos mensuales de vulnerabilidades y reportes automatizados.
  • Realizar pruebas de certificación tras la modernización.

Los nuevos sistemas de información deben cumplir plenamente con la Orden N.º 117 desde el primer día. Se permite un periodo de transición para contratos vigentes bajo la N.º 17, pero la planificación de migración es obligatoria. Se prevé una revisión de los niveles de clasificación de seguridad a partir de septiembre de 2026, con simplificaciones para sistemas no estatales.

Conclusiones clave

  • El cambio de una certificación estática hacia una gobernanza continua y basada en procesos.
  • Las métricas KZI/PZI requieren automatización para cálculos trimestrales y bienales.
  • Los 18 grupos de controles abordan pilas tecnológicas modernas: nube, microservicios, IoT.
  • El acceso privilegiado y la corrección de vulnerabilidades son prioridades máximas con SLAs estrictos.
  • La certificación FSBTEK y el soporte local para herramientas de seguridad son obligatorios.

— Editorial Team

Advertisement 728x90

Leer después