Orden FSBTEK N.º 117: Cambios clave en la protección de GII y hoja de ruta para la migración
La Orden FSBTEK N.º 117 sustituye a la antigua Orden N.º 17, introduciendo un enfoque basado en procesos para la protección de la información en sistemas de información gubernamentales (GII), agencias estatales, empresas unipersonales e instituciones. El nuevo marco considera arquitecturas de microservicios, entornos en la nube, contenerización y amenazas impulsadas por IA, exigiendo monitoreo continuo y métricas de rendimiento.
Alcance y excepciones
Los requisitos se aplican a todos los GII y sistemas estatales similares. Excepciones incluyen la Administración Presidencial, el Consejo de Seguridad, la Asamblea Federal, el Gobierno, los Tribunales Constitucional y Supremo, los organismos de inteligencia y contraespionaje, y las unidades de gestión de equipos militares. Los sistemas informatizados municipales están sujetos a estas normas salvo que la ley disponga lo contrario.
Jerarquía documental y requisitos de personal
Se establece una estructura en tres niveles: política de seguridad de la información, estándares internos y procedimientos operativos. Se endurecen los requisitos de personal: al menos el 30 % del personal del departamento de IS debe poseer formación o certificaciones relevantes. Las auditorías de calificación y planes de capacitación son obligatorios.
Se requiere la implementación a nivel de sistema de Gestión de Acceso Privilegiado (PAM) para separar roles administrativos, de desarrollo y de seguridad. Todas las acciones deben registrarse y supervisarse.
Gestión de seguridad de la información basada en procesos
La protección sigue el ciclo PDCA: Planificar (amenazas, recursos), Hacer, Verificar, Actuar. Ahora son obligatorios indicadores clave de desempeño:
| Métrica | Definición | Frecuencia |
|--------|------------|-----------|
| KZI | Estado base de protección frente a amenazas | Cada 6 meses |
| PZI | Madurez de las medidas de protección | Cada 2 años |
Los resultados deben presentarse a FSBTEK dentro de los 5 días hábiles. Se requieren herramientas de recopilación automática de datos.
Medidas técnicas mejoradas
Los controles básicos de seguridad se han ampliado a 18 categorías, cubriendo plataformas en la nube, contenedores y tecnologías web. Áreas clave de enfoque:
- Monitoreo continuo de vulnerabilidades: escaneos mensuales; problemas críticos resueltos en 24 horas, riesgos altos en 7 días. Las nuevas vulnerabilidades deben notificarse a FSBTEK en 5 días. Es obligatorio validar falsos positivos y explotabilidad.
- Protección de aplicaciones web: filtrado de tráfico a nivel de aplicación.
- Prevención de fugas de datos: monitoreo de canales de red y puertos de entrada/salida.
- Servicios de correo electrónico: auditorías de cuentas, control de archivos adjuntos y enlaces, medidas anti-phishing, entornos aislados para análisis.
- Antivirus: escaneo casi en tiempo real de archivos y tráfico con sandboxing para análisis de amenazas.
- Detección y respuesta de puntos finales (EDR): monitoreo de procesos y detección de anomalías en estaciones de trabajo y servidores.
La arquitectura de defensa es multifuncional: perímetro, segmentos, puntos finales. Las herramientas de seguridad deben estar certificadas por FSBTEK y contar con soporte local en Rusia.
Hoja de ruta para la migración a la Orden N.º 117
- Realizar una auditoría del sistema actual bajo la Orden N.º 17.
- Desarrollar la política de IS y la documentación de apoyo.
- Evaluar los niveles KZI/PZI y la cualificación del personal.
- Implementar soluciones de PAM, EDR, DLP y SIEM.
- Ejecutar escaneos mensuales de vulnerabilidades y reportes automatizados.
- Realizar pruebas de certificación tras la modernización.
Los nuevos sistemas de información deben cumplir plenamente con la Orden N.º 117 desde el primer día. Se permite un periodo de transición para contratos vigentes bajo la N.º 17, pero la planificación de migración es obligatoria. Se prevé una revisión de los niveles de clasificación de seguridad a partir de septiembre de 2026, con simplificaciones para sistemas no estatales.
Conclusiones clave
- El cambio de una certificación estática hacia una gobernanza continua y basada en procesos.
- Las métricas KZI/PZI requieren automatización para cálculos trimestrales y bienales.
- Los 18 grupos de controles abordan pilas tecnológicas modernas: nube, microservicios, IoT.
- El acceso privilegiado y la corrección de vulnerabilidades son prioridades máximas con SLAs estrictos.
- La certificación FSBTEK y el soporte local para herramientas de seguridad son obligatorios.
— Editorial Team
Aún no hay comentarios.