Mudanças Cruciais na Proteção de Dados na Rússia: O Que Há de Novo?
Um novo documento metodológico da FSTEC da Rússia detalha as medidas e processos para proteger informações em sistemas de informação, marcando uma evolução na gestão da segurança cibernética. O artigo explora as novas diretrizes, incluindo a importância da avaliação contínua de riscos e a necessidade de calcular um índice de proteção.
MundiX News·22 de maio de 2026·7 min de leitura·👁 1 views
Mudanças Cruciais na Proteção de Dados na Rússia: O Que Há de Novo?
Um novo documento metodológico, publicado pela FSTEC da Rússia em 12 de abril de 2026, representa um marco significativo na evolução da segurança da informação no país. Este documento, que complementa a ordem FSTEC nº 117 de 11 de abril de 2025, estabelece diretrizes detalhadas para a proteção de informações em sistemas de informação, visando uma abordagem mais sistemática e proativa.
O documento, intitulado "Composição e Conteúdo de Atividades e Medidas para Proteger Informações Contidas em Sistemas de Informação", é crucial para órgãos governamentais, empresas estatais e instituições públicas. Ele define os processos e medidas necessárias para garantir a segurança da informação, fornecendo um guia claro para a implementação de práticas de segurança cibernética eficazes. A ausência de um documento detalhado como este, após a publicação da ordem nº 117, dificultava a aplicação prática das exigências de segurança.
O documento é estruturado em seções que abordam aspectos como fatores que influenciam a segurança da informação, atividades de proteção, medidas de proteção e apêndices com terminologias e tabelas de medidas obrigatórias para cada classe de segurança. A FSTEC enfatiza que a segurança da informação é uma atividade contínua, baseada nos princípios de planejamento, implementação, controle e aprimoramento (ciclo PDCA). Uma das novidades é a exigência de calcular o índice de proteção Kzi, que deve ser feito regularmente e enviado à FSTEC. O valor mínimo aceitável para Kzi é 1, e o cálculo deve ser realizado pelo menos a cada seis meses.
Atividades e Medidas de Proteção
O documento detalha 19 atividades específicas, cada uma com objetivos, requisitos de implementação e documentação. Essas atividades incluem:
Identificação e avaliação de ameaças à segurança da informação.
Controle de configurações de sistemas de informação.
Gerenciamento de vulnerabilidades.
Gerenciamento de atualizações.
Proteção de informações durante o processamento, armazenamento e manuseio de informações de acesso restrito.
Proteção de informações ao usar dispositivos finais.
Proteção de informações ao usar dispositivos móveis.
Proteção de informações com acesso remoto de usuários a sistemas de informação.
Proteção de informações com acesso sem fio de usuários a sistemas de informação.
Proteção de informações ao fornecer acesso privilegiado aos usuários.
Monitoramento da segurança da informação.
Desenvolvimento de software seguro.
Proteção física de sistemas de informação.
Garantia da continuidade da operação de sistemas de informação em situações de emergência.
Aumento do nível de conhecimento e informação dos usuários sobre questões de proteção de informações.
Proteção de informações ao interagir com organizações contratadas.
Proteção contra ataques cibernéticos direcionados à negação de serviço (DoS).
Proteção de informações ao usar inteligência artificial (IA).
Realização de controle periódico do nível de proteção de informações contidas em sistemas de informação.
Para cada atividade, o documento fornece uma "instrução dentro da instrução", detalhando objetivos, requisitos e documentação. As medidas são obrigatórias, independentemente da classe de segurança do sistema, enquanto as medidas de aprimoramento ficam a critério do operador para aumentar a eficácia da proteção.
Implementando as Novas Medidas
Para se adaptar às novas exigências, as organizações devem:
Avaliar as conexões externas (contratados, data centers, outros sistemas de informação).
Reavaliar os níveis de importância e a classe de segurança.
Rever o modelo de ameaças e invasores.
Desenvolver processos de controle de proteção de informações.
Desenvolver (rever) a Política, Padrões e Regulamentos de proteção de informações.
Adaptar a estrutura organizacional e nomear um responsável pela proteção de informações.
Identificar mudanças no conjunto básico de medidas.
Adaptar o conjunto de medidas e adicionar medidas de aprimoramento.
Selecionar meios adicionais de proteção de informações.
Projetar e implementar meios adicionais de proteção de informações. Aplicar novas configurações.
Verificar a eficácia das medidas, realizar o controle de segurança.
Verificar o conjunto de medidas e atividades para a certificação do sistema de informação.
Conclusão
O novo documento metodológico representa uma mudança significativa na abordagem da segurança da informação na Rússia. Ele promove uma gestão de segurança mais madura, baseada em processos claros, uma abordagem sistemática e a capacidade de responder eficazmente a riscos e ameaças. A transição de uma conformidade formal para uma segurança real e planejada é um passo importante para a proteção efetiva de dados e sistemas.
Mudanças Cruciais na Proteção de Dados na Rússia: O Que Há de Novo?
Um novo documento metodológico, publicado pela FSTEC da Rússia em 12 de abril de 2026, representa um marco significativo na evolução da segurança da informação no país. Este documento, que complementa a ordem FSTEC nº 117 de 11 de abril de 2025, estabelece diretrizes detalhadas para a proteção de informações em sistemas de informação, visando uma abordagem mais sistemática e proativa.
O documento, intitulado "Composição e Conteúdo de Atividades e Medidas para Proteger Informações Contidas em Sistemas de Informação", é crucial para órgãos governamentais, empresas estatais e instituições públicas. Ele define os processos e medidas necessárias para garantir a segurança da informação, fornecendo um guia claro para a implementação de práticas de segurança cibernética eficazes. A ausência de um documento detalhado como este, após a publicação da ordem nº 117, dificultava a aplicação prática das exigências de segurança.
O documento é estruturado em seções que abordam aspectos como fatores que influenciam a segurança da informação, atividades de proteção, medidas de proteção e apêndices com terminologias e tabelas de medidas obrigatórias para cada classe de segurança. A FSTEC enfatiza que a segurança da informação é uma atividade contínua, baseada nos princípios de planejamento, implementação, controle e aprimoramento (ciclo PDCA). Uma das novidades é a exigência de calcular o índice de proteção Kzi, que deve ser feito regularmente e enviado à FSTEC. O valor mínimo aceitável para Kzi é 1, e o cálculo deve ser realizado pelo menos a cada seis meses.
Atividades e Medidas de Proteção
O documento detalha 19 atividades específicas, cada uma com objetivos, requisitos de implementação e documentação. Essas atividades incluem:
Identificação e avaliação de ameaças à segurança da informação.
Controle de configurações de sistemas de informação.
Gerenciamento de vulnerabilidades.
Gerenciamento de atualizações.
Proteção de informações durante o processamento, armazenamento e manuseio de informações de acesso restrito.
Proteção de informações ao usar dispositivos finais.
Proteção de informações ao usar dispositivos móveis.
Proteção de informações com acesso remoto de usuários a sistemas de informação.
Proteção de informações com acesso sem fio de usuários a sistemas de informação.
Proteção de informações ao fornecer acesso privilegiado aos usuários.
Monitoramento da segurança da informação.
Desenvolvimento de software seguro.
Proteção física de sistemas de informação.
Garantia da continuidade da operação de sistemas de informação em situações de emergência.
Aumento do nível de conhecimento e informação dos usuários sobre questões de proteção de informações.
Proteção de informações ao interagir com organizações contratadas.
Proteção contra ataques cibernéticos direcionados à negação de serviço (DoS).
Proteção de informações ao usar inteligência artificial (IA).
Realização de controle periódico do nível de proteção de informações contidas em sistemas de informação.
Para cada atividade, o documento fornece uma "instrução dentro da instrução", detalhando objetivos, requisitos e documentação. As medidas são obrigatórias, independentemente da classe de segurança do sistema, enquanto as medidas de aprimoramento ficam a critério do operador para aumentar a eficácia da proteção.
Implementando as Novas Medidas
Para se adaptar às novas exigências, as organizações devem:
Avaliar as conexões externas (contratados, data centers, outros sistemas de informação).
Reavaliar os níveis de importância e a classe de segurança.
Rever o modelo de ameaças e invasores.
Desenvolver processos de controle de proteção de informações.
Desenvolver (rever) a Política, Padrões e Regulamentos de proteção de informações.
Adaptar a estrutura organizacional e nomear um responsável pela proteção de informações.
Identificar mudanças no conjunto básico de medidas.
Adaptar o conjunto de medidas e adicionar medidas de aprimoramento.
Selecionar meios adicionais de proteção de informações.
Projetar e implementar meios adicionais de proteção de informações. Aplicar novas configurações.
Verificar a eficácia das medidas, realizar o controle de segurança.
Verificar o conjunto de medidas e atividades para a certificação do sistema de informação.
Conclusão
O novo documento metodológico representa uma mudança significativa na abordagem da segurança da informação na Rússia. Ele promove uma gestão de segurança mais madura, baseada em processos claros, uma abordagem sistemática e a capacidade de responder eficazmente a riscos e ameaças. A transição de uma conformidade formal para uma segurança real e planejada é um passo importante para a proteção efetiva de dados e sistemas.
