Nova Metodologia do FSTEC: Certificação Agora Exige Análise Completa de Segurança
O FSTEC (Serviço Federal para Controle Técnico e de Exportação da Rússia) atualizou suas diretrizes, exigindo uma análise de vulnerabilidades abrangente para a certificação de sistemas de informação. A nova metodologia impacta significativamente os processos de avaliação de segurança, demandando mais tempo, recursos e expertise técnica.
MundiX News·27 de junho de 2026·4 min de leitura·👁 1 views
A recente metodologia do FSTEC, datada de 25 de novembro de 2025, introduziu uma mudança fundamental nos procedimentos de avaliação de segurança de sistemas de informação, tornando a análise de vulnerabilidades um componente obrigatório em todas as etapas cruciais. Anteriormente, era possível limitar a análise a ferramentas de verificação de segurança e a comparação com um banco de dados de ameaças do FSTEC. No entanto, as novas exigências especificam a necessidade de realizar escaneamentos externos do perímetro, a partir de fora do segmento protegido, e também internamente na infraestrutura, atuando como um usuário privilegiado. Isso implica que o executor terá acesso a servidores, estações de trabalho, equipamentos de rede, ferramentas de proteção de informações e, em alguns casos, até mesmo a controladores lógicos programáveis, sistemas de automação de processos tecnológicos e dispositivos "inteligentes".
O escopo de trabalho aumentou consideravelmente, abrangendo a inventariação completa de todos os IPs, portas, serviços, configurações, a verificação de políticas de senhas, a busca por vulnerabilidades em aplicações web, aplicativos móveis e até mesmo em modelos de machine learning. Para os clientes, isso se traduz em um aumento no tempo e nos custos. Os contratos agora detalham explicitamente três fases: análise primária, remediação de vulnerabilidades e análise secundária para confirmar a correção das falhas identificadas pelo cliente. O cliente é obrigado a fornecer uma conta de teste com privilégios de administrador, acesso à rede interna e, se necessário, permitir a modificação das configurações dos sistemas de proteção de informações (SZI). Um ponto crucial é que um parecer positivo sobre os resultados da análise de segurança só será concedido se não houver vulnerabilidades críticas ou de alta severidade. Para vulnerabilidades de severidade média e baixa, a avaliação de especialistas deve demonstrar que elas não podem ser exploradas. A presença de qualquer falha de segurança significativa resultará em um parecer negativo.
Para as empresas licenciadas pelo FSTEC, essa nova metodologia representa um desafio considerável. É necessário contar com especialistas com habilidades avançadas na busca manual por vulnerabilidades, com profundo conhecimento em configurações, protocolos e segurança web. O cliente tem o direito de realizar essas atividades de forma autônoma. Caso opte por contratar um licenciado, este deve possuir a licença do FSTEC para proteção técnica de informações confidenciais, com permissão para realizar testes de certificação. As ferramentas utilizadas devem ser certificadas, mas, mediante acordo com o cliente, outras ferramentas podem ser adicionadas, desde que sua necessidade seja justificada no relatório. A responsabilidade pela confidencialidade dos dados obtidos durante a análise de segurança é explicitamente definida, proibindo o executor de divulgar ou transferir qualquer informação sem autorização. Embora os custos e o tempo de trabalho aumentem significativamente, o resultado será uma representação mais precisa do nível real de segurança do sistema. É fundamental que as organizações se preparem antecipadamente, alocando orçamentos adequados, planejando cronogramas e estabelecendo limites claros com os prestadores de serviço, a fim de evitar um parecer negativo na avaliação de segurança de seus sistemas de informação.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A recente metodologia do FSTEC, datada de 25 de novembro de 2025, introduziu uma mudança fundamental nos procedimentos de avaliação de segurança de sistemas de informação, tornando a análise de vulnerabilidades um componente obrigatório em todas as etapas cruciais. Anteriormente, era possível limitar a análise a ferramentas de verificação de segurança e a comparação com um banco de dados de ameaças do FSTEC. No entanto, as novas exigências especificam a necessidade de realizar escaneamentos externos do perímetro, a partir de fora do segmento protegido, e também internamente na infraestrutura, atuando como um usuário privilegiado. Isso implica que o executor terá acesso a servidores, estações de trabalho, equipamentos de rede, ferramentas de proteção de informações e, em alguns casos, até mesmo a controladores lógicos programáveis, sistemas de automação de processos tecnológicos e dispositivos "inteligentes".
O escopo de trabalho aumentou consideravelmente, abrangendo a inventariação completa de todos os IPs, portas, serviços, configurações, a verificação de políticas de senhas, a busca por vulnerabilidades em aplicações web, aplicativos móveis e até mesmo em modelos de machine learning. Para os clientes, isso se traduz em um aumento no tempo e nos custos. Os contratos agora detalham explicitamente três fases: análise primária, remediação de vulnerabilidades e análise secundária para confirmar a correção das falhas identificadas pelo cliente. O cliente é obrigado a fornecer uma conta de teste com privilégios de administrador, acesso à rede interna e, se necessário, permitir a modificação das configurações dos sistemas de proteção de informações (SZI). Um ponto crucial é que um parecer positivo sobre os resultados da análise de segurança só será concedido se não houver vulnerabilidades críticas ou de alta severidade. Para vulnerabilidades de severidade média e baixa, a avaliação de especialistas deve demonstrar que elas não podem ser exploradas. A presença de qualquer falha de segurança significativa resultará em um parecer negativo.
Para as empresas licenciadas pelo FSTEC, essa nova metodologia representa um desafio considerável. É necessário contar com especialistas com habilidades avançadas na busca manual por vulnerabilidades, com profundo conhecimento em configurações, protocolos e segurança web. O cliente tem o direito de realizar essas atividades de forma autônoma. Caso opte por contratar um licenciado, este deve possuir a licença do FSTEC para proteção técnica de informações confidenciais, com permissão para realizar testes de certificação. As ferramentas utilizadas devem ser certificadas, mas, mediante acordo com o cliente, outras ferramentas podem ser adicionadas, desde que sua necessidade seja justificada no relatório. A responsabilidade pela confidencialidade dos dados obtidos durante a análise de segurança é explicitamente definida, proibindo o executor de divulgar ou transferir qualquer informação sem autorização. Embora os custos e o tempo de trabalho aumentem significativamente, o resultado será uma representação mais precisa do nível real de segurança do sistema. É fundamental que as organizações se preparem antecipadamente, alocando orçamentos adequados, planejando cronogramas e estabelecendo limites claros com os prestadores de serviço, a fim de evitar um parecer negativo na avaliação de segurança de seus sistemas de informação.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
