Ordem 117 do FSTEC da Rússia: Protegendo Dispositivos Móveis e Evitando o Desespero
O novo regulamento 117 do FSTEC da Rússia estabelece requisitos rigorosos para a proteção de dispositivos móveis em sistemas de informação governamentais. Este artigo desmistifica o documento, abordando desde a gestão de acesso até a proteção de dados e a necessidade de soluções MDM.
MundiX News·14 de maio de 2026·13 min de leitura·👁 3 views
O FSTEC da Rússia, órgão regulador de segurança da informação, publicou a Ordem nº 117, que entra em vigor em 1º de março de 2026. Este novo regulamento abrange não apenas os Sistemas de Informação Estatais (GIS), mas também outras infraestruturas de informação de órgãos e organizações governamentais, como e-mail e sistemas de gestão eletrônica de documentos (SED). A complexidade do documento é ampliada por um guia metodológico de 184 páginas, que detalha os requisitos. Este artigo foca especificamente nas exigências para a proteção de dispositivos móveis, um tema de grande relevância para a segurança da informação corporativa.
Uma das mudanças mais significativas introduzidas pela Ordem 117 é a redefinição do conceito de BYOD (Bring Your Own Device). Tradicionalmente, BYOD significa que os funcionários utilizam seus dispositivos pessoais para o trabalho, com a empresa implementando medidas de segurança, como a criação de contêineres seguros para dados corporativos. No entanto, a nova ordem implica que, para cumprir os requisitos, as organizações podem precisar que os funcionários adquiram dispositivos específicos, possivelmente com sistemas operacionais certificados, para acessar informações corporativas. Isso difere do modelo BYOD tradicional, onde a empresa não compra os dispositivos, mas sim, os funcionários compram um dispositivo adicional para fins de trabalho, a fim de atender às exigências de segurança.
Os requisitos de proteção de dispositivos móveis (ЗМУ - Защита мобильных устройств) abordam diversos aspectos cruciais. Na seção de Identificação e Autenticação (ЗМУ.1), são detalhadas as exigências para senhas de acesso aos dispositivos e aos recursos informacionais, variando conforme a classe de segurança do sistema (K1, K2, K3). Para acesso aos recursos, sistemas de classes K2 e K1 exigem autenticação reforçada, como autenticadores de software ou códigos via push, SMS ou flash call. A gestão de acesso (ЗМУ.2) foca em princípios como o menor privilégio e o bloqueio de tela em caso de inatividade. A integridade (ЗМУ.3) exige que o sistema operacional mobile controle sua própria integridade, com bloqueio ou exclusão de dados corporativos em caso de violação. A proteção de dados (ЗМУ.4) impõe que os aplicativos não salvem arquivos em diretórios compartilhados, criptografem dados em trânsito e em repouso, e que o backup em nuvens públicas seja proibido. A proteção antivírus (ЗМУ.5) é mandatória, embora sua eficácia em ambientes móveis seja discutível devido às limitações de acesso do sistema operacional. O controle de aplicativos (ЗМУ.6) exige que apenas softwares autorizados sejam instalados e que o gerenciamento remoto seja feito exclusivamente via MDM (Mobile Device Management). A limitação e controle de funcionalidades (ЗМУ.7) se baseiam no princípio do menor privilégio, desabilitando recursos desnecessários. A definição e controle de geolocalização (ЗМУ.8) são opcionais. Por fim, o registro, análise e resposta a eventos de segurança (ЗМУ.9) requerem a definição de eventos relevantes para dispositivos móveis, análise e armazenamento seguro desses eventos, com sincronização de tempo correta.
O FSTEC da Rússia, órgão regulador de segurança da informação, publicou a Ordem nº 117, que entra em vigor em 1º de março de 2026. Este novo regulamento abrange não apenas os Sistemas de Informação Estatais (GIS), mas também outras infraestruturas de informação de órgãos e organizações governamentais, como e-mail e sistemas de gestão eletrônica de documentos (SED). A complexidade do documento é ampliada por um guia metodológico de 184 páginas, que detalha os requisitos. Este artigo foca especificamente nas exigências para a proteção de dispositivos móveis, um tema de grande relevância para a segurança da informação corporativa.
Uma das mudanças mais significativas introduzidas pela Ordem 117 é a redefinição do conceito de BYOD (Bring Your Own Device). Tradicionalmente, BYOD significa que os funcionários utilizam seus dispositivos pessoais para o trabalho, com a empresa implementando medidas de segurança, como a criação de contêineres seguros para dados corporativos. No entanto, a nova ordem implica que, para cumprir os requisitos, as organizações podem precisar que os funcionários adquiram dispositivos específicos, possivelmente com sistemas operacionais certificados, para acessar informações corporativas. Isso difere do modelo BYOD tradicional, onde a empresa não compra os dispositivos, mas sim, os funcionários compram um dispositivo adicional para fins de trabalho, a fim de atender às exigências de segurança.
Os requisitos de proteção de dispositivos móveis (ЗМУ - Защита мобильных устройств) abordam diversos aspectos cruciais. Na seção de Identificação e Autenticação (ЗМУ.1), são detalhadas as exigências para senhas de acesso aos dispositivos e aos recursos informacionais, variando conforme a classe de segurança do sistema (K1, K2, K3). Para acesso aos recursos, sistemas de classes K2 e K1 exigem autenticação reforçada, como autenticadores de software ou códigos via push, SMS ou flash call. A gestão de acesso (ЗМУ.2) foca em princípios como o menor privilégio e o bloqueio de tela em caso de inatividade. A integridade (ЗМУ.3) exige que o sistema operacional mobile controle sua própria integridade, com bloqueio ou exclusão de dados corporativos em caso de violação. A proteção de dados (ЗМУ.4) impõe que os aplicativos não salvem arquivos em diretórios compartilhados, criptografem dados em trânsito e em repouso, e que o backup em nuvens públicas seja proibido. A proteção antivírus (ЗМУ.5) é mandatória, embora sua eficácia em ambientes móveis seja discutível devido às limitações de acesso do sistema operacional. O controle de aplicativos (ЗМУ.6) exige que apenas softwares autorizados sejam instalados e que o gerenciamento remoto seja feito exclusivamente via MDM (Mobile Device Management). A limitação e controle de funcionalidades (ЗМУ.7) se baseiam no princípio do menor privilégio, desabilitando recursos desnecessários. A definição e controle de geolocalização (ЗМУ.8) são opcionais. Por fim, o registro, análise e resposta a eventos de segurança (ЗМУ.9) requerem a definição de eventos relevantes para dispositivos móveis, análise e armazenamento seguro desses eventos, com sincronização de tempo correta.
