Proteção de Dispositivos Móveis pela Ordem 117 do FSTEC da Rússia: Um Guia para Navegar na Documentação Complexa
O novo regulamento russo 117 do FSTEC impõe requisitos rigorosos para a proteção de dispositivos móveis em órgãos governamentais e organizações estatais. Este artigo detalha as principais exigências, desde autenticação e controle de acesso até integridade de dados e antivírus, oferecendo um guia prático para conformidade.
MundiX News·14 de maio de 2026·13 min de leitura·👁 3 views
A partir de 1º de março de 2026, a Ordem 117 do Serviço Federal de Tecnologia e Controle de Exportação da Rússia (FSTEC) entrará em vigor, estabelecendo novas e abrangentes diretrizes para a proteção de sistemas de informação, incluindo dispositivos móveis. Este regulamento substitui a Ordem 17 e expande seu escopo para abranger não apenas Sistemas de Informação Governamentais (GIS), mas também outras infraestruturas como e-mail, sistemas de gerenciamento eletrônico de documentos (SED) e até mesmo sistemas de controle de acesso (SKUD). A complexidade da Ordem 117 é evidenciada por um documento metodológico de 184 páginas, que abrange desde data centers até a Internet das Coisas. Este artigo se concentra especificamente nos requisitos para a proteção de dispositivos móveis, um tema de longa data para a SafeMobile.
Uma das mudanças mais significativas introduzidas pela Ordem 117 é a redefinição do conceito de BYOD (Bring Your Own Device). Tradicionalmente, BYOD permitia que os funcionários usassem seus dispositivos pessoais para o trabalho, com a empresa implementando medidas de segurança, como contêineres de dados seguros, para proteger informações corporativas sem acessar dados pessoais. No entanto, a nova regulamentação russa, em sua interpretação, sugere que o BYOD agora se traduz em "compre seu próprio dispositivo" (buy your own device) para fins de trabalho. Isso ocorre porque os requisitos podem exigir o uso de sistemas operacionais certificados ou a implementação de medidas de segurança que podem não ser facilmente aplicáveis a dispositivos pessoais não certificados. A alternativa é adquirir dispositivos corporativos dedicados, limitando a flexibilidade e a escolha do usuário. A Ordem 117 também exige que, para mais de 10 dispositivos móveis utilizados para acessar sistemas de informação, seja implementado um gerenciamento automatizado e controle de uso, essencialmente exigindo uma solução de Gerenciamento de Dispositivos Móveis (MDM).
A proteção de dispositivos móveis sob a Ordem 117 abrange diversas áreas cruciais. Em termos de Identificação e Autenticação (IAF), os requisitos variam de acordo com as classes de segurança do sistema (K1 a K3). Para acesso ao dispositivo, são necessários senhas com comprimento e complexidade específicos, histórico de senhas e limite de tentativas de login. Para acesso a recursos de informação, a autenticação pode ser simples (senha) para sistemas K3, mas exige autenticação reforçada (como autenticadores de software ou códigos via push/SMS) para sistemas K2 e K1. O Gerenciamento de Acesso (UPD) inclui a escolha de um modelo de controle de acesso, bloqueio de tela após inatividade e, para sistemas K2 e K1, limitação de sessões simultâneas. A Integridade dos Dados (ZMU.3) exige que o sistema operacional móvel controle sua própria integridade, com bloqueio ou limpeza de dados em caso de violação. A Proteção de Dados (ZMU.4) dita que dados não devem ser salvos em diretórios compartilhados, devem ser criptografados e a transferência de dados deve usar criptografia conforme GOST. A Proteção Antivírus (ZMU.5) requer a presença de um antivírus que detecte e reaja a malware, embora as limitações das plataformas móveis tornem essa proteção mais desafiadora. O Controle de Aplicativos (ZMU.6) exige que apenas software explicitamente permitido pelo administrador seja instalado e que o gerenciamento remoto seja feito via MDM, com controle granular sobre as permissões dos aplicativos. A Restrição e Controle de Funcionalidade (ZMU.7) foca em gerenciar interfaces do dispositivo com base no princípio do menor privilégio, desabilitando recursos não essenciais como Bluetooth ou câmera. A Detecção e Controle de Geolocalização (ZMU.8) é uma medida opcional, e o Registro, Análise e Resposta a Eventos de Segurança (ZMU.9) exige a definição e monitoramento de eventos de segurança relevantes para dispositivos móveis, com análise e armazenamento adequados. Para empresas estatais, a conformidade com a Ordem 117 é obrigatória até o final de 2026, e a SafeMobile oferece licenças anuais gratuitas de MDM para projetos de até 100 dispositivos para auxiliar na transição.
A partir de 1º de março de 2026, a Ordem 117 do Serviço Federal de Tecnologia e Controle de Exportação da Rússia (FSTEC) entrará em vigor, estabelecendo novas e abrangentes diretrizes para a proteção de sistemas de informação, incluindo dispositivos móveis. Este regulamento substitui a Ordem 17 e expande seu escopo para abranger não apenas Sistemas de Informação Governamentais (GIS), mas também outras infraestruturas como e-mail, sistemas de gerenciamento eletrônico de documentos (SED) e até mesmo sistemas de controle de acesso (SKUD). A complexidade da Ordem 117 é evidenciada por um documento metodológico de 184 páginas, que abrange desde data centers até a Internet das Coisas. Este artigo se concentra especificamente nos requisitos para a proteção de dispositivos móveis, um tema de longa data para a SafeMobile.
Uma das mudanças mais significativas introduzidas pela Ordem 117 é a redefinição do conceito de BYOD (Bring Your Own Device). Tradicionalmente, BYOD permitia que os funcionários usassem seus dispositivos pessoais para o trabalho, com a empresa implementando medidas de segurança, como contêineres de dados seguros, para proteger informações corporativas sem acessar dados pessoais. No entanto, a nova regulamentação russa, em sua interpretação, sugere que o BYOD agora se traduz em "compre seu próprio dispositivo" (buy your own device) para fins de trabalho. Isso ocorre porque os requisitos podem exigir o uso de sistemas operacionais certificados ou a implementação de medidas de segurança que podem não ser facilmente aplicáveis a dispositivos pessoais não certificados. A alternativa é adquirir dispositivos corporativos dedicados, limitando a flexibilidade e a escolha do usuário. A Ordem 117 também exige que, para mais de 10 dispositivos móveis utilizados para acessar sistemas de informação, seja implementado um gerenciamento automatizado e controle de uso, essencialmente exigindo uma solução de Gerenciamento de Dispositivos Móveis (MDM).
A proteção de dispositivos móveis sob a Ordem 117 abrange diversas áreas cruciais. Em termos de Identificação e Autenticação (IAF), os requisitos variam de acordo com as classes de segurança do sistema (K1 a K3). Para acesso ao dispositivo, são necessários senhas com comprimento e complexidade específicos, histórico de senhas e limite de tentativas de login. Para acesso a recursos de informação, a autenticação pode ser simples (senha) para sistemas K3, mas exige autenticação reforçada (como autenticadores de software ou códigos via push/SMS) para sistemas K2 e K1. O Gerenciamento de Acesso (UPD) inclui a escolha de um modelo de controle de acesso, bloqueio de tela após inatividade e, para sistemas K2 e K1, limitação de sessões simultâneas. A Integridade dos Dados (ZMU.3) exige que o sistema operacional móvel controle sua própria integridade, com bloqueio ou limpeza de dados em caso de violação. A Proteção de Dados (ZMU.4) dita que dados não devem ser salvos em diretórios compartilhados, devem ser criptografados e a transferência de dados deve usar criptografia conforme GOST. A Proteção Antivírus (ZMU.5) requer a presença de um antivírus que detecte e reaja a malware, embora as limitações das plataformas móveis tornem essa proteção mais desafiadora. O Controle de Aplicativos (ZMU.6) exige que apenas software explicitamente permitido pelo administrador seja instalado e que o gerenciamento remoto seja feito via MDM, com controle granular sobre as permissões dos aplicativos. A Restrição e Controle de Funcionalidade (ZMU.7) foca em gerenciar interfaces do dispositivo com base no princípio do menor privilégio, desabilitando recursos não essenciais como Bluetooth ou câmera. A Detecção e Controle de Geolocalização (ZMU.8) é uma medida opcional, e o Registro, Análise e Resposta a Eventos de Segurança (ZMU.9) exige a definição e monitoramento de eventos de segurança relevantes para dispositivos móveis, com análise e armazenamento adequados. Para empresas estatais, a conformidade com a Ordem 117 é obrigatória até o final de 2026, e a SafeMobile oferece licenças anuais gratuitas de MDM para projetos de até 100 dispositivos para auxiliar na transição.
