En términos sencillos, la Orden n.º 77 del FSTEC estableció reglas uniformes para evaluar la conformidad tanto de los sistemas de información como de los locales protegidos. Para un local, esto significa una ruta formal y clara con una lista de documentos, mediciones y puntos de control. Un matiz importante es que ahora el énfasis no está solo en los "papeles", sino en la confirmación real de la eficacia de la protección frente a fugas por canales técnicos. Esto evita situaciones en las que las paredes están pintadas, las placas colocadas y la señal se escapa.
En los términos de la orden, el local protegido es la parte del objeto de informatización donde se procesan datos confidenciales y a la que se aplican los requisitos de protección de la información. Para este local se prevé un formato propio de pasaporte técnico, y dentro de las pruebas de certificación hay un bloque separado de mediciones orientado precisamente a confirmar la eficacia de la protección del local. Este enfoque ayuda a diseñar la protección sin recurrir a la magia o a conjeturas, apoyándose en mediciones objetivas y metodologías documentadas.
El nuevo procedimiento no complica la vida, sino que más bien la lleva a un estándar de calidad normal. El propietario del local reúne la documentación por adelantado, el organismo certificador planifica el programa y las metodologías, y luego se realiza la inspección y las pruebas. Al final se formaliza el conjunto completo —desde los protocolos hasta el certificado de conformidad—. Y aquí es donde muchos se inquietan, aunque todo es solucionable si se prepara desde el final, es decir, bajo las metodologías de certificación y las mediciones de control.
Por último, una buena noticia. El certificado de conformidad ahora es válido durante todo el período de explotación, y no "expira" al cabo de unos años, como ocurría en enfoques anteriores. Pero también hay contrapuntos. El propietario está obligado a mantener el nivel de protección y a confirmarlo periódicamente mediante controles, y los protocolos de esas comprobaciones deben enviarse al FSTEC al menos una vez cada dos años. Es decir, el documento se emite una vez, pero habrá que trabajar conforme a él de forma continua.
Qué se verifica exactamente en el local según la Orden n.º 77
Lo primero que se examina es el propio "pasaporte" del local. La Orden n.º 77 incluye el formulario oficial del pasaporte técnico del local protegido. En él se registran el uso y la ubicación, los datos sobre las comprobaciones destinadas a detectar posibles medios de interceptación, la puesta en servicio, las condiciones de ubicación y explotación, así como la composición de los medios y sistemas instalados. Esto no es solo una inventario. El pasaporte establece la estructura de datos para las pruebas posteriores y el control periódico.
La segunda dirección es la vinculación a la zona controlada (ZC). Para los locales protegidos es importante mostrar cómo está situado el local respecto a los límites de la ZC, dónde pasan las líneas de comunicación y las redes de ingeniería, qué hay dentro y qué sale fuera de la zona. Esta información es necesaria para realizar mediciones correctas, elegir medios de protección y planear el control posterior. También ayuda a identificar de antemano puntos débiles, como un "inocente" cable que sale hacia el vestíbulo del ascensor.
La tercera es la composición del equipo. Las secciones del pasaporte dividen los medios técnicos en principales y auxiliares, y además distinguen los medios de protección de la información. Para cada elemento se indica la existencia de comprobaciones especiales y, cuando corresponde, los certificados de conformidad. Esto facilita la vida no solo durante la certificación, sino también en la explotación posterior, cuando hay que entender rápidamente qué se ha cambiado, dónde realizar una comprobación extraordinaria o cómo formalizar documentalmente una modernización.
La cuarta son las propias pruebas. Según la Orden n.º 77, para los locales protegidos se prevé la evaluación de los indicadores de eficacia de la protección frente a fugas por canales técnicos mediante equipos de control, medición y ensayo. En palabras sencillas, no es una "casilla para marcar", sino mediciones reales según metodologías aprobadas. Los resultados se plasman en protocolos y servirán de base para la decisión de otorgar el certificado.
Quién tiene derecho a certificar y cuáles son los plazos
Los trabajos los realiza una organización que cuente con licencia del FSTEC para actividades de protección técnica de la información confidencial, con facultad para llevar a cabo pruebas de certificación y emitir certificados. No es una formalidad. La licencia acredita la existencia de competencias, equipos de medición y una base metodológica. Para organismos estatales existe la opción de realizar los trabajos por sus propios medios, pero solo si disponen de los recursos necesarios y con la comunicación obligatoria al FSTEC.
El procedimiento comienza cuando el propietario entrega el conjunto de documentos y el organismo certificador elabora y acuerda el programa y las metodologías de prueba. El programa incluye la inspección del local, la lista de mediciones y el calendario general. Una buena práctica en este paso es traducir de inmediato los requisitos de las metodologías a magnitudes concretas medibles y asignar responsabilidades para la recopilación de los datos iniciales. Esto ahorra semanas en intercambios de correos y visitas repetidas.
También hay plazos. El plazo para realizar los trabajos de certificación se establece de común acuerdo con el organismo certificador, pero el límite superior está fijado en cuatro meses. En el papel suena generoso, pero en la práctica el calendario se consume rápido con aprobaciones de proyectos, compra de medios de protección y acceso a las instalaciones. Por eso es mejor cerrar las dependencias críticas con antelación.
Finalmente, sobre la independencia de los expertos. Quienes implantaron el sistema de protección o diseñaron soluciones para ese mismo local no deben formar parte de la comisión certificadora. La idea es sencilla: los que construyeron no deben auditarse a sí mismos. Esto protege tanto al cliente como al ejecutor de conflictos de interés y de posteriores observaciones por parte del regulador.
Documentos y artefactos sin los cuales no se realizará la certificación
A continuación se muestra el "esqueleto" mínimo del conjunto que se necesita específicamente para el local protegido. En proyectos reales suele complementarse con reglamentos locales y descripciones de los procesos de explotación.
| Documento | Para qué sirve | Quién lo prepara |
|---|---|---|
| Pasaporte técnico del local protegido (formato oficial) | Registra el uso, la ubicación, los límites de la ZC, la composición de los medios y el sistema de control | Propietario del local |
| Programa y metodologías de las pruebas de certificación | Determinan qué medir exactamente y cómo demostrar la eficacia de la protección | Organismo certificador |
| Protocolos de mediciones y pruebas | Demuestran el cumplimiento de los requisitos y sirven de base para la decisión sobre el certificado | Organismo certificador |
| Certificado de conformidad con los requisitos de protección de la información | Confirma la autorización del local para trabajar con la información protegida durante el periodo de explotación | Organismo certificador |
| Protocolos de control periódico | Confirman el mantenimiento del nivel de protección; se envían al FSTEC al menos una vez cada dos años | Propietario del local |
El formato del pasaporte técnico está fijado en un anexo de la Orden n.º 77. Esto es importante porque elimina las "libertades creativas" y unifica el contenido. El programa y las metodologías también se estructuran de forma estricta. Allí se especifica "qué, dónde y con qué medimos", así como el plazo general y los responsables. A partir de los resultados de las pruebas se elaboran protocolos y, si todo está correcto, se expide el certificado de conformidad. A partir de ahí entran en juego la explotación y el control periódico.
Un punto aparte sobre los medios de protección de la información. Si en su caso es necesario el uso de medios certificados, el organismo certificador verificará la existencia de anotaciones en el registro estatal del FSTEC. Esto es más fácil de gestionar con antelación. El principio es sencillo: lo que no esté certificado ni confirmado en la forma establecida no puede utilizarse. El enlace al registro oficial al final del texto le ayudará a comprobar rápidamente medios concretos.
Control periódico, certificado indefinido y cuándo se necesita recertificación
El cambio principal que muchos esperaban: el certificado de conformidad se expide por todo el periodo de explotación del objeto. Suena a "hacer y olvidar", pero la Orden n.º 77 establece expresamente la obligación del propietario de mantener la seguridad y realizar controles periódicos del nivel de protección. Es decir, el certificado es indefinido, pero el trabajo conforme a él no lo es.
La frecuencia del control la determina cada organización en sus documentos de protección de la información, pero los protocolos de esas comprobaciones deben enviarse al FSTEC al menos una vez cada dos años. La falta de presentación de los protocolos es un motivo formal para suspender la validez del certificado. Hay que tenerlo en cuenta al planificar el presupuesto y los recursos del servicio de explotación. Es mejor prever un ciclo "natural" de auditorías, por ejemplo anual, que tener que recuperarlo todo en poco tiempo.
Cuándo se necesitarán trabajos adicionales. Si en el local cambian la composición de los medios, la configuración, se añaden nuevos sistemas o se sustituyen por otros similares, pueden ser necesarias pruebas adicionales de certificación. La lógica es clara: si cambian la composición y las condiciones de explotación, hay que confirmar que la protección sigue siendo eficaz. Por eso cualquier iniciativa de proyecto conviene revisarla previamente con el departamento de seguridad de la información y con el organismo certificador.
Para terminar, recuerde un principio simple: la certificación no es una "prueba final". Es un punto de medición del estado actual, tras el cual usted es responsable de mantener el nivel de protección y documentar los cambios. Con una explotación adecuada, la recertificación deja de ser una "catástrofe" y pasa a ser una acción planificada con mínimo impacto para el negocio.
Consejos prácticos y errores frecuentes
Consejo número uno. Empiece por un plan de mediciones. Tome el proyecto del programa y las metodologías, elabore la lista de mediciones y ajuste los datos iniciales para ellas. Esto impone disciplina a proveedores y contratistas. Si detecta que no existe un esquema actualizado de alimentación eléctrica y puesta a tierra, o que no hay una topología reciente de la ZC, cierre esos puntos antes de empezar las pruebas.
Consejo número dos. Acorde accesos y ventanas temporales. Las mediciones implican no solo equipos, sino también cortes, registros, conductos y, a veces, obras. Un calendario que no considere esas "minucias" casi garantiza retrasos. Es mejor debatir los puntos conflictivos por adelantado y fijarlos en un plan de trabajo separado.
Error muy habitual: "completar el pasaporte el último día". El pasaporte técnico no es un anexo para la presentación de informes, sino una herramienta de explotación. Cuanto más cuidado se ponga en mantenerlo, menos riesgos habrá en el futuro. Una práctica útil es mantener el "modelo maestro" en el sistema de gestión documental y en la instalación disponer de un resumen actual con los planes de la ZC y las anotaciones de cambios.
Otro caso frecuente: cambiaron el equipo, "temporalmente" movieron un armario, desviaron una línea y olvidaron actualizar la documentación. Luego llega la certificación y el "temporal" ya tiene tres años. En esas situaciones conviene hacer una mini-auditoría y actualizar el pasaporte de inmediato, porque de lo contrario la discusión no será sobre metodologías sino sobre hechos en el lugar.
Mini lista de verificación para la preparación de la certificación del local
- Compruebe que el organismo certificador tiene una licencia vigente del FSTEC para actividades de protección técnica de la información confidencial. Guarde la copia y los datos en el expediente.
- Reúna los datos iniciales para el programa y las metodologías: topología de la ZC, esquemas de alimentación y puesta a tierra, composición de los medios y de protección de la información, registros de comprobaciones.
- Actualice el pasaporte técnico del local protegido. Revise los esquemas y las anotaciones sobre distancias mínimas y trazados.
- Fije la logística de las mediciones. Accesos, ventanas de ingeniería, responsables en la instalación y contactos.
- Anticípe las dependencias largas: adquisición de medios certificados, configuración y puesta en servicio, aprobaciones internas.
- Implante de inmediato un ciclo de control periódico. Mejor anual y con calendario, que puntual y en modo de emergencia.
Enlaces oficiales útiles (se abrirán en una pestaña nueva):
Orden del FSTEC de Rusia n.º 77 de 29.04.2021
Decreto del Gobierno de la Federación de Rusia n.º 79 de 03.02.2012 (licenciamiento de actividades de protección técnica de la información confidencial)
Registro estatal del FSTEC (medios de protección, organismos, laboratorios)
