Оставить заявку
Заполните форму, и мы свяжемся с вами в ближайшее время
Задать вопрос Технической поддержке
Заполните форму, и мы свяжемся с вами в ближайшее время
Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС‑ПЛЮС», сервисами Яндекс.Метрика в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт
О новом методическом аппарате ФСТЭК России для оценки текущего состояния защиты информационных систем
15.12.2025
Одиннадцатого ноября 2025 г. ФСТЭК России утвердила новую версию «Методики оценки показателя состояния защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Булаев Михаил Александрович, ведущий консультант-аналитик
Методика предназначена для оценки текущего состояния защиты информации в государственных органах, органах местного самоуправления, организациях, а также субъектах КИИ, и оценки степени соответствия состояния защиты информации минимально необходимому уровню защиты информации от типовых угроз безопасности информации. В том числе методика будет использоваться ФСТЭК России для мониторинга в пределах своей компетенции текущего состояния защиты информации и обеспечения безопасности значимых объектов КИИ.
В качестве минимально необходимого уровня защиты информации (обеспечения безопасности значимых объектов КИИ) в Методике задан состав мер, реализация которых предусмотрена нормативными правовыми актами Российской Федерации, и который минимально достаточен для блокирования (нейтрализации) типовых актуальных угроз безопасности информации, реализуемых нарушителями с базовыми возможностями.
Такими нормативными правовыми актами являются:
Такими нормативными правовыми актами являются:
- Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11 апреля 2025 г. № 117;
- Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. № 31;
- Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239;
- Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. № 31;
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21.
В качестве показателя, характеризующего текущее состояние защиты информации, используется показатель текущего состояния защищенности КЗИ.
Оценка показателя защищенности КЗИ включает:
а) сбор и анализ исходных данных, необходимых для оценки показателя КЗИ;
б) оценку значений частных показателей безопасности kji;
в) расчет значения показателя КЗИ и его сравнение с нормированным значением.
Оценка показателя защищенности КЗИ включает:
а) сбор и анализ исходных данных, необходимых для оценки показателя КЗИ;
б) оценку значений частных показателей безопасности kji;
в) расчет значения показателя КЗИ и его сравнение с нормированным значением.
К частным показателям kji относятся 16 показателей, включенных в 4 группы:
- организация и управление;
- защита пользователей;
- защита информационных систем;
- мониторинг информационной безопасности и реагирование.
К исходным данным, необходимым для оценки частных показателей kji, относятся
следующие данные:
1. Документы, регламентирующие обязанности должностных лиц и порядок реализации мер защиты:
следующие данные:
1. Документы, регламентирующие обязанности должностных лиц и порядок реализации мер защиты:
- приказ (распоряжение) или иной организационно-распорядительный документ о назначении одного из заместителей руководителя ответственным за организацию работ по информационной безопасности органа (организации);
- должностной регламент (инструкция) или иной документ, определяющий должностные обязанности (трудовые функции) по обеспечению информационной безопасности органа (организации) заместителя руководителя органа (организации), ответственного за организацию работ по информационной безопасности;
- положение (иной документ) о структурном подразделении по обеспечению информационной безопасности или о возложении обязанностей по обеспечению информационной безопасности органа (организации) на отдельных работников, содержащее обязанности (трудовые функции) по обеспечению информационной безопасности структурного подразделения или отдельных работников органа (организации);
- договор (или иной документ), на основании которого привлекаемые подрядные организации имеют доступ к информационным системам, содержащий требования по реализации в инфраструктуре подрядчика мер по защите информации. (Предоставляется в случае привлечения подрядных организаций).
- документ, определяющий парольную политику организации, содержащий требования к длине, периодичности смены и содержанию паролей учетных записей пользователей информационных систем;
- документ, содержащий требования о необходимости удаления (отключения) учетных записей работников органа (организации) и работников, привлекаемых на договорной основе, с которыми прекращены трудовые или иные отношения.
- копия договора (выписки) с оператором связи (иной организацией), в который включены работы по очистке входящего из сети «Интернет» трафика на уровне L3/L4 (при наличии);
- документ, определяющий порядок реагирования на компьютерные инциденты.
- отчет, сформированный средством анализа защищенности или иным инструментальным средством, позволяющим выявить:
- пароли, не соответствующие установленным требованиям;
- пароли учетных записей пользователей, установленные по умолчанию;
- отчёт, сформированный средством анализа защищенности, содержащий результаты сканирования устройств и интерфейсов, доступных из сети «Интернет», на наличие уязвимостей уровня «критический» (с датой сканирования не ранее 30 дней даты проведения оценки);
- отчёт, сформированный средством анализа защищенности, содержащий результаты сканирования пользовательских устройств и серверов органа (организации) на наличие уязвимостей уровня «критический»;
- отчёт, сформированный средством антивирусной защиты, используемом для защиты электронной почты, содержащий сведения о количестве устройств, на которых функционируют средства антивирусной защиты, обеспечивающие проверку вложений в электронных письмах электронной почты на наличие вредоносного программного обеспечения;
- отчёт, сформированный системой (средством) мониторинга информационной безопасности, содержащий сведения о зарегистрированных ранее событиях информационной безопасности.
Устанавливаются следующие критерии оценки рассчитанной величины интегрального показателя КЗИ:
Значение КЗИ | Текущее состояние защиты информации |
КЗИ=1 | Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как минимальный базовый («зеленый») |
0,75<КЗИ<1 | Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как низкий («оранжевый») |
КЗИ≤0,75 | Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как критический («красный») |
Оценка показателя защищенности КЗИ проводится в отношении всех информационных систем, подлежащих защите в соответствии с нормативными правовыми актами Российской Федерации.
Такая оценка может проводиться на основе результатов внутреннего контроля или внешней оценки соответствия (аудита безопасности), мониторинга информационной безопасности, оценки защищенности и (или) аттестации информационных систем, иных мероприятий по изучению и контролю уровня защищенности информации.
Пока сложно прогнозировать, как этот методический аппарат будет применяться на практике, однако полезно обратить внимание на то, что при оценке защищённости ИС регулятор делает акцент на получение объективных свидетельств состояния защищённости информационных систем с помощью инструментальных средств контроля.
Такая оценка может проводиться на основе результатов внутреннего контроля или внешней оценки соответствия (аудита безопасности), мониторинга информационной безопасности, оценки защищенности и (или) аттестации информационных систем, иных мероприятий по изучению и контролю уровня защищенности информации.
Пока сложно прогнозировать, как этот методический аппарат будет применяться на практике, однако полезно обратить внимание на то, что при оценке защищённости ИС регулятор делает акцент на получение объективных свидетельств состояния защищённости информационных систем с помощью инструментальных средств контроля.