"Методический документ "Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"

Утвержден

ФСТЭК России

11 ноября 2025 г.

МЕТОДИЧЕСКИЙ ДОКУМЕНТ

МЕТОДИКА

ОЦЕНКИ ПОКАЗАТЕЛЯ СОСТОЯНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ

ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

I. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее - Методика) разработана в соответствии с подпунктами 4 и 6.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

2. Настоящая Методика определяет показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну (далее - защита информации), содержащейся в информационных системах, и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее - обеспечение безопасности значимых объектов КИИ), его нормированное значение, а также порядок его расчета.

3. Настоящая Методика применяется для оценки текущего состояния защиты информации (обеспечения безопасности значимых объектов КИИ) в государственных органах, органах местного самоуправления, организациях, а также субъектах критической информационной инфраструктуры (далее - органы (организации), и степени его соответствия минимально необходимому уровню защиты информации (обеспечения безопасности значимых объектов КИИ) от типовых актуальных угроз безопасности информации.

В качестве минимально необходимого уровня защиты информации (обеспечения безопасности значимых объектов КИИ) задан состав мер, реализация которых предусмотрена нормативными правовыми актами Российской Федерации <1>, и который минимально достаточен для блокирования (нейтрализации) типовых актуальных угроз безопасности информации, реализуемых нарушителями с базовыми возможностями <2>.

--------------------------------

<1> Требования о защите информации, содержащейся и государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11 апреля 2025 г. N 117.

Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. N 31.

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. N 239.

Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. N 31.

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21.

<2> Методика оценки угроз безопасности информации, утвержденная ФСТЭК России 5 февраля 2021 г.

4. Несоответствие значения показателя, характеризующего текущее состояние защиты информации (обеспечения безопасности значимых объектов КИИ), установленному в соответствии с настоящей Методикой нормированному значению указывает на наличие в органе (организации) возможности реализации нарушителями с базовыми возможностями актуальных угроз безопасности информации или предпосылок для их реализации.

5. Настоящая Методика применяется:

а) ФСТЭК России - для мониторинга в пределах своей компетенции текущего состояния защиты информации и обеспечения безопасности значимых объектов КИИ в органах (организациях);

б) органом (организацией) - для оценки текущего состояния защиты информации и (или) обеспечения безопасности значимых объектов КИИ и разработки на основе такой оценки мер по повышению уровня защищенности, а также оценки эффективности деятельности заместителя руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности органа (организации), и (или) структурного подразделения, осуществляющего функции по обеспечению информационной безопасности органа (организации) <3>.

--------------------------------

<3> Указ Президента Российской Федерации от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".

6. Методика не применяется для оценки деятельности в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

7. В связи с утверждением настоящей Методики не применяется для оценки текущего состояния защиты информации (обеспечения безопасности значимых объектов КИИ) в органе (организации) и степени его соответствия минимально необходимому уровню защиты информации (обеспечения безопасности значимых объектов КИИ) от типовых актуальных угроз безопасности информации Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденная ФСТЭК России 2 мая 2024 г.

II. ПОКАЗАТЕЛЬ ЗАЩИЩЕННОСТИ И ЕГО НОРМИРОВАННОЕ ЗНАЧЕНИЕ

8. В качестве показателя, характеризующего текущее состояние защиты информации (обеспечения безопасности значимых объектов КИИ) в органе (организации), используется показатель текущего состояния защищенности КЗИ (далее - показатель защищенности КЗИ, показатель КЗИ).

Показатель КЗИ характеризует степень достижения органом (организацией) минимально необходимого уровня защиты информации (обеспечения безопасности значимых объектов КИИ) от типовых актуальных угроз безопасности информации во временном интервале оценивания и заданных условиях эксплуатации информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей, иных объектов информатизации.

9. Информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, иные объекты информатизации и содержащаяся в них информация (далее - информационные системы) органа (организации) имеют минимальный уровень защищенности от типовых актуальных угроз безопасности информации, если значение показателя КЗИ соответствует нормированному значению:

КЗИ = 1.

10. Полученное в соответствии с настоящей Методикой значение показателя защищенности КЗИ, а также значения частных показателей защищенности является критерием принятия в органе (организации) управленческих решений в части необходимости реализации первоочередных мер по защите информации (обеспечению безопасности значимых объектов КИИ) от актуальных угроз безопасности информации и их приоритетности.

III. ПОРЯДОК ОЦЕНКИ ПОКАЗАТЕЛЯ ЗАЩИЩЕННОСТИ

11. Оценка показателя защищенности КЗИ включает:

а) сбор и анализ исходных данных, необходимых для оценки показателя КЗИ;

б) оценку значений частных показателей безопасности kji;

в) расчет значения показателя КЗИ и его сравнение с нормированным значением.

12. Оценка показателя КЗИ проводится не реже одного раза в шесть месяцев. Периодичность и порядок проведения оценки показателя КЗИ устанавливается органом (организацией) во внутренних регламентах.

13. Оценка показателя защищенности КЗИ проводится в отношении всех информационных систем, подлежащих защите в соответствии с нормативными правовыми актами Российской Федерации. Включение в область оценки иных информационных систем органа (организации) осуществляется по решению руководителя (ответственного заместителя руководителя) органа (организации).

В случае если информационные системы органа (организации) функционируют на базе информационно-телекоммуникационной инфраструктуры, данная информационно-телекоммуникационная инфраструктура включается в область оценки показателя защищенности КЗИ.

14. В органе (организации) оценка показателя КЗИ организуется заместителем руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности органа (организации), и проводится структурным подразделением, специалистами по защите, осуществляющими функции по обеспечению информационной безопасности органа (организации). Указанная оценка может проводиться на основе результатов внутреннего контроля или внешней оценки соответствия (аудита безопасности), мониторинга информационной безопасности, оценки защищенности и (или) аттестации информационных систем, иных мероприятий по изучению и контролю уровня защищенности информации.

15. О полученном по результатам расчета значении показателя КЗИ, не соответствующем нормированному значению, информируется руководитель органа (организации) для принятия решения о необходимости совершенствования (улучшения) принимаемых в органе (организации) мер по защите информации (обеспечению безопасности значимых объектов КИИ).

16. Результаты оценки показателя защищенности КЗИ предоставляются органом (организацией) в ФСТЭК России в целях оценки текущего состояния защиты информации и обеспечения безопасности значимых объектов КИИ в соответствии с подпунктом 6.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. ФСТЭК России могут быть запрошены документы и материалы, используемые для оценки показателя защищенности КЗИ, подтверждающие получение представленных результатов оценки.

Подтверждающие документы и материалы, на основании которых показателю присваивается значение из таблицы N 1 Методики и подлежащие направлению в ФСТЭК России, приведены в приложении N 1 к настоящей Методике.

ФСТЭК России принимаются меры по обеспечению конфиденциальности информации, представляемой органами (организациями).

17. ФСТЭК России проводится анализ поступивших результатов оценки показателя КЗИ и (или) исходных данных, используемых для его оценки, осуществляется верификация результатов его расчета и делается вывод о текущем состоянии защиты информации и (или) обеспечения безопасности значимых объектов КИИ в органе (организации).

В случае если по запросу ФСТЭК России органом (организацией) материалы (часть материалов), используемые для оценки частных показателей, в течение 30 дней не представлены, показателю КЗИ и (или) соответствующим частным показателям безопасности kji присваивается значение 0.

Значение показателя КЗИ органа (организации) может быть уточнено ФСТЭК России в соответствии с выводами о достаточности принимаемых мер по защите информации (обеспечению безопасности значимых объектов КИИ), сделанными по результатам государственного контроля, проведенного в пределах ее полномочий, контроля уровня защищенности, мониторинга информационной безопасности и (или) на основе результатов анализа документов, иных материалов, предоставленных по запросу ФСТЭК России органом (организацией).

О значении показателя защищенности КЗИ, определенном ФСТЭК России, в случае его несоответствия нормированному значению информируется орган (организация).

18. В случае если значение показателя защищенности КЗИ не соответствует нормированному значению, в органе (организации) на основе полученных значений частных показателей kji определяются меры по защите информации (обеспечению безопасности значимых объектов КИИ), которые не реализованы или реализация которых не обеспечивает защиту от типовых актуальных угроз безопасности информации, и приоритетность их реализации, а также планируются мероприятия по реализации (совершенствованию) мер в соответствии с установленными целями по обеспечению защиты информации (обеспечению безопасности значимых объектов КИИ).

19. Внеочередная оценка показателя защищенности КЗИ проводится в органе (организации) в случаях:

а) возникновения инцидента информационной безопасности, повлекшего наступление негативных последствий (возникновение значимого инцидента);

б) развития (изменения) архитектуры информационных систем;

в) запроса руководителя органа (организации) о текущем значении показателя защищенности КЗИ;

г) запроса ФСТЭК России.

IV. СБОР И АНАЛИЗ ИСХОДНЫХ ДАННЫХ, НЕОБХОДИМЫХ ДЛЯ ОЦЕНКИ

ПОКАЗАТЕЛЯ ЗАЩИЩЕННОСТИ

20. Исходными данными, необходимыми для оценки показателя защищенности КЗИ (далее - исходные данные), могут являться:

а) акты, протоколы, иные документы, составленные по результатам государственного контроля в области защиты информации (обеспечения безопасности значимых объектов КИИ);

б) отчеты, протоколы, иные документы, составленные по результатам внутреннего контроля уровня защищенности информации (обеспечения безопасности значимых объектов КИИ);

в) отчеты, составленные по результатам внешней оценки соответствия в области защиты информации (обеспечения безопасности значимых объектов КИИ), в том числе отчеты по результатам испытаний системы защиты методами тестирования на проникновение, учений, тренировок в области защиты информации;

г) внутренние организационно-распорядительные документы, регламентирующие организацию защиты информации (обеспечение безопасности значимых объектов КИИ) в органе (организации);

д) эксплуатационная документация на средства защиты информации, содержащая сведения об их настройках и конфигурации;

е) результаты проведения инвентаризации информационных систем;

ж) результаты опроса (интервьюирования) работников органа (организации) о выполнении ими функций (задач) с использованием информационных систем и (или) по обеспечению информационной безопасности;

з) результаты анализа функционирования (применения) отдельных программных, программно-аппаратных средств информационных систем органа (организации);

и) результаты работы инструментальных средств оценки (анализа) защищенности информационных систем и (или) мониторинга информационной безопасности.

21. Для сбора и анализа исходных данных назначаются наиболее подготовленные специалисты из состава структурного подразделения, осуществляющего функции по обеспечению информационной безопасности органа (организации) (далее - специалисты по сбору и анализу исходных данных). Рекомендуется назначать специалистов, обладающих следующими компетенциями:

а) знание целей, задач, основ организации защиты информации (обеспечения безопасности значимых объектов КИИ);

б) знание состава и содержания организационно-распорядительных документов по вопросам защиты информации (обеспечения безопасности значимых объектов КИИ);

в) знание процессов организации защиты информации (обеспечения безопасности значимых объектов КИИ) и умение их внедрять;

г) знание основных методов и способов защиты информации (обеспечения безопасности значимых объектов КИИ) и умение их практически реализовывать.

По решению заместителя руководителя органа (организации), ответственного за обеспечение информационной безопасности, для сбора и анализа исходных данных могут привлекаться специалисты из других структурных подразделений, обладающие необходимыми компетенциями.

22. Специалисты по сбору и анализу исходных данных не должны проводить оценку материалов, характеризующих (демонстрирующих, подтверждающих) результаты реализации ими собственных функций и (или) задач.

23. Порядок назначения специалистов по сбору и анализу исходных данных, сроков сбора и анализа исходных данных определяется органом (организацией) во внутренних регламентах с учетом положений настоящей Методики.

24. Специалисты по сбору и анализу исходных данных:

а) запрашивают в структурных подразделениях (филиалах, представительствах) органа (организации) требуемые для анализа документы и материалы;

б) проводят опросы (интервьюирование) работников органа (организации) о выполнении ими функций с использованием информационных систем и (или) по обеспечению информационной безопасности;

в) осуществляют анализ функционирования отдельных программных, программно-аппаратных средств в информационных системах, в том числе средств защиты информации, средств инвентаризации информационных систем, инструментальных средств оценки защищенности и (или) мониторинга информационной безопасности.

Подразделения и специалисты органа (организации), привлекаемые для сбора исходных данных, оказывают содействие и принимают исчерпывающие меры для предоставления документов и материалов, требуемых для анализа.

В случае непредставления структурным подразделением и привлекаемыми специалистами органа (организации) запрошенных для проведения оценки документов и материалов соответствующим частным показателям безопасности kji присваивается значение 0.

25. Результаты проведения опроса (интервьюирования) работников органа (организации) о составе и порядке реализации ими функций (задач) в информационных системах и (или) обеспечении информационной безопасности подлежат документированию в виде и в форме, определяемыми органом (организацией).

26. Собранные исходные данные подлежат анализу специалистами по сбору и анализу исходных данных с целью формирования выводов о реализации в органе (организации) мероприятий (процессов) по защите информации (обеспечению безопасности значимых объектов КИИ), о достаточности принимаемых мер по защите информации (обеспечению безопасности значимых объектов КИИ). По результатам анализа исходных данных специалисты формируют выводы о реализации мер, соответствующих частным показателям безопасности kji.

27. Полученные результаты расчета значений показателя защищенности КЗИ подлежат документированию в виде и по форме, определяемой органом (организацией), и направляются в ФСТЭК России.

V. ОПРЕДЕЛЕНИЕ ЗНАЧЕНИЙ ЧАСТНЫХ ПОКАЗАТЕЛЕЙ БЕЗОПАСНОСТИ

28. Для оценки показателя защищенности КЗИ определяются значения частных показателей безопасности kji, где j - номер группы частных показателей безопасности, i - номер частного показателя в соответствующей группе показателей безопасности.

Частные показатели безопасности kji характеризуют реализацию в органе (организации) отдельных мер по защите информации (обеспечению безопасности значимых объектов КИИ) от актуальных угроз безопасности информации, а также их соответствие целям обеспечения безопасности в органе (организации).

29. Определение значений частных показателей безопасности kji осуществляется специалистами, проводившими сбор и анализ исходных данных.

30. Перечень используемых частных показателей безопасности kji, их наименования и максимальные значения приведены в таблице 1.

31. Частные показатели безопасности kji определяются для всех информационных систем, подлежащих защите в соответствии с нормативными правовыми актами Российской Федерации, находящихся в распоряжении органа (организации).

В случае если в информационной инфраструктуре органа (организации) функционирует несколько информационных систем, подлежащих защите в соответствии с нормативными правовыми актами Российской Федерации, и по результатам расчета для указанных систем получены различные значения по одной и той же группе частных показателей, то при расчете показателя защищенности КЗИ необходимо учитывать минимальное значение частных показателей.

32. Определение значений частных показателей безопасности kji предусматривает присвоение им значений на основе результатов анализа материалов, подтверждающих выводы о достаточности реализованных мер по защите информации (обеспечению безопасности значимых объектов КИИ) для блокирования (нейтрализации) актуальных угроз безопасности информации.

33. Если по результатам проведенного анализа материалов сделаны выводы, что меры по защите информации (обеспечению безопасности значимых объектов КИИ) в органе (организации) реализованы, соответствующему частному показателю присваивается значение, установленное для него в таблице 1.

Если по результатам проведенного анализа материалов сделаны выводы, что соответствующая мера не реализована или реализована неэффективно (не в полном объеме), соответствующему частному показателю присваивается значение 0.

Таблица 1

Номер группы показателей (j)

Наименование групп показателей

Номер (i) и наименование показателя безопасности

Значение частного показателя (kji)

Значение весового коэффициента группы показателей (Rj)

1.

Организация и управление

1. На заместителя руководителя органа (организации) возложены <4> полномочия ответственного лица за обеспечение информационной безопасности органа (организации) и определены его обязанности

0,30

0,10

2. Определены функции (обязанности) структурного подразделения (или отдельных работников), ответственного за обеспечение информационной безопасности органа (организации)

0,40

3. К подрядным организациям, имеющим доступ к информационным системам с привилегированными правами, в договорах установлены требования о реализации мер по защите от угроз через информационную инфраструктуру подрядчика <5>

0,30

2.

Защита пользователей

1. Отсутствуют учетные записи с паролем, сложность которого не соответствует установленным требованиям к парольной политике. В случае отсутствия технической возможности обеспечения требуемой сложности паролей реализованы компенсирующие меры

0,30

0,25

2. Реализована многофакторная аутентификация привилегированных пользователей (при аутентификации не менее 50% администраторов, разработчиков или иных привилегированных пользователей используется второй фактор) <6>

0,30

3. Отсутствуют учетные записи разработчиков и сервисные учетные записи с паролями, установленными ими по умолчанию

0,20

4. Отсутствуют активные учетные записи работников органа (организации) и работников, привлекаемых на договорной основе, с которыми прекращены трудовые или иные отношения

0,20

3.

Защита информационных систем

1. На сетевом периметре информационных систем установлены межсетевые экраны уровня L3/L4 (доступ к 100% интерфейсов, доступных из сети Интернет <7>, контролируется межсетевыми экранами уровня L3/L4)

0,20

0,35

2. На устройствах и интерфейсах, доступных из сети Интернет, отсутствуют уязвимости критического уровня опасности с датой публикации обновлений (компенсирующих мер по устранению) в банке данных угроз ФСТЭК России, на официальных сайтах разработчиков, иных открытых источниках более 30 дней или в отношении таких уязвимостей реализованы компенсирующие меры

0,25

3. На пользовательских устройствах и серверах отсутствуют уязвимости критического уровня с датой публикации обновления (компенсирующих мер по устранению) более 90 дней (не менее 90% устройств и серверов) или в отношении таких уязвимостей реализованы компенсирующие меры

0,15

4. Обеспечена проверка вложений в электронных письмах электронной почты <8> на наличие вредоносного программного обеспечения (проверяются вложения не менее чем на 80% пользовательских устройств)

0,15

5. Обеспечено централизованное управление средствами антивирусной защиты <9> (не менее чем 80% пользовательских устройств и серверов <10> контролируются средствами антивирусной защиты с централизованным управлением). При этом обеспечены контроль и установка обновлений баз данных признаков вредоносного программного обеспечения не реже чем 1 раз в месяц

0,15

6. Реализована очистка входящего из сети Интернет сетевого трафика от компьютерных атак, направленных на отказ в обслуживании, на уровне <11> L3/L4 (заключен договор с провайдером)

0,10

4.

Мониторинг информационной безопасности и реагирование

1. Реализован централизованный сбор событий безопасности и оповещение о неудачных попытках входа для привилегированных учетных записей

0,40

0,30

2. Реализован централизованный сбор и анализ событий безопасности на всех устройствах, взаимодействующих с сетью Интернет

0,35

3. Утвержден документ, определяющий порядок реагирования на компьютерные инциденты

0,25

--------------------------------

<4> Возложение полномочий и (или) определение структурного подразделения (работников) в органе (организации) подтверждается изданием соответствующего локального правового акта.

<5> В случае если подрядные организации не привлекаются, частному показателю безопасности k13 присваивается значение из таблицы 1.

<6> В случае отсутствия технической возможности реализации в информационной системе или в технических средствах двухфакторной аутентификации соответствующему показателю безопасности присваивается значение из таблицы 1.

<7> В случае отсутствия в информационных системах устройств, интерфейсов, взаимодействующих с сетью Интернет, соответствующим показателям безопасности присваиваются значения из таблицы 1.

<8> В случае если в информационных системах органа (организации) не используется электронная почта, частному показателю безопасности k35 присваиваются значение из таблицы 1.

<9> Если в органе (организации) используются автономные рабочие места, на них должны быть установлены автономные средства антивирусной защиты (тип "Г"). В этом случае частному показателю безопасности k36 присваивается значение из таблицы 1.

<10> Если информационные системы содержат пользовательские устройства, в которых конструктивно отсутствуют интерфейсы для возможного внедрения вредоносного программного обеспечения, частному показателю безопасности k36 присваивается значение из таблицы 1.

<11> Если в информационных системах отсутствуют веб-сайт или иные сервисы, подверженные DDos-атакам, частному показателю безопасности k37 присваивается значение из таблицы 1.

В случае если в результате проведения мероприятий по выявлению недостатков (уязвимостей) сайта и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, мероприятий по испытанию систем защиты информации информационных систем методами тестирования на проникновение, учений, тренировок в области защиты информации получен первоначальный доступ к информационной системе с использованием учетных записей пользователей такой системы, для 2 группы показателей весовому коэффициенту R2 присваивается значение 0. В случае если первоначальный доступ к информационной системе получен с использованием уязвимостей программного и программно-аппаратного обеспечения для 3 группы показателей весовому коэффициенту R3 присваивается значение 0. В случае если в результате реализации указанных ранее мероприятий достигнуты конкретные цели по выявлению недостатков (уязвимостей) информационной системы, тестированию на проникновения, учений, тренировок, а также подтверждена возможность реализации недопустимых событий, для 2 и 3 группы показателей весовым коэффициентам R2 и R3 присваивается значение 0.

VI. РАСЧЕТ ПОКАЗАТЕЛЯ ЗАЩИЩЕННОСТИ И ЕГО СРАВНЕНИЕ

С НОРМИРОВАННЫМ ЗНАЧЕНИЕМ

34. Расчет показателя защищенности КЗИ осуществляется по следующей формуле:

КЗИ = (k11 + k12 + k13) R1 + (k21 + k22 + ... + k2i) R2 +

+ (k31 + k32 + ... + k3i) R3 + (k41 + k42 + ... + k4i) R4,

где Rj - весовой коэффициент j-й группы частных показателей безопасности, определяемый в соответствии с таблицей 1.

35. Если при очередном расчете показателя защищенности КЗИ фиксируется повторное (в течении 12 месяцев) невыполнение мер, предусмотренных частным показателем безопасности kji, и данному показателю безопасности повторно присвоено значение 0, то весовому коэффициенту этой группы показателей Rj присваивается значение 0 (обнуляется вся группа показателей).

36. Рассчитанный в соответствии с пунктом 34 показатель защищенности КЗИ сравнивается с нормированным значением. На основе результатов сравнения формируются выводы (таблица 2) о текущем состоянии защиты информации (обеспечения безопасности значимых объектов КИИ) в органе (организации).

Таблица 2

Значение

КЗИ

Текущее состояние защиты информации

(обеспечения безопасности значимых объектов КИИ)

КЗИ = 1

Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как минимальный базовый ("зеленый")

0,75 < КЗИ < 1

Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как низкий ("оранжевый")

КЗИ 0,75

Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как критический ("красный")

37. В случае если по результатам расчета получено значение показателя защищенности КЗИ, характеризующее текущее состояние защищенности в органе (организации) как низкое ("оранжевый") или критическое ("красный"), разрабатывается план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз. Срок реализации мероприятий, определенных в плане, не должен превышать срок до проведения следующей плановой оценки показателя КЗИ.

Приложение N 1

к Методике

ДОКУМЕНТЫ И МАТЕРИАЛЫ,

ПОДТВЕРЖДАЮЩИЕ РЕЗУЛЬТАТЫ РАСЧЕТА ЗНАЧЕНИЙ ПОКАЗАТЕЛЯ

ЗАЩИЩЕННОСТИ КЗИ

N п/п

Частный показатель безопасности

Подтверждающие документы и материалы, на основании которых показателю присваивается значение из таблицы N 1 Методики

Необходимость представления документов

1

k11

1. Утвержденный руководителем или иным уполномоченным лицом органа (организации) приказ (распоряжение) или иной организационно-распорядительный документ (далее - ОРД) о назначении одного из заместителей руководителя ответственным за организацию работ по информационной безопасности органа (организации).

Представляется по запросу

2. Должностной регламент (инструкция) или иной документ, определяющий должностные обязанности (трудовые функции) по обеспечению информационной безопасности органа (организации) заместителя руководителя органа (организации), ответственного за организацию работ по информационной безопасности

Представляется по запросу

2

k12

Утвержденное руководителем или иным уполномоченным лицом органа (организации) положение (иной ОРД) о структурном подразделении по обеспечению информационной безопасности или о возложении обязанностей по обеспечению информационной безопасности органа (организации) на отдельных работников, содержащее обязанности (трудовые функции) по обеспечению информационной безопасности структурного подразделения или отдельных работников органа (организации)

Представляется по запросу

3

k13

Договор (контракт, выписка, техническое задание или иной документ), на основании которого привлекаемые подрядные организации (при их наличии) имеют доступ к информационным системам органа (организации), содержащий требования по реализации в инфраструктуре подрядчика мер по защите информации

Представляется по запросу

4

k21

1. Утвержденный руководителем или иным уполномоченным лицом органа (организации) ОРД, определяющий парольную политику органа (организации), содержащий требования к длине, периодичности смены и содержанию паролей учетных записей пользователей информационных систем (пароль должен содержать не менее 12 символов, буквы верхнего и нижнего регистра (А - Я, A - Z, а - я, a - z), специальные символы (!, ", N, %, *, /), в пароле не должно быть персонифицированной информации (имен, адресов, даты рождения, телефонов).

Представляется по запросу

2. Снимок экрана, отображающий установленные на средстве реализации парольной политики настройки для паролей учетных записей пользователей информационных систем органа (организации), подтверждающий соответствие настроек паролей учетных записей пользователей информационных систем органа (организации) парольной политике.

Представляется с результатами оценки

3. Отчет, сформированный средством анализа защищенности или иным инструментальным средством, позволяющим выявить пароли, не соответствующие установленным требованиям (например, сетевой аудит паролей в Сканер-ВС, MaxPatrol VM, RedCheck).

Представляется с результатами оценки

В случае отсутствия технической возможности выполнения требований к паролям подтверждающим документом является перечень реализованных в информационной системе компенсирующих мер, и материалы, подтверждающие их реализацию <12>

5

k22

1. Сведения о программном, программно-аппаратном средстве (снимок экрана панели управления средства), с использованием которого осуществляется многофакторная аутентификация привилегированных пользователей органа (организации).

Представляется с результатами оценки

2. Сведения о количестве привилегированных пользователей (которые осуществляют удаленное подключение) информационной системы органа (организации), а также о количестве привилегированных пользователей, в отношении которых реализована многофакторная аутентификация.

Представляется по запросу

В случае отсутствия технической возможности использования второго фактора аутентификации подтверждающим документом является перечень реализованных компенсирующих мер и материалы, подтверждающие их реализацию <12>

6

k23

1. Снимок экрана, отображающий установленные на средстве реализации парольной защиты (политики) настройки сброса пароля после первой аутентификации для используемых в информационной системе сервисных учетных записей и учетных записей разработчиков.

Представляется с результатами оценки

2. Отчет, сформированный средством анализа защищенности или иным инструментальным средством, позволяющим выявить установленные по умолчанию пароли учетных записей пользователей (например, сетевой аудит паролей в Сканер-ВС, MaxPatrol VM, RedCheck)

Представляется с результатами оценки

7

k24

Утвержденный руководителем или иным уполномоченным лицом органа (организации) ОРД, содержащий требования о необходимости удаления (отключения) учетных записей работников органа (организации) и работников, привлекаемых на договорной основе, с которыми прекращены трудовые или иные отношения

Представляется по запросу

8

k31

1. Перечень интерфейсов (IP-адреса, доменные имена, физические интерфейсы (порты)), доступных из сети "Интернет".

Представляется по запросу

2. Сведения о применяемых средствах межсетевого экранирования уровня L3/L4 и снимки экрана панели управления средств межсетевого экранирования, содержащие настройки правил доступа к сервисам (службам), доступным из сети "Интернет".

Представляется с результатами оценки

В случае отсутствия в информационной системе сервисов (служб), доступных из сети "Интернет" (отсутствие взаимодействия с сетью "Интернет"), подтверждающим документом являются сведения об их отсутствии <13>

9

k32

1. Сведения о количестве устройств и перечень интерфейсов органа (организации), доступных из сети "Интернет".

Представляется по запросу

2. Отчет, сформированный средством анализа защищенности, содержащий результаты сканирования устройств и интерфейсов, доступных из сети "Интернет", на наличие уязвимостей уровня "критический" (с датой сканирования не ранее 30 дней даты проведения оценки).

Представляется с результатами оценки

3. Перечень реализованных компенсирующих мер, в случае отсутствия технической возможности устранения уязвимостей уровня "критический", и материалы, подтверждающие их реализацию

Представляется по запросу

10

k33

1. Сведения о количестве пользовательских устройств и серверов органа (организации).

Представляется по запросу

2. Отчет, сформированный средством анализа защищенности, содержащий результаты сканирования пользовательских устройств и серверов органа (организации) на наличие уязвимостей уровня "критический".

Представляется с результатами оценки

3. Перечень реализованных компенсирующих мер, в случае отсутствия технической возможности устранения уязвимостей уровня "критический", и материалы, подтверждающие их реализацию

Представляется по запросу

11

k34

1. Сведения, содержащие общее количество автоматизированных рабочих мест и количество автоматизированных рабочих мест, на которых осуществляется проверка почтовых вложений средствами антивирусной защиты.

Представляется по запросу

2. Сведения о применяемых средствах антивирусной защиты (снимок экрана панели управления средством).

Представляется с результатами оценки

3. Отчет, сформированный средством антивирусной защиты, используемым для защиты электронной почты, содержащий сведения о количестве устройств, на которых функционируют средства антивирусной защиты, обеспечивающие проверку вложений в электронных письмах электронной почты на наличие вредоносного программного обеспечения.

Представляется по запросу

В случае отсутствия электронной почты в информационных системах подтверждающим документом являются сведения о ее отсутствии <14>

12

k35

1. Сведения, содержащие общее количество автоматизированных рабочих мест, функционирующих в органе (организации).

Представляется по запросу

2. Снимок экрана страницы настройки средства централизованного управления антивирусной защиты информации, отображающий количество автоматизированных рабочих мест, которые находятся под его управлением.

Представляется с результатами оценки

3. Отчет, сформированный средством централизованного управления антивирусной защиты информации, содержащий:

дату последнего обновлений средств антивирусной защиты на каждом объекте защиты (на автоматизированных рабочих местах, серверах, мобильных устройствах, подключенных к средству централизованного управления антивирусной защиты);

дату последней проверки на автоматизированных рабочих местах, серверах, мобильных устройствах, подключенных к средству централизованного управления антивирусной защиты

Представляется по запросу

13

k36

Копия договора (выписки) с оператором связи (иной организацией), в который включены работы по очистке входящего из сети "Интернет" трафика на уровне L3/L4.

Представляется с результатами оценки

В случае самостоятельной блокировки органом (организацией) входящего сетевого трафика подтверждающим документом являются сведения о применяемых в органе (организации) методах и средствах защиты от атак типа "отказ в обслуживании". <15>

В случае отсутствия веб-сайтов, служб или иных сервисов, доступных из сети "Интернет" и подлежащих защите, подтверждающим документом являются сведения, предусмотренные для показателя k35 <15>

14

k41

1. Сведения о количестве привилегированных учетных записей пользователей органа (организации), и перечень событий информационной безопасности, в отношении которых осуществляется сбор информации.

Представляется по запросу

2. Снимок экрана с вкладки настроек системы (средства) мониторинга информационной безопасности, отображающий установленные настройки оповещения о неудачных попытках входа для всех привилегированных учетных записей.

Представляется с результатами оценки

3. Отчет, сформированный системой (средством) мониторинга информационной безопасности, содержащий сведения о зарегистрированных ранее событиях информационной безопасности

Представляется по запросу

15

k42

1. Перечень регистрируемых событий информационной безопасности и сведения о количестве автоматизированных рабочих мест, с которых осуществляется доступ в сеть "Интернет".

Представляется по запросу

2. Снимок экрана с вкладки настроек системы (средства) мониторинга информационной безопасности, отображающий количество автоматизированных рабочих мест, с которых осуществляется централизованный сбор событий безопасности.

Представляется с результатами оценки

3. Отчет, сформированный системой (средством) мониторинга информационной безопасности, содержащий сведения о зарегистрированных ранее событиях информационной безопасности

Представляется по запросу

16

k43

Утвержденный руководителем или иным уполномоченным лицом органа (организации) ОРД, определяющий порядок реагирования на компьютерные инциденты <16>

Представляется по запросу

--------------------------------

<12> Форма представления подтверждающего документа определяется органом (организацией) самостоятельно.

<13> Форма представления подтверждающего документа определяется органом (организацией) самостоятельно.

<14> Форма представления подтверждающего документа определяется органом (организацией) самостоятельно.

<15> Форма представления подтверждающего документа определяется органом (организацией) самостоятельно.

<16> Представляется в ФСТЭК России при первичной оценке. В случае отсутствия указанного документа на момент проведения оценки и представления результатов оценки по показателю КЗИ в ФСТЭК России с нулевым значением по показателю k43, указанный документ должен быть представлен в ФСТЭК России при повторной оценке.