Приказ Федеральной службы по техническому и экспортному контролю от 02.05.2024 № б/н «Методический документ “Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”»

Внимание

До введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя, применение Методики не является обязательным.

Ссылки

Обзоры документа

Аналитический центр УЦСБ

Методика применяется для оценки текущего состояния защиты информации или обеспечения безопасности объектов КИИ, для разработки на основе такой оценки мер по повышению уровня защищенности, а также оценки эффективности деятельности лиц, ответственных за обеспечение информационной безопасности (далее – ИБ) организации.

Основным критерием оценки является показатель, который характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации. Методика содержит нормированное значение показателя, порядок его расчета и оценки.

Оценка показателя защищенности включает:

  • сбор и анализ исходных данных, необходимых для оценки показателя;
  • оценку значений частных показателей безопасности;
  • расчет значения показателя и его сравнение с нормированным значением.

В качестве исходных данных рассматриваются:

  • акты, протоколы, иные документы, составленные по результатам государственного контроля в области защиты информации или внутреннего контроля уровня защищенности информации;
  • внутренние организационно-распорядительные документы;
  • эксплуатационная документация на СрЗИ, сведения об их настройках и конфигурации;
  • результаты инвентаризации информационных систем (далее – ИС);
  • результаты интервьюирования работников о выполнении ими задач с использованием ИС;
  • результаты анализа функционирования (применения) отдельных программных, программно-аппаратных средств ИС;
  • результаты работы инструментальных средств оценки защищенности ИС или мониторинга ИБ и иное.

Методика содержит таблицу, содержащую сведения для определения значений частных показателей безопасности, а также формулу расчета показателя. Частные показатели безопасности сгруппированы следующим образом:

  • организация и управление;
  • защита пользователей;
  • защита ИС;
  • мониторинг ИБ и реагирование.

Итоговый результат оценки значения показателя представлен в таблице ниже:

Значение показателя КзиСостояние защиты информации
Кзи = 1Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации
0,75 < Кзи < 1Минимальный уровень защиты не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации
Кзи ≤ 0.75Минимальный уровень защиты не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации

При значении показателя меньше 1 необходимо разработать план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз. Рекомендуется проводить оценку показателя не реже 1 раза в полгода в отношении всех систем, подлежащих защите. Внеочередная оценка показателя защищенности проводится в случаях:

  • возникновения инцидента ИБ, повлекшего наступление негативных последствий;
  • изменения архитектуры ИС;
  • запроса руководителя организации о текущем значении показателя защищенности;
  • запроса ФСТЭК России.

До введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя, применение Методики не является обязательным.

Гарант ПРАЙМ

Разработана методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры. Определен показатель, характеризующий текущее состояние защиты, его нормированное значение и порядок его расчета.

Текст документа