Приказ Федеральной службы по техническому и экспортному контролю от 02.05.2024 № б/н «Методический документ “Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”»
Внимание
До введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя, применение Методики не является обязательным.
Ссылки
- Сайт ФСТЭК России
- Официальный текст на сайте в формате PDF
- Сохранённый текст в формате PDF
- Консультант+
- Гарант
Обзоры документа
Аналитический центр УЦСБ
Методика применяется для оценки текущего состояния защиты информации или обеспечения безопасности объектов КИИ, для разработки на основе такой оценки мер по повышению уровня защищенности, а также оценки эффективности деятельности лиц, ответственных за обеспечение информационной безопасности (далее – ИБ) организации.
Основным критерием оценки является показатель, который характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации. Методика содержит нормированное значение показателя, порядок его расчета и оценки.
Оценка показателя защищенности включает:
- сбор и анализ исходных данных, необходимых для оценки показателя;
- оценку значений частных показателей безопасности;
- расчет значения показателя и его сравнение с нормированным значением.
В качестве исходных данных рассматриваются:
- акты, протоколы, иные документы, составленные по результатам государственного контроля в области защиты информации или внутреннего контроля уровня защищенности информации;
- внутренние организационно-распорядительные документы;
- эксплуатационная документация на СрЗИ, сведения об их настройках и конфигурации;
- результаты инвентаризации информационных систем (далее – ИС);
- результаты интервьюирования работников о выполнении ими задач с использованием ИС;
- результаты анализа функционирования (применения) отдельных программных, программно-аппаратных средств ИС;
- результаты работы инструментальных средств оценки защищенности ИС или мониторинга ИБ и иное.
Методика содержит таблицу, содержащую сведения для определения значений частных показателей безопасности, а также формулу расчета показателя. Частные показатели безопасности сгруппированы следующим образом:
- организация и управление;
- защита пользователей;
- защита ИС;
- мониторинг ИБ и реагирование.
Итоговый результат оценки значения показателя представлен в таблице ниже:
Значение показателя Кзи | Состояние защиты информации |
---|---|
Кзи = 1 | Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации |
0,75 < Кзи < 1 | Минимальный уровень защиты не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации |
Кзи ≤ 0.75 | Минимальный уровень защиты не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации |
При значении показателя меньше 1 необходимо разработать план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз. Рекомендуется проводить оценку показателя не реже 1 раза в полгода в отношении всех систем, подлежащих защите. Внеочередная оценка показателя защищенности проводится в случаях:
- возникновения инцидента ИБ, повлекшего наступление негативных последствий;
- изменения архитектуры ИС;
- запроса руководителя организации о текущем значении показателя защищенности;
- запроса ФСТЭК России.
До введения в действие нормативных правовых актов, устанавливающих требования по оценке показателя, применение Методики не является обязательным.
Гарант ПРАЙМ
Разработана методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры. Определен показатель, характеризующий текущее состояние защиты, его нормированное значение и порядок его расчета.
Текст документа
Быстрый просмотр сохранённой копии