Приказ Федеральной службы по техническому и экспортному контролю от 11.11.2025 № б/н «Методический документ “Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”»
Ссылки
- Сайт ФСТЭК России
- Официальный текст на сайте в формате PDF
- Сохранённый текст в формате PDF
- Консультант+
- Гарант
Изменяемые документы
- Методика ФСТЭК России от 02.05.2024 «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности ЗО КИИ»
Выдержка
1. Настоящая Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее – Методика) разработана в соответствии с подпунктами 4 и 6.1 пункта
8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
2. Настоящая Методика определяет показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну (далее — защита информации), содержащейся в информационных системах, и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее — обеспечение безопасности значимых объектов КИИ), его нормированное значение, а также порядок его расчета.
3. Настоящая Методика применяется для оценки текущего состояния защиты информации (обеспечения безопасности значимых объектов КИИ) в государственных органах, органах местного самоуправления, организациях, а также субъектах критической информационной инфраструктуры (далее – органы (организации), и степени его соответствия минимально необходимому уровню защиты информации (обеспечения безопасности значимых объектов КИИ) от типовых актуальных угроз безопасности информации.
В качестве минимально необходимого уровня защиты информации (обеспечения безопасности значимых объектов КИИ) задан состав мер, реализация которых предусмотрена нормативными правовыми актами Российской Федерации, и который минимально достаточен для блокирования (нейтрализации) типовых актуальных угроз безопасности информации, реализуемых нарушителями с базовыми возможностями.
4. Несоответствие значения показателя, характеризующего текущее состояние защиты информации (обеспечения безопасности значимых объектов КИИ), установленному в соответствии с настоящей Методикой нормированному значению указывает на наличие в органе (организации) возможности реализации нарушителями с базовыми возможностями актуальных угроз безопасности информации или предпосылок для их реализации.
5. Настоящая Методика применяется:
а) ФСТЭК России — для мониторинга в пределах своей компетенции текущего состояния защиты информации и обеспечения безопасности значимых объектов КИИ в органах (организациях);
б) органом (организацией) — для оценки текущего состояния защиты информации и (или) обеспечения безопасности значимых объектов КИИ
и разработки на основе такой оценки мер по повышению уровня защищенности, а также оценки эффективности деятельности заместителя руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности органа (организации), и (или) структурного подразделения, осуществляющего функции по обеспечению информационной безопасности органа (организации).
6. Методика не применяется для оценки деятельности в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
7. В связи с утверждением настоящей Методики не применяется для оценки текущего состояния защиты информации (обеспечения безопасности значимых объектов КИИ) в органе (организации) и степени его соответствия минимально необходимому уровню защиты информации (обеспечения безопасности значимых объектов КИИ) от типовых актуальных угроз безопасности информации Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденная ФСТЭК России 2 мая 2024 г.
Обзоры документа
Аналитический центр УЦСБ
11 ноября 2025 года Федеральная служба по техническому и экспортному контролю Российской Федерации (далее — ФСТЭК России, РФ) опубликовала Методику оценки показателя состояния защиты информации в информационных системах (далее — ИС) и обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) РФ.
Ранее действующая методика, утвержденная ФСТЭК России 02.05.2024, более не применяется.
Основные изменения методики:
- в перечень исходных данных, для оценки текущего состояния защищенности, включены отчеты по результатам испытаний системы защиты методами тестирования на проникновение, учений и тренировок в области защиты информации;
- уточнено, что при наличии в организации нескольких ИС, подлежащих защите, для которых получены различные значения по одной и той же группе частных показателей, в итоговом расчете текущего показателя защищенности учитывается минимальное из полученных значений;
- добавлено Приложение № 1, в котором для каждого частного показателя безопасности детально расписано, какие документы и материалы являются подтверждением его соблюдения.
Горячие документы Консультант+
ФСТЭК России утверждена методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры РФ
Методика определяет показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну, содержащейся в информационных системах, и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры РФ, его нормированное значение, а также порядок его расчета.
Документ применяется для оценки текущего состояния защиты информации (обеспечения безопасности значимых объектов КИИ) в государственных органах, органах местного самоуправления, организациях, а также субъектах критической информационной инфраструктуры, и степени его соответствия минимально необходимому уровню защиты информации (обеспечения безопасности значимых объектов КИИ) от типовых актуальных угроз безопасности информации.
Текст документа
Быстрый просмотр сохранённой копии