Российское регулирование в области информационной безопасности в 2025–2026 гг. совершило колоссальный сдвиг. ФСТЭК России утвердила новые нормативные акты, которые полностью пересмотрели подходы к оценке защищенности информационных систем госсектора, субъектов критической информационной инфраструктуры (КИИ). Сегодня мы сфокусируем внимание на оценке показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры (ЗОКИИ) Российской Федерации и расчете показателя защищенности (КЗИ) – интегральной метрике, которая теперь требует не только расчета, но и скрупулезно собранной доказательной базы в виде свидетельств. Андрей Рябов, руководитель группы по обеспечению комплексной безопасности Angara Security, специально для журнала Connect Wit (май—июнь 2026 года).
Основные нововведения в оценке показателя состояния технической защиты информации
В ноябре 2025 г. ФСТЭК России утвердила новую редакцию методического документа «Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (утверждена 11 ноября 2025 г.). Предыдущая версия методики от 2 мая 2024 г. утратила силу. Методика распространяется на информационные системы госучреждений, государственные информационные системы и объекты КИИ.
Ключевые изменения:
-
Обязательность предоставления результатов оценки регулятору. Ранее отчетность направлялась по запросу от регулятора. Теперь в Методике установлено, что после проведения самооценки результаты направляются во ФСТЭК России на регулярной основе (не реже одного раза в 6 месяцев), а непредоставление данных уже является регуляторным риском.
-
Стандартизация свидетельств выполнения требований.
-
ФСТЭК определил однозначно заданный набор документов. Часть материалов прикладывается к отчету сразу, часть необходимо держать «наготове» для оперативного предоставления по запросу. Если свидетельства не предоставлены, соответствующему показателю (или всему КЗИ) может быть присвоен ноль.
-
Периодичность и шкала. Оценка по-прежнему проводится не реже одного раза в 6 месяцев. Сохранилась также цветовая шкала, характеризующая текущее состояние защищенности: «зеленый», «оранжевый», «красный».
Показатель защищенности КЗИ и из чего он складывается
Показатель защищенности KЗИ – это интегральный результат, рассчитываемый на основе оценки выполнения требований по четырем группам показателей безопасности, каждая из которых имеет свой весовой коэффициент.
Методика ФСТЭК включает 17 показателей безопасности, сгруппированных следующим образом:
-
Группа показателей 1. «Организация и управление» (вес 0,1). Оценивает наличие приказов о назначении ответственных за ИБ, должностных инструкций,
-
а также требований по ИБ к подрядным организациям с привилегированным доступом.
-
Группа показателей 2. «Защита пользователей» (вес 0,25). Проверяет реализацию парольной политики, правил управления учетными записями и процедур при увольнении сотрудников.
-
Группа показателей 3. «Защита информационных систем» (вес 0,35). Самый весомый блок, охватывающий технические меры защиты, управление уязвимостями и настройки безопасности.
-
Группа показателей 4. «Мониторинг Иб и реагирование» (вес 0,3). Включает способность фиксировать попытки НСД, корреляцию событий, ведение хронологии атак и автоматическую регистрацию нарушений.
Ключевое нововведение в Методике – это более строгие требования к защищенности. Для достижения минимального уровня защищенности KЗИ=1 необходимо выполнить требования по всем 17 показателям. При этом отсутствует возможность что-то не выполнять или выполнять частично.
Если КЗИ < 1,0, организация обязана разработать план повышения защищенности и реализовать его до следующей полугодовой оценки. Если в течение календарного года не устранен недостаток хотя бы по одному показателю, вся группа обнуляется – уровень падает до критического.
Также отметим, что если ранее можно было «подтянуть» средний балл за счет наиболее защищенных компонентов и систем, то теперь ситуация изменилась.
В рамках оценки учитывается самая «слабая» с точки зрения защищенности информационная система и/или ЗОКИИ.
Практические примеры и рекомендации
Компаниям необходимо выстроить системный процесс в рамках проведения оценки защищенности. В первую очередь рекомендуется выполнить следующие шаги:
-
Назначить ответственных по ИБ. Обеспечить наличие заместителя руководителя, курирующего ИБ, утвердить положение о структурном подразделении ИБ.
-
Провести ревизию организационно распорядительной документации по ИБ. Пересмотреть приказы, политики, регламенты и договоры с подрядчиками на предмет включения требований по ИБ.
-
Выполнять регулярный инструментальный анализ защищенности. Внедрить сканеры уязвимостей, проводить внутренние и внешние пентесты на постоянной основе.
-
Сформировать пакет свидетельств. Агрегировать скриншоты настроек СЗИ и механизмов защиты ПО и платформ, логи SIEM-систем, отчеты пентестов и акты учений, организационно-распорядительную документацию по ИБ.
Рассмотрим подробнее практическое выполнение каждой группы показателей.
Группа 1 «Организация и управление»
В организации должен быть назначен заместитель руководителя, ответственный за ИБ. Компания также должна определить функции структурного подразделения или отдельных работников, ответственных за обеспечение ИБ. Рекомендуется оформить назначение ответственных лиц приказами, разработать положения о структурных
подразделениях ИБ и должностные инструкции. В качестве свидетельств для оценки будут выступать данные документы.
Кроме того, необходимо установить требования по обеспечению ИБ в договорах с подрядными организациями, имеющими привилегированный доступ к системам (например представители вендоров, системных интеграторов
с правами администратора). Рекомендуется включить в договоры с подрядчиками разделы по ИБ или заключить дополнительные соглашения в части наличия требований по ИБ.
Группа 2 «Защита пользователей»
Методика требует разработать парольную политику и распространить ее на все учетные записи. Если есть технические ограничения к соблюдению требований парольной политики в конкретных системах, необходимо документально описать компенсирующие меры.
Кроме того, как минимум для половины привилегированных пользователей требуется внедрить многофакторную аутентификацию (МФА).
В части контроля за отсутствием технологических учетных записей (ТУЗ) с паролями по умолчанию рекомендуется провести инвентаризацию ТУЗ (они могли остаться после внедрения новой системы) и обеспечить смену паролей в соответствии с парольной политикой компании.
Также необходимо реализовать процессы управления доступом и периодически контролировать блокировку учетных записей уволенных работников. Для этого необходимо периодически запрашивать данные из подразделения управления персоналом и проверять блокировку соответствующих учетных записей.
Группа 3 «Защита информационных систем»
«Защита информационных систем» – самый весомый домен, он начинается с сетевой защиты – применения фильтрации межсетевого экранирования на уровнях L3 и L4 для интерфейсов, имеющих доступ в интернет. В этом случае необходимо подготовить схему сети, отражающую размещение межсетевых
экранов на периметре, а также документацию, описывающую правила фильтрации трафика. На уровне периметра необходимо обеспечить защиту от DDOS-атак на уровне L3/L4.
Также ключевая роль отводится к процессу управления уязвимостями. Методика требует отсутствия критических уязвимостей на устройствах и интерфейсах с доступом в интернет, а также на серверах и пользовательских устройствах в целом. Для этого необходимо не только утвердить положение по управлению уязвимостями, но и регулярно проводить сканирование, устранять критические уязвимости, составлять план их устранения и проводить повторные проверки с подготовкой итоговых отчетов.
Кроме того, необходимо обеспечить централизованное управление средствами антивирусной защиты, а также проверку вложений в электронных письмах электронной почты на наличие вредоносного программного обеспечения. При этом сигнатуры должны обновляться не реже чем один раз в месяц.
Группа 4 «Мониторинг ИБ и реагирование»
В рамках четвертой группы «Мониторинг ИБ и реагирование» с точки зрения документации можно выделить наличие утвержденного документа, определяющего порядок реагирования на компьютерные инциденты, с указанием ответственных лиц и описанием их действий.
В части «техники» можно выделить необходимость обеспечения централизованного сбора событий безопасности и оповещение о неудачных попытках входа для привилегированных учетных записей, а также сбора и анализ событий безопасности на всех устройствах, взаимодействующих с сетью Интернет.
Заключение
Новые подходы ФСТЭК России к оценке защищенности систем стали поворотным моментом в ИБ. Регулятор окончательно ушел от философии «галочек»: на смену приходит регулярная практическая проверка
безопасности, подтвержденная реальными результатами пентестов, сканирования уязвимостей и управленческих процедур.
Оценка КЗИ – это непрерывный процесс, который требует:
-
построения зрелого процесса управления защитой информации;
-
регулярного подтверждения его работоспособности документами и практическими проверками;
-
сбора доказательств и расчета показателей;
-
постоянного совершенствования на основе выявленных недостатков.
Выстраивание системы оценки защищенности в соответствии с требованиями ФСТЭК России является не просто выполнением требований регулятора, но и вектором развития киберустойчивости в компании. В идеале каждый процесс ИБ должен быть задокументирован, должно обеспечиваться управление уязвимостями и инцидентами ИБ.
Для облегчения работы по оценке защищенности рекомендуем своевременно и планомерно формировать отчетность и базу свидетельств по соответствующим показателям. До принятия новой методики основным недостатком многих компаний был разрыв между «бумажной» и реальной защитой. Если обратиться к цифрам, то, например, по результатам проверок ФСТЭК минимальный уровень защищенности достигнут лишь у 36 % объектов КИИ, а примерно 64 % субъектов КИИ находятся в зоне риска: их уровень защищенности ниже минимально допустимого. Об этом заявила начальник управления ФСТЭК Елена Торбенко на форуме «Инфофорум-2026».
Мы видим в методике шаг к стандартизации оценки защищенности, превращающий анализ в регулярный процесс развития ИБ. Ведь цель нововведений в том, чтобы повысить уровень «реальной», а не «бумажной» безопасности в организациях.
Если у вас остаются вопросы по оценке показателя защищенности с учетом актуальных требований ФСТЭК России, обратитесь к нам за консультацией, разберем конкретные ситуации.
24.06.2026
