Найти в Дзене
PersData
71 подписчик

Оценка показателя защищенности Кзи: методика ФСТЭК России

96
5 мин
Оглавление
Изображение взято из открытых источников
Изображение взято из открытых источников

В 2 мая 2024 года ФСТЭК России утвердила методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (ЗОКИИ).

Что такое оценка показателя защищенности Кзи?

Оценка показателя защищенности Кзи - это выраженная в числе текущее состояние защиты информации (обеспечения безопасности ЗОКИИ) в органе (организации), и степень его соответствия минимально необходимому уровню защиты информации (обеспечения безопасности ЗОКИИ) от типовых актуальных угроз безопасности.

Также оценка показателя защищенности Кзи является оценкой эффективности деятельности заместителя руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности органа (организации), и (или) структурного подразделения, осуществляющего функции по обеспечению информационной безопасности органа (организации).

Где применяется оценка показателя защищенности Кзи?

Оценка показателя защищенности Кзи применяется государственных органах, органах местного самоуправления, организациях, в том числе субъектах критической информационной инфраструктуры.

Что такое минимальный необходимый уровень защиты информации?

Минимальный необходимый уровень защиты информации (обеспечения безопасности ЗОКИИ) является состав мер, который минимально достаточен для блокирования (нейтрализации) типовых актуальных угроз безопасности информации, и реализация которых предусмотрена приказами ФСТЭК России:

  • приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
  • приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Что такое показатель защищенности и его нормированное значение?

В качестве показателя, характеризующего текущее состояние защиты информации (обеспечения безопасности ЗОКИИ) в органе (организации) используется показатель текущего состояния защищенности Кзи.

Показатель защищенности Кзи характеризует степень достижения органом (организацией) минимально необходимого уровня защиты информации (обеспечения безопасности ЗОКИИ) от типовых актуальных угроз безопасности информации во временном интервале оценивания и заданных условиях эксплуатации информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей, иных объектов информатизации.

Установленное ФСТЭК России нормированным значением показателя защищенности является число 1 (единица).

Какие значения принимает показатель защищенности?

Несоответствие значения показателя Кзи < 1, характеризующего текущее состояние защиты информации, установленному нормированному значению указывает на наличие в органе (организации) возможности реализации актуальных угроз безопасности информации или предпосылок для их реализации.

В зависимости текущего показателя защищенности Кзи от нормированного значения текущее состояние защиты информации может принимать следующие значения:

  • Кзи = 1 Уровень состояния защищенности характеризуется как минимальный базовый ("зеленый"). Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации.
  • 0,75 < Кзи < 1 Уровень состояния защищенности характеризуется как низкий ("оранжевый"). Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации.
  • Кзи < 0,75 Уровень состояния защищенности характеризуется как критический ("красный"). Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации.

Является значение показателя защищенности критерием принятия решений?

Полученное значение показателя защищенности Кзи является критерием принятия в организации управленческих решений в части необходимости реализации первоочередных мер по защите информации от актуальных угроз безопасности информации и их приоритетности.

На основе результатов текущего состояния защищенности Кзи осуществляется:

  • разработка мер по повышению уровня защищенности организации;
  • оценка эффективности деятельности заместителя руководителя организации, на которого возложены полномочия по обеспечению информационной безопасности организации в соответствии с Указом Президента Российской Федерации от 01.05.2022 г. №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации";
  • оценка эффективности деятельности структурного подразделения, осуществляющего функции по обеспечению информационной безопасности организации в соответствии с Указом Президента Российской Федерации от 01.05.2022 г. №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".

В случае если по результатам расчета получено значение показателя защищенности Кзи, характеризующее текущее состояние защищенности в организации как низкое ("оранжевое") или критическое ("красный"), разрабатывается план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз.

Как рассчитать показатель защищенности?

Расчет показателя защищенности Кзи осуществляется по следующей формуле

Формула Кзи
Формула Кзи

где Rj - весовой коэффициент j-й группы частных показателей безопасности, определяемые в соответствии с таблицей, установленной Методикой оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденной ФСТЭК России 02.05.2024 г.

Хотите рассчитать показатель защищенности Кзи? Подпишись и Воспользуйтесь Формой 📋 "Оценка показателя состояния технической защиты информации" 👇🏻

📈📊 Оценка показателя защищенности Кзи Оценка показателя защищенности Кзи осуществляется в соответствии с Методикой оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденной ФСТЭК России 2 мая 2024 г. ⁉ Хотите рассчитать показатель защищенности Кзи? Воспользуйтесь Формой…
PersData10 октября 2024

Источники

  • Методический документ "Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", утвержденный ФСТЭК России 02.05.2024 г.

Читайте также

Определение типа актуальных угроз безопасности персональных данных
PersData7 сентября 2023
Правила доступа в помещение, в котором размещена ИСПДн
PersData15 января 2024
Регламент управления обновлениями программного обеспечения в ИСПДн
PersData12 января 2024