❕ Два новых показателя ИБ по приказу ФСТЭК № 117
Ранее мы рассказывали об основных изменениях приказа № 117, который вступит в силу с 1 марта 2026 года. Сегодня подробнее остановимся на ключевом нововведении — системе регулярной оценки состояния защиты информации.
Приказ вводит два обязательных показателя, которые государственные организации и учреждения должны рассчитывать для всех своих информационных систем. Это принципиально меняет подход к информационной безопасности: вместо разовой аттестации при внедрении и редких проверок раз в несколько лет появляется непрерывный цикл оценки.
Показатель защищенности (КЗИ) — Кзи – необходимо рассчитывать каждые 6 месяцев. Он определяет текущее состояние защиты от базовых угроз: работают ли установленные средства защиты, актуальны ли настройки безопасности, нет ли критических уязвимостей. Расчет и оценка КЗИ выполняются не реже одного раза в 6 месяцев
Показатель уровня зрелости (ПЗИ) — Пзи — рассчитывается каждые 2 года и оценивает, насколько эффективно выстроены процессы управления информационной безопасностью. Есть ли необходимая документация, проводится ли обучение сотрудников, как организация реагирует на инциденты, налажен ли контроль выполнения мер защиты.
Что происходит по результатам оценки:
▪️ Результаты оценки КЗИ и ПЗИ должны будут направляться в ФСТЭК для мониторинга состояния технической защиты информации не позднее 5 рабочих дней после их расчета.
▪️ При несоответствии значений КЗИ или ПЗИ нормированным требованиям руководитель оператора информируется в течение 3 календарных дней для принятия решений по совершенствованию защиты информации.
➡️ Подробнее в пункте 31 приказа №117
☺️☺️☺️☺️☺️☺️
