С 1 марта 2026 года каждый оператор ГИС обязан раз в полгода считать КЗИ и отправлять результаты в ФСТЭК. Без этого показателя вы даже в диалог с регулятором не входите. Разбираемся, как это работает на практике.
Ключевые запросы: коэффициент защищенности информации, расчет кзи, методика кзи фстэк, пример расчета кзи, отчет в фстэк
Время чтения: 6 минут
КЗИ — новая валюта доверия
Коэффициент защищённости информации — это количественный показатель текущего состояния защиты системы. Не экспертная оценка, не субъективное мнение аудитора — цифра, рассчитанная по формуле.
Методика расчёта утверждена ФСТЭК 11.11.2025. Результаты направляются в ФСТЭК в течение 5 рабочих дней после расчёта. Периодичность — не реже одного раза в 6 месяцев.
Пороговые значения:
— КЗИ = 1.0 — минимальный базовый уровень (норма)
— 0.75 < КЗИ < 1.0 — низкий уровень (требуется план устранения)
— КЗИ ≤ 0.75 — критический уровень (основание для предписания)
Из чего состоит КЗИ
Формула: КЗИ = Σ(Σk_ji) × R_j
Где k_ji — значение i-го показателя j-й группы (0 или табличное значение), R_j — весовой коэффициент группы.
17 показателей распределены по 4 группам:
Идентификация и аутентификация (вес 0.10)
Управление учётными записями, многофакторная аутентификация, контроль сессий, парольная политика. Четыре показателя, каждый весит 0.025.
Управление уязвимостями (вес 0.25)
Инвентаризация активов, регулярное сканирование, устранение критических за 24 часа, устранение высоких за 7 дней. Это самая болезненная группа — требование 24 часов на критическую уязвимость невыполнимо для большинства систем.
Управление инцидентами (вес 0.35)
Регистрация событий безопасности, мониторинг, детектирование, реагирование, взаимодействие с НКЦКИ. Самая «тяжёлая» группа — провал здесь обнуляет треть итогового показателя.
Защита периметра (вес 0.30)
Сегментация сети, межсетевое экранирование, обнаружение вторжений, защита каналов связи.
Бинарная логика отказа
Главная ловушка методики — повторное несоответствие. Если любой показатель не выполняется дважды в течение 12 месяцев, обнуляется весь весовой коэффициент группы.
Пример: показатель k₉ (регистрация событий безопасности) не выполнен в марте. Вы получаете КЗИ ниже нормы, фиксируете это в отчёте, планируете устранение. В сентябре k₉ снова не выполнен — теперь вся группа «Управление инцидентами» получает R₃ = 0. КЗИ падает на 35% независимо от состояния других групп.
Это означает: нельзя «закрывать глаза» на отдельные показатели, надеясь компенсировать их другими. Система спроектирована так, чтобы выявлять и наказывать систематические проблемы.
Типичные ошибки расчёта
Рисование цифр без источников. КЗИ должен опираться на объективные данные: журналы событий, результаты сканирования, записи об инцидентах. «Экспертная оценка» без документального подтверждения — это фальсификация отчётности.
Отсутствие регламента расчёта. Кто считает, когда, по каким данным, как верифицирует — всё это должно быть зафиксировано в ОРД. При проверке ФСТЭК запросит не только результат, но и процедуру.
Расчёт «задним числом». Если система сканирования уязвимостей запущена за неделю до отчёта — данных за полгода нет. КЗИ рассчитывается по фактическому состоянию процессов, а не по намерениям.
Игнорирование компенсирующих мер. Если критическую уязвимость невозможно устранить за 24 часа (нет патча, санкции, сертифицированная сборка), это нужно документировать: акт о невозможности, применённые компенсирующие меры, план устранения.
Минимальный набор для расчёта КЗИ
Можно ли считать КЗИ без SIEM за миллионы рублей? Да, но с ограничениями.
Журналы событий. Штатные средства ОС и приложений. Ручной или полуавтоматический анализ. Трудоёмко, но формально достаточно для небольших систем.
Сканер уязвимостей. Сертифицированный ФСТЭК (MaxPatrol VM, Solar, «Эшелон»). Без него показатели группы «Управление уязвимостями» недоказуемы.
Excel или аналог. Таблица с 17 показателями, источниками данных, датами, ответственными. Формула расчёта итогового КЗИ.
Регламент. Документ, описывающий процедуру: периодичность, ответственные, источники данных, порядок верификации, формат отчёта.
Для систем класса К1 и К2 минимального набора недостаточно — там нужна автоматизация (SIEM, SOAR). Для К3 можно начать с ручного процесса и масштабировать по мере роста зрелости.
