Мониторинг, показатели и отчётность перед ФСТЭК

Продолжение цикла о Приказе ФСТЭК №117. Раньше — документы, уязвимости, подрядчики, обучение. Сегодня — как измерять защиту, что отправлять регулятору и чем мониторинг событий отличается от расчёта показателей.

Мы разобрали ответственных, уязвимости, подрядчиков и обучение. Теперь — отчётность. Это неизбежная часть новой модели: не «аттестовались раз — и забыли», а регулярная оценка и передача результатов во ФСТЭК.

Для медорганизации считайте не абстрактную «ИС», а МИС, кадры, бухгалтерию, интеграции с ЕГИСЗ/ОМС, удалённый доступ вендора. Параллельно действует контур КИИ (187-ФЗ) — компьютерный инцидент на значимом объекте отчитываемся отдельно, не путайте с Кзи.

Два показателя, которые нужно знать

П. 31–32 №117 вводят два измеримых показателя. Расчёт — по методическим документам ФСТЭК (актуальная методика оценки, в т.ч. редакция 2024–2026 годов).

Показатель защищённости (Кзи) — насколько информация защищена от базового уровня актуальных угроз (техническое состояние мер и настроек).

Показатель уровня зрелости (Пзи) — насколько системно и эффективно вы ведёте процессы защиты (документы, регламенты, роли, цикл улучшений).

Это разные вещи: можно «накрутить» галочки в сканере и всё равно провалить оценку на зрелость — нет регламентов, 24 часа на критические уязвимости не выдерживаются, вендор МИС ходит без контроля.

Как часто считать

Кзи — не реже одного раза в полгода (п. 32).

Пзи — не реже одного раза в два года (п. 32).

Периодичность и порядок детализируете во внутреннем регламенте (по методике ФСТЭК).

Ориентир для 2026 года: в информационном сообщении ФСТЭК № 240/22/1492 от 12.03.2026 и материалах по плану перехода на №117 контрольные точки для расчёта Кзи — август и декабрь 2026. Занесите в календарь: расчёт + отчёт во ФСТЭК в течение 5 рабочих дней после него.

Норма Кзи и «зоны» риска

По методике ФСТЭК (нормированное значение Кзи):

• Кзи = 1 — достигнут минимальный базовый уровень защищённости (целевое значение).
• Кзи от 0,75 до 1 — пониженный уровень, есть предпосылки для реализации угроз; нужен план усиления.
• Кзи ниже 0,75 — критически низкий уровень, реальная возможность реализации угроз; срочные меры.

Пзи сравнивают с нормированными значениями из методики ФСТЭК (детали Пзи уточняются в актуальной редакции методического документа 2026 года — следите за публикациями на fstec.ru).

Если показатель ниже нормы

П. 32: если Кзи или Пзи не соответствуют нормированным значениям — в течение 3 календарных дней сообщите руководителю (или ответственному за защиту информации).

Руководитель принимает решение: ресурсы, корректировка плана, усиление мер.

П. 33: разрабатывается план мероприятий по совершенствованию защиты — что делаем, сроки, ответственные. Цель — выйти на Кзи ≥ 1 и норму по Пзи.

Отчёт во ФСТЭК: сроки и содержание

П. 32: результаты оценки Кзи (и Пзи, если в этом цикле проводили расчёт) направляются во ФСТЭК не позднее 5 рабочих дней после дня расчёта — независимо от того, достигли нормы или нет.

Полугодовой цикл: каждые 6 месяцев — как минимум Кзи; Пзи — когда наступил двухлетний срок.

Что прикладывать: не только цифру, но и исходные данные и материалы расчёта (по методике):

• скриншоты настроек (парольная политика, многофакторная аутентификация для привилегированных учётных записей);
• отчёты сканеров уязвимостей, средств анализа защищённости;
• протоколы проверок, журналы закрытия уязвимостей;
• фрагменты регламентов, подтверждающие процессы.

Без подтверждений ФСТЭК может провести верификацию и скорректировать ваши показатели в сторону занижения. «Нарисованные» скриншоты — хуже, чем честная низкая цифра с планом исправления.

Кто готовит: структурное подразделение (специалисты) по защите информации (п. 19–23), не «кто-нибудь из IT без зама по ИБ».

Мониторинг событий — это не то же самое, что Кзи

Заголовок «мониторинг» в №117 — отдельный процесс (п. 49), его нельзя сводить только к полугодовому Кзи.

П. 49 требует:

• сбор, обработку и анализ данных о событиях безопасности;
• выявление признаков угроз и нарушений стандартов/регламентов;
• проведение по ГОСТ Р 59547-2021.

Для большинства ИС (не локальных/изолированных) — полноценный мониторинг. Для локальных/изолированных — как минимум контроль журналов событий (п. 49).

Отчёт руководителю — по регламенту (типы событий, инциденты, рекомендации).

Во ФСТЭК — последний в текущем году (или итоговый за год) отчёт о результатах мониторинга — после представления руководителю (п. 49). Это другой срок и другой документ, не путать с 5 рабочими днями после Кзи.

SIEM не обязателен. Обязателен мониторинг: логи МИС, домена, VPN и других систем — с разбором. SIEM лишь упрощает эту задачу.

Что проверяют в первую очередь (практика 2026)

По материалам ФСТЭК (конференции и разъяснения 2026 года) — ориентир для проверок, не дословная цитата приказа. Для медорганизации «больная пятёрка»:

1. Многофакторная аутентификация (MFA) для привилегированных учётных записей (админ МИС, домена, СУБД, вендора).
2. Критические уязвимости не закрыты в 24 часа (п. 38) — на периметре, VPN, сервере МИС.
3. Пароли по умолчанию у привилегированных и технических учётных записей.
4. Нет мониторинга событий и реагирования — логи МИС и VPN никто не смотрит.
5. Защита от DDoS — для ИС с доступом из интернета (п. 59): онлайн-запись, личный кабинет, сайт МО, телемедицина. Для внутренней МИС без выхода в интернет этот пункт может не применяться.

Дополнительно для КИИ: взаимодействие с ГосСОПКА (п. 59) — для значимых объектов с внешними интерфейсами.

Контроль уровня защищённости — ещё один отчёт

Помимо Кзи и мониторинга, в приложении к №117 предусмотрен контроль уровня защищённости (сканирование, проверка настроек). Отчёт — руководителю за 3 рабочих дня, во ФСТЭК — за 5 рабочих дней после завершения контроля.

Для МО это часто «больное место»: МИС + десятки интеграций — без регламентов и сканера Кзи будет ниже единицы.

Коротко о главном

• Кзи — раз в полгода; Пзи — раз в два года; методика — документы ФСТЭК.
• Норма Кзи = 1; 0,75–1 и ниже 0,75 — зоны риска по методике.
• Ниже нормы (Кзи или Пзи) — 3 дня на доклад руководителю + план по п. 33.
• Во ФСТЭК — 5 рабочих дней после расчёта + материалы, не «голая цифра».
• Мониторинг (п. 49) — события и журналы; годовой отчёт во ФСТЭК отдельно.
• Август и декабрь 2026 — контрольные точки переходного периода (№ 240/22/1492).
• КИИ-инцидент — отдельная отчётность по 187-ФЗ, не смешивать с Кзi.

Что сделать сейчас

1. Назначьте ответственного за расчёт Кзи, Пзи и отчёты (зам по ИБ + специалисты по защите).
2. Проверьте, есть ли средства анализа защищённости и сбор логов по МИС и инфраструктуре.
3. Закройте «пятёрку» — MFA для админов, 24 ч на критические CVE, смена дефолт-паролей, мониторинг, DDoS там, где есть интернет.
4. Занесите в календарь: август 2026, декабрь 2026 — расчёт Кзи + 5 рабочих дней на отправку.
5. Разведите в регламенте: полугодовой Кзi, двухлетний Пзи, годовой отчёт по мониторингу, контроль уровня защищённости.

Итог

№117 переводит ИБ из «папки для аттестации» в измеримый процесс: Кзи, Пзи, мониторинг, отчёты. Для больницы это означает: защита МИС и ПДн пациентов должна подтверждаться цифрами и журналами, а не только политикой на полке.

В следующем выпуске: аттестация информационных систем — когда обязательна, как проходит, какие документы нужны и как связана с Кзи = 1.

Экспресс-тест «Готовность к проверке ФСТЭК» — блок по показателям и мониторингу: на synlawtech.ru

Консультация по расчёту Кзи и подготовке отчёта для медорганизации — на том же сайте.

Подпишитесь на канал, чтобы не пропустить продолжение серии. Вопросы — в комментариях.