Новая методика оценки защищенности информационных систем ФСТЭК России 2025

11 ноября 2025 года Федеральная служба по техническому и экспортному контролю (ФСТЭК России) утвердила обновленную методику оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Компания ec-rs.ru провела анализ этого фундаментального нормативного документа и предлагает свою экспертную оценку его практического применения и влияния на цифровую экосистему организаций.

Данная методика становится одним из ключевых инструментов для оценки уровня защищенности критических информационных активов и определения приоритетности мер по совершенствованию информационной безопасности. Она заменяет предыдущую версию от 2 мая 2024 года и вводит уточненный подход к расчету показателя КЗИ (Коэффициента защищенности информационных систем).

Ключевые особенности новой методики

Показатель КЗИ: назначение и нормированное значение

Центральным элементом методики является показатель защищенности КЗИ, который характеризует текущее состояние технической защиты информации и степень достижения организацией минимально необходимого уровня защиты от типовых актуальных угроз. По экспертному мнению специалистов ec-rs.ru, это является принципиальным шагом вперед в стандартизации оценки защищенности, так как позволяет унифицировать подход и сделать его более объективным.

Нормированное значение показателя КЗИ установлено на уровне 1,0, что означает достижение организацией минимального базового уровня защиты (статус "зеленый"). Любые значения ниже этого порога указывают на наличие предпосылок или реальной возможности реализации актуальных угроз безопасности информации нарушителями с базовыми возможностями.

Градация уровней защищенности введена следующая:

• КЗИ = 1 — Минимальный базовый уровень ("зеленый"). Организация соответствует всем требованиям методики.

• 0,75 < КЗИ < 1 — Низкий уровень ("оранжевый"). Имеются предпосылки реализации угроз, требуется оперативное совершенствование мер.

• КЗИ ≤ 0,75 — Критический уровень ("красный"). Существует реальная возможность реализации угроз безопасности информации.

Эксперты ec-rs.ru отмечают, что введение четкой градации позволяет руководству организаций быстро оценить критичность ситуации и принять обоснованные управленческие решения.

Четыре группы показателей безопасности

Методика структурирует процесс оценки вокруг четырех ключевых групп показателей, каждая из которых имеет собственный вес в общей формуле расчета:

1. Организация и управление (вес Rj = 0,10)
Данная группа оценивает наличие надлежащей организационной структуры обеспечения информационной безопасности, включая:

• Назначение ответственного лица (заместителя руководителя) за ИБ

• Определение функций структурного подразделения или специалистов по ИБ

• Установление требований к подрядчикам в договорах (при их привлечении)

По мнению экспертов ec-rs.ru, минимальный вес этой группы (10%) отражает тот факт, что организационные меры являются необходимой, но недостаточной основой. Однако именно здесь часто допускают ошибку небольшие организации, не назначив официально ответственное лицо за ИБ.

2. Защита пользователей (вес Rj = 0,25)
Эта группа сосредоточена на защите от компрометации учетных записей через фишинг, социальную инженерию и слабые пароли. Включает:

• Соответствие паролей установленным требованиям (минимум 12 символов, смешанный регистр, спецсимволы)

• Многофакторная аутентификация для 50% привилегированных пользователей

• Отсутствие дефолтных паролей у сервисных учетных записей

• Удаление учетных записей, принадлежащих уволенным сотрудникам

Вес 25% отражает критическую важность контроля доступа через аутентификацию. Эксперты ec-rs.ru особенно обращают внимание на требование многофакторной аутентификации для администраторов — это одна из наиболее эффективных мер против несанкционированного доступа.

3. Защита информационных систем (вес Rj = 0,35)
Самая значимая группа (35% от общего показателя) охватывает технические меры защиты:

• Установка межсетевых экранов L3/L4 для 100% интерфейсов, доступных из Интернета

• Отсутствие критических уязвимостей на устройствах, доступных из Интернета (максимум 30 дней с даты публикации обновлений)

• Отсутствие критических уязвимостей на рабочих станциях и серверах (минимум 90 дней в 90% устройств)

• Проверка вложений в электронной почте (80% рабочих мест)

• Централизованное управление антивирусной защитой (80% устройств)

• Очистка входящего трафика от DDoS-атак на уровне L3/L4

Высокий вес этой группы объясняется тем, что именно технические уязвимости чаще всего эксплуатируются для начальной компрометации систем.

4. Мониторинг и реагирование (вес Rj = 0,30)
Третья по значимости группа (30%) обеспечивает обнаружение и реагирование на инциденты:

• Централизованный сбор событий безопасности и оповещение об ошибках входа для привилегированных учетных записей

• Централизованный сбор и анализ событий на всех устройствах, доступных из Интернета

• Наличие одобренного руководством документа о порядке реагирования на инциденты

Эксперты ec-rs.ru подчеркивают, что эта группа нередко недооценивается организациями. Однако именно правильное выявление и реагирование позволяют минимизировать последствия успешных атак.

Особые условия применения методики

Штрафные положения за тестирование и пентесты

Методика содержит важное положение: если при проведении испытаний систем защиты методами тестирования на проникновение или учений получен первоначальный доступ с использованием учетных записей пользователей, то группе показателей "Защита пользователей" присваивается значение 0. Если доступ получен через программные уязвимости, то группе "Защита информационных систем" также присваивается значение 0.

Это принципиально важное требование, которое, по мнению ec-rs.ru, должно стимулировать организации к более честной оценке своего состояния защищенности. Часто компании пытаются скрывать реальные результаты пентестов — данное положение делает такой подход контрпродуктивным.

Повторное невыполнение мер

Если в течение 12 месяцев организация повторно не выполнила меры, предусмотренные определенным частным показателем, весовой коэффициент всей группы, к которой относится этот показатель, обнуляется. Это мотивирует организации к принятию срочных мер по выполнению хотя бы минимальных требований.

Формула расчета КЗИ

Методика использует адаптивную формулу расчета:

КЗИ = (k₁₁ + k₁₂ + k₁₃)R₁ + (k₂₁ + k₂₂ + ... + k₂ᵢ)R₂ + (k₃₁ + k₃₂ + ... + k₃ᵢ)R₃ + (k₄₁ + k₄₂ + ... + k₄ᵢ)R₄

где:

• kⱼᵢ — частный показатель безопасности

• Rⱼ — весовой коэффициент группы показателей

Каждый частный показатель получает значение либо из таблицы методики (если мера полностью реализована), либо 0 (если мера не реализована или реализована неэффективно).

Требования к исходным данным и сбору информации

Источники данных

Методика предусматривает использование широкого спектра источников информации:

• Результаты государственного контроля ФСТЭК России

• Отчеты о внутреннем контроле уровня защищенности

• Результаты внешних аудитов безопасности и пентестов

• Внутренние организационно-распорядительные документы

• Документация по средствам защиты информации

• Результаты инвентаризации информационных систем

• Интервьюирование работников

• Результаты инструментальных средств анализа защищенности

Такой комплексный подход обеспечивает объективность оценки и затрудняет манипуляцию результатами.

Компетенции специалистов по оценке

Методика требует, чтобы специалисты, проводящие оценку, обладали следующими компетенциями:

• Глубокое знание целей, задач и основ организации защиты информации

• Знание состава и содержания нормативных документов по ИБ

• Понимание процессов организации защиты и умение их внедрять

• Знание методов и способов защиты информации

Критически важно требование независимости: специалисты не должны оценивать материалы, подтверждающие результаты их собственной работы. Эксперты ec-rs.ru подчеркивают, что это правило часто нарушается, так как в небольших организациях все задачи по ИБ возлагаются на одного-двух человек.

Процесс проведения оценки

Периодичность

Методика определяет, что оценка показателя КЗИ должна проводиться не реже одного раза в шесть месяцев. Конкретная периодичность и порядок устанавливаются внутренними регламентами организации.

Внеочередная оценка проводится при:

• Возникновении значимого инцидента информационной безопасности

• Значительных изменениях архитектуры информационных систем

• Запросе руководителя организации

• Запросе ФСТЭК России

Управление по результатам

По результатам расчета показателя КЗИ руководитель организации информируется о необходимости совершенствования мер защиты информации. При несоответствии нормированному значению разрабатывается план реализации первоочередных мероприятий, срок которых не должен превышать период до следующей плановой оценки (т.е. максимум 6 месяцев).

Процедура представления результатов в ФСТЭК России

Документы и материалы

Методика содержит приложение № 1, в котором указаны документы и материалы, подтверждающие результаты расчета каждого частного показателя. Все эти документы подразделяются на две категории:

• Представляемые по запросу

• Представляемые вместе с результатами оценки

Эксперты ec-rs.ru рекомендуют организациям систематизировать эти документы с самого начала, так как их отсутствие может привести к присвоению показателю значения 0.

Конфиденциальность информации

ФСТЭК России принимает меры по обеспечению конфиденциальности информации, представляемой организациями.

Проверка и верификация

ФСТЭК России проводит анализ поступивших результатов, осуществляет верификацию расчетов и делает выводы о состоянии защиты информации в организации. Если материалы не представлены в течение 30 дней по запросу, показателю присваивается значение 0.

Значение показателя КЗИ может быть уточнено ФСТЭК России на основе результатов:

• Государственного контроля

• Проведенных проверок уровня защищенности

• Мониторинга информационной безопасности

• Анализа документов и материалов, предоставленных по запросу

Практическое применение методики: рекомендации ec-rs.ru

Подготовка к внедрению

1. Назначение ответственного лица: Издайте приказ о назначении одного из заместителей руководителя ответственным за ИБ. Это критический первый шаг.

2. Организационная структура: Определите функции структурного подразделения по ИБ или конкретных специалистов.

3. Документирование: Разработайте и утвердите все необходимые внутренние документы, особенно политику паролей и процедуры реагирования на инциденты.

4. Инвентаризация: Проведите полную инвентаризацию всех информационных систем, подлежащих защите в соответствии с нормативными актами.

Фокус на критические показатели

Эксперты ec-rs.ru рекомендуют сконцентрироваться на группе "Защита информационных систем" (35% веса), так как именно здесь чаще всего выявляются недостатки:

• Убедитесь, что все интерфейсы, доступные из Интернета, защищены межсетевыми экранами.

• Регулярно сканируйте устройства на уязвимости и своевременно устраняйте критические.

• Установите и настройте антивирусную защиту с централизованным управлением.

• Организуйте защиту от DDoS-атак, если есть необходимые сервисы в Интернете.

Эффективное управление доступом

Группа "Защита пользователей" (25% веса) требует особого внимания:

• Установите требовательную политику паролей с проверкой соответствия.

• Внедрите многофакторную аутентификацию хотя бы для 50% привилегированных пользователей.

• Регулярно проверяйте и удаляйте дефолтные пароли.

• Организуйте процесс оперативного удаления учетных записей уволенных сотрудников.

Мониторинг и реагирование

• Внедрите централизованное логирование (SIEM) для приоритетных систем.

• Выполните все требования в отношении оповещения об ошибках входа.

• Разработайте четкую процедуру реагирования на инциденты и получите ее официальное одобрение.

Честная оценка через тестирование

• Проведите внешний пентест и честно оцените полученные результаты.

• Используйте результаты для совершенствования мер защиты, а не для сокрытия проблем.

• Помните: любой обнаруженный при тестировании способ компрометации приведет к обнулению соответствующей группы показателей.

Возможные вызовы при внедрении

Финансовые ограничения

Внедрение всех требований методики требует значительных инвестиций, особенно в малых организациях. Эксперты ec-rs.ru рекомендуют:

• Разработать многоэтапный план с расставленными приоритетами

• Начать с организационных мер (самых дешевых)

• Постепенно внедрять технические решения, ориентируясь на наиболее опасные уязвимости

Кадровые ограничения

Не все организации имеют необходимые специалисты для оценки и внедрения мер. Рекомендуется:

• Привлечь внешних консультантов для первоначальной оценки

• Пройти обучение для внутренних специалистов

• Передать регулярные проверки на аутсорсинг специализированным компаниям

Технические сложности

Некоторые требования методики может быть сложно выполнить при наличии устаревшего оборудования:

• Используйте возможность компенсирующих мер, предусмотренные методикой

• Документируйте причины невозможности выполнения требований

• Планируйте обновление инфраструктуры

Стратегическое значение методики

Для государства и критической инфраструктуры

Методика ФСТЭК России 2025 года представляет собой мощный инструмент обеспечения кибербезопасности критической информационной инфраструктуры России. Введение единого показателя КЗИ позволяет:

• Унифицировать требования к защищенности системы на всей территории страны

• Отслеживать динамику повышения уровня защиты

• Выявлять организации, требующие срочного вмешательства

• Планировать государственные программы по кибербезопасности на основе объективных данных

Для организаций

Для организаций эта методика означает:

• Четкие критерии соответствия требованиям ИБ

• Возможность объективной оценки эффективности затрат на безопасность

• Структурированный подход к совершенствованию защиты

• Инструмент для обоснования необходимых инвестиций в ИБ перед руководством

Выводы и рекомендации

По мнению экспертов компании ec-rs.ru, обновленная методика ФСТЭК России от 11 ноября 2025 года представляет собой значительный прогресс в области оценки защищенности информационных систем. Она:

1. Объективна: Использует четкие критерии и множество источников информации, затрудняя манипуляцию результатами.

2. Структурирована: Разбивает сложную задачу оценки на четыре управляемые группы показателей с определенными весами.

3. Практична: Предусматривает возможность компенсирующих мер при невозможности выполнения некоторых требований.

4. Мотивирующа: Содержит штрафные положения, которые стимулируют честную оценку и быстрое реагирование на выявленные проблемы.

Рекомендации для организаций:

• Начните подготовку к оценке по новой методике немедленно, даже если вы ранее проходили оценку по старой методике

• Назначьте квалифицированного ответственного лица за ИБ

• Проведите инвентаризацию всех систем, подлежащих защите

• Разработайте и утвердите все необходимые нормативные документы

• Проведите независимую оценку текущего состояния защищенности

• Разработайте приоритизированный план мероприятий

• Регулярно мониторьте прогресс и оценивайте результаты

Компания ИЦРС готова оказать поддержку организациям в процессе внедрения методики и достижения необходимого уровня защищенности информационных систем.

О компании
Компания ИЦРС , специализирующаяся на консультировании в области информационной безопасности и защиты критической информационной инфраструктуры. Наша экспертная команда имеет многолетний опыт работы с требованиями ФСТЭК России и помогает организациям всех размеров эффективно внедрять комплексные системы защиты информации.