О методике оценки технического состояния защиты информации и обеспечения безопасности значимых объектов критической инфраструктуры

  Оценка показателя защищенности К_ЗИ проводится в отношении всех информационных систем, подлежащих защите в соответствии с нормальными правовыми активами РФ. 

Кому необходимо

• Субъектам КИИ, владеющим значимыми объектами КИИ (ИС ИТС АСУ), операторам сетей электросвязи, используемых для функционирования объектов КИИ;
• Органам государственной власти.

С помощью данного коэффициента

ФСТЭК России осуществляет мониторинг текущего состояния защиты информации и обеспечения безопасности объектов КИИ. Организации, применив расчеты данной Методики и сравнив результаты с нормированным значением, оценивают текущее состояние зашиты информации, и могут на его основе разрабатывать план мероприятий по обеспечению информационной безопасности.

На схеме отражен примерный перечень основных мероприятий по обеспечению информационной безопасности

Показатель защищённости и его нормированное значение 

Показатель текущего состояния защищённости (показатель К_ЗИ) показывает степень достижения уровня защиты информации от типовых угроз. Информационные системы, АСУ, сети телекоммуникаций и иные объекты организации имеют минимально необходимый уровень защищённости, если значение К_ЗИ равно единице. 

К_ЗИ = 1 

Интересно, что коэффициент 1 достигается только в случае, если выполняются все меры, указанные в данном документе.

Порядок оценки показателя защищенности 

Для оценки необходимо осуществить: 

1. Сбор и анализ исходных данных. 
2. Оценить значения частных показателей безопасности k_ji.
3. Рассчитать значения К_ЗИ и сравнить с нормированным значением.

Как осуществляется сбор и анализ исходных, необходимых для оценки показателя защищенности

Специалисты по сбору и анализу исходных данных: 

• Запрашивают в структурных подразделениях организации требуемые для анализа документы и материалы;
• Проводят опросы сотрудников организации о выполнении функций с использованием информационных систем;
• А также по обеспечению информационной безопасности;
• Проводят анализ отдельных программных, программно-аппаратных средств в ИС, инструментальных средств оценки защищенности;
• А также мониторинг информационной безопасности. 

Итоги интервьюирования сотрудников организации должны быть оформлены документально (в бумажном или электронном формате), согласно внутреннему распорядку компании. 

Сбор и анализ осуществляют подготовленные специалисты, обладающие следующими компетенциями: 

а) знание целей, задач и основ организации защити информации;
б) знание состава и содержания необходимых документов; 
в) знание процессов организации защиты информации; 
г) знание основных методов и способов защиты и умение их применить на практике. 

Подразделения и сотрудники организации, осуществляющие сбор исходных данных, должны предоставить документы, материалы и данные в полной мере. В случае непредоставления данных запрошенных для проведения оценки документов и материалов соответствующим частным показателям безопасности k_ji присваивается значение 0. 

Сбор и анализ исходных данных 

Исходными данными для оценки показателя защищённости К_ЗИ являются: 

1. Акты, протоколы, иные документы, составленные по результатам госконтроля. 
2. Отчеты, протоколы, иные документы, составленные по результатам внутреннего контроля. 
3. Отчеты, составленные по результатам внешней оценки. 
4. Внутренние документы по обеспечению защиты информации. 
5. Документы по эксплуатации средств защиты информации. 
6. Результаты проведения инвентаризации. 
7. Результаты опроса работников. 
8. Результаты анализа применения отдельных программных средств. 
9. Результаты работы инструментов оценки защищённости и мониторинга информационной безопасности. 

Специалисты запрашивают в структурных подразделениях организации требуемые для анализа документы, проводят опросы работников, анализируют функционал ПО и средств защиты информации. Собранные данные анализируют и делают выводы о соответствии показателям безопасности k_ji. 

Определение значений 

Для оценки показателя защищённости К_ЗИ определяются значения частных показателей безопасности k_ji, где j – номер группы частных показателей безопасности, i – номер частного показателя в соответствующей группе. 

Частные показатели определяются для всех информационных систем. 

Расчёт показателя и сравнение с номерованным значением   

Расчёт показателя защищённости КЗИ осуществляется по следующий формуле: 

К_ЗИ=(k₁₁+k₁₂+k₁₃)R₁+(k₂₁+k₂₂+...+k_2i)R₂+(k₃₁+k₃₂+...+k_3i)R₃+(k₄₁+k₄₂+...+k_4i)R₄,

где R_j – весовой коэффициент j – группы частных показателей безопасности, определяемый в соответствии с таблицей 1.

		Если по результатам проведенного анализа материалов сделаны выводы, что меры по защите информации реализованы, соответствующему частному показателю присваивается значение, установленное для него в Методике.
		Если по результатам проведенного анализа материалов сделаны выводы, что соответствующая мера не реализована или реализована неэффективно (не в полном объеме), соответствующему частному показателю присваивается значение 0

Всего имеется 4 группы показателей, имеющих свой весовой коэффициент.

Первая группа отражает часть необходимых орг. мер и имеет наименьший весовой коэффициент 0.1
Вторая группа отражает меры защиты пользователей, имеет весовой коэффициент 0,25

Внимание привлекает показатель К₂₂, отражающий наличие многофакторной аутентификации привилегированных пользователей. Ранее подобная мера была необходима только для  государственных информационных систем 1 и 2 класса защищенности, теперь же, не смотря на отсутствие прямых требований, для достижения положительного результата К_ЗИ данную меру необходимо реализовать.

Третья группа – показатели защиты информационных систем. Помимо применения сертифицированных межсетевых экранов, необходимо добиться отсутствия уязвимостей критического уровня, для чего необходимо проводить ежемесячное сканирование специализированным ПО, обеспечить проверку вложений электронных писем, централизованное управление и регулярную проверку антивирусными средствами. Особое внимание стоит обратить на частный показатель К₃₇ (Очистка входящего из сети Интернет сетевого трафика от аномалий на уровне L3/L4), который можно обеспечить только на стороне провайдера.

Четвертая группа посвящена мониторингу и реагированию на события информационной безопасности, имеет весовой коэффициент 0.3. Здесь речь идет уже о централизованных решениях по сбору событий безопасности, контроле привилегированных учетных записей, что также прямо не было указано в требованиях регулятора.

Ввиду вышесказанного у многих операторов ГИС не было оснований для приобретения данных систем, обеспечения двухфакторной идентификации 

Рассчитанный по формуле показатель защищённости К_ЗИ сравнивается с нормированным значением. На основе результатов сравнения формируются выводы о текущем состоянии защиты информации.


Периодичность расчета показателя устанавливается организацией во внутренних регламентах, но не может проводиться реже, чем 1 раз в 6 месяцев. 

Если в результате расчета показатель ниже единицы, руководитель должен принять решение о проведении дополнительных мероприятий по обеспечению информационной безопасности. Срок реализации данных мероприятий не должен превышать даты следующей оценки показателя К_ЗИ. 

В случае получения от ФСТЭК России дополнительного запроса, оценка показателя проводится повторно. После анализа результатов и исходных данных ФСТЭК России верифицирует расчет и делает вывод от текущем состоянии защиты информации. 

В случае непредоставления информации по запросу в течение 30 дней присваивается значение 0. 

Внеочередная оценка показателя защищённости КЗИ проводится в случаях: 

1. Инцидента, повлекшего наступление негативных последствий. 
2. Изменения архитектуры информационных систем. 
3. Запроса руководителя организации. 
4. Запроса ФСТЭК России.  

Полученные результаты расчёта значений показателя защищённости К_ЗИ оформляют в документ и отправляют в ФСТЭК России по запросу. Помимо самого расчета, ФСТЭК может запрашивать результаты расчета показателя оценки защищенности и документы, подтверждающие их выполнение.