Методика оценки состояния защиты информации ЗОКИИ от 02.05.24. Разбор документа

С текстом документа можно ознакомиться по ссылке.

Причины появления методического документа

Одна из основополагающих функций ФСТЭК России – контролировать соблюдение требований по защите информации. В рамках этой функции регулятор осуществляет мониторинг текущего состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – объектов КИИ).

В ходе проводимых мероприятий регулятор оценивает степень выполнения всех требований по защите информации и объектов КИИ, которые регламентированы в НПА.

Конечно же, все организации должны стремиться к стопроцентному выполнению требований, но, как показывают результаты проверок, данный показатель у всех разный. И в тех случаях, когда организация не достигла стопроцентного показателя, однозначно охарактеризовать текущее состояние технической защиты информации, опираясь только на результаты анализа выполнения требований, не представляется возможным. Ни регулятору, ни самой организации.

Устранение данного несоответствия является одной из основных причин разработки методического документа. Разработанные регулятором показатели позволят более детально оценивать текущее состояние защиты информации в организации и степень соответствия минимально необходимому уровню защиты информации (обеспечения безопасности объектов КИИ) от типовых актуальных угроз безопасности информации.

Примечание

Представитель ФСТЭК России на прошедшем в этом году ТБ-Форуме акцентировал внимание на том, что результаты оценки состояния защиты информации, проведенной в отношении ИС, АСУ, ИТКС организации по данной методике, ни в коем случае не заменяет необходимость выполнения обязательных требований НПА и не характеризует в полной мере состояние их выполнения. Данные выводы можно сделать только на основании проведенной комплексной оценки.

Кроме того, согласно информационному сообщению ФСТЭК России, до введения в действие НПА, устанавливающих требования по оценке показателя, характеризующего текущее состояние технической защиты информации и обеспечения безопасности объектов КИИ, применение данного методического документа осуществляется по решению органа (организации).

Отсюда можно сделать вывод, что на текущий момент документ носит рекомендательный характер.

Для кого предназначена методика?

Методика актуальна для всех организаций (например, ОГВ, ОМСУ), которые в своих системах обрабатывают информацию, не составляющую государственную тайну (например, в ГИС, ИСПДн), и владельцев значимых объектов КИИ.

Вышеупомянутые организации, применяя данную методику, смогут:

• оценить текущее состояние защиты информации и (или) обеспечения безопасности объектов КИИ;
• разработать на основе такой оценки меры по повышению уровня защищенности;
• провести оценку эффективности деятельности заместителя руководителя организации, на которого возложены полномочия по обеспечению ИБ, и (или) структурного подразделения, осуществляющего функции по обеспечению ИБ организации.

Кроме того, данную методику будет применять сам регулятор (ФСТЭК России) для мониторинга текущего состояния защиты информации и обеспечения безопасности объектов КИИ в организациях. Регулятор вправе запрашивать у организаций результаты оценки показателей состояния технической защиты, выполненной по данной методике.

Подход по оценке состояния защиты информации, описанный в методике

В качестве показателя, характеризующего текущее состояние защиты информации (обеспечения безопасности объектов КИИ) в организации, в методике используется показатель текущего состояния защищенности К_зи, который характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности информации ИС, АСУ, ИТКС и иных объектов информатизации.

Для оценки К_зи определяются значения частных показателей безопасности kji.

Частные показатели безопасности характеризуют реализацию в организации отдельных мер по защите информации. Каждому частному показателю в методике присвоен определенный «вес», и все они поделены на следующие группы:

• организация и управление;
• защита пользователей;
• защита информационных систем;
• мониторинг информационной безопасности и реагирование.

Определив значение каждого частного показателя, организация по соответствующей формуле из методики, определяет показатель текущего состояния защищенности К_зи. Итого по результатам оценки определяется уровень состояния защищенности:

1.     Минимальный базовый, или «зеленый», при К_зи  = 1.

Он означает, что ИС, АСУ, ИТКС и иные объекты информатизации организации и содержащаяся в них информация имеют минимально необходимый уровень защищенности от типовых актуальных угроз безопасности информации.

2.      Низкий, или «оранжевый», при 0,75 <  К_зи <1.

Он означает, что минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации.

3.      Критический, или «красный», при К_зи ≤ 0,75.

Он означает, что в организации минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается и имеется реальная возможность реализации актуальных угроз безопасности информации.

Важно! Чтобы добиться базового уровня состояния защищенности, у организации должны быть выполнены все меры, описанные в методике в разрезе показателей безопасности.

Кто в организации должен проводить оценку состояния защищенности?

Оценка состояния защищенности проводится структурным подразделением, специалистами по защите, осуществляющими функции по обеспечению информационной безопасности организации. Для сбора исходных данных, необходимых для проведения оценки, также могу привлекаться специалисты из других структурных подразделений, обладающие необходимыми компетенциями.

За организацию процесса оценки состояния защищенности отвечает заместитель руководителя организации, на которого возложены полномочия по обеспечению информационной безопасности.

Периодичность проведения оценки состояния защищенности

Оценка показателя К_зи должна проводиться не реже одного раза в шесть месяцев.

Периодичность и порядок проведения оценки показателя К_зи устанавливается организацией во внутренних регламентах (организационно-распорядительной документации).

Кроме того, методикой предусмотрена внеочередная оценка состояния защищенности. Она проводится в случаях:

1. возникновения инцидента информационной безопасности, повлекшего наступление негативных последствий (возникновение значимого инцидента);
2. развития (изменения) архитектуры информационных систем;
3. запроса руководителя органа (организации) о текущем значении показателя защищенности К_зи;
4. запроса ФСТЭК России.

Что делать, если К_зи получился низкий или критический?

В случае если по результатам расчета получено значение показателя защищенности К_зи, характеризующее текущее состояние защищенности в организации как низкое («оранжевый») или критическое («красный»), должен быть разработан план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз.

Срок реализации мероприятий, определенных в плане, не должен превышать срок до проведения следующей плановой оценки показателя К_зи.

Разбор документа подготовил Максим Шляпкин, начальник отдела защиты объектов КИИ и АСУ ТП