ФСТЭК разработала методику оценки текущего состояния защиты информации (обеспечения безопасности объектов КИИ) в государственных органах, органах местного самоуправления, организациях, в том числе субъектах критической информационной инфраструктуры. Методика утверждена Приказом ФСТЭК от 02.05.2024г.
В качестве показателя, характеризующего текущее состояние защиты информации используется показатель текущего состояния защищенности - Кзи. По методике показатель показатель должен стремиться к 1 (единице). Предложенные ФСТЭК градации защищенности следующие:
Кзи=1 |
Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как минимальный базовый («зеленый») |
0,75<Кзи<1 |
Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как низкий («оранжевый») |
Кзи≤0,75 |
Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как критический («красный») |
Для удобства я подготовил калькулятор для оценки этого показателя. Нужно только вставить в ячейках "да" , где требование исполнено - и коэффициент автоматически рассчитается.
Полученное в соответствии с Методикой значение показателя защищенности КЗИ является критерием принятия в органе (организации) управленческих решений в части необходимости реализации первоочередных мер по защите информации (обеспечению безопасности объектов КИИ) от актуальных угроз безопасности информации и их приоритетности.
Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ доступна по ссылке.
qyix7z
Это кошмар. Зачем вводить вес в каждую строку, если Вы не используете все веса, а только по одному для каждой группы?
Можно же проще и короче:
Эта формула легко масштабируется и не требует изменений, если ФСТЭК изменит веса, количество критериев и т.п.
А в целом спасибо, отдам своим безопасникам, пусть проверяют.
Вот как ФСТЭК собирается проверять выполнение этого требования, если по идее пароль должен знать только пользователь? Будут смотреть на хэш и оценивать сложность пароля? Это конечно не к автору вопрос :)
fayhoopster Автор
Спасибо за подсказку по формуле )) оптимизирую по случаю .
Как ФСТЭК будет проверять пока не очень понятно. Видимо пока "на слово". А дальше посмотрим. В любом случае, хоть понятно на что ориентироваться для выстраивания отношений с регулятором.