Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработает методику оценки уровня защищенности объектов критической информационной инфраструктуры (КИИ). Мониторинг достижения показателей будет проводиться не реже одного раза в полгода, а его результаты служба будет направлять в Совет безопасности, председателем которого является глава государства. Соответствующий проект постановления Правительства (его разработала ФСТЭК) должен дополнить указ Президента № 250 о мерах по обеспечению информационной безопасности, обратили внимание "Ведомости".
Предложенные в проекте показатели будут применяться для определения уровня безопасности информационных систем, принадлежащих госорганам, госфондам, госкорпорациям, стратегическим предприятиям и системообразующим организациям. Защищенность вышеперечисленных организаций будет определяться трехуровневой системой отчетности: первый - уровень текущего состояния защищенности самой компании; второй - уровень защищенности объектов в отрасли; третий - уровень защищенности объектов на уровне региона.
Указ № 250 определил персональную ответственность руководителей за информационную безопасность на объектах, говорит председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. Президентский указ обязывал компании принимать меры и создавать службы безопасности, но не давал точной формулы для оценки успеха, добавляет бизнес-партнер Cloud.ru по кибербезопасности Юлия Липатникова.
Создание методики уровня защищенности от ФСТЭК - это появление прозрачной системы измеримых KPI с государственным статусом, говорит Бедеров.
"Раньше требования, по сути, были формальными, а проверки ФСТЭК зачастую сводились к проверке наличия бумажек. Теперь же вводятся четкие количественные показатели как для самих организаций, так и для отраслей и регионов в целом", - подчеркивает он.
Вводимые показатели защищенности - это метрики, которые показывают, насколько результативна безопасность в той или иной компании, поясняет бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Первоначально ФСТЭК ввела эти метрики для оценки защищенности государственных информационных систем и объектов критической инфраструктуры в форме методического документа. Позже регулятор внес схожую конструкцию в 117-й приказ ФСТЭК, распространив оценку на все системы, разработанные государством или взаимодействующие с ГИС, напоминает эксперт.
"Однако, так как до сих пор не все компании осознают важность обеспечения своей ИБ, как и своего влияния на экономику страны и национальную безопасность, было принято решение еще больше поднять статус этой задачи", - поясняет Лукацкий. По словам Бедерова, ключевой новацией здесь является обязанность ФСТЭК не просто собирать данные, а проводить их анализ и присваивать организациям конкретные "оценки" уровня защищенности, а также публично отчитываться о достижении целевых показателей в ежегодном докладе.
При этом для самих компаний с точки зрения требований по безопасности это не меняет практически ничего, но усиливается внимание к ним, говорит Лукацкий: "И если уровень или показатель защищенности будет не очень высокий и в динамике он не будет изменяться в лучшую сторону, то возможны различные меры воздействия". По данным компании RED Security SOC, в I квартале 2026 г. количество кибератак на объекты критической информационной инфраструктуры в России выросло на 8-10 процентных пунктов, превысив 70% всех инцидентов.
Источник: