ФСТЭК обновила методику оценки защищённости: старая версия больше не действует
11 ноября ФСТЭК России утвердила новую редакцию методического документа по оценке состояния технической защиты информации и безопасности значимых объектов КИИ (ЗОКИИ). Новая редакция применяется с даты утверждения, а предыдущая Методика от 02.05.2024 стала неактуальной.
Методика нацелена на госорганы и субъектов КИИ. ФСТЭК фактически утверждает однозначно заданный набор доказательств, на которые нужно опираться при подготовке регулярной отчётности по уровню защищённости информационных систем и ЗОКИИ.
Сначала о том, что осталось без изменений. Оценка по-прежнему должна проводиться не реже 1 раза в 6 месяцев. Сохранились значения показателя защищенности и шкала: зелёный, оранжевый, красный.
Теперь переходим к новшествам.
Что это значит для организаций
Отсутствие формализованного процесса полугодовой оценки и непредоставление результатов во ФСТЭК России — это уже регуляторный риск. При выявлении недостатков потребуется разработать план мероприятий по повышению уровня защищённости и выполнить его до следующей оценки. Неподготовленная доказательная база (политики, регламенты, отчёты, результаты пентестов, учений и т.п.) повышает вероятность получить «красный» уровень и «нули» по частным показателям.
Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT:
«Если по старой методике минимальному уровню соответствовали единицы, то с новой версией планка поднимается ещё выше. Теперь учитывается самая слабая система в контуре, результаты пентестов и полнота доказательной базы. Для многих это означает не просто „подкрутить настройки“, а выстроить системный процесс управления защитой и регулярно подтверждать его работоспособность документами и практическими проверками».
Как может помочь iTPROTECT
Методика нацелена на госорганы и субъектов КИИ. ФСТЭК фактически утверждает однозначно заданный набор доказательств, на которые нужно опираться при подготовке регулярной отчётности по уровню защищённости информационных систем и ЗОКИИ.
Сначала о том, что осталось без изменений. Оценка по-прежнему должна проводиться не реже 1 раза в 6 месяцев. Сохранились значения показателя защищенности и шкала: зелёный, оранжевый, красный.
Теперь переходим к новшествам.
- Результаты оценки теперь должны направляться во ФСТЭК России — не только по запросу, а по умолчанию.
- Чётко стандартизирован набор документов для ФСТЭК: часть материалов прикладывается к отчёту сразу, часть нужно держать «на полке» для возможного запроса.
- Если доказательства не предоставить, отдельным показателям и даже всему показателю защищенности может быть присвоен 0.
- Существенно растёт роль управления уязвимостями и пентеста: требуются отчёты по результатам пентестов, учений, тренировок.
Что это значит для организаций
Отсутствие формализованного процесса полугодовой оценки и непредоставление результатов во ФСТЭК России — это уже регуляторный риск. При выявлении недостатков потребуется разработать план мероприятий по повышению уровня защищённости и выполнить его до следующей оценки. Неподготовленная доказательная база (политики, регламенты, отчёты, результаты пентестов, учений и т.п.) повышает вероятность получить «красный» уровень и «нули» по частным показателям.
Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT:
«Если по старой методике минимальному уровню соответствовали единицы, то с новой версией планка поднимается ещё выше. Теперь учитывается самая слабая система в контуре, результаты пентестов и полнота доказательной базы. Для многих это означает не просто „подкрутить настройки“, а выстроить системный процесс управления защитой и регулярно подтверждать его работоспособность документами и практическими проверками».
Как может помочь iTPROTECT
- Провести экспресс-оценку: как ваша текущая практика соотносится с новой Методикой.
- Сформировать «комплект доказательств»: набор ОРД, отчётов и материалов, готовых к запросам ФСТЭК России.
- Внедрить сканер уязвимостей, оказать услуги по анализу защищённости и управлению уязвимостями.
- Спланировать и провести пентесты или учения, результаты которых можно использовать для улучшения показателей.
- Подготовить организацию к проверке ФСТЭК и сопроводить её в процессе взаимодействия с регулятором.
Хотите получать наши новости?
