ФСТЭК оценит уровень кибербезопасности ключевых объектов инфраструктуры
О результатах служба будет сообщать Совету безопасности России
Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработает методику оценки уровня защищенности объектов критической информационной инфраструктуры (КИИ). Мониторинг достижения показателей будет проводиться не реже одного раза в полгода, а его результаты служба будет направлять в Совет безопасности, председателем которого является глава государства. Соответствующий проект постановления правительства (его разработала ФСТЭК) должен дополнить указ президента № 250 о мерах по обеспечению информационной безопасности, обратили внимание «Ведомости».
Предложенные в проекте показатели будут применяться для определения уровня безопасности информационных систем, принадлежащих госорганам, госфондам, госкорпорациям, стратегическим предприятиям и системообразующим организациям. Защищенность вышеперечисленных организаций будет определяться трехуровневой системой отчетности: первый – уровень текущего состояния защищенности самой компании; второй – уровень защищенности объектов в отрасли; третий – уровень защищенности объектов на уровне региона.
Указ № 250 определил персональную ответственность руководителей за информационную безопасность на объектах, говорит председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. Президентский указ обязывал компании принимать меры и создавать службы безопасности, но не давал точной формулы для оценки успеха, добавляет бизнес-партнер Cloud.ru по кибербезопасности Юлия Липатникова.
Создание методики уровня защищенности от ФСТЭК – это появление прозрачной системы измеримых KPI с государственным статусом, говорит Бедеров.
«Раньше требования, по сути, были формальными, а проверки ФСТЭК зачастую сводились к проверке наличия бумажек. Теперь же вводятся четкие количественные показатели как для самих организаций, так и для отраслей и регионов в целом», – подчеркивает он.
Вводимые показатели защищенности – это метрики, которые показывают, насколько результативна безопасность в той или иной компании, поясняет бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Первоначально ФСТЭК ввела эти метрики для оценки защищенности государственных информационных систем и объектов критической инфраструктуры в форме методического документа. Позже регулятор внес схожую конструкцию в 117-й приказ ФСТЭК, распространив оценку на все системы, разработанные государством или взаимодействующие с ГИС, напоминает эксперт.
«Однако, так как до сих пор не все компании осознают важность обеспечения своей ИБ, как и своего влияния на экономику страны и национальную безопасность, было принято решение еще больше поднять статус этой задачи», – поясняет Лукацкий. По словам Бедерова, ключевой новацией здесь является обязанность ФСТЭК не просто собирать данные, а проводить их анализ и присваивать организациям конкретные «оценки» уровня защищенности, а также публично отчитываться о достижении целевых показателей в ежегодном докладе.
При этом для самих компаний с точки зрения требований по безопасности это не меняет практически ничего, но усиливается внимание к ним, говорит Лукацкий: «И если уровень или показатель защищенности будет не очень высокий и в динамике он не будет изменяться в лучшую сторону, то возможны различные меры воздействия». По данным компании RED Security SOC, в I квартале 2026 г. количество кибератак на объекты критической информационной инфраструктуры в России выросло на 8–10 процентных пунктов, превысив 70% всех инцидентов.