Новая методика ФСТЭК 2025: расчёт коэффициента защищённости информации (КЗИ)

С 1 марта 2026 года все государственные организации и субъекты КИИ обязаны каждые полгода рассчитывать показатель защищённости КЗИ и направлять результаты во ФСТЭК. Разбираем новую методику: формулу, четыре группы показателей, весовые коэффициенты и механизм обнуления, который делает невозможной «бумажную безопасность».

17 частных показателей: разбор по группам

Каждая группа включает набор частных показателей (kji), определяющих конкретные меры безопасности. Всего методика содержит 17 показателей. Для каждого указано числовое значение из таблицы методики (если мера реализована) или 0 (если нет). Ниже — систематизированный разбор по группам.

Группа 1. Организация и управление (R1 = 0,10)

Три показателя, отвечающих за организационный фундамент ИБ:

• k11 — назначение ответственного за обеспечение защиты информации (или создание подразделения ИБ);
• k12 — наличие утверждённых документов, определяющих политику ИБ, порядок управления доступом, реагирования на инциденты;
• k13 — проведение регулярного обучения и повышения осведомлённости персонала в вопросах ИБ.

На практике эта группа — самая «лёгкая» для выполнения, но именно она создаёт основу для всех остальных.

Группа 2. Защита пользователей (R2 = 0,25)

Показатели, связанные с управлением учётными записями и аутентификацией:

• k21 — парольная политика: длина пароля не менее 12 символов, смешанный регистр, спецсимволы, регулярная смена;
• k22 — многофакторная аутентификация (МФА) для привилегированных пользователей — не менее 50% таких учётных записей должны быть защищены МФА;
• k23 — управление привилегиями: минимизация прав, контроль и учёт административных учётных записей;
• k24 — блокировка неактивных учётных записей, контроль неиспользуемых учёток.

Типичная ошибка, которую мы видим в проектах: организация внедряет МФА для администраторов, но забывает про сервисные учётные записи с привилегированным доступом. Методика оценивает покрытие — недостаточно защитить «половину», нужно обеспечить минимальный порог.

Группа 3. Защита информационных систем (R3 = 0,35)

Самая «весомая» группа, оценивающая техническую инфраструктуру:

• k31 — межсетевое экранирование на уровнях L3/L4 для 100% интерфейсов, подключённых к сети Интернет;
• k32 — управление уязвимостями: все критические уязвимости устранены в течение 30 дней с момента выявления;
• k33 — антивирусная защита с централизованным управлением — охват не менее 80% конечных устройств;
• k34 — контроль почтового трафика: проверка вложений электронной почты на не менее чем 80% рабочих мест;
• k35 — сегментация сети: отделение контуров обработки конфиденциальной информации;
• k36 — резервное копирование критичных данных с проверкой восстановления;
• k37 — очистка входящего сетевого трафика от аномалий на уровне L3/L4 (реализуется совместно с провайдером связи).

Показатель k37 заслуживает отдельного внимания: защита от DDoS-атак и фильтрация аномального трафика требуют взаимодействия с интернет-провайдером. Не все организации учитывают это при планировании бюджета.

Группа 4. Мониторинг и реагирование (R4 = 0,30)

• k41 — регистрация и хранение событий безопасности (логирование);
• k42 — централизованный сбор и анализ событий ИБ (наличие SIEM или аналогичного решения);
• k43 — документированные процедуры реагирования на инциденты ИБ, включая план восстановления.

По нашему опыту, именно эта группа вызывает наибольшие затруднения у организаций среднего размера. SIEM-система — значительная инвестиция, и многие откладывают её внедрение. Однако вес группы — 30%, и без неё выйти на КЗИ = 1,0 невозможно.

Формула расчёта КЗИ и механизм обнуления

Итоговый показатель рассчитывается по формуле:

КЗИ = (k11 + k12 + k13) × R1 + (k21 + k22 + … + k2i) × R2 + (k31 + k32 + … + k3i) × R3 + (k41 + k42 + … + k4i) × R4

Где kji — значение частного показателя (из таблицы методики или 0), Rj — весовой коэффициент группы.

Принцип прост: для каждой группы складываются значения частных показателей, сумма умножается на вес группы. Четыре произведения складываются в итоговый КЗИ.

Механизм обнуления — «штрафные санкции»

Методика содержит три жёстких правила обнуления, которые делают невозможным манипулирование результатами:

Механизм обнуления — это именно то, что отличает новую методику от «бумажной безопасности». Организация может заполнить все документы, настроить политики и указать kji = max для каждого показателя. Но если при инструментальном аудите (проверка ФСТЭК) пентестер успешно проникнет в систему — целая группа показателей обнулится, и КЗИ резко упадёт.

Представьте ситуацию: организация добросовестно реализовала все 17 показателей и вычислила КЗИ = 1,0. Затем проводится внешний аудит, и аудитор получает доступ к системе через устаревшую версию Apache с известной CVE. Результат: R3 = 0, и КЗИ мгновенно падает до 0,65 (только за счёт групп 1, 2 и 4). Это «красная» зона.

Матрица готовности: самооценка организации перед расчётом КЗИ

Прежде чем проводить формальный расчёт, рекомендуем провести экспресс-оценку готовности. Ниже — авторская матрица, которую мы используем в проектах «Астелс». Для каждого частного показателя определите текущий статус:

Как использовать: подсчитайте количество «красных» ячеек. Если их более 5 — КЗИ почти наверняка окажется ниже 0,75 («красная» зона). Если 2–4 — вероятен «оранжевый» уровень. Это грубая, но полезная предварительная оценка, позволяющая приоритизировать усилия до формального расчёта.

Пошаговый алгоритм: от инвентаризации до отчёта во ФСТЭК

На основе методики и нашего практического опыта мы сформировали алгоритм из 8 шагов:

Шаг 1. Инвентаризация ИС и объектов КИИ

Определите перечень информационных систем, подлежащих оценке. Для субъектов КИИ сверьтесь с перечнями типовых отраслевых объектов. Если объекты ещё не категорированы, начните с отраслевых особенностей категорирования.

Шаг 2. Сбор исходных данных

Для каждой ИС соберите: архитектуру сети, перечень средств защиты, парольные политики, отчёты о сканировании уязвимостей, журналы событий ИБ, документацию. Если данные не предоставлены в течение 30 дней — соответствующему показателю присваивается 0.

Шаг 3. Оценка частных показателей (kji)

По каждому из 17 показателей определите: мера реализована полностью (значение из таблицы методики) или не реализована / реализована неэффективно (значение = 0). Промежуточных значений методика не предусматривает — только «да» или «нет».

Шаг 4. Инструментальная верификация

Проведите сканирование уязвимостей сертифицированными средствами. Методика от 25.11.2025 требует использования средств, сертифицированных ФСТЭК. Для некертифицированных (включая open source) необходимо документальное обоснование.

Шаг 5. Тестирование на проникновение (при необходимости)

Пентест — не обязательный этап расчёта КЗИ, но его результаты напрямую влияют на показатель через механизм обнуления. Рекомендуем проводить пентест до формального расчёта, чтобы избежать неприятных сюрпризов при проверке ФСТЭК.

Шаг 6. Расчёт КЗИ по формуле

Подставьте значения kji и Rj в формулу. Вычислите итоговый КЗИ. Определите уровень («зелёный», «оранжевый», «красный»).

Шаг 7. Формирование плана устранения

Если КЗИ < 1,0 — разработайте план мероприятий по устранению недостатков с указанием сроков. Приоритет — показатели с наибольшим весом (группы 3 и 4).

Шаг 8. Направление результатов во ФСТЭК

Не позднее 5 рабочих дней после расчёта. Помните: это не «по запросу», а обязательная отчётность начиная с 1 марта 2026 года. При подготовке пакета документов учитывайте также требования приказа ФСТЭК № 236 о подаче сведений о доменах и IP-адресах — эти данные могут потребоваться одновременно с результатами КЗИ.

Типичные ошибки и подводные камни при расчёте КЗИ

За время работы с методикой оценки защищённости мы выявили ряд типичных проблем, которые снижают КЗИ или приводят к некорректному расчёту:

1. Завышение значений kji без инструментального подтверждения

Организация указывает, что мера реализована, но не может подтвердить это результатами сканирования или пентеста. При проверке ФСТЭК это обнаруживается, и показатель обнуляется.

2. Игнорирование показателя k37 (фильтрация трафика провайдером)

Очистка входящего трафика от аномалий L3/L4 реализуется только со стороны провайдера. Многие организации не включают это в договор, и показатель остаётся нулевым. Между тем он входит в группу с весом 0,35.

3. Отсутствие МФА для сервисных учётных записей

Показатель k22 требует МФА для привилегированных пользователей. На практике организации защищают «живых» администраторов, но забывают про сервисные УЗ с повышенными привилегиями.

4. Несоблюдение 30-дневного окна для критических уязвимостей

Показатель k32 требует устранения критических уязвимостей в течение 30 дней. В организациях с длительным циклом согласования обновлений это часто нарушается. Рекомендуем заранее утвердить ускоренный регламент для критических и высоких уязвимостей.

5. Формальное обучение персонала

Показатель k13 оценивает не просто «наличие» программы обучения, а её регулярность и результативность. Разовый инструктаж при приёме на работу — это не «полная реализация».

6. Путаница между двумя методиками 2025 года

Методика от 11.11.2025 (расчёт КЗИ) и Методика от 25.11.2025 (анализ защищённости) — это разные документы с разным назначением. Первая — для расчёта показателя, вторая — для проведения пентестов и сканирования. Они дополняют друг друга, но не заменяют.

7. Пропуск срока отчётности

Результаты расчёта КЗИ должны быть направлены во ФСТЭК в течение 5 рабочих дней. Пропуск срока — это ошибка взаимодействия с ФСТЭК, которая может повлечь дополнительные проверки.

Как «Астелс» помогает подготовиться к оценке

Внедрение системы расчёта КЗИ — это не разовая акция, а процесс, который требует экспертизы на стыке нормативного регулирования и технической безопасности. Компания «Астелс» предлагает комплексное сопровождение:

• Предварительная оценка — экспресс-расчёт КЗИ по матрице готовности, определение текущего уровня;
• Анализ разрывов (gap analysis) — определение показателей с нулевым значением, приоритизация по весу группы;
• Разработка дорожной карты — план мероприятий по достижению КЗИ ≥ 1,0 с конкретными сроками и бюджетом;
• Содействие в реализации мер — помощь с внедрением технических решений (если объекты КИИ ещё не категорированы — категорирование нетиповых объектов);
• Сопровождение расчёта и отчётности — формирование пакета документов для ФСТЭК в установленные сроки.

Опыт более 7000 выполненных работ по всей России (60+ городов) позволяет нам учитывать отраслевую специфику каждого клиента — от здравоохранения до энергетики.

Итог

Методика ФСТЭК 2025 года с единым показателем КЗИ — это конец эпохи «бумажной безопасности». Четыре группы показателей, 17 частных метрик и жёсткий механизм обнуления при пентесте делают невозможным формальное соответствие без реальной защиты. С 1 марта 2026 года расчёт КЗИ становится обязательной полугодовой процедурой с отчётностью во ФСТЭК.

Рекомендуем начать подготовку сейчас: провести самооценку по матрице готовности, определить «нулевые» показатели и приоритизировать усилия по группам с наибольшим весом — «Защита ИС» (35%) и «Мониторинг» (30%). Это позволит к дедлайну выйти хотя бы в «оранжевую» зону и иметь план достижения «зелёного» уровня.

Нужна помощь с расчётом КЗИ или подготовкой к требованиям приказа ФСТЭК № 117? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации.