| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | Калькулятор оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ. Методика утверждена Приказом ФСТЭК от 02.05.2024г. | |||||||||||||||||||||||||
2 | ||||||||||||||||||||||||||
3 | Оценка показателя Кзи проводится не реже одного раза в 6 месяцев, внеочередная при развитии (изменении) архитектуры информационных систем | |||||||||||||||||||||||||
4 | № Группы (j) | Наименование групп показателей | Column 10 | Номер (i) и наименование показателя безопасности | Значение частного показателя (kji) | Столбец 5 | Выполнено ли требование | Значение показателя | Работы по приведению объекта к требуемому показателю защиты | Столбец 10 | Столбец 1 | |||||||||||||||
5 | 1 | Организация и управление | 1. На заместителя руководителя органа (организации) возложены полномочия ответственного лица за обеспечение информационной безопасности органа (организации) и определены его обязанности | 0,30 | 0,1 | да | 0,30 | Доработка Должностных инструкций в части обеспечения информационной безопасности | ||||||||||||||||||
6 | 1 | Организация и управление | 2. Определены функции (обязанности) структурного подразделения (или отдельных работников), ответственного за обеспечение информационной безопасности органа (организации) | 0,40 | 0,1 | да | 0,40 | Разработка/доработка должностных инструкций профильных подразделений и их сотрудников | ||||||||||||||||||
7 | 1 | Организация и управление | 3. К подрядным организациям, имеющим доступ к информационным системам с привилегированными правами, в договорах установлены требования о реализации мер по защите от угроз через информационную инфраструктуру подрядчика | 0,30 | 0,1 | да | 0,30 | Подготовка/Проверка договоров в части соответствия требованиям информационной безопасности | ||||||||||||||||||
8 | 2 | Защита пользователей | 1. Отсутствуют учетные записи с паролем, сложность которого не соответствует установленным требованиям к парольной политике. В случае отсутствия технической возможности обеспечения требуемой сложности паролей реализованы компенсирующие меры | 0,30 | 0,25 | да | 0,30 | Проверка учетных записей. Обеспечение требуемой сложности паролей. Обеспечение компенсирующих мер. | ||||||||||||||||||
9 | 2 | Защита пользователей | 2. Реализована многофакторная аутентификация привилегированных пользователей (при аутентификации не менее 50% администраторов, разработчиков или иных привилегированных пользователей используется второй фактор) | 0,30 | 0,25 | да | 0,30 | Проверка и обеспечение наличия многофакторной аутентификации в требуемом объеме. | ||||||||||||||||||
10 | 2 | Защита пользователей | 3. Отсутствуют учетные записи разработчиков и сервисные учетные записи с паролями, установленными ими по умолчанию | 0,20 | 0,25 | да | 0,20 | Настройка принудительны смены логинов/паролей | ||||||||||||||||||
11 | 2 | Защита пользователей | 4. Отсутствуют активные учетные записи работников органа (организации) и работников, привлекаемых на договорной основе, с которыми прекращены трудовые или иные отношения | 0,20 | 0,25 | да | 0,20 | Проверка/удаление учетных записей уволенных сотрудников | ||||||||||||||||||
12 | 3 | Защита информационных систем | 1. На сетевом периметре информационных систем установлены межсетевые экраны уровня L3/L4 (доступ к 100% интерфейсов, доступных из сети Интернет , контролируется межсетевыми экранами уровня L3/L4) | 0,20 | 0,35 | да | 0,20 | Полный перечень работ по подбору, поставке настройке и сопровождения активного сетевого оборудования (межсетевые экраны, криптошлюзы, криптомаршрутизаторы) | ||||||||||||||||||
13 | 3 | Защита информационных систем | 2. На устройствах и интерфейсах, доступных из сети Интернет, отсутствуют уязвимости критического уровня опасности с датой публикации обновлений (компенсирующих мер по устранению) в банке данных угроз ФСТЭК России, на официальных сайтах разработчиков, иных открытых источниках более 30 дней или в отношении таких уязвимостей реализованы компенсирующие меры | 0,25 | 0,35 | да | 0,25 | Аудит наличия уязвимостей критического уровня опасности. Рекомендации по их устранению. | ||||||||||||||||||
14 | 3 | Защита информационных систем | 3. На пользовательских устройствах и серверах отсутствуют уязвимости критического уровня с датой публикации обновления (компенсирующих мер по устранению) более 90 дней (не менее 90% устройств и серверов) или в отношении таких уязвимостей реализованы компенсирующие меры | 0,15 | 0,35 | да | 0,15 | Аудит наличия уязвимостей критического уровня опасности. Рекомендации по их устранению | ||||||||||||||||||
15 | 3 | Защита информационных систем | 4. Обеспечена проверка вложений в электронных письмах электронной почты на наличие вредоносного программного обеспечения (проверяются вложения не менее чем на 80% пользовательских устройств) | 0,15 | 0,35 | да | 0,15 | Аудит почтового антивируса | ||||||||||||||||||
16 | 3 | Защита информационных систем | 5. Обеспечено централизованное управление средствами антивирусной защиты (не менее чем 80% пользовательских устройств контролируются средствами антивирусной защиты c централизованным управлением). При этом обеспечены контроль и установка обновлений баз данных признаков вредоносного программного обеспечения не реже чем 1 раз в месяц | 0,15 | 0,35 | нет | 0,00 | Аудит централизованного управления средствами антивирусной защиты | ||||||||||||||||||
17 | 3 | Защита информационных систем | 6. Реализована очистка входящего из сети Интернет сетевого трафика от аномалий на уровне L3/L4 (заключен договор с провайдером) | 0,10 | 0,35 | да | 0,10 | Аудит входящего сетевого трафика | ||||||||||||||||||
18 | 4 | Мониторинг информационной безопасности и реагирование | 1. Реализован централизованный сбор событий безопасности и оповещение о неудачных попытках входа для привилегированных учетных записей | 0,40 | 0,3 | да | 0,40 | Комплексный аудит системы ИБ | ||||||||||||||||||
19 | 4 | Мониторинг информационной безопасности и реагирование | 2. Реализован централизованный сбор и анализ событий безопасности на всех устройствах, взаимодействующих с сетью | 0,35 | 0,3 | да | 0,35 | Комплексный аудит системы ИБ | ||||||||||||||||||
20 | 4 | Мониторинг информационной безопасности и реагирование | 3. Утвержден документ, определяющий порядок реагирования на компьютерные инциденты | 0,25 | 0,3 | да | 0,25 | Разработка рабочих документов по реагированию на компьютерные инциденты | ||||||||||||||||||
21 | Кзи | 1,00 | 0,95 | |||||||||||||||||||||||
22 | ||||||||||||||||||||||||||
23 | Кзи=1 | Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как минимальный базовый («зеленый») | ||||||||||||||||||||||||
24 | 0,75<Кзи<1 | Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как низкий («оранжевый») | 0,300 | / | ||||||||||||||||||||||
25 | Кзи≤0,75 | Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как критический («красный») | 0,350 | / | ||||||||||||||||||||||
26 | 0,100 | / | ||||||||||||||||||||||||
27 | 0,250 | |||||||||||||||||||||||||
28 | 1,000 | |||||||||||||||||||||||||
29 | ||||||||||||||||||||||||||
30 | ||||||||||||||||||||||||||
31 | ||||||||||||||||||||||||||
32 | ||||||||||||||||||||||||||
33 | ||||||||||||||||||||||||||
34 | ||||||||||||||||||||||||||
35 | ||||||||||||||||||||||||||
36 | ||||||||||||||||||||||||||
37 | ||||||||||||||||||||||||||
38 | ||||||||||||||||||||||||||
39 | ||||||||||||||||||||||||||
40 | ||||||||||||||||||||||||||
41 | ||||||||||||||||||||||||||
42 | ||||||||||||||||||||||||||
43 | ||||||||||||||||||||||||||
44 | ||||||||||||||||||||||||||
45 | ||||||||||||||||||||||||||
46 | ||||||||||||||||||||||||||
47 | ||||||||||||||||||||||||||
48 | ||||||||||||||||||||||||||
49 | ||||||||||||||||||||||||||
50 | ||||||||||||||||||||||||||
51 | ||||||||||||||||||||||||||
52 | ||||||||||||||||||||||||||
53 | ||||||||||||||||||||||||||
54 | ||||||||||||||||||||||||||
55 | ||||||||||||||||||||||||||
56 | ||||||||||||||||||||||||||
57 | ||||||||||||||||||||||||||
58 | ||||||||||||||||||||||||||
59 | ||||||||||||||||||||||||||
60 | ||||||||||||||||||||||||||
61 | ||||||||||||||||||||||||||
62 | ||||||||||||||||||||||||||
63 | ||||||||||||||||||||||||||
64 | ||||||||||||||||||||||||||
65 | ||||||||||||||||||||||||||
66 | ||||||||||||||||||||||||||
67 | ||||||||||||||||||||||||||
68 | ||||||||||||||||||||||||||
69 | ||||||||||||||||||||||||||
70 | ||||||||||||||||||||||||||
71 | ||||||||||||||||||||||||||
72 | ||||||||||||||||||||||||||
73 | ||||||||||||||||||||||||||
74 | ||||||||||||||||||||||||||
75 | ||||||||||||||||||||||||||
76 | ||||||||||||||||||||||||||
77 | ||||||||||||||||||||||||||
78 | ||||||||||||||||||||||||||
79 | ||||||||||||||||||||||||||
80 | ||||||||||||||||||||||||||
81 | ||||||||||||||||||||||||||
82 | ||||||||||||||||||||||||||
83 | ||||||||||||||||||||||||||
84 | ||||||||||||||||||||||||||
85 | ||||||||||||||||||||||||||
86 | ||||||||||||||||||||||||||
87 | ||||||||||||||||||||||||||
88 | ||||||||||||||||||||||||||
89 | ||||||||||||||||||||||||||
90 | ||||||||||||||||||||||||||
91 | ||||||||||||||||||||||||||
92 | ||||||||||||||||||||||||||
93 | ||||||||||||||||||||||||||
94 | ||||||||||||||||||||||||||
95 | ||||||||||||||||||||||||||
96 | ||||||||||||||||||||||||||
97 | ||||||||||||||||||||||||||
98 | ||||||||||||||||||||||||||
99 | ||||||||||||||||||||||||||
100 | ||||||||||||||||||||||||||