Журнал "Information Security/ Информационная безопасность" #1, 2024

• 5 ПРАВО И НОРМАТИВЫ www.itsec.ru Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ Информационным сообщением ФСТЭК России от 12 февраля 2024 г. № 240/91/688 сообщается о разработке методического документа ФСТЭК Рос- сии "Методика оценки показателя состояния защиты информации и обес- печения безопасности объектов крити- ческой информационной инфраструкту- ры Российской Федерации" 6 . Документ определяет порядок оценки текущего состояния технической защиты информации, не содержащей сведений, составляющих государственную тайну, и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации в органах государственной власти и организациях, в том числе являющихся субъектами КИИ. Целью применения указанного мето- дического документа является оценка степени достижения органами государст- венной власти и организациями мини- мально необходимого (базового) уровня защиты информации, не составляющей государственную тайну, и уровня обес- печения безопасности значимых объ- ектов КИИ от наиболее распространен- ных угроз безопасности информации. Предложения по совершенствованию проекта методического документа при- нимались ФСТЭК России до 15 марта 2024 г. Проект Методики оценки показателя состояния технической защиты инфор- мации и обеспечения безопасности значимых объектов критической инфор- мационной инфраструктуры Российской Федерации также был размещен на официальном сайте ФСТЭК России 7 . Методика разработана в целях реа- лизации ФСТЭК России новых полно- мочий по осуществлению в пределах своей компетенции централизованного учета информационных систем и иных объектов КИИ по отраслям экономики, а также мониторинга текущего состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ. Методика будет применяться: l ФСТЭК России – для мониторинга; l органом (организацией) – для оценки текущего состояния технической защиты информации и (или) обеспечения без- опасности значимых объектов КИИ, а также оценки деятельности замести- теля руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопас- ности, и (или) структурного подразделе- ния, осуществляющего функции обес- печения информационной безопасности органа. При реализации методики должен быть рассчитан показатель защищен- ности – уровень КЗИ. Оценка уровня КЗИ включает: l сбор и анализ исходных данных, необходимых для оценки уровня КЗИ; l определение значений частных пока- зателей безопасности КЗИ; l расчет значения уровня КЗИ и его сравнение с нормированным значени- ем. Информационные системы, автома- тизированные системы управления, информационно-телекоммуникационные сети, иные объекты информатизации и содержащаяся в них информация органа (организации) имеют минимально необходимый уровень защищенности от актуальных угроз безопасности инфор- мации, если значение уровня КЗИ соот- ветствует нормированному значению: КЗИ = 1. Расчет уровня КЗИ проводится не реже чем один раз в квартал. Государственный контроль за обеспечением защиты государственной тайны В феврале 2024 г. ФСТЭК России представила для общественного обсуж- дения ряд проектов ведомственных при- казов в части организации государст- венного контроля за обеспечение защи- ты государственной тайны: l "Об определении территориальных органов и структурных подразделений ФСТЭК России, должностных лиц ФСТЭК России и ее территориальных 6 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-12-fevralya-2024-g-n-240-91-688 7 https://fstec.ru/dokumenty/vse-dokumenty/proekty/proekt-metodicheskogo-dokumenta-3 Реклама Февраль-2024 обзоре изменений законодательства за февраль 2024 г. поговорим о проекте Методики оценки показателя состояния защиты информации и обеспечения безопасности объ- ектов КИИ от ФСТЭК России, проектах ведомственных приказов ФСТЭК России по части организации государственного контроля за обеспечением защиты государствен- ной тайны, о новых стандартах в области безопасной разработки ПО, а также об изменениях в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи (ЭП). В