Федеральная служба по техническому и экспортному контролю (ФСТЭК) представила для общественного обсуждения проект методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Предполагается, что методика будет применяться:
- операторами информационных систем (ИС) и значимых объектов КИИ – для оценки зрелости деятельности в области защиты информации (обеспечения безопасности значимых объектов КИИ);
- подрядными организациями – для подтверждения уровня зрелости деятельности в области защиты информации (обеспечения безопасности значимых объектов КИИ), осуществляемой при оказании услуг, проведении работ;
- госорганами, организациями, в том числе субъектами КИИ, являющими заказчиками услуг, работ — для установления требований к уровню зрелости деятельности в области защиты информации (обеспечения безопасности значимых объектов КИИ), осуществляемой подрядными организациями;
- операторами ИС персональных данных – для подтверждения уровня зрелости деятельности в области обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
- ФСТЭК России — для оценки эффективности деятельности в области защиты информации (обеспечения безопасности значимых объектов КИИ), осуществляемой операторами, подрядными организациями.
См. также: Количество «минимально защищённых» субъектов КИИ за год выросло с 13% до 36%
Согласно документу, уровень зрелости деятельности в области защиты информации (обеспечения безопасности значимых объектов КИИ) может иметь одно из четырёх значений. Самый низкий уровень зрелости — «начальный», самый высокий — «верифицируемый». Отсутствие уровня зрелости характеризуется значением «нулевой (отсутствует)».
Оценка уровня зрелости проводится по следующим базовым направлениям (областям оценки):
- организация и управление деятельностью;
- выявление и оценка угроз безопасности информации;
- контроль конфигураций информационных систем;
- управление уязвимостями;
- управление обновлениями;
- защита информации при обращении с информацией ограниченного доступа;
- защита информации при применении конечных устройств;
- защита информации при применении мобильных устройств;
- защита удалённого доступа;
- защита беспроводного доступа;
- защита привилегированного доступа;
- мониторинг информационной безопасности;
- разработка безопасного программного обеспечения;
- физическая защита;
- непрерывность функционирования;
- повышение уровня знаний и информированности;
- защита информации при взаимодействии с подрядными организациями;
- защита от компьютерных атак, направленных на отказ в обслуживании;
- защита информации при использовании искусственного интеллекта;
- защита информационных систем и содержащейся в них информации;
- контроль уровня защищённости.
Эти направления и их целевые значения образуют профиль уровня зрелости. В профиль могут включаться дополнительные направления деятельности по обеспечению ИБ, установленные отраслевыми, ведомственными требованиями в области защиты информации и информационной безопасности.
По результатам профилирования осуществляется построение диаграммы профиля уровней зрелости.
В документе также описаны процедуры сбора и анализа исходных данных, необходимых для оценки уровня зрелости; способы определения текущих уровней зрелости (с необходимыми таблицами и формулами); алгоритм документирования результатов оценки уровня зрелости.
См. также: Подписаны законы об усилении мер защиты КИИ
Замечания и предложения по доработке проекта документа принимаются до 8 июня. Принять участие в доработке предлагается специалистам в области защиты информации заинтересованных государственных органов власти, организаций и субъектов КИИ.
