Каждые полгода государство будет проверять защищённость КИИ по новой методике ФСТЭК

ФСТЭК России разработает методику оценки уровня защищённости объектов критической информационной инфраструктуры и других значимых информационных систем. Мониторинг показателей предлагается проводить не реже 1 раза в 6 месяцев, а результаты направлять в Совет безопасности России. Проект постановления правительства должен дополнить указ президента №250 и перевести требования к защите инфраструктуры в формат измеримых показателей.

На проект постановления, подготовленный ФСТЭК России, обратили внимание «Ведомости». Документ предлагает определить порядок оценки уровня защиты информационных систем у целого ряда организаций:

• государственные органы федерального уровня;
• государственные фонды и их подразделения;
• государственные корпорации и их структуры;
• стратегические предприятия отраслевого значения;
• системообразующие организации российской экономики.

Под новую модель оценки попадут структуры, от которых зависит работа значимых государственных и отраслевых процессов.

Оценка будет строиться по 3 уровням отчётности. Первый уровень касается текущего состояния защиты конкретной организации. Второй показывает уровень защищённости объектов в отрасли. Третий отражает ситуацию на уровне региона. Подобная схема даст государству картину не только по отдельным компаниям, но и по целым секторам и субъектам РФ.

Интересно, что отчёты о состоянии защиты теперь пойдут прямо в Совет безопасности, и формальные ответы вроде «всё под контролем» больше не сработают.

ФСТЭК России предлагает перейти от общего требования «обеспечить защиту» к системе с измеримыми и сравнимыми показателями. Мониторинг не реже 1 раза в полгода превращает оценку из разовой процедуры в постоянную работу. Организациям придётся поддерживать показатели в актуальном состоянии и показывать динамику.

Указ №250 ранее закрепил персональную ответственность руководителей за защиту значимых объектов. Председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров отметил обязательство компаний принимать меры и создавать службы защиты. Бизнес-партнёр Cloud.ru по кибербезопасности Юлия Липатникова добавила об отсутствии в документе точной формулы оценки результата.

Игорь Бедеров считает появление методики переходом к прозрачной системе измеримых KPI с государственным статусом. По словам Игоря Бедерова, прежние требования во многом оставались формальными, а проверки часто сводились к наличию документов. Сейчас вводятся количественные показатели для организаций, отраслей и регионов.

Для операторов КИИ это становится серьёзным управленческим поворотом. Изменение подхода ощутят сразу несколько направлений работы:

• демонстрация защиты через регламенты и приказы потеряет прежнюю силу;
• наличие средств защиты перестанет автоматически подтверждать результат;
• придётся показывать фактическое состояние объектов перед ФСТЭК;
• появится требование подтверждать устойчивость к актуальным угрозам;
• руководителям предстоит отвечать за конкретные числовые показатели.

Проект продолжает линию последних решений ФСТЭК России. 12 апреля 2026 года служба утвердила методический документ о составе и содержании мер по защите данных в информационных системах. Подход смещается в сторону раннего и системного проектирования защиты. Меры должны закладываться не после запуска системы, а на этапах проектирования, эксплуатации и обновлений.

Ранее для общественного обсуждения публиковали проект указа президента РФ с изменениями указа №250. Документ ввёл целевые показатели защищённости для государственных информационных систем, иных информационных систем и значимых объектов КИИ. Для отраслей под законом №187-ФЗ и объектов в ведении региональных органов власти предлагался ориентир не менее 80%.

Интересно, что без новой методики ФСТЭК планка в 80% защищённости оставалась бы красивой цифрой на бумаге, а теперь её придётся реально подтверждать раз в полгода.

Методика ФСТЭК России становится практической частью конструкции с целевыми показателями. Указ задаёт ориентиры, а методика объясняет порядок их расчёта, ответственных за отчётность, учитываемые данные и способы сравнения уровня защищённости между организациями, отраслями и регионами.

Для регионов новая система окажется особенно чувствительной. У субъектов РФ заметно различаются несколько ключевых параметров:

• зрелость цифровой инфраструктуры и охват сетей;
• бюджеты на информационную безопасность;
• состояние подрядной экосистемы и контрактов;
• наличие квалифицированных специалистов;
• системы управления и контроля рисков.

Регулярная оценка раз в 6 месяцев быстро покажет системные провалы и зоны с реальной защитой. Подобный механизм усилит давление на региональные команды, но даст более ясную картину для распределения ресурсов.

Для отраслей КИИ значимым станет вопрос сопоставимости данных. Энергетика, транспорт, финансы, связь, промышленность и госсектор различаются по архитектуре систем, угрозам, объёму данных и зависимости от подрядчиков. Методика должна учитывать особенности отраслей, иначе единые показатели дадут слишком грубую оценку.

Для бизнеса появление измеримых KPI может иметь 2 эффекта. С одной стороны, руководителям станет проще говорить о защите инфраструктуры на языке показателей, сроков и ответственности. С другой стороны, перегруженная отчётность даст компаниям дополнительную бюрократическую нагрузку без реального усиления защиты.

Эксперты редакции CISOCLUB отмечают, что проект ФСТЭК России показывает перевод защиты КИИ в режим регулярного измерения и контроля на уровне Совета безопасности. По мнению редакции, это логичный шаг после указа №250 и новых методических документов, но успех инициативы будет зависеть от качества самой методики. Эксперты заявили, что проверка реальной готовности к атакам, восстановлению и работе с актуальными угрозами превратит цифровые KPI в полезный инструмент управления рисками. При формальной реализации с акцентом на наборе признаков рынок получит лишь новую отчётность вместо усиления защиты, и старая проблема бумажной безопасности повторится в новой обёртке.