ГрамотаИБ ГрамотаИБ

Оценка показателя защищённости КЗИ (методика ФСТЭК 2025): как считать

Приказ ФСТЭК №117 ввёл показатель состояния технической защиты информации КЗИ, а методика ФСТЭК от 11 ноября 2025 года объясняет, как его считать. Разбираем: что такое КЗИ и его нормированное значение, четыре группы частных показателей с весами, формулу расчёта, зоны защищённости (зелёная, оранжевая, красная), периодичность оценки и отчётность во ФСТЭК. С примером расчёта и калькулятором.

Приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №117 ввёл для государственных и иных информационных систем измеримый показатель состояния технической защиты информации — КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен.. Как именно его считать, объясняет методический документ ФСТЭК России, утверждённый 11 ноября 2025 года (он заменил методику от 2 мая 2024 г.). Разберём по порядку: что такое КЗИ, из чего он складывается, как его рассчитать и как трактовать результат.

Что такое показатель КЗИ

КЗИ — показатель текущего состояния защищённости. Он характеризует, насколько организация достигла минимально необходимого уровня защиты от типовых актуальных угроз, реализуемых нарушителем с базовыми возможностями. За такой уровень принят состав мер, предусмотренных приказами ФСТЭК (для ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.№21, для ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. — №117, для КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. — №239 и др.).

Нормированное значение — КЗИ = 1. Если показатель равен единице, минимальный уровень защиты обеспечен. Любое значение меньше единицы означает, что есть возможность или предпосылки для реализации актуальных угроз.

Из чего складывается: группы и веса

КЗИ собирается из частных показателей безопасности kji, объединённых в четыре группы. У каждой группы свой весовой коэффициент Rj (сумма весов = 1), внутри группы сумма вкладов всех мер тоже равна 1:

ГруппаВес RjО чём
1. Организация и управление0,10Назначен ответственный за ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз., определены функции подразделения, требования к подрядчикам
2. Защита пользователей0,25Парольная политика, многофакторная аутентификация, отсутствие паролей по умолчанию и учёток уволенных
3. Защита информационных систем0,35Межсетевые экраны, устранение критических уязвимостей, антивирус и проверка почты, защита от DDoS
4. Мониторинг и реагирование0,30Централизованный сбор событий безопасности, оповещения, порядок реагирования на инциденты

Каждой мере (частному показателю) в таблице методики задано своё значение — её вклад при реализации. Например, в группе 3 межсетевой экран даёт 0,20, устранение критических уязвимостей на интернет-устройствах — 0,25, и так далее. Если мера реализована — она вносит свой вклад, если нет — ноль.

Формула расчёта

Внутри каждой группы складываются вклады выполненных мер, сумма умножается на вес группы, результаты по группам складываются:

КЗИ = (k11+k12+k13)×0,10 + (k21+…+k24)×0,25 + (k31+…+k36)×0,35 + (k41+k42+k43)×0,30

Важные правила:

  • если организация эксплуатирует несколько информационных систем, по каждой группе берётся минимальное из полученных по системам значений;
  • если мера не реализована или реализована не в полном объёме, её показателю присваивается 0;
  • если одна и та же мера повторно (в течение 12 месяцев) не выполнена, обнуляется вся группа (её вес Rj становится 0);
  • если по итогам тестирования на проникновение получен доступ через учётные записи — обнуляется группа 2, через уязвимости — группа 3.

Как трактовать результат: зоны защищённости

Полученное значение сравнивается с нормированным (таблица 2 методики):

Значение КЗИСостояние защищённости
КЗИ = 1Зелёная зона — минимальный базовый уровень: защита от типовых актуальных угроз обеспечена.
0,75 < КЗИ < 1Оранжевая зона — низкий уровень: минимальная защита не обеспечена, есть предпосылки для реализации угроз.
КЗИ ≤ 0,75Красная зона — критический уровень: есть реальная возможность реализации угроз.

Если значение в оранжевой или красной зоне, организация разрабатывает план мероприятий по достижению следующего уровня; срок их выполнения не должен выходить за следующую плановую оценку.

Пример расчёта

Допустим, организация реализовала все меры, кроме защиты от DDoS-атак (k36, вклад 0,10 в группе 3) и утверждённого порядка реагирования на инциденты (k43, вклад 0,25 в группе 4). Считаем по группам:

  • группа 1: 1,0 × 0,10 = 0,10;
  • группа 2: 1,0 × 0,25 = 0,25;
  • группа 3: (1 − 0,10) × 0,35 = 0,90 × 0,35 = 0,315;
  • группа 4: (1 − 0,25) × 0,30 = 0,75 × 0,30 = 0,225.

Итого КЗИ = 0,10 + 0,25 + 0,315 + 0,225 = 0,89 — это оранжевая зона. Первоочередные меры понятны сразу: настроить защиту от DDoS и утвердить порядок реагирования на инциденты. Посчитать свой показатель по всем мерам можно в калькуляторе КЗИ.

Кто, когда и зачем оценивает

  • Периодичность. Оценка проводится не реже одного раза в шесть месяцев; порядок закрепляется во внутреннем регламенте. Внеочередная — при значимом инциденте, изменении архитектуры систем, по запросу руководителя или ФСТЭК.
  • Кто проводит. Организует заместитель руководителя, ответственный за ИБ; проводит подразделение по защите информации. Оценщики не оценивают результаты собственной работы.
  • Отчётность. Результаты направляются во ФСТЭК России для мониторинга; ведомство может запросить подтверждающие документы. Если материалы не представлены в течение 30 дней, показателю присваивается 0.
  • Зачем организации. Кроме отчётности — это инструмент самооценки: значения частных показателей прямо указывают, какие меры не работают и что чинить в первую очередь.

Главное

КЗИ переводит защищённость из качественной в измеримую: организация отмечает реализованные меры, считает взвешенную сумму и сравнивает с единицей. Зелёная зона (КЗИ = 1) — минимальный уровень достигнут, оранжевая и красная — нет, и методика сразу показывает приоритеты. Это часть новой логики приказа №117 — управление защитой по измеримым показателям.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Читайте также

Все по теме «ФСТЭК: ИСПДн, ГИС, КИИ» →

Приказ ФСТЭК №117 вместо №17: что изменилось в защите ГИС (сравнение)

С 1 марта 2026 года защиту информации в государственных информационных системах регулирует приказ ФСТЭК России №117 — он заменил приказ №17. Подробный сравнительный разбор: что осталось прежним (классы К1–К3, аттестация), а что изменилось принципиально — переход от базового набора мер по классу к целям защиты и актуальным угрозам, новые показатели защищённости (Кзи) и зрелости (Пзи) с отчётностью во ФСТЭК, расширение сферы действия и непрерывное управление защитой. С какой целью проведена реформа и что делать оператору ГИС.

Приказ ФСТЭК № 117: что меняется в защите государственных информационных систем

Что такое приказ ФСТЭК России № 117, который с 1 марта 2026 года пришёл на смену приказу № 17: к кому применяется, как определяется класс защищённости ГИС (К1–К3), роль модели угроз и аттестации, и что учесть операторам государственных информационных систем при переходе.

Субъект КИИ: касается ли вас 187-ФЗ — чек-лист

Кто такой субъект критической информационной инфраструктуры по 187-ФЗ, по каким сферам деятельности определяется этот статус и чем он отличается от наличия значимого объекта. Простой чек-лист, чтобы понять, относятся ли к вашей организации требования по КИИ, и что делать, если да.

ГосСОПКА и НКЦКИ: кому и как подключаться (КИИ)

Что такое ГосСОПКА и НКЦКИ, кто обязан взаимодействовать с системой, как подключиться (напрямую к НКЦКИ или через ведомственный/корпоративный центр) и в какие сроки уведомлять о компьютерных инцидентах. Для субъектов критической информационной инфраструктуры по 187-ФЗ.