ℹ️ Вы уже посчитали свой КЗИ и ПЗИ?

Коллеги, анализирую свежий приказ ФСТЭК №117 (приложен). Этот приказ заменяет приказ № 17 и все изменения к нему № 27, 106, 61. C 1 марта 2026 года у нас с вами появляются обязательные метрики эффективности защиты информации.

🛡Новых обязательных KPI два:

✔️ КЗИ — Коэффициент Защищённости Информации
Он показывает как наши текущие меры защиты покрывают актуальные угрозы. Считаем каждые 6 месяцев, результат летит в ФСТЭК. В объектах КИИ требуется поддерживать и подтверждать КЗИ, равный 1.

✔️ ПЗИ — Показатель уровня Зрелости защиты Информации
Показываем зрелость процессов: мониторинг, управление уязвимостями, удалёнку и прочее. Считаем раз в 2 года, также отправляем регулятору.
Для объектов КИИ целевым считается максимально возможный уровень зрелости (обычно это уровень 4 или 5 по шкале CMMI), что соответствует полностью формализованным, автоматизированным, контролируемым и постоянно совершенствуемым процессам.

🔄 Мне очень нравится описание методики оценки уровня зрелости ИБ у Сбербанка.

📌 Внимание: ФСТЭК требует постоянно отчитываться о ПЗИ и КЗИ!
Если показатели проваливаются - у вас 3 дня на доклад руководству, 5 рабочих дней на отчёт в ФСТЭК. Жёстко?

🌍 Есть ли подобное в мире?
Конечно есть, но у нас впервые это именно KPI, а не рекомендация.
🔹КЗИ → NIST Risk Score, ISO 27005 Risk Index
🔹ПЗИ → NIST CSF Tiers, COBIT, MIL (Maturity Indicator Levels) внутри Cybersecurity Capability Maturity Model (C2M2)

🔍 Что стоит делать уже сейчас
🔹Провести инвентаризацию угроз и реализованных мер
🔹Построить матрицу угроз и защит
🔹Найти или создать шаблоны расчётов КЗИ и ПЗИ
🔹Актуализирать регламенты и политику ИБ
🔹Назначить ответственных за расчёт и отправку

🧭 Моё мнение? Эти метрики — результат продвижения подхода результативной кибербезопасности. Пока иностранные ISO и NIST говорят: «Оцените себя сами», ФСТЭК говорит: «Ждем результатов».
Есть ощущение, что множество организаций начнут отдавать события безопасности во внешний SOC, чтобы повысить свой КЗИ и ПЗИ.

Кому важно прочитать и выполнять этот документ
🔹Бюджетные организации (больницы, школы, ВУЗы, музеи).
🔹ГУПы («Почта России», «Ростех», «Росатом»).
🔹Органы местного самоуправления (мэрии, районные администрации).
🔹Все федеральные и региональные органы власти (министерства, агентства, службы).
🔹Всем кто входит в реестр значимых объектов КИИ: энергетика, транспорт, здравоохранение, финансы. И да, еще ФЗ-187 «О безопасности КИИ» надо выполнить.

💬 А вы уже прикидывали, какой у вас сейчас КЗИ?

#ФСТЭК #КЗИ #ПЗИ #NIST #ISO27001 #compliance
Топ Кибербезопасности Батранкова