ФСТЭК установит четкие количественные метрики для оценки степени защищенности информационных систем на объектах КИИ. В настоящее время такая прозрачная система отсутствует, однако руководители несут персональную ответственность за информационную безопасность.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) создаст показатели и методологию для определения уровня защищенности ИТ-систем объектов критической информационной инфраструктуры (КИИ), причем проверки по этим критериям будут проводиться не реже одного раза в полугодие, как указано в разработанном ведомством проекте правительственного постановления, выяснили «Ведомости».
Этот документ станет дополнением к указу Президента №250, касающемуся мер по обеспечению информационной безопасности.
ФСТЭК будет отчитываться о результатах мониторинга перед Советом безопасности России. Система отчетности будет построена на трех уровнях — текущее состояние защищенности отдельной компании, уровень безопасности объектов в конкретной отрасли и уровень защищенности объектов в регионе.
К объектам КИИ относятся государственные органы и учреждения, а также юридические лица из ключевых отраслей: здравоохранения, науки, транспорта, связи, финансов, атомной и топливной энергетики, промышленности (включая горнодобывающую, металлургическую, химическую, оборонную и ракетно-космическую).
Вводимые изменения повысят значимость задачи обеспечения информационной безопасности, считает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Такое решение было принято, «поскольку до сих пор не все компании осознают важность защиты своей ИБ, а также ее влияния на экономику страны и национальную безопасность», отметил эксперт.
Ключевым нововведением становится обязанность ФСТЭК не только собирать данные, но и анализировать их, присваивая организациям конкретные «оценки» уровня защищенности, а также публично отчитываться о достижении целевых показателей, подчеркнул председатель совета по противодействию технологическим правонарушениям Координационного совета Негосударственной сферы безопасности России (КС НСБ) России Игорь Бедеров.
Это означает появление прозрачной системы измеримых KPI, считает Бедеров: «Раньше требования были, по сути, формальными, а проверки ФСТЭК зачастую сводились к проверке наличия документов. Теперь же вводятся четкие количественные показатели как для самих организаций, так и для отраслей и регионов в целом».
Указ Президента № 250 о мерах по обеспечению информационной безопасности не содержал точной формулы для оценки успеха, но при этом устанавливал персональную ответственность руководителей за ИБ на объектах, обратил внимание Бедеров.
Для самих компаний с точки зрения требований безопасности это практически ничего не меняет, однако усиливается внимание к ним, полагает Лукацкий.
Только 36% организаций смогли обеспечить минимальный уровень защиты от злоумышленников с ограниченными возможностями, как отмечали представители ФСТЭК, сообщалось в CNews в начале 2026 года. В ходе государственного контроля более 700 ключевых объектов КИИ ведомство обнаружило свыше 1,2 тысячи нарушений. За 2024 год ФСТЭК докладывала о более чем 800 выявленных нарушениях.
Практически во всех проверках наблюдалось полное несоответствие данных об объекте, включённом в реестр, и его реальным состоянием. ФСТЭК также отметила отсутствие централизованного управления средствами защиты при их значительном количестве и нехватке специалистов. Применяемый многими организациями периодический, а не непрерывный мониторинг безопасности создаёт возможности для эксплуатации ИТ-уязвимостей. Критической проблемой также является хранение резервных копий в той же среде, что и основные производственные ИТ-системы, что ставит под угрозу восстановление после кибератаки.
