ФСТЭК вводит целевой показатель защищённости: 80% объектов без актуальных угроз

ФСТЭК России опубликовала набор показателей оценки защищённости ИТ-инфраструктуры. Новые требования затрагивают органы власти, государственные информационные системы (ГИС), объекты критической информационной инфраструктуры (КИИ) и системообразующие компании. Целевой ориентир — не менее 80% объектов должны быть защищены от актуальных угроз безопасности информации. Это переводит сферу ИБ из плоскости «должны выполнять» в область измеримых KPI с государственным статусом.

Документ размещён на портале проектов нормативных актов как дополнение к Указу Президента № 250. Порядок расчёта показателей оформлен отдельным проектом постановления Правительства, который также проходит публичное обсуждение. Мониторинг и расчёт показателей планируется возложить на Правительство РФ с обязательным согласованием со ФСТЭК и ФСБ. Таким образом, инициатива выходит за рамки одного ведомства и становится межведомственным инструментом оценки состояния защищённости.

Круг субъектов:

• Федеральные и региональные органы власти;
• Государственные информационные системы;
• Объекты КИИ;
• Государственные фонды и корпорации;
• Другие стратегические и системообразующие организации (самая широкая и потенциально спорная категория).

В проекте указа зафиксирован конкретный целевой показатель: доля объектов, защищённых от актуальных угроз в информационной сфере, — не менее 80% (для каждой отрасли и уровня власти).Это важный сдвиг. Раньше требования чаще формулировались в общих терминах («обеспечить», «выполнить»). Теперь появляется quantifiable порог, который можно проверять и фиксировать отклонения. Ключевой открытый вопрос — определение «актуальной угрозы» для конкретной инфраструктуры и методика подтверждения. От жёсткости этой методики будет зависеть, станет ли 80% реальной планкой или формальной отчётностью. Формально документ ориентирован на госсектор и КИИ. Однако категория «системообразующих организаций» охватывает сотни компаний из ретейла, логистики, промышленности, финансов и других отраслей. Если ваша организация попадает в этот перечень или работает подрядчиком для государственных структур, показатели ФСТЭК со временем могут перейти в разряд обязательных требований к поставщикам и партнёрам.

Рекомендации для специалистов по ИБ:

• Проверить, входит ли компания в перечень системообразующих организаций.
• Следить за финальной версией постановления после завершения публичного обсуждения.
• Оценить соответствие текущей модели угроз и методики оценки тому, что предложит ФСТЭК.
• Подготовить внутреннюю отчётность по ИБ так, чтобы показатель 80% можно было оперативно рассчитать при запросе.

Оба документа пока находятся в статусе проектов. Публичное обсуждение обычно заканчивается техническими правками без изменения общей концепции. Основное внимание сейчас стоит уделить методике расчёта — именно она определит, насколько жёстким и практически применимым станет новый KPI. Внедрение целевого показателя отражает общий тренд на повышение измеримости и подотчётности в сфере информационной безопасности. Организациям, работающим в регулируемых сегментах, стоит уже сейчас начинать адаптацию процессов под новые требования.

У нас есть комплексная услуга "Изменение систем ИБ в соответствии с нормами законодательства РФ". Предоставим рекомендации по устранению любых несоответствий, а ещё разработаем методологию и внутренние нормативные документы в области ИБ.