ФСТЭК представила проект оценки уровня зрелости деятельности по ТЗИ и безопасности ЗОКИИ

22 мая 2026 года ФСТЭК России представила проект Методики оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Данная методика предназначена для оценки уровня зрелости деятельности в области защиты информации и(или) обеспечения безопасности ЗОКИИ. Требования к такой деятельности установлены ФСТЭК России в соответствии с законодательством Российской Федерации следующими нормативными правовыми актами: Приказ ФСТЭК России № 117 от 11.04.2025, Приказ № 31 от 28.02.2017, Приказ № 239 от 25.12.2017 и Приказ № 21 от 18.02.2013.

Данная Методика применяется следующими субъектами:

1. Операторами ИС, ЗОКИИ
2. Подрядными организациями
3. Государственными органами, организациями, в том числе субъектами КИИ, являющими заказчиками услуг, работ
4. Операторами ИСПДн
5. ФСТЭК России

Оценка уровня зрелости осуществляется по ключевым направлениям деятельности, таким как управление уязвимостями, управление обновлениями, защита удалённого доступа, защита беспроводного доступа и другим.

В Методике описано определение целевого уровня зрелости деятельности в зависимости от статуса Организации. Например, для операторов ГИС 3 класса защищенности, иных ИС государственных органов, государственных предприятий и учреждений, операторов ИСПДн 4 и 3 уровней защищенности, ЗОКИИ 3 категории значимости, а также подрядных организаций рекомендуется задавать целевой уровень зрелости не ниже начального.

Уровень зрелости деятельности может иметь одно из 5 значений:

1. Нулевой (уровень зрелости <1)
2. Начальный (1≤ уровень зрелости <2)
3. Системный (2≤ уровень зрелости <3)
4. Контролируемый (3≤ уровень зрелости <4)
5. Верифицируемый (уровень зрелости ≥4)

При оценке уровня зрелости направлений деятельности проверяется соответствие каждого направления требованиям к его реализации, закрепленным в таблице 2 Методики.

В Методике приведены формула для расчета значения выполнения каждого требования. В расчете используется весовой коэффициент критериев оценки уровня зрелости, а также значение выполнения требования к уровню зрелости. Весовые коэффициенты, необходимые для расчета находятся в таблице 2 Методики. Потом проводится расчет итогового значения по всем требованиям. После данных расчётов осуществляется подтверждение уровня зрелости с использованием таблицы 3 Методики.

Также в Методике содержится формула расчета итогового (общего) уровня зрелости. Для расчета необходимо значение количества направлений деятельности, индекс направлений, а также уровень зрелости на каждом из направлений.

По результатам проведения оценки уровня зрелости разрабатывается отчет, в котором содержатся сведения о порядке проведения оценки по каждому направлению деятельности.

Необходимость проведения оценки уровня зрелости (Показателя Пзи) является обязательным в соответствии с актуальными требованиями нормативных документов ФСТЭК России. В настоящий момент необходимость расчета показателей Кзи и Пзи представлена в явном виде только в рамках Приказа ФСТЭК № 117. Однако, в соответствии с положениями проекта методики расчета Пзи и методики расчета Кзи, расчет показателей должен осуществляться в отношении всех отраженных в методиках нормативных документах ФСТЭК.