Title here
Summary here
Расчёт показателя защищённости Кзи по методике ФСТЭК от 11.11.2025
1. Методика 2024 vs Методика 2025: ключевые отличия
graph TB
subgraph "Методика 2024"
O1["3 группы показателей
в Защите ИС"] O2["Показатель k₃₄:
учёт устройств"] O3["Результаты —
по запросу ФСТЭК"] end subgraph "Методика 2025 (от 11.11.2025)" N1["Изменения в группе 3:
убран k₃₄"] N2["Добавлены штрафные санкции:
обнуление групп при пентесте"] N3["Результаты —
обязательно раз в полгода"] N4["Приложение 1:
список подтверждающих документов"] end O1 --> N1 O2 --> N2 O3 --> N3 style O3 fill:#f57f17,color:#fff style N3 fill:#c62828,color:#fff style N2 fill:#c62828,color:#fff style N4 fill:#2e7d32,color:#fff
в Защите ИС"] O2["Показатель k₃₄:
учёт устройств"] O3["Результаты —
по запросу ФСТЭК"] end subgraph "Методика 2025 (от 11.11.2025)" N1["Изменения в группе 3:
убран k₃₄"] N2["Добавлены штрафные санкции:
обнуление групп при пентесте"] N3["Результаты —
обязательно раз в полгода"] N4["Приложение 1:
список подтверждающих документов"] end O1 --> N1 O2 --> N2 O3 --> N3 style O3 fill:#f57f17,color:#fff style N3 fill:#c62828,color:#fff style N2 fill:#c62828,color:#fff style N4 fill:#2e7d32,color:#fff
| Критерий | Методика 2024 | Методика 2025 |
|---|---|---|
| Периодичность отчётности | По запросу ФСТЭК | Обязательно раз в 6 месяцев |
| Группа 3 | Показатель k₃₄ (учёт устройств) | k₃₄ убран |
| Штрафные санкции | Отсутствовали | Компрометация УЗ → обнуление R₂; доступ через уязвимости → обнуление R₃ |
| Подтверждающие документы | Не регламентированы | Приложение 1 со списком обязательных документов |
Комментарий эксперта
Игорь Краев: «Методика 2025 года стала “карательной”. Если на пентесте или учениях получен доступ к данным через учётные записи — обнуляется вся группа 2. Если через уязвимости ПО — обнуляется группа 3. При подтверждении возможности недопустимых событий — обнуляются сразу две группы. Это мощный стимул для реальной защиты. А обязательная отправка результатов раз в полгода означает, что скрыть проблемы больше не получится».
2. Структура показателя Кзи
Показатель Кзи складывается из 4 групп с разными весовыми коэффициентами.
graph LR
subgraph "Формула Кзи"
KZI["Kзи"]
end
subgraph "Группа 1 (R₁ = 0.10)"
G1_k11["k₁₁: Заместитель по ИБ
(0.30)"] G1_k12["k₁₂: Подразделение ИБ
(0.40)"] G1_k13["k₁₃: Подрядчики
(0.30)"] end subgraph "Группа 2 (R₂ = 0.25)" G2_k21["k₂₁: Парольная политика
(0.30)"] G2_k22["k₂₂: MFA
(0.30)"] G2_k23["k₂₃: Сервисные УЗ
(0.20)"] G2_k24["k₂₄: Бывшие сотрудники
(0.20)"] end subgraph "Группа 3 (R₃ = 0.35)" G3_k31["k₃₁: МЭ на периметре
(0.20)"] G3_k32["k₃₂: Крит. уязвимости
внешние (0.25)"] G3_k33["k₃₃: Крит. уязвимости
внутренние (0.15)"] G3_k34["k₃₄: Почтовые вложения
(0.15)"] G3_k35["k₃₅: Антивирус
(0.15)"] G3_k36["k₃₆: Защита от DDoS
(0.10)"] end subgraph "Группа 4 (R₄ = 0.30)" G4_k41["k₄₁: SIEM и оповещения
(0.40)"] G4_k42["k₄₂: Сбор событий
(0.35)"] G4_k43["k₄₃: Регламент инцидентов
(0.25)"] end KZI --> G1_k11 KZI --> G2_k21 KZI --> G3_k31 KZI --> G4_k41 style G3_k31 fill:#c62828,color:#fff style G4_k41 fill:#c62828,color:#fff
(0.30)"] G1_k12["k₁₂: Подразделение ИБ
(0.40)"] G1_k13["k₁₃: Подрядчики
(0.30)"] end subgraph "Группа 2 (R₂ = 0.25)" G2_k21["k₂₁: Парольная политика
(0.30)"] G2_k22["k₂₂: MFA
(0.30)"] G2_k23["k₂₃: Сервисные УЗ
(0.20)"] G2_k24["k₂₄: Бывшие сотрудники
(0.20)"] end subgraph "Группа 3 (R₃ = 0.35)" G3_k31["k₃₁: МЭ на периметре
(0.20)"] G3_k32["k₃₂: Крит. уязвимости
внешние (0.25)"] G3_k33["k₃₃: Крит. уязвимости
внутренние (0.15)"] G3_k34["k₃₄: Почтовые вложения
(0.15)"] G3_k35["k₃₅: Антивирус
(0.15)"] G3_k36["k₃₆: Защита от DDoS
(0.10)"] end subgraph "Группа 4 (R₄ = 0.30)" G4_k41["k₄₁: SIEM и оповещения
(0.40)"] G4_k42["k₄₂: Сбор событий
(0.35)"] G4_k43["k₄₃: Регламент инцидентов
(0.25)"] end KZI --> G1_k11 KZI --> G2_k21 KZI --> G3_k31 KZI --> G4_k41 style G3_k31 fill:#c62828,color:#fff style G4_k41 fill:#c62828,color:#fff
Весовые коэффициенты групп
| Группа | Вес (R) | Содержание |
|---|---|---|
| R₁ | 0.10 | Организация и управление |
| R₂ | 0.25 | Защита пользователей |
| R₃ | 0.35 | Защита информационных систем |
| R₄ | 0.30 | Мониторинг и реагирование |
Самые высокие веса у групп R₂ (пользователи) и R₃ (защита ИС). Проблемы с паролями или неустранённые уязвимости сильнее всего «роняют» итоговый показатель.
3. Пошаговый расчёт Кзи
3.1. Группа 1: Организация и управление (R₁ = 0.10)
graph LR
subgraph "Группа 1: Организация и управление"
K11["k₁₁ = 0.30
Назначен ли заместитель
руководителя по ИБ?"] K12["k₁₂ = 0.40
Создано ли структурное
подразделение ИБ?"] K13["k₁₃ = 0.30
Прописаны ли требования
в договорах с подрядчиками?"] end K11 -->|"Да"| K11_YES["+0.30"] K12 -->|"Да"| K12_YES["+0.40"] K13 -->|"Да"| K13_YES["+0.30"] K11 -->|"Нет"| K11_NO["0"] K12 -->|"Нет"| K12_NO["0"] K13 -->|"Нет"| K13_NO["0"] style K11_YES fill:#2e7d32,color:#fff style K12_YES fill:#2e7d32,color:#fff style K13_YES fill:#2e7d32,color:#fff style K11_NO fill:#c62828,color:#fff style K12_NO fill:#c62828,color:#fff style K13_NO fill:#c62828,color:#fff
Назначен ли заместитель
руководителя по ИБ?"] K12["k₁₂ = 0.40
Создано ли структурное
подразделение ИБ?"] K13["k₁₃ = 0.30
Прописаны ли требования
в договорах с подрядчиками?"] end K11 -->|"Да"| K11_YES["+0.30"] K12 -->|"Да"| K12_YES["+0.40"] K13 -->|"Да"| K13_YES["+0.30"] K11 -->|"Нет"| K11_NO["0"] K12 -->|"Нет"| K12_NO["0"] K13 -->|"Нет"| K13_NO["0"] style K11_YES fill:#2e7d32,color:#fff style K12_YES fill:#2e7d32,color:#fff style K13_YES fill:#2e7d32,color:#fff style K11_NO fill:#c62828,color:#fff style K12_NO fill:#c62828,color:#fff style K13_NO fill:#c62828,color:#fff
Подтверждающие документы:
- Приказ о назначении заместителя руководителя по ИБ.
- Положение о структурном подразделении ИБ.
- Типовой договор с подрядчиком с условиями по защите информации.
Пример расчёта:
Если все условия выполнены: (0.30 + 0.40 + 0.30) × 0.10 = 0.10 из 0.10 возможных.
Комментарий эксперта
Игорь Краев: «Это самая “лёгкая” группа, но она же — базовая. Если нет приказа о назначении заместителя — обнуляется весь показатель k₁₁. Если нет структурного подразделения — k₁₂ = 0. Это прямые требования Указа № 250, и их невыполнение сразу даёт “красный” уровень по группе».
3.2. Группа 2: Защита пользователей (R₂ = 0.25)
graph TB
subgraph "Группа 2: Защита пользователей"
K21["k₂₁ = 0.30
Парольная политика:
12 символов, буквы обоих
регистров, спецсимволы"] K22["k₂₂ = 0.30
MFA для привилегированных
пользователей (≥50%)"] K23["k₂₃ = 0.20
Отсутствие сервисных УЗ
с паролями по умолчанию"] K24["k₂₄ = 0.20
Отсутствие активных УЗ
уволенных сотрудников"] end subgraph "Штрафные санкции" PENALTY["⚠️ Если в ходе учений получен
доступ к данным через УЗ:
R₂ = 0 (обнуление всей группы!)"] end K21 --> PENALTY K22 --> PENALTY style PENALTY fill:#c62828,color:#fff
Парольная политика:
12 символов, буквы обоих
регистров, спецсимволы"] K22["k₂₂ = 0.30
MFA для привилегированных
пользователей (≥50%)"] K23["k₂₃ = 0.20
Отсутствие сервисных УЗ
с паролями по умолчанию"] K24["k₂₄ = 0.20
Отсутствие активных УЗ
уволенных сотрудников"] end subgraph "Штрафные санкции" PENALTY["⚠️ Если в ходе учений получен
доступ к данным через УЗ:
R₂ = 0 (обнуление всей группы!)"] end K21 --> PENALTY K22 --> PENALTY style PENALTY fill:#c62828,color:#fff
Подтверждающие документы:
- Приказ об утверждении парольной политики.
- Снимок экрана с настройками парольной политики в AD/ОС.
- Отчёт сканера безопасности (MaxPatrol, RedCheck) о соответствии паролей требованиям.
- Снимки экрана с настройками MFA.
Комментарий эксперта
Игорь Краев: «Обратите внимание на порог для MFA: не менее 50% привилегированных пользователей. Если у вас 10 администраторов, минимум 5 должны использовать второй фактор. Если меньше — показатель k₂₂ = 0. А штрафная санкция об обнулении всей группы при компрометации учётных записей — это мощнейший стимул навести порядок в управлении доступом».
3.3. Группа 3: Защита информационных систем (R₃ = 0.35)
graph TB
subgraph "Группа 3: Защита ИС"
K31["k₃₁ = 0.20
Межсетевые экраны L3/L4
на всех интерфейсах
доступных из Интернета"] K32["k₃₂ = 0.25
Отсутствие критических
уязвимостей на внешних
интерфейсах >30 дней"] K33["k₃₃ = 0.15
Отсутствие критических
уязвимостей внутри >90 дней
(≥90% устройств)"] K34["k₃₄ = 0.15
Проверка почтовых вложений
на ≥80% устройств"] K35["k₃₅ = 0.15
Централизованный антивирус
на ≥80% устройств"] K36["k₃₆ = 0.10
Защита от DDoS L3/L4
(договор с провайдером)"] end subgraph "Сроки критических уязвимостей" K32 -->|"Внешние"| EXT["⏰ Более 30 дней → k₃₂ = 0"] K33 -->|"Внутренние"| INT["⏰ Более 90 дней → k₃₃ = 0"] end subgraph "Штрафные санкции" PENALTY3["⚠️ Доступ через уязвимости ПО
на пентесте:
R₃ = 0 (обнуление всей группы!)"] end K32 --> PENALTY3 K33 --> PENALTY3 style EXT fill:#c62828,color:#fff style INT fill:#e65100,color:#fff style PENALTY3 fill:#c62828,color:#fff
Межсетевые экраны L3/L4
на всех интерфейсах
доступных из Интернета"] K32["k₃₂ = 0.25
Отсутствие критических
уязвимостей на внешних
интерфейсах >30 дней"] K33["k₃₃ = 0.15
Отсутствие критических
уязвимостей внутри >90 дней
(≥90% устройств)"] K34["k₃₄ = 0.15
Проверка почтовых вложений
на ≥80% устройств"] K35["k₃₅ = 0.15
Централизованный антивирус
на ≥80% устройств"] K36["k₃₆ = 0.10
Защита от DDoS L3/L4
(договор с провайдером)"] end subgraph "Сроки критических уязвимостей" K32 -->|"Внешние"| EXT["⏰ Более 30 дней → k₃₂ = 0"] K33 -->|"Внутренние"| INT["⏰ Более 90 дней → k₃₃ = 0"] end subgraph "Штрафные санкции" PENALTY3["⚠️ Доступ через уязвимости ПО
на пентесте:
R₃ = 0 (обнуление всей группы!)"] end K32 --> PENALTY3 K33 --> PENALTY3 style EXT fill:#c62828,color:#fff style INT fill:#e65100,color:#fff style PENALTY3 fill:#c62828,color:#fff
Комментарий эксперта
Игорь Краев: «Самая объёмная и чувствительная группа. Обратите внимание на сроки: критическая уязвимость на внешнем интерфейсе, не закрытая более 30 дней, обнуляет k₃₂. На внутреннем — 90 дней. А получение доступа через уязвимости на пентесте обнуляет всю группу R₃. Без автоматизированного сканера уязвимостей и отлаженного процесса патч-менеджмента выполнить эти требования нереально».
3.4. Группа 4: Мониторинг и реагирование (R₄ = 0.30)
graph TB
subgraph "Группа 4: Мониторинг и реагирование"
K41["k₄₁ = 0.40
Централизованный сбор событий
с оповещением о неудачных
попытках входа для привилег. УЗ"] K42["k₄₂ = 0.35
Сбор и анализ событий
на всех устройствах,
доступных из Интернета"] K43["k₄₃ = 0.25
Утверждённый документ
о порядке реагирования
на компьютерные инциденты"] end K41 --> SIEM["Развёрнут SIEM
+ настроены оповещения"] K42 --> LOGS["Настроен сбор логов
с Интернет-шлюзов"] K43 --> REG["Регламент реагирования
на инциденты"] style SIEM fill:#1a237e,color:#fff style LOGS fill:#283593,color:#fff style REG fill:#3949ab,color:#fff
Централизованный сбор событий
с оповещением о неудачных
попытках входа для привилег. УЗ"] K42["k₄₂ = 0.35
Сбор и анализ событий
на всех устройствах,
доступных из Интернета"] K43["k₄₃ = 0.25
Утверждённый документ
о порядке реагирования
на компьютерные инциденты"] end K41 --> SIEM["Развёрнут SIEM
+ настроены оповещения"] K42 --> LOGS["Настроен сбор логов
с Интернет-шлюзов"] K43 --> REG["Регламент реагирования
на инциденты"] style SIEM fill:#1a237e,color:#fff style LOGS fill:#283593,color:#fff style REG fill:#3949ab,color:#fff
Пример расчёта группы 4:
Если все условия выполнены: (0.40 + 0.35 + 0.25) × 0.30 = 0.30 из 0.30 возможных.
Комментарий эксперта
Игорь Краев: «Эта группа проверяет реальную работу мониторинга, а не просто “наличие SIEM”. Нужно показать, что SIEM собирает события и настроены оповещения о неудачных попытках входа для привилегированных учётных записей. Подтверждающие документы — снимки экрана с настройками, отчёты о зарегистрированных событиях. Без этого показатель k₄₁ будет равен нулю».
4. Интерпретация результатов
graph TB
subgraph "Шкала оценки Кзи (Таблица 2)"
GREEN["🟢 Зелёный
Кзи = 1
Минимальный уровень
защищённости обеспечен"] ORANGE["🟠 Оранжевый
0.75 < Кзи < 1
Предпосылки для
реализации угроз"] RED["🔴 Красный
Кзи ≤ 0.75
Реальная возможность
реализации угроз"] end GREEN -->|"Поддерживать"| PLAN_G["Плановая оценка
раз в 6 месяцев"] ORANGE -->|"Исправлять"| PLAN_O["Разработать План
мероприятий на 6 месяцев"] RED -->|"Срочно исправлять"| PLAN_R["Немедленный План
мероприятий + уведомление
руководителя (3 дня)"] style GREEN fill:#2e7d32,color:#fff style ORANGE fill:#f57f17,color:#fff style RED fill:#c62828,color:#fff
Кзи = 1
Минимальный уровень
защищённости обеспечен"] ORANGE["🟠 Оранжевый
0.75 < Кзи < 1
Предпосылки для
реализации угроз"] RED["🔴 Красный
Кзи ≤ 0.75
Реальная возможность
реализации угроз"] end GREEN -->|"Поддерживать"| PLAN_G["Плановая оценка
раз в 6 месяцев"] ORANGE -->|"Исправлять"| PLAN_O["Разработать План
мероприятий на 6 месяцев"] RED -->|"Срочно исправлять"| PLAN_R["Немедленный План
мероприятий + уведомление
руководителя (3 дня)"] style GREEN fill:#2e7d32,color:#fff style ORANGE fill:#f57f17,color:#fff style RED fill:#c62828,color:#fff
Что делать, если уровень не «зелёный» (п. 37 Методики)
- Разработать План мероприятий по достижению следующего уровня.
- Срок реализации — не более 6 месяцев (до следующей плановой оценки).
- Определить приоритетность мер на основе значений частных показателей.
- Если Кзи ≤ 0.75 — проинформировать руководителя в течение 3 дней.
5. Подтверждающие документы (Приложение № 1)
Приложение № 1 к Методике 2025 года впервые вводит перечень обязательных документов. Часть документов направляется вместе с результатами, часть — только по запросу ФСТЭК.
graph TB
subgraph "Документы, направляемые с результатами оценки"
D1["Приказы о назначении
заместителя и создании
подразделения ИБ"] D2["Снимки экрана с настройками
парольной политики и MFA"] D3["Отчёты сканеров
безопасности"] D4["Снимки настроек SIEM
и оповещений"] end subgraph "Документы, предоставляемые по запросу ФСТЭК" D5["Договоры с подрядчиками
с условиями по ИБ"] D6["Регламент реагирования
на инциденты"] D7["Планы мероприятий
по устранению недостатков"] end style D1 fill:#2e7d32,color:#fff style D2 fill:#2e7d32,color:#fff style D3 fill:#2e7d32,color:#fff style D4 fill:#2e7d32,color:#fff
заместителя и создании
подразделения ИБ"] D2["Снимки экрана с настройками
парольной политики и MFA"] D3["Отчёты сканеров
безопасности"] D4["Снимки настроек SIEM
и оповещений"] end subgraph "Документы, предоставляемые по запросу ФСТЭК" D5["Договоры с подрядчиками
с условиями по ИБ"] D6["Регламент реагирования
на инциденты"] D7["Планы мероприятий
по устранению недостатков"] end style D1 fill:#2e7d32,color:#fff style D2 fill:#2e7d32,color:#fff style D3 fill:#2e7d32,color:#fff style D4 fill:#2e7d32,color:#fff
Комментарий эксперта
Игорь Краев: «После получения результатов ФСТЭК может запросить подтверждающие документы. Если вы не предоставите их в течение 30 дней — соответствующему показателю присваивается 0. Храните архив снимков экрана, отчётов сканеров и приказов в актуальном состоянии. Настройте напоминание о сборе документов за две недели до даты отправки во ФСТЭК».
6. Периодичность и отправка результатов
graph LR
subgraph "Цикл оценки Кзи"
C1["Плановая оценка
⏰ Раз в 6 месяцев"] C2["Внеочередная оценка
⚠️ Инцидент / изменение
архитектуры / запрос"] C3["Отправка во ФСТЭК
📤 Обязательно
в течение 5 рабочих дней"] C4["Хранение документов
📁 30 дней на ответ
по запросу ФСТЭК"] end C1 --> C3 C2 --> C3 C3 --> C4 style C1 fill:#1a237e,color:#fff style C2 fill:#e65100,color:#fff style C3 fill:#c62828,color:#fff
⏰ Раз в 6 месяцев"] C2["Внеочередная оценка
⚠️ Инцидент / изменение
архитектуры / запрос"] C3["Отправка во ФСТЭК
📤 Обязательно
в течение 5 рабочих дней"] C4["Хранение документов
📁 30 дней на ответ
по запросу ФСТЭК"] end C1 --> C3 C2 --> C3 C3 --> C4 style C1 fill:#1a237e,color:#fff style C2 fill:#e65100,color:#fff style C3 fill:#c62828,color:#fff
7. Практическое задание: рассчитайте Кзи для своей организации
| Шаг | Действие | Результат |
|---|---|---|
| 1 | Проверить приказы о назначении заместителя и создании подразделения ИБ | Группа 1 |
| 2 | Запустить сканер для проверки парольной политики и MFA | Группа 2 |
| 3 | Провести сканирование внешнего и внутреннего периметра на уязвимости | Группа 3 |
| 4 | Проверить настройки SIEM и наличие регламента инцидентов | Группа 4 |
| 5 | Рассчитать итоговый Кзи по формуле | Определить уровень |
| 6 | Подготовить План мероприятий и направить результаты во ФСТЭК | Отчёт |
Как «Стратегия Ра» помогает с расчётом Кзи
Мы выполняем полный цикл работ по оценке защищённости:
- Сбор исходных данных. Проводим инвентаризацию приказов, должностных инструкций, настроек систем.
- Инструментальная проверка. Запускаем сканеры безопасности для проверки паролей, уязвимостей и конфигураций (группы 2–3).
- Расчёт Кзи. Заполняем таблицу по 16 показателям, рассчитываем итоговое значение, определяем уровень.
- Подготовка отчётности. Формируем комплект подтверждающих документов по Приложению № 1, готовим План мероприятий.
- Отправка во ФСТЭК. Сопровождаем отправку результатов и ответы на запросы регулятора.
Приглашаем к диалогу
Если вам нужен профессиональный расчёт Кзи или помощь в подготовке к обязательной отчётности перед ФСТЭК, — приглашаем на бесплатную консультацию. Мы оценим текущий уровень и предложим план действий. Напишите нам, и мы договоримся о встрече.
Материал подготовлен на основе лекций и практических кейсов Игоря Краева, генерального директора ООО «Стратегия Ра», апрель 2026 г.