Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации

10. Оценка показателя защищенности КЗИ включает: 

11. Оценка показателя КЗИ проводится не реже одного раза в шесть месяцев. Периодичность и порядок проведения оценки показателя КЗИ устанавливается органом (организацией) во внутренних регламентах. 

12. Оценка показателя защищенности КЗИ проводится в отношении всех информационных систем, подлежащих защите в соответствии с нормативными правовыми актами Российской Федерации. Включение в область оценки иных информационных систем органа (организации) осуществляется по решению руководителя (ответственного заместителя руководителя) органа (организации). 

В случае если информационные системы органа (организации) функционируют на базе информационно-телекоммуникационной инфраструктуры, данная  информационно-телекоммуникационная инфраструктура включается в область оценки показателя защищенности КЗИ. 
13. В органе (организации) оценка показателя КЗИ организуется заместителем руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности органа (организации), и проводится структурным подразделением, специалистами по защите, осуществляющими функции по обеспечению информационной безопасности органа (организации). Указанная оценка может проводиться на основе результатов внутреннего контроля или внешней оценки соответствия (аудита безопасности), мониторинга информационной безопасности, оценки защищенности и (или) аттестации информационных систем, иных мероприятий по изучению и контролю уровня защищенности информации. 

14. О полученном по результатам расчета значении показателя КЗИ, не соответствующем нормированному значению, информируется руководитель органа (организации) для принятия решения о необходимости совершенствования (улучшения) принимаемых в органе (организации) мер по защите информации (обеспечению безопасности объектов КИИ). 

15. Результаты оценки показателя защищенности КЗИ предоставляются органом (организацией) в ФСТЭК России по ее запросу в целях оценки текущего состояния защиты информации и обеспечения безопасности объектов в соответствии с подпунктом 6.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. ФСТЭК России могут быть запрошены отдельные исходные данные, используемые для оценки показателя защищенности КЗИ, подтверждающие получение представленных результатов оценки. 

ФСТЭК России принимаются меры по обеспечению конфиденциальности информации, представляемой органами (организациями).

16. ФСТЭК России проводится анализ поступивших результатов оценки показателя КЗИ и (или) исходных данных, используемых для его оценки,  осуществляется верификация результатов его расчета и делается вывод о текущем состоянии защиты информации и (или) обеспечения безопасности объектов КИИ в органе (организации). 

В случае если по запросу ФСТЭК России органом (организацией) результаты оценки показателя защищенности КЗИ и (или) материалы (часть материалов), используемые для его оценки, в течении 30 дней не представлены, показателю КЗИ и (или) соответствующим частным показателям безопасности kji присваивается значение 0. 

Значение показателя КЗИ органа (организации) может быть уточнено ФСТЭК России в соответствии с выводами о достаточности принимаемых мер по защите информации (обеспечению безопасности объектов КИИ), сделанными по результатам государственного контроля, проведенного в пределах ее полномочий, и (или) на основе результатов анализа документов, иных материалов, предоставленных по запросу ФСТЭК России органом (организацией). 

О значении показателя защищенности КЗИ, определенном ФСТЭК России, в случае его несоответствия нормированному значению информируется орган (организация). 

17. В случае если значение показателя защищенности КЗИ не соответствует нормированному значению, в органе (организации) на основе полученных значений частных показателей kji определяются меры по защите информации (обеспечению безопасности объектов КИИ), которые не реализованы или реализация которых не обеспечивает защиту от типовых актуальных угроз безопасности информации, и приоритетность их реализации, а также планируются мероприятия по реализации (совершенствованию) мер в соответствии с установленными целями по обеспечению защиты информации (обеспечению безопасности объектов КИИ). 

18. Внеочередная оценка показателя защищенности КЗИ проводится в органе (организации) в случаях: