Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации

33. Расчет показателя защищенности КЗИ осуществляется по следующей формуле: 

 

КЗИ=(k11+k12+k13)R1+(k21+k22+...+k2i)R2+(k31+k32+...+k3i)R3+(k41+k42+...+k4i)R4,  

 

где Rj — весовой коэффициент j — й группы частных показателей безопасности, определяемый в соответствии с таблицей 1. 

 

34. Если при очередном расчете показателя защищенности КЗИ фиксируется повторное (в течении 12 месяцев) невыполнение мер, предусмотренных частным показателем безопасности kji, и данному показателю безопасности повторно присвоено значение 0, то весовому коэффициенту этой группы показателей Rj присваивается значение 0 (обнуляется вся группа показателей). 

35. Рассчитанный в соответствии с пунктом 33 показатель защищенности КЗИ сравнивается с нормированным значением. На основе результатов сравнения формируются выводы (таблица 2) о текущем состоянии защиты информации (обеспечения безопасности объектов КИИ) в органе (организации). 
Таблица 2.

Значение КЗИ  | Текущее состояниезащиты информации  (обеспечения безопасности объектов КИИ)  

КЗИ=1   | Обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как минимальный базовый  («зеленый») 

0,75<КЗИ<1  | Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеются предпосылки реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как низкий («оранжевый») 

КЗИ≤0,75  | Минимальный уровень защиты от актуальных угроз безопасности информации не обеспечивается, имеется реальная возможность реализации актуальных угроз безопасности информации. Уровень состояния защищенности характеризуется как критический («красный») 
36. В случае если по результатам расчета получено значение показателя защищенности КЗИ, характеризующее текущее состояние защищенности в органе (организации) как низкое («оранжевый») или критическое («красный»), разрабатывается план реализации мероприятий по достижению следующего уровня защиты от актуальных угроз. Срок реализации мероприятий, определенных в плане, не должен превышать срок до проведения следующей плановой оценки показателя КЗИ.