1.1 На заместителя руководителя органа (организации) возложены полномочия ответственного лица за обеспечение информационной безопасности органа (организации) и определены его обязанности
? Возложение полномочий и (или) определение структурного подразделения (работников) в органе (организации) подтверждается изданием соответствующего локального правового акта. 0.30
1.2 Определены функции (обязанности) структурного подразделения (или отдельных работников), ответственного за обеспечение информационной безопасности органа (организации)
? Возложение полномочий и (или) определение структурного подразделения (работников) в органе (организации) подтверждается изданием соответствующего локального правового акта. 0.40
1.3 К подрядным организациям, имеющим доступ к информационным системам с привилегированными правами, в договорах установлены требования о реализации мер по защите от угроз через информационную инфраструктуру подрядчика
? В случае если подрядные организации не привлекаются, частному показателю безопасности k13 присваивается значение из таблицы 1 Методики, утвержденной ФСТЭК России 11.11.2025. 0.30
2.1 Отсутствуют учетные записи с паролем, сложность которого не соответствует установленным требованиям к парольной политике. В случае отсутствия технической возможности обеспечения требуемой сложности паролей реализованы компенсирующие меры
0.30
2.2 Реализована многофакторная аутентификация привилегированных пользователей (при аутентификации не менее 50% администраторов, разработчиков или иных привилегированных пользователей используется второй фактор)
? В случае отсутствия технической возможности реализации в информационной системе или в технических средствах двухфакторной аутентификации соответствующему показателю безопасности присваивается значение из таблицы 1 Методики. 0.30
2.3 Отсутствуют учетные записи разработчиков и сервисные учетные записи с паролями, установленными ими по умолчанию
0.20
2.4 Отсутствуют активные учетные записи работников органа (организации) и работников, привлекаемых на договорной основе, с которыми прекращены трудовые или иные отношения
0.20
3.1 На сетевом периметре информационных систем установлены межсетевые экраны уровня L3/L4 (доступ к 100% интерфейсов, доступных из сети Интернет, контролируется межсетевыми экранами уровня L3/L4)
? В случае отсутствия в информационных системах устройств, интерфейсов, взаимодействующих с сетью Интернет, соответствующим показателям безопасности присваиваются значения из таблицы 1 Методики. 0.20
3.2 На устройствах и интерфейсах, доступных из сети Интернет, отсутствуют уязвимости критического уровня опасности с датой публикации обновлений (компенсирующих мер по устранению) в банке данных угроз ФСТЭК России, на официальных сайтах разработчиков, иных открытых источниках более 30 дней или в отношении таких уязвимостей реализованы компенсирующие меры
? В случае отсутствия в информационных системах устройств, интерфейсов, взаимодействующих с сетью Интернет, соответствующим показателям безопасности присваиваются значения из таблицы 1 Методики. 0.25
3.3 На пользовательских устройствах и серверах отсутствуют уязвимости критического уровня с датой публикации обновления (компенсирующих мер по устранению) более 90 дней (не менее 90% устройств и серверов) или в отношении таких уязвимостей реализованы компенсирующие меры
0.15
3.4 Обеспечена проверка вложений в электронных письмах электронной почты на наличие вредоносного программного обеспечения (проверяются вложения не менее чем на 80% пользовательских устройств)
? В случае если в информационных системах органа (организации) не используется электронная почта, частному показателю безопасности k34 присваивается значение из таблицы 1 Методики. 0.15
3.5 Обеспечено централизованное управление средствами антивирусной защиты (не менее чем 80% пользовательских устройств контролируются средствами антивирусной защиты c централизованным управлением). При этом обеспечены контроль и установка обновлений баз данных признаков вредоносного программного обеспечения не реже чем 1 раз в месяц
? Если в органе используются автономные рабочие места, на них должны быть установлены автономные средства антивирусной защиты (тип «Г»). В этом случае показателю присваивается значение из таблицы 1 Методики. Если информационные системы содержат устройства без интерфейсов для внедрения вредоносного ПО, показателю также присваивается значение из таблицы 1 Методики. 0.15
3.6 Реализована очистка входящего из сети Интернет сетевого трафика от компьютерных атак, направленных на отказ в обслуживании, на уровне L3/L4 (заключен договор с провайдером)
? Если в информационных системах отсутствуют веб-сайт или иные сервисы, подверженные DDoS-атакам, частному показателю безопасности k36 присваивается значение из таблицы 1 Методики. 0.10
4.1 Реализован централизованный сбор событий безопасности и оповещение о неудачных попытках входа для привилегированных учетных записей
0.40
4.2 Реализован централизованный сбор и анализ событий безопасности на всех устройствах, взаимодействующих с сетью Интернет
0.35
4.3 Утвержден документ, определяющий порядок реагирования на компьютерные инциденты
0.25