2026 годОтвет:
проект Методики оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – проект Методики оценки уровня зрелости) не предполагает, что субъект КИИ должен в обязательном порядке оценивать все базовые направления деятельности в области защиты информации.
Оценке подлежат только те направления, которые применимы к деятельности конкретной организации и обеспечению безопасности ее значимых объектов КИИ. При определении состава оцениваемых направлений необходимо учитывать:
- особенности деятельности субъекта КИИ;
- архитектуру и состав значимых объектов КИИ;
- реализуемые процессы обеспечения информационной безопасности;
- применяемые технологии и средства защиты информации;
- наличие соответствующих функций и процессов в организации;
- состав контрагентов, участвующих в обеспечении безопасности значимых объектов КИИ, а также распределение ролей, ответственности и функций между субъектом КИИ и такими контрагентами.
Например, если субъект КИИ не использует технологии искусственного интеллекта, не осуществляет безопасную разработку программного обеспечения или не эксплуатирует соответствующие технологические процессы, то оценка зрелости по данным направлениям не проводится либо такие направления признаются неприменимыми.
При этом направления, связанные с организацией управления информационной безопасностью, управлением рисками, реагированием на компьютерные инциденты, управлением уязвимостями, обеспечением безопасности значимых объектов КИИ и выполнением обязательных требований нормативных правовых актов, как правило, являются применимыми для большинства субъектов КИИ.
Таким образом, проект Методики оценки уровня зрелости основан на риск-ориентированном подходе: оценка должна охватывать не все предусмотренные Методикой оценки уровня зрелости направления, а только те, которые относятся к деятельности организации и влияют на обеспечение безопасности ее значимых объектов КИИ. Такой подход позволяет получить объективную оценку зрелости без формального применения критериев к процессам, которые у субъекта КИИ отсутствуют.