.PNG)
1Зачем нужны ОРД по приказу ФСТЭК №117
Организационно-распорядительные документы (ОРД) — обязательная часть системы защиты информации по приказу ФСТЭК №117. Методика оценки КЗИ (утв. ФСТЭК 11.11.2025) в Приложении 1 содержит точный перечень документов и материалов, которые подтверждают результаты расчёта показателя защищенности.
Документы = доказательства
Без подтверждающих документов ФСТЭК присвоит частному показателю kji значение 0 (п. 83 Методики). Если запрошенные материалы не представлены в течение 30 дней — показатель обнуляется автоматически.
16
Критериев
для каждого — свой набор документов
30+
Документов
в полном комплекте
2 типа
Подачи
с оценкой и по запросу
30 дней
На ответ
срок по запросу ФСТЭК
2Группа 1: Организация и управление — ОРД
k11 — Назначение ответственного за ИБ
| Документ | Когда подаётся |
|---|---|
| Приказ (распоряжение) о назначении заместителя руководителя ответственным за организацию работ по ИБ | По запросу |
| Должностной регламент (инструкция) с обязанностями по обеспечению ИБ для заместителя руководителя | По запросу |
k12 — Подразделение / работники по ИБ
| Документ | Когда подаётся |
|---|---|
| Положение о структурном подразделении по ИБ или приказ о возложении обязанностей по ИБ на отдельных работников (с перечнем обязанностей) | По запросу |
k13 — Требования к подрядчикам
| Документ | Когда подаётся |
|---|---|
| Договор (контракт, выписка, ТЗ) с подрядными организациями, содержащий требования по реализации мер защиты информации в инфраструктуре подрядчика | По запросу |
Если подрядчиков нет
Если подрядные организации не привлекаются — частному показателю k13 присваивается максимальное значение из Таблицы 1 автоматически (сноска 5 Методики).
3Группа 2: Защита пользователей — ОРД и скриншоты
k21 — Парольная политика
| Документ | Когда подаётся |
|---|---|
| ОРД парольной политики с требованиями: длина ≥ 12 символов, буквы верхнего и нижнего регистра (А-Я, A-Z, а-я, a-z), спецсимволы (!, ", №, %, *, /), запрет персональной информации (имена, даты рождения, телефоны) | По запросу |
| Снимок экрана настроек средства реализации парольной политики | С результатами оценки |
| Отчёт средства анализа защищённости о выявлении паролей, не соответствующих требованиям (Сканер-ВС, MaxPatrol VM, RedCheck) | С результатами оценки |
k22 — Многофакторная аутентификация
| Документ | Когда подаётся |
|---|---|
| Сведения о средстве MFA (снимок экрана панели управления) | С результатами оценки |
| Сведения о количестве привилегированных пользователей и количестве с реализованной MFA (не менее 50%) | По запросу |
k23 — Отсутствие дефолтных паролей
| Документ | Когда подаётся |
|---|---|
| Снимок экрана настроек сброса пароля после первой аутентификации для сервисных УЗ и УЗ разработчиков | С результатами оценки |
| Отчёт средства анализа защищённости о выявлении паролей по умолчанию (Сканер-ВС, MaxPatrol VM, RedCheck) | С результатами оценки |
k24 — Блокировка УЗ уволенных
| Документ | Когда подаётся |
|---|---|
| ОРД с требованиями об удалении (отключении) учётных записей работников, с которыми прекращены трудовые или иные отношения | По запросу |
4Группа 3: Защита информационных систем — отчёты и договоры
k31 — Межсетевой экран на периметре
| Документ | Когда подаётся |
|---|---|
| Перечень интерфейсов (IP-адреса, доменные имена, физические порты), доступных из сети Интернет | По запросу |
| Сведения о средствах МСЭ L3/L4 и снимки экрана панели управления с настройками правил доступа | С результатами оценки |
k32 — Уязвимости на периметре (30 дней)
| Документ | Когда подаётся |
|---|---|
| Перечень устройств и интерфейсов, доступных из Интернет | По запросу |
| Отчёт средства анализа защищённости — сканирование устройств на периметре на уязвимости уровня «критический» (давность сканирования — не более 30 дней) | С результатами оценки |
| Перечень компенсирующих мер (при отсутствии возможности устранить уязвимости) | По запросу |
k33 — Уязвимости на устройствах (90 дней)
| Документ | Когда подаётся |
|---|---|
| Сведения о количестве пользовательских устройств и серверов | По запросу |
| Отчёт средства анализа защищённости — сканирование устройств и серверов на уязвимости уровня «критический» | С результатами оценки |
k34 — Проверка email-вложений
| Документ | Когда подаётся |
|---|---|
| Сведения о количестве АРМ и количестве АРМ с проверкой почтовых вложений | По запросу |
| Сведения о средствах антивирусной защиты (снимок экрана панели управления) | С результатами оценки |
k35 — Централизованный антивирус
| Документ | Когда подаётся |
|---|---|
| Общее количество АРМ в организации | По запросу |
| Снимок экрана панели централизованного управления АВЗ с количеством подключённых АРМ | С результатами оценки |
| Отчёт АВЗ: дата последнего обновления баз и дата последней проверки на каждом устройстве | По запросу |
k36 — Защита от DDoS L3/L4
| Документ | Когда подаётся |
|---|---|
| Копия договора (выписки) с оператором связи, включающего работы по очистке входящего трафика на уровне L3/L4 | С результатами оценки |
5Группа 4: Мониторинг и реагирование — настройки SIEM и регламенты
k41 — Централизованный сбор событий
| Документ | Когда подаётся |
|---|---|
| Количество привилегированных УЗ и перечень событий ИБ, по которым ведётся сбор | По запросу |
| Снимок экрана настроек SIEM с оповещением о неудачных попытках входа для привилегированных УЗ | С результатами оценки |
| Отчёт SIEM о зарегистрированных событиях ИБ | По запросу |
k42 — Анализ событий Интернет-устройств
| Документ | Когда подаётся |
|---|---|
| Перечень регистрируемых событий и количество АРМ с доступом в Интернет | По запросу |
| Снимок экрана SIEM с количеством АРМ, с которых ведётся централизованный сбор событий | С результатами оценки |
k43 — Регламент реагирования на инциденты
| Документ | Когда подаётся |
|---|---|
| ОРД, определяющий порядок реагирования на компьютерные инциденты, утверждённый руководителем организации | По запросу (при первичной оценке — обязательно) |
Особенность k43
Регламент реагирования представляется в ФСТЭК при первичной оценке. Если на момент первой оценки документа нет и k43 = 0, то при повторной оценке документ должен быть представлен обязательно (сноска 16 Методики).
6Два типа подачи документов
Методика разделяет все документы на два типа по срокам представления:
С результатами оценки
Подаются вместе с расчётом КЗИ каждые 6 месяцев. Обычно это скриншоты и отчёты сканеров — свежие доказательства текущего состояния.
По запросу ФСТЭК
Представляются в течение 30 дней по запросу. Обычно это приказы, регламенты, договоры — документы, которые редко меняются.
Совет по подготовке
Заведите реестр ОРД с указанием даты утверждения и критерия, который документ подтверждает. Перед каждой оценкой обновляйте скриншоты и отчёты сканеров — они должны быть актуальными (для k32 — давность не более 30 дней).
7Сводная таблица: все ОРД по критериям
| Критерий | Что подтверждает | Ключевые документы |
|---|---|---|
| k11 | Ответственный за ИБ | Приказ о назначении, должностной регламент |
| k12 | Подразделение ИБ | Положение о подразделении или приказ о возложении обязанностей |
| k13 | Требования к подрядчикам | Договор с требованиями ИБ |
| k21 | Парольная политика | ОРД парольной политики, скриншоты, отчёт сканера |
| k22 | MFA привилегированных | Скриншот панели MFA, сведения о покрытии |
| k23 | Нет дефолтных паролей | Скриншоты настроек, отчёт сканера |
| k24 | Нет УЗ уволенных | ОРД об удалении/отключении УЗ |
| k31 | МСЭ на периметре | Перечень интерфейсов, скриншоты правил МСЭ |
| k32 | Уязвимости периметра | Отчёт сканера (≤30 дней), компенсирующие меры |
| k33 | Уязвимости устройств | Отчёт сканера, компенсирующие меры |
| k34 | Проверка email | Сведения об АРМ, скриншот АВЗ |
| k35 | Централизованный АВЗ | Скриншот панели АВЗ, отчёт об обновлениях |
| k36 | Защита от DDoS | Договор с провайдером |
| k41 | Сбор событий ИБ | Скриншот SIEM, отчёт о событиях |
| k42 | Анализ Интернет-событий | Скриншот SIEM, перечень событий |
| k43 | Регламент инцидентов | ОРД порядка реагирования |
Теги:
ОРД
документы
шаблоны
ФСТЭК №117
регламенты
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также ознакомьтесь с полным руководством по 117 приказу ФСТЭК.
Услуги КРЕДО-С
Дмитрий Чекмарев
Специалист по информационной безопасности
С 2023 года консультирует государственные учреждения и ВПК. Внедряет сертифицированные ФСТЭК и ФСБ средства защиты.