⚠️ Чек-лист ФСТЭК-117 — быстрая самопроверка информационной безопасности
Этот чек-лист поможет вашей компании быстро оценить, насколько вы соответствуете требованиям ФСТЭК-117. Даже если вы не эксперт в ИБ, вы сможете понять свои слабые места и зоны риска.
📊 Как пользоваться чек-листом
- Каждый пункт оценивается по шкале:
- ⬜ Нет = 0 баллов — элемент отсутствует или не работает
- 🔹 Частично = 0.5 балла — элемент частично выполнен или формально есть
- ✅ Да = 1 балл — элемент выполнен и реально работает
- Итоговый балл рассчитывается как сумма средних значений каждого раздела, умноженных на его вес (R₁–R₄).
- Цветовая индикация состояния:
- Зелёная ≥0.8 — Хорошо
- Жёлтая 0.6–0.79 — Риск
- Красная 0.6 — Плохо
1️⃣ Организация и управление (R₁ = 0.10)
- Заместитель по ИБ — есть ли человек на уровне зама/директора, реально отвечающий за информационную безопасность (ИБ)
- Процедуры — формализованные функции и процессы ИБ, закреплённые документами
- Подрядчики — требования к безопасности для внешних поставщиков (например, хостинг, облачные сервисы, сервисные компании)
Совет: формально назначенный ответственный ≠ реально управляет. Проверьте полномочия и контроль.
2️⃣ Защита пользователей (R₂ = 0.25)
- MFA для админов и привилегированных пользователей ⚠️ — многофакторная аутентификация (MFA, Multi-Factor Authentication) защищает доступ с повышенными правами
- Сложные пароли — минимум 12 символов с комбинацией букв, цифр и спецсимволов
- Учётные записи уволенных сотрудников удалены/заблокированы — никто не должен иметь доступ после увольнения
Совет: отсутствие MFA у админов делает раздел красным даже при остальном хорошем состоянии.
3️⃣ Защита информационных систем (R₃ = 0.35)
- Межсетевой экран (Firewall) L3/L4 на периметре — фильтрация трафика между вашей сетью и внешним интернетом на уровне сетевых пакетов
- Патчи критических уязвимостей ⚠️ — исправления критических уязвимостей: периметр ≤30 дней, внутренняя сеть ≤90 дней (≥90%)
- Проверка вложений email — фильтрация потенциально опасных файлов, ≥80% проверок
- Централизованный антивирус — установлен и охватывает ≥80% устройств
- Защита от DDoS — защита от атак на уровне L3/L4 (сетевые атаки с целью перегрузить сервис)
Совет: наличие сканера уязвимостей ≠ исправление найденных проблем.
4️⃣ Мониторинг и реагирование (R₄ = 0.30)
- Сбор событий и алерты — централизованное отслеживание неудачных попыток входа и аномалий
- Анализ событий — сбор и проверка логов с устройств, подключенных к интернету
- Регламент реагирования ⚠️ — документ с конкретными действиями и ответственными на случай инцидента
Совет: SOC или SIEM без регламента реагирования = формальность, атака может остаться незамеченной.
🔹 Итог
Используйте этот чек-лист для:
- Ежеквартальной проверки ИБ
- Общения с руководством и подрядчиками
- Выявления «слабых мест» до инцидента
Сохраните и делитесь этой инфографикой и текстом с коллегами — пусть все знают, где реальные риски!
