Методика оценки угроз безопасности информации ФСТЭК России

Любая система защиты строится под конкретные угрозы, и если оценить их неверно, защищать в итоге будут не то и не от того. Именно поэтому модель угроз требуют почти все профильные приказы ФСТЭК России, от защиты государственных информационных систем до значимых объектов критической информационной инфраструктуры. А строится эта модель по одному документу, Методике оценки угроз безопасности информации, утверждённой ФСТЭК России 5 февраля 2021 года. Этот документ задал единые правила оценки сразу для нескольких типов систем.

Разберём по порядку, для кого методика обязательна, какие данные нужны на входе, из каких этапов состоит оценка и что получается на выходе. Покажем, как методика определяет нарушителя, способы реализации угроз и их актуальность, а также где специалисты чаще всего ошибаются. Материал будет полезен специалистам по защите информации, ответственным за моделирование угроз, ИТ-директорам и аудиторам, которым предстоит проверять готовую модель.

Содержание

1. Что такое методика оценки угроз безопасности информации
2. Для каких систем обязательна методика
3. Как методика связана с моделью угроз и документами ФСТЭК России
4. Кто проводит оценку угроз и зачем нужна экспертная группа
5. Какие исходные данные нужны для оценки
6. Три этапа оценки угроз по методике
7. Источники угроз и модель нарушителя
8. Способы реализации угроз и сценарии
9. Как определяется актуальность угрозы
10. Как оценить угрозу на практике, пример
11. Что входит в модель угроз и как её поддерживать
12. Частые ошибки при оценке угроз
13. Что меняется в 2026 году
14. Что важно запомнить
15. Частые вопросы

Что такое методика оценки угроз безопасности информации

Методика оценки угроз безопасности информации входит в число методических документов ФСТЭК России и описывает порядок и содержание работ по определению угроз. Её разработали в соответствии с подпунктом 4 пункта 8 Положения о ФСТЭК России, утверждённого Указом Президента Российской Федерации от 16 августа 2004 года № 1085. Главная задача документа в том, чтобы из всего множества теоретически возможных угроз выделить актуальные, то есть те, что реально способны навредить конкретной системе с её архитектурой и условиями работы. Результатом такой оценки становится модель угроз безопасности информации.

Сама оценка по методике решает шесть связанных задач. Сначала определяют негативные последствия, которые могут наступить от реализации угроз. Затем проводят инвентаризацию систем и сетей и находят возможные объекты воздействия. После этого определяют источники угроз и оценивают возможности нарушителей, разбирают способы реализации угроз, оценивают возможность их реализации с определением актуальности, а в завершение выстраивают сценарии реализации угроз. Каждая из этих задач опирается на предыдущую, и пропустить любую без потери смысла не получится.

Важная деталь, которую часто упускают на практике. Оценка угроз по методике носит «систематический характер и осуществляться как на этапе создания систем и сетей, так и в ходе их эксплуатации, в том числе при развитии (модернизации) систем и сетей». Это значит, что модель угроз не делают один раз и не кладут в шкаф. Её ведут постоянно, иначе при первой же модернизации или появлении новой угрозы она перестаёт отражать реальную картину.

Для каких систем обязательна методика

Методика применяется широко и охватывает основные категории систем, для которых государство устанавливает требования по защите информации. В тексте документа прямо названы государственные и муниципальные информационные системы (ГИС), информационные системы персональных данных (ИСПДн), значимые объекты критической информационной инфраструктуры (КИИ), информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, а также автоматизированные системы управления производственными и технологическими процессами на критически важных и потенциально опасных объектах. Перечень этим не исчерпывается, методика распространяется и на другие системы, для которых требуется оценивать угрозы.

По типу инфраструктуры охват тоже широкий. Методика определяет порядок работ для информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей, а также инфраструктур центров обработки данных и облачных инфраструктур. Все эти объекты в тексте объединены общим понятием «системы и сети», и единый процесс оценки распространяется на каждый из них. Для организации это означает, что и классическая база данных, и облачный сервис оцениваются по одним правилам.

Действие методики не ограничивается только новыми проектами. Её положения применяются «для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях». При этом старые модели угроз, разработанные до 5 февраля 2021 года, продолжают действовать. Переделывать их методика требует не сразу, а при развитии или модернизации соответствующей системы.

Для каждой категории систем работает свой профильный приказ ФСТЭК России, который и обязывает разрабатывать модель угроз. Все они отсылают к единой методике, поэтому процесс оценки выглядит одинаково независимо от того, защищаете вы ГИС или промышленную систему. Различается лишь нормативное основание и набор дополнительных требований к мерам защиты.

Тип системы	Профильный документ ФСТЭК России	Зачем нужна модель угроз
Государственные информационные системы	приказ ФСТЭК России от 11.04.2025 № 117 (с 01.03.2026, заменил № 17)	обоснование класса защищённости и мер защиты
Информационные системы персональных данных	приказ ФСТЭК России от 18.02.2013 № 21	выбор мер под уровень защищённости ПДн
Значимые объекты КИИ	приказ ФСТЭК России от 25.12.2017 № 239	обоснование мер по категории значимости
Системы управления производством ОПК	отраслевые требования по защите информации	оценка угроз для промышленного контура

Как методика связана с моделью угроз и документами ФСТЭК России

Методику и модель угроз нередко путают, хотя это разные вещи. Методика задаёт процесс, то есть последовательность действий и правила оценки. Модель угроз безопасности информации, это итоговый документ организации, который получается в результате применения методики к конкретной системе. Если коротко, методика отвечает на вопрос, как оценивать, а модель угроз фиксирует ответ, какие угрозы для системы актуальны и почему. Подробный разбор итогового документа есть в материале CISOCLUB «Модель угроз безопасности информации: методика ФСТЭК России».

Методика не существует в вакууме, она опирается на другие ресурсы и документы ФСТЭК России. Главный из них, банк данных угроз безопасности информации (БДУ) по адресу bdu.fstec.ru, откуда берут общий перечень угроз и сведения об уязвимостях. Кроме того, ФСТЭК России разрабатывает базовые и отраслевые модели угроз, которые служат отправной точкой для отдельных сфер. Все эти источники методика прямо называет в качестве исходных данных, и работать в отрыве от них не получится.

Встроена методика и в более широкую систему нормативных требований. Она связывает воедино законы о защите информации, профильные приказы по типам систем и практические инструменты вроде БДУ. Для специалиста это означает, что оценка угроз вписана в общий цикл защиты информации, который начинается с категорирования или классификации системы и заканчивается выбором конкретных средств защиты информации.

Банк данных угроз ФСТЭК России как опорный источник

Центральную роль среди источников играет банк данных угроз безопасности информации, доступный по адресу bdu.fstec.ru. Его ведёт ФСТЭК России, и он состоит из двух частей. Первая, структурированный перечень угроз безопасности информации с описанием источников, объектов и последствий. Вторая, база уязвимостей программного и аппаратного обеспечения, которую регулярно пополняют новыми записями.

В оценке угроз банк данных используют как отправную точку. Из общего перечня отбирают угрозы, которые применимы к конкретной системе с её архитектурой и объектами воздействия, а сведения об уязвимостях помогают понять, через какие слабости нарушитель способен реализовать угрозу. Важно, что брать весь банк данных целиком и переносить в модель не нужно, методика требует именно отбора актуальных угроз, а не механического копирования. Подробный разбор банка данных угроз заслуживает отдельного материала.

Кто проводит оценку угроз и зачем нужна экспертная группа

Ответственность за оценку угроз методика возлагает на саму организацию. Работу выполняет подразделение по защите информации обладателя информации или оператора, а участвуют в ней специалисты, отвечающие за эксплуатацию систем и сетей, от ИТ-специалистов до специалистов по связи и автоматизированным системам управления. Оценка проводится экспертным методом, а он по своей природе субъективен, потому что результат зависит от опыта и кругозора конкретных людей. Чтобы снизить влияние личных оценок, методика даёт прямую рекомендацию.

В тексте сказано, что «в интересах снижения субъективных факторов при оценке угроз безопасности информации рекомендуется создавать экспертную группу». Рекомендации по её формированию вынесены в приложение 2 к методике. На практике в такую группу включают специалистов по защите информации, представителей ИТ-подразделения и сотрудников, которые понимают бизнес-процессы системы. Чем разнообразнее состав, тем меньше шансов, что важную угрозу просто не заметят.

Методика допускает и частичную автоматизацию работы. При оценке угроз «могут использоваться программные средства, позволяющие автоматизировать» отдельные шаги, например работу с банком данных угроз или построение сценариев. Полностью заменить экспертов такие средства не могут, но они снимают рутину и уменьшают число механических ошибок. Решение, какие инструменты применять, остаётся за оператором.

Какие исходные данные нужны для оценки

Оценка угроз начинается не с чистого листа, а со сбора исходных данных. Чем полнее эти данные, тем точнее получится модель угроз, поэтому методика подробно перечисляет источники, на которые нужно опираться. Часть из них нормативная, часть техническая, а часть приходит из мировой практики анализа атак.

• Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), как общий перечень угроз и уязвимостей;
• Базовые и отраслевые модели угроз, разрабатываемые ФСТЭК России;
• Нормативные правовые акты, устанавливающие требования к защите конкретной системы;
• Документация на системы и сети, включая сведения об архитектуре и режимах обработки информации;
• Результаты анализа рисков, если он проводился в организации;
• Базы знаний о тактиках и техниках нарушителей, в том числе CAPEC, ATT&CK, OWASP, STIX и WASC.

Отдельно стоит сказать о базах знаний об атаках. Методика 2021 года называет среди источников зарубежные каталоги CAPEC, ATT&CK, OWASP, STIX и WASC, которые описывают приёмы реальных атак. При этом у самой методики есть собственный перечень тактик и техник, он вынесен в приложение 11, а основным российским источником сведений об угрозах и уязвимостях остаётся банк данных угроз ФСТЭК России. Зарубежные каталоги здесь справочные, опираться организация может прежде всего на отечественный банк данных.

Что подготовить перед оценкой угроз

Чтобы оценка не превратилась в догадки, к ней готовятся заранее. Минимальный набор материалов несложно собрать своими силами, и он заметно ускоряет работу экспертной группы.

• Актуальная документация на систему с описанием архитектуры, состава и режимов обработки информации;
• Сведения о категории или классе защищённости системы и требованиях профильного приказа ФСТЭК России;
• Доступ к банку данных угроз ФСТЭК России для отбора применимых угроз и уязвимостей;
• Результаты сканирования на уязвимости и анализа рисков, если они проводились;
• Сформированная экспертная группа с участием специалистов по защите информации, ИТ и владельцев процессов.

Чем полнее этот набор, тем меньше пробелов окажется в готовой модели угроз. Нехватка документации или отсутствие в группе человека, который понимает реальные бизнес-процессы, почти всегда оборачивается пропущенными объектами воздействия.

Три этапа оценки угроз по методике

Здесь важно не запутаться в счёте. Методика формулирует шесть задач оценки, но сам процесс структурирует в три последовательных этапа. Определение источников угроз, способов их реализации и построение сценариев не выделены в отдельные этапы, а входят в третий этап как его внутренние шаги. Поэтому когда в документе говорят об этапах, их именно три, а наглядно весь путь оценки показан на схеме ниже.

Дословно в методике эти три этапа названы так. Первый, «определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации». Второй, «определение возможных объектов воздействия угроз безопасности информации». Третий, «оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности». Каждый следующий этап опирается на результаты предыдущего, поэтому порядок менять нельзя.

Этап 1. Определение негативных последствий

На первом этапе отвечают на вопрос, что плохого случится, если угроза реализуется. Методика разделяет негативные последствия по тому, кому наносится ущерб. Это может быть ущерб физическому лицу, ущерб юридическому лицу или индивидуальному предпринимателю, а также ущерб государству в области обороны, безопасности и правопорядка и в социальной, экономической, политической и экологической сферах. Перечень видов риска и типовых последствий вынесен в приложение к методике и служит ориентиром для экспертной группы.

Вид риска (ущерба)	Возможные типовые негативные последствия
У1. Ущерб физическому лицу	угроза жизни или здоровью, нарушение неприкосновенности частной жизни, нарушение тайны переписки, утечка персональных данных
У2. Ущерб юридическому лицу или индивидуальному предпринимателю	нарушение законодательства, хищение денежных средств, потеря деловой репутации, срыв хозяйственной деятельности
У3. Ущерб государству	ущерб обороне, безопасности и правопорядку, а также в социальной, экономической, политической и экологической сферах

Смысл этапа в том, чтобы привязать угрозы к реальным потерям, а не оценивать их абстрактно. Если реализация угрозы не ведёт ни к каким значимым последствиям, защищаться от неё дорогими средствами нет смысла. Поэтому именно негативные последствия задают приоритеты для всей дальнейшей оценки.

Этап 2. Определение объектов воздействия

На втором этапе проводят инвентаризацию системы и определяют объекты воздействия. По методике это «информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям». Проще говоря, выясняют, через что именно нарушитель способен причинить вред, который оценили на первом этапе. Объекты рассматривают на разных уровнях, от прикладного и системного программного обеспечения до аппаратных средств, машинных носителей информации и самих пользователей.

Вместе с объектами определяют их интерфейсы, то есть точки, через которые возможен доступ или воздействие. Методика перечисляет несколько типов таких интерфейсов, и каждый из них стоит проверить отдельно.

• Внешние сетевые интерфейсы для связи с интернетом и смежными системами, включая проводные, беспроводные, веб-интерфейсы и интерфейсы удалённого доступа;
• Внутренние сетевые интерфейсы между компонентами систем и сетей;
• Интерфейсы для пользователей системы;
• Интерфейсы для съёмных машинных носителей и периферийного оборудования;
• Интерфейсы для установки, настройки, администрирования и обслуживания компонентов;
• Доступ к оборудованию, переданному на обслуживание или ремонт в сторонние организации.

Полнота этого шага критична, ведь пропущенный объект или интерфейс означает дыру, которую модель угроз просто не увидит. Особенно легко забыть про каналы администрирования и интерфейсы подрядчиков, через которые и проходит немалая часть реальных атак.

Этап 3. Оценка возможности реализации и актуальности

Третий этап самый объёмный, и именно он сводит воедино всю предыдущую работу. Здесь определяют источники угроз и оценивают возможности нарушителей, разбирают способы реализации угроз и строят сценарии, а в конце решают, какие угрозы актуальны для системы. По сути это три внутренних шага одного этапа, и каждому из них ниже посвящён отдельный раздел. Сначала разберёмся с тем, кто такой нарушитель по методике.

Источники угроз и модель нарушителя

Оценка угроз всегда упирается в один практический вопрос о том, от кого организация защищается. Методика оценки угроз безопасности информации, утверждённая ФСТЭК России 5 февраля 2021 года, разводит источники угроз по двум природам. Антропогенные источники, то есть люди, которые действуют преднамеренно или по неосторожности, и техногенные источники, к которым относятся физические явления и материальные объекты вроде сбоев оборудования или отказов программного обеспечения. Техногенные угрозы оператор включает в модель по собственному решению, тогда как антропогенным методика уделяет основное внимание. Человек с мотивацией и подходящим инструментом опаснее случайного сбоя, и его поведение труднее предсказать.

Кого методика относит к нарушителям

Перечень видов нарушителей в методике заметно шире привычного образа хакера-одиночки. В него попадают и спецслужбы, и криминал, и собственные сотрудники компании. Список не закрытый, в модель угроз конкретной организации обычно входит лишь та часть, что реально способна навредить именно ей.

• Специальные службы иностранных государств;
• Террористические и экстремистские группировки;
• Преступные группы и криминальные структуры;
• Отдельные физические лица, то есть хакеры;
• Конкурирующие организации;
• Разработчики и поставщики программных и программно-аппаратных средств;
• Поставщики услуг связи и вычислительных услуг;
• Лица, привлекаемые для установки, настройки и пусконаладочных работ;
• Лица, обеспечивающие функционирование систем, от администрации до охраны;
• Системные администраторы и администраторы безопасности;
• Авторизованные пользователи и бывшие работники.

Всех этих нарушителей методика делит на внешних и внутренних. По определению методики, к внешним относятся «нарушители, не имеющие прав доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочий по доступу к информационным ресурсам и компонентам систем и сетей, требующим авторизации». Внутренние, напротив, такой доступ или полномочия имеют. Граница проходит не по периметру офиса, а по наличию легального доступа, поэтому подрядчик на аутсорсе и недавно уволенный администратор оказываются в зоне особого внимания.

Ещё одно положение методики сформулировано жёстко, и его часто упускают. При оценке «необходимо исходить из предположения о наличии повышенной мотивации внешних и внутренних нарушителей, преднамеренно реализующих угрозы безопасности информации». Слово «необходимо» задаёт обязательность такого предположения для всех, кто проводит оценку, и занизить мотивацию нарушителя оценщик уже не вправе. Вдобавок методика обязывает учитывать сговор, когда спецслужбы или экстремистские группировки привлекают внутренних нарушителей, в том числе с привилегированными правами доступа.

Четыре уровня возможностей нарушителя

Чтобы понять, насколько серьёзного противника закладывать в модель, методика вводит четыре уровня возможностей, от Н1 до Н4. На нижней ступени нарушитель работает только с тем, что лежит в открытом доступе. На верхней получает доступ к исходному коду оборудования и систем. Уровень определяет, какие угрозы реалистичны для конкретной системы, а значит, и насколько глубокой должна быть защита.

Уровень	Возможности нарушителя по методике ФСТЭК России
Н1, базовые	Использует только известные уязвимости и общедоступные инструменты из интернета, обладает компьютерными знаниями на уровне пользователя
Н2, базовые повышенные	Имеет все возможности Н1, применяет свободно распространяемые инструменты и понимает механизмы их работы
Н3, средние	Имеет все возможности Н2, покупает сведения об уязвимостях на платных ресурсах и дорогостоящие инструменты реализации угроз
Н4, высокие	Имеет все возможности Н3, получает доступ к исходному коду встраиваемого, системного и прикладного программного обеспечения

Цели и категории нарушителей

Одного уровня возможностей мало, методика связывает каждый вид нарушителя с его возможными целями. Цель показывает, ради чего нарушитель пойдёт на атаку, и помогает отсеять тех, кому конкретная система попросту неинтересна. Например, у спецслужб иностранных государств и у хакера-одиночки мотивация принципиально разная, а значит, и угрозы они несут разные. В таблице ниже собраны цели для основных видов нарушителей так, как их формулирует методика.

Вид нарушителя	Категория	Возможные цели реализации угроз
Специальные службы иностранных государств	внешний	нанесение ущерба государству в области обороны, безопасности и правопорядка, дискредитация органов власти, конкурентные преимущества на уровне государства
Террористические, экстремистские группировки	внешний	совершение терактов, угроза жизни граждан, дестабилизация общества и деятельности органов власти
Преступные группы и криминальные структуры	внешний	получение финансовой или иной материальной выгоды, самореализация
Отдельные физические лица (хакеры)	внешний	получение финансовой выгоды, любопытство или подтверждение статуса
Конкурирующие организации	внешний	получение конкурентных преимуществ и материальной выгоды
Разработчики программных и программно-аппаратных средств	внутренний	внедрение дополнительных функциональных возможностей в программные и программно-аппаратные средства

По категории нарушителей делят на внешних и внутренних, и эта же таблица показывает, что один и тот же вид может относиться к разным категориям в зависимости от системы. Разработчик или поставщик оборудования формально находится снаружи организации, но через поставку получает доступ к её компонентам, поэтому методика относит его к внутренним нарушителям. Именно такие неочевидные случаи чаще всего и упускают при оценке.

На практике слабым местом модели чаще оказывается собственный персонал, тогда как экзотического нарушителя уровня Н4 нередко переоценивают. По данным InfoWatch, в материале «Портрет нарушителя: чаще всего данные сливают увольняющиеся сотрудники» внутренний нарушитель оказывается основным источником утечек. Близкую картину показывает и материал Кросс Технолоджис «Каждый третий инцидент в российских компаниях связан с действиями легитимных пользователей». Если оценка угроз сводит внутреннего нарушителя к формальной строке в таблице, модель получается красивой на бумаге и бесполезной в жизни.

Техногенные источники угроз

Помимо людей методика учитывает и техногенные источники, к которым относятся физические явления и материальные объекты. Угрозы от них включают в модель «по решению обладателя информации или оператора систем и сетей», то есть это не обязательная, а факультативная часть оценки. Тем не менее списывать их со счетов опасно, ведь отказ обеспечивающей системы способен нарушить доступность не хуже целенаправленной атаки.

Методика называет три основных фактора возникновения техногенных угроз.

• Недостатки качества и надёжности программного обеспечения, программно-аппаратных средств и их линий связи;
• Недостатки в работе обеспечивающих систем, например электропитания или кондиционирования;
• Недоступность сервисов и услуг, предоставляемых сторонними организациями.

Решение, включать ли техногенные угрозы в модель, методика оставляет за оператором системы. Но даже если их выносят за рамки оценки, полностью игнорировать такие риски не стоит. Грамотный подход отделяет техногенные угрозы от антропогенных и закрывает каждую своими мерами, от резервного питания и кондиционирования до контроля качества поставляемого оборудования.

Способы реализации угроз и сценарии

Определив нарушителя, переходят к тому, как именно он способен навредить. Способ реализации угрозы описывает конкретные действия, через которые нарушитель воздействует на объект. В методике этот раздел содержит «описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий», а также описание интерфейсов объектов воздействия, доступных для таких способов. То есть мало понять, что нарушитель хочет сделать, нужно ещё указать, через какую точку входа он это сделает.

Способы методика раскрывает через тактики и техники. Перечень основных тактик и типовых техник вынесен в приложение 11 как собственная разработка ФСТЭК России, концептуально близкая к мировым каталогам приёмов атак. Для каждого актуального нарушителя с его уровнем возможностей подбирают доступные тактики и техники, а из них собирают сценарий реализации угрозы. Сценарий показывает цепочку шагов, которыми нарушитель проходит от первого доступа до негативных последствий.

Отдельно методика вводит и понятие уязвимости. Это «недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации». Именно через уязвимости работают многие техники, поэтому сведения о них берут из банка данных угроз ФСТЭК России и результатов сканирования. Уязвимость сама по себе не угроза, она становится опасной только когда нарушитель умеет ею воспользоваться.

Тактики и техники нарушителя

Способы реализации методика раскладывает на тактики и техники. По смыслу это близко к зарубежным каталогам атак, но перечень у методики собственный, он закреплён в приложении 11. Тактика отвечает на вопрос, какую задачу нарушитель решает на конкретном шаге, а техника описывает, как именно он это делает. Всего методика выделяет десять основных тактик, через которые проходит большинство атак.

1. Сбор информации о системах и сетях;
2. Получение первоначального доступа к компонентам систем и сетей;
3. Внедрение и исполнение вредоносного программного обеспечения;
4. Закрепление и сохранение доступа в системе или сети;
5. Управление вредоносным программным обеспечением и компонентами;
6. Повышение привилегий по доступу к компонентам;
7. Сокрытие действий и применяемых средств от обнаружения;
8. Получение доступа к другим компонентам систем и сетей;
9. Сбор и вывод из системы информации для дальнейших действий;
10. Несанкционированный доступ и воздействие на информационные ресурсы и компоненты.

Каждой тактике соответствуют типовые техники, то есть конкретные приёмы её выполнения. Например, тактика сбора информации включает изучение публичных источников, от официального сайта организации до материалов конференций. Под конкретного нарушителя и его уровень возможностей подбирают доступные техники и выстраивают из них сценарий, и чем выше уровень, тем шире арсенал доступных приёмов.

Как определяется актуальность угрозы

Финальный шаг оценки отвечает на главный вопрос, какие угрозы для системы реальны. Методика описывает угрозу через набор обязательных элементов. Она «возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям». В формальном виде это записано так, угроза УБИ складывается из нарушителя как источника угрозы, объектов воздействия, способов реализации и негативных последствий.

Чтобы признать угрозу актуальной, для неё строят сценарий. По методике «на этапе создания систем и сетей должен быть определен хотя бы один сценарий каждого способа реализации возможной угрозы безопасности информации», причём сценарий определяется для каждого актуального нарушителя и его уровня возможностей. Дальше методика формулирует простое и жёсткое правило. «При наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для системы и сети и включается в модель угроз». Если же ни одного реалистичного сценария собрать не удаётся, угроза для этой системы неактуальна.

Такая логика отсекает абстрактные страхи и оставляет только то, против чего действительно нужно защищаться. Угроза без нарушителя, способного её реализовать, или без значимых последствий в модель не попадает. Благодаря этому модель угроз не превращается в бесконечный список всего плохого, что теоретически может случиться, а остаётся рабочим документом под конкретную систему.

Как оценить угрозу на практике, пример

Чтобы абстрактные этапы стали понятнее, пройдём их на условном примере. Возьмём типовую ситуацию, информационную систему персональных данных, где обрабатываются сведения о клиентах. Пример упрощён намеренно, в реальной модели угроз таких цепочек десятки, но логика оценки везде одинакова.

На первом этапе определяют негативное последствие. Утечка персональных данных наносит ущерб физическим лицам и нарушает требования законодательства, поэтому последствие значимое и угрозу нужно рассматривать дальше. На втором этапе находят объект воздействия, в нашем случае это база данных с персональными данными, а доступным интерфейсом оказываются веб-приложение и корпоративная почта сотрудников.

Самое интересное начинается на третьем этапе. Источником угрозы здесь логично считать внешнего нарушителя с базовыми повышенными возможностями, то есть уровня Н2, которому по силам провести фишинговую рассылку. Дальше выстраивается сценарий из знакомых тактик. Сначала нарушитель собирает информацию о сотрудниках, затем получает первоначальный доступ через фишинг, повышает привилегии и в конце выводит данные из системы. Поскольку реалистичный сценарий собирается, угроза признаётся актуальной и попадает в модель угроз, а уже под неё подбирают меры защиты, от обучения сотрудников до средств контроля утечек.

Что входит в модель угроз и как её поддерживать

Результатом всех трёх этапов становится модель угроз безопасности информации. В неё сводят характеристику нарушителей и их возможности, перечень объектов воздействия, способы реализации угроз и список актуальных угроз с их негативными последствиями. По сути модель отвечает на вопросы кто, через что, как и с какими последствиями может атаковать систему, и именно на ней потом обосновывают выбор организационных и технических мер защиты. Детальный разбор структуры готового документа есть в материале CISOCLUB «Модель угроз безопасности информации: методика ФСТЭК России».

Модель угроз не остаётся неизменной во времени. Методика прямо требует поддерживать её «в актуальном состоянии в процессе функционирования систем и сетей», а вести можно в том числе в электронном виде с учётом приложения 3. Это возвращает нас к идее систематичности, о которой шла речь в начале. Документ, написанный один раз и забытый, быстро устаревает и перестаёт защищать.

Методика называет конкретные случаи, когда модель угроз нужно пересматривать. Перечень открытый, но основные поводы перечислены прямо в тексте.

Повод для пересмотра модели угроз	Что меняется на практике
Изменение требований нормативных правовых актов и методических документов ФСТЭК России	новые приказы или редакции меняют состав угроз и мер
Изменение архитектуры и режима обработки информации	появляются новые объекты воздействия и интерфейсы
Выявление новых угроз или новых сценариев реализации существующих угроз	в модель добавляют ранее неучтённые угрозы и сценарии
Включение сведений о новых угрозах в банк данных угроз ФСТЭК России	обновлённый БДУ расширяет перечень исходных данных

Частые ошибки при оценке угроз

Методика описывает процесс довольно подробно, но на практике результат часто выходит формальным. Ошибки повторяются из организации в организацию, и почти все они связаны не с непониманием документа, а с желанием закрыть требование быстрее. Ниже собраны те, что встречаются чаще остального.

• Модель делают ради галочки. Документ пишут под аттестацию, а в реальной защите им не пользуются, хотя методика прямо требует систематичности.
• Банк данных угроз копируют целиком. В модель переносят весь перечень БДУ без привязки к архитектуре конкретной системы, и актуальные угрозы тонут среди сотен неактуальных.
• Внутреннего нарушителя недооценивают. Его сводят к одной строке, хотя на практике именно внутренний нарушитель часто оказывается источником утечек.
• Модель не обновляют. Систему модернизировали, появились новые сервисы и интерфейсы, а документ остался прежним.
• Путают задачи и этапы. Из-за этого пропускают шаги внутри третьего этапа, например построение сценариев под каждый уровень нарушителя.

Объединяет все эти ошибки одна общая причина. Оценку воспринимают как разовую бумажную работу, а не как инструмент, который помогает выбрать правильные меры защиты. Хорошая модель угроз экономит деньги, потому что показывает, против чего защищаться в первую очередь, а где траты избыточны. Плохая создаёт ложное чувство защищённости и в нужный момент не срабатывает.

Что меняется в 2026 году

Сама методика 2021 года остаётся действующей и в редакцию пока не вносили изменений. Но нормативное окружение вокруг неё обновляется, и сильнее всего это заметно в сегменте государственных информационных систем. С 1 марта 2026 года вступил в силу приказ ФСТЭК России от 11.04.2025 № 117, который заменил прежний приказ от 11.02.2013 № 17 и установил новые требования о защите информации в ГИС. Подробный разбор документа есть в материале CISOCLUB «Приказ ФСТЭК России № 117».

Для оценки угроз это означает, что моделирование становится обязательным элементом защиты ГИС по обновлённым правилам, а строится модель всё по той же методике 2021 года. То же касается значимых объектов КИИ, где работает приказ ФСТЭК России от 25.12.2017 № 239, и информационных систем персональных данных под приказом ФСТЭК России от 18.02.2013 № 21. Методика выступает общим знаменателем для всех этих режимов, поэтому её роль с обновлением приказов только усиливается.

Параллельно растут и требования к зрелости процессов информационной безопасности в целом. Регулятор всё чаще ждёт от организаций не разового документа, а выстроенного процесса, где модель угроз живёт вместе с системой и обновляется по мере изменений. Тем, кто привык относиться к оценке угроз формально, в ближайшие годы придётся перестраивать подход.

Что важно запомнить

Методика оценки угроз безопасности информации ФСТЭК России задаёт единые правила, по которым организации определяют, от чего им защищаться. Она обязательна для государственных информационных систем, информационных систем персональных данных, значимых объектов КИИ и ряда других систем, а результатом её применения становится модель угроз. Процесс состоит из трёх этапов, от определения негативных последствий и объектов воздействия до оценки возможности реализации угроз и их актуальности.

Ключевая идея методики в том, что актуальна только та угроза, для которой существует реальный сценарий с конкретным нарушителем, способом и значимыми последствиями. Такой подход отсекает абстрактные страхи и оставляет рабочий список угроз под конкретную систему. Отдельно методика требует исходить из повышенной мотивации нарушителей и не забывать про внутреннего, который на практике опаснее, чем кажется.

Возвращаясь к тому, с чего начали. Защита строится под угрозы, и если оценить их формально, то и меры окажутся не теми. Поэтому модель угроз стоит вести как живой документ, пересматривать при изменении системы и нормативных требований и проверять, что в ней отражены реальные риски, а не переписанный целиком банк данных. В этом случае оценка угроз перестаёт быть бумажной формальностью и начинает приносить пользу.

Частые вопросы

Чем методика оценки угроз отличается от модели угроз

Методика задаёт процесс, то есть правила и порядок оценки угроз. Модель угроз, это итоговый документ конкретной организации, который получается после применения методики к её системе. Методика отвечает на вопрос как оценивать, модель угроз фиксирует, какие угрозы для системы актуальны.

Обязательна ли методика для коммерческой компании

Да, если компания эксплуатирует систему, для которой государство требует защиту информации. Чаще всего это информационные системы персональных данных, но также государственные информационные системы и значимые объекты КИИ. Для систем без таких требований методику применяют по решению самой организации.

Сколько уровней возможностей нарушителя выделяет методика

Четыре уровня, от Н1 до Н4. Н1, это базовые возможности и общедоступные инструменты, Н4, высокие возможности вплоть до доступа к исходному коду программного обеспечения. Уровень нарушителя определяет, какие угрозы реалистичны и насколько глубокой должна быть защита.

Как часто нужно пересматривать модель угроз

Жёсткой периодичности методика не устанавливает, но требует поддерживать модель в актуальном состоянии. Пересматривать её нужно при изменении требований нормативных актов, архитектуры и режима обработки информации, выявлении новых угроз или обновлении банка данных угроз ФСТЭК России.

Нужно ли переделывать старые модели угроз под методику 2021 года

Модели угроз, разработанные и утверждённые до 5 февраля 2021 года, продолжают действовать. Привести их в соответствие с методикой нужно при развитии или модернизации соответствующей системы, а не сразу после её утверждения.