Модель угроз безопасности информации: методика ФСТЭК России
Изображение: OpenAI
В марте 2026 года вступил в силу приказ ФСТЭК России от 11.04.2025 № 117, полностью заменивший требования к защите государственных информационных систем. В конце 2024 года Федеральный закон от 30.11.2024 № 420-ФЗ ввёл оборотные штрафы за утечки персональных данных. Оба события напрямую затрагивают один и тот же документ, с которого начинается построение любой системы защиты информации. Это модель угроз безопасности информации (кратко – модель угроз).
В этой статье разберём, что представляет собой модель угроз, как её разрабатывать по действующей Методике ФСТЭК России 2021 года, что учитывать для систем персональных данных, государственных информационных систем и объектов критической информационной инфраструктуры. Покажем рекомендуемую структуру документа, перечислим типичные ошибки и ответим на вопросы, которые возникают на практике.
Содержание
- Что такое модель угроз безопасности информации
- Методика оценки угроз ФСТЭК России 2021 года
- Как разработать модель угроз: пошаговый процесс
- Модель нарушителя
- Модель угроз для ИСПДн
- Модель угроз для государственных информационных систем
- Модель угроз для объектов КИИ
- Структура документа и пример
- Типичные ошибки при разработке модели угроз
- Частые вопросы
Что такое модель угроз безопасности информации
Определение и назначение
Модель угроз безопасности информации, согласно Методике оценки угроз безопасности информации (утв. ФСТЭК России 5 февраля 2021 г.), «представляет собой описание систем и сетей и актуальных угроз безопасности информации» (п. 2.12 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Проще говоря — это документ, в котором зафиксировано, какие именно угрозы признаны реальными для конкретной информационной системы. На основании этого документа выбираются организационные и технические меры защиты, а также средства защиты информации.
Этот документ решает практическую задачу. Без модели угроз невозможно обосновать, почему для системы выбраны именно эти меры защиты, а не другие. Регуляторы при проверке запрашивают модель угроз в первую очередь. Без этого документа организация рискует получить предписание и штраф. Подробнее о том, как выстроить реагирование на инциденты, читайте в статье «Инцидент ИБ: что это, как реагировать и кого уведомлять по закону».
Когда и кому нужна модель угроз
Согласно п. 1.3 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021, документ применяется для определения угроз в системах и сетях, отнесённых к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
В иных случаях решение о применении Методики принимается обладателями информации или операторами систем и сетей самостоятельно (п. 1.3 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). На практике это означает, что коммерческие организации, не подпадающие под перечисленные категории, тоже могут разрабатывать модель угроз по этой Методике. И всё чаще это делают, потому что после введения оборотных штрафов за утечки персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ) цена ошибки в защите данных выросла кратно.
Нормативные требования к разработке
Базовый документ в сфере защиты информации — Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Он определяет виды информации и требования к её защите. Обязанность разрабатывать модель угроз закреплена в нескольких нормативных актах. Для государственных информационных систем (ГИС) это приказ ФСТЭК России от 11.04.2025 № 117, вступивший в силу 1 марта 2026 года и заменивший приказ ФСТЭК России от 11.02.2013 № 17. Для информационных систем персональных данных (ИСПДн) требование содержится в приказе ФСТЭК России от 18.02.2013 № 21. Для значимых объектов критической информационной инфраструктуры (КИИ) разработка модели угроз предусмотрена приказом ФСТЭК России от 25.12.2017 № 239.
Во всех случаях модель угроз разрабатывается в соответствии с Методикой оценки угроз безопасности информации 2021 года. Модели, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению при развитии (модернизации) соответствующих систем и сетей (п. 1.8 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). С утверждением Методики 2021 года перестали применяться Методика определения актуальных угроз безопасности персональных данных (2008 г.) и Методика для ключевых систем информационной инфраструктуры (2007 г.).
Методика оценки угроз ФСТЭК России 2021 года
Три этапа оценки угроз
Методика оценки угроз безопасности информации (утв. ФСТЭК России 5 февраля 2021 г.) пришла на смену двум документам 2007-2008 годов, которые за более чем десятилетие морально устарели. Новая методика ориентирована на оценку антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей (п. 1.5 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Угрозы, связанные с криптографической защитой и техническими каналами утечки, в документе не рассматриваются (п. 1.4 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Это означает, что методика даёт основания для выбора средств защиты информации (СЗИ), но не для выбора шифровальных (криптографических) средств (СКЗИ). Для СКЗИ применяются отдельные требования ФСБ России.
Оценка угроз проводится в три этапа (п. 2.15 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). В ряде публикаций можно встретить упоминание пяти этапов. Это неточность. Третий этап действительно включает три подэтапа (определение источников, оценка способов реализации, определение актуальности), но Методика явно определяет именно три этапа, а не пять.
Первый этап посвящён определению негативных последствий от реализации угроз. Второй отвечает за определение возможных объектов воздействия. Третий объединяет оценку возможности реализации угроз и определение их актуальности. Каждый этап подробно описан в следующем разделе статьи.
Банк данных угроз ФСТЭК России
Основной инструмент при разработке модели угроз — Банк данных угроз безопасности информации ФСТЭК России, доступный по адресу bdu.fstec.ru. Он содержит общий перечень угроз, описания уязвимостей, а также сведения о тактиках и техниках реализации угроз. Методика (п. 2.3) прямо указывает банк данных как один из основных источников исходных данных для оценки.
По состоянию на апрель 2026 года в банке данных содержится 227 угроз безопасности информации и более 85 000 уязвимостей. Банк регулярно обновляется. При включении в него сведений о новых угрозах или сценариях модель угроз подлежит пересмотру (п. 2.14 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021).
Чем отличается от методики 2008 года
Методика 2008 года использовала упрощённый подход с расчётом коэффициента актуальности угроз на основе уровня исходной защищённости системы и вероятности реализации каждой угрозы. Новая Методика 2021 года принципиально иная. Она построена на сценарном подходе с использованием тактик и техник (аналог MITRE ATT&CK). Вместо абстрактных типов угроз появилась связка «нарушитель → объект → способ → последствие», записываемая в виде формулы УБИ (п. 5.3.3 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021).
Ещё одно существенное отличие. Старая методика рассматривала только угрозы персональным данным. Новая Методика универсальна и применяется для всех типов систем, перечисленных в п. 1.3, включая ГИС, ИСПДн, объекты КИИ, автоматизированные системы управления технологическими процессами (АСУ ТП) и системы оборонно-промышленного комплекса.
Смежные документы 2025 года
В 2025 году ФСТЭК России утвердила два методических документа, дополняющих процесс оценки угроз. 30 июня 2025 года вышла Методика оценки уровня критичности уязвимостей программных и программно-аппаратных средств. 25 ноября 2025 года утверждена Методика анализа защищённости информационных систем, формализующая порядок выявления и оценки уязвимостей в ИС, АСУ и информационно-телекоммуникационных сетях. Оба документа не заменяют Методику оценки угроз 2021 года, но используются совместно с ней при построении системы защиты.
Как разработать модель угроз: пошаговый процесс
Как описано в предыдущем разделе, оценка угроз проводится в три этапа (п. 2.15). Каждый опирается на результаты предыдущего, а итогом становится перечень актуальных угроз, готовый для обоснования мер защиты. Рассмотрим каждый этап подробно.
Перед тем как приступить к оценке, необходимо собрать исходные данные. Пункт 2.3 перечисляет их подробно. Это общий перечень угроз из Банка данных угроз ФСТЭК России (bdu.fstec.ru), описания векторов компьютерных атак из открытых источников (CAPEC, ATT&CK, OWASP, STIX), документация на системы и сети, результаты оценки рисков, нормативные правовые акты. На практике к этому списку добавляются результаты инвентаризации, тестирований на проникновение и анализа уязвимостей, если система уже эксплуатируется (п. 2.5 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021).
Этап 1. Определение негативных последствий
На первом этапе определяются события или группы событий, наступление которых в результате реализации угроз может привести к ущербу (п. 3.3 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Негативные последствия привязываются к конкретным бизнес-процессам обладателя информации или оператора. Для одной системы может быть определено одно или несколько негативных последствий.
Документ выделяет три направления ущерба. Первое связано с нарушением прав граждан. Второе затрагивает безопасность государства, оборону, правопорядок, социальную, экономическую, политическую и экологическую сферы. Третье касается рисков для самого обладателя информации или оператора, включая финансовые, производственные и репутационные потери (п. 3.3 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Типовые негативные последствия перечислены в Приложении 4 к Методике.
Вот как это выглядит на практике. Если оператор обрабатывает персональные данные граждан, которые подлежат обязательной защите в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», одним из негативных последствий будет нарушение конфиденциальности этих данных. Если оператор обеспечивает транспортировку нефти, негативным последствием может стать разлив нефти из нефтепровода вследствие несанкционированного доступа к системе управления (п. 3.5 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021).
Этап 2. Определение объектов воздействия
Второй этап отвечает на вопрос «на что именно может воздействовать нарушитель». Объекты воздействия, согласно п. 4.1 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021, представляют собой информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые может привести к негативным последствиям. Совокупность объектов воздействия и их интерфейсов определяет границы процесса оценки угроз.
В п. 4.3 приведены группы информационных ресурсов и компонентов, которые могут являться объектами воздействия. К ним относятся информация (данные), содержащаяся в системах, программно-аппаратные средства обработки и хранения информации, программные средства (включая системное и прикладное ПО, СУБД, системы виртуализации), машинные носители информации, телекоммуникационное оборудование, средства защиты информации, привилегированные и непривилегированные пользователи, а также обеспечивающие системы.
Объекты воздействия определяются на нескольких уровнях архитектуры систем и сетей. На аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей (п. 4.6 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Для каждого объекта определяются виды воздействия, в числе которых утечка конфиденциальной информации, несанкционированный доступ к данным, отказ в обслуживании, нарушение целостности, нарушение функционирования оборудования и другие (п. 4.5 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021).
Этап 3. Оценка возможности реализации угроз и определение актуальности
Третий этап самый объёмный. Он включает три взаимосвязанных подэтапа, которые в методике вынесены в отдельные подразделы (5.1, 5.2, 5.3).
Определение источников угроз (п. 5.1). Источниками угроз являются лица или группы лиц, осуществляющие реализацию угроз путём несанкционированного доступа и воздействия на ресурсы систем и сетей. В п. 5.1.3 перечислены 13 основных видов нарушителей, от специальных служб иностранных государств до бывших сотрудников организации. По уровню возможностей нарушители подразделяются на четыре уровня (п. 5.1.5). Н1 обладает базовыми возможностями, Н2 базовыми повышенными, Н3 средними, Н4 высокими. Подробное описание каждого уровня содержится в Приложении 8 к Методике. Нарушители также подразделяются на внешних (не имеющих доступа в контролируемую зону) и внутренних (имеющих такой доступ) (п. 5.1.6).
Оценка способов реализации угроз (п. 5.2). На этом подэтапе определяются конкретные способы, которыми нарушители могут реализовать угрозы. В п. 5.2.3 перечислены девять основных способов. Среди них использование уязвимостей (кода, архитектуры, конфигурации), внедрение вредоносного ПО, использование недекларированных возможностей программных средств, установка закладок, формирование скрытых каналов, перехват побочных электромагнитных излучений и наводок, инвазивные способы доступа к информации в аппаратных средствах, нарушение безопасности при поставках, а также ошибочные действия в ходе создания и эксплуатации систем.
Способ считается актуальным, когда возможности нарушителя позволяют его использовать и созданы условия для реализации угрозы в отношении объектов воздействия (п. 5.2.3). Одна угроза может быть реализована несколькими способами.
Определение актуальных угроз (п. 5.3). Финальный подэтап сводит всё воедино. Угроза безопасности информации считается возможной, если имеются нарушитель (источник угрозы), объект воздействия, способы реализации и реализация угрозы может привести к негативным последствиям (п. 5.3.3). В документе это записано в виде формулы.
УБИi = [нарушитель (источник угрозы); объекты воздействия; способы реализации угроз; негативные последствия].
Актуальность возможных угроз определяется наличием сценариев их реализации (п. 5.3.4). Сценарий представляет собой последовательность тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей. Перечень основных тактик (тактических задач) и типовых техник приведён в Приложении 11 к Методике. При наличии хотя бы одного сценария угроза признаётся актуальной и включается в модель угроз (п. 5.3.5).
Оформление результатов
Результаты оценки оформляются в виде документа «Модель угроз безопасности информации». Рекомендуемая структура документа приведена в Приложении 3 к методике и включает семь разделов. Общие положения, описание систем и сетей как объектов защиты, возможные негативные последствия, объекты воздействия, источники угроз, способы реализации, актуальные угрозы. К модели могут прилагаться схемы и рисунки, иллюстрирующие состав и архитектуру систем, интерфейсы взаимодействия, сценарии реализации угроз.
По объёму. Для типовой коммерческой ИСПДн исходный перечень угроз из БДУ ФСТЭК России составляет примерно 30-60 позиций, из которых актуальными признаются 15-30. Для ГИС и объектов КИИ цифры выше, 50-100 исходных и 30-80 актуальных. Лучше включить угрозу в исходный перечень и обоснованно признать её неактуальной, чем пропустить. Проверяющие оценивают полноту анализа. Для каждой неактуальной угрозы нужно указать конкретную причину, например, нет нарушителя с соответствующим уровнем возможностей, нет способа реализации или нет негативных последствий для данной системы.
Практический совет для тех, кто делает это впервые. Составьте модель для одной системы, доведите до утверждения, получите обратную связь от ФСТЭК России (если система подлежит аттестации). Затем используйте этот документ как образец для остальных систем. Ведите реестр изменений модели (дата, что изменилось, причина, кто инициировал). Это покажет проверяющим, что модель угроз не формальный документ, а рабочий инструмент. Синхронизируйте модель с паспортом ИСПДн, актом определения уровня защищённости, политикой ИБ и техническим заданием и проектом на систему защиты.
Итоговый перечень актуальных угроз определяет конкретные меры защиты из приказов ФСТЭК России (приказ № 21 для ИСПДн, приказ № 117 для ГИС, приказ № 239 для КИИ). Если угроза признана актуальной, для неё должна быть предусмотрена мера. Это прямая связь между моделью угроз и проектом системы защиты информации.
Модель угроз утверждается руководителем органа государственной власти (организации) или иным уполномоченным лицом. По решению обладателя информации или оператора она может разрабатываться как для отдельной системы, так и для совокупности взаимодействующих систем и сетей (п. 2.13 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Допускается разработка одной модели для нескольких однотипных систем.
Важный момент, который на практике нередко упускают. Модель угроз не статичный документ. Согласно п. 2.14 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021, она должна поддерживаться в актуальном состоянии. Пересмотр проводится при изменении нормативных требований, архитектуры и условий функционирования систем, выявлении новых угроз или сценариев, а также при включении в Банк данных угроз ФСТЭК России сведений о новых угрозах.
Модель нарушителя
Категории нарушителей по методике ФСТЭК России
Модель нарушителя входит в состав модели угроз и разрабатывается в ходе третьего этапа оценки (подэтап 5.1). Нарушители, согласно п. 5.1.6 Методики, подразделяются на две категории. Внешние не имеют прав доступа в контролируемую (охраняемую) зону (территорию) и полномочий по доступу к информационным ресурсам и компонентам систем и сетей, требующим авторизации. Внутренние, напротив, имеют такие права и полномочия.
Согласно п. 5.1.3, оценке подлежат 13 основных видов нарушителей. Специальные службы иностранных государств, террористические и экстремистские группировки, преступные группы (криминальные структуры), отдельные физические лица (хакеры), конкурирующие организации, разработчики программных и программно-аппаратных средств, лица, обеспечивающие поставку ПО и систем, поставщики услуг связи и вычислительных услуг, лица, привлекаемые для установки и настройки, персонал, обеспечивающий функционирование систем (включая администрацию, охрану), авторизованные пользователи, системные администраторы и администраторы безопасности, а также бывшие (уволенные) работники. Перечень может быть дополнен с учётом отраслевой специфики.
Четыре уровня возможностей
Нарушители имеют разные уровни компетентности, оснащённости ресурсами и мотивации. Совокупность этих характеристик определяет уровень возможностей нарушителя по реализации угроз (п. 5.1.5 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Документ выделяет четыре уровня. Подробное описание каждого содержится в Приложении 8 к Методике.
| Уровень | Название | Характеристика | Типичные нарушители |
|---|---|---|---|
| Н1 | Базовые возможности | Использование общедоступных инструментов и эксплойтов | Отдельные физические лица (хакеры), бывшие сотрудники |
| Н2 | Базовые повышенные | Умелое использование и модификация общедоступных инструментов, владение фреймворками, навыки планирования сценариев атак | Преступные группы, конкурирующие организации |
| Н3 | Средние возможности | Самостоятельная разработка инструментов, доступ к исходным кодам ПО, анализ уязвимостей, работа в составе группы | Террористические группировки, разработчики ПО |
| Н4 | Высокие возможности | Разработка и внедрение закладок в программное и аппаратное обеспечение | Специальные службы иностранных государств |
Связь модели нарушителя и модели угроз
Перечень актуальных угроз напрямую зависит от модели нарушителя. Нарушитель с уровнем Н1 не способен реализовать угрозы, требующие средних или высоких возможностей, а значит, соответствующие сценарии исключаются из модели. На практике это означает, что для небольшой коммерческой организации перечень актуальных нарушителей будет значительно уже, чем для субъекта КИИ или ГИС федерального уровня. Но тут есть нюанс. При определении источников угроз согласно разделу 5.1 Методики необходимо исходить из предположения о наличии повышенной мотивации внешних и внутренних нарушителей. Занижать уровень нарушителя в расчёте на «нас не будут атаковать» рискованно и при проверке ФСТЭК России вызовет вопросы.
Модель угроз для ИСПДн
152-ФЗ и приказ ФСТЭК России от 18.02.2013 № 21
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» обязывает оператора принимать меры по обеспечению безопасности персональных данных при их обработке. Конкретные требования к защите ИСПДн установлены в приказе ФСТЭК России от 18.02.2013 № 21. Приказ предписывает выбирать меры защиты на основании определённых актуальных угроз безопасности персональных данных. А определение актуальных угроз проводится в соответствии с Методикой ФСТЭК России 2021 года.
Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает четыре уровня защищённости персональных данных (УЗ1, УЗ2, УЗ3, УЗ4). Уровень определяется в зависимости от типа актуальных угроз, категории и объёма обрабатываемых данных, а также типа субъектов. Модель угроз для ИСПДн служит отправной точкой для определения уровня защищённости и, соответственно, набора обязательных мер.
Что учитывать при определении угроз ПДн
При разработке модели угроз для ИСПДн следует обратить внимание на несколько особенностей. Постановление Правительства РФ от 1 ноября 2012 г. №1119 выделяет три типа угроз. Угрозы 1-го типа связаны с наличием недекларированных возможностей в системном программном обеспечении. Угрозы 2-го типа связаны с недекларированными возможностями в прикладном ПО. Угрозы 3-го типа не связаны с такими возможностями. Тип угроз определяется оператором с учётом модели угроз.
Если организация определяет, что угрозы 1-го или 2-го типа актуальны, требуются более строгие меры защиты (вплоть до УЗ1). При актуальности только угроз 3-го типа достаточно базового уровня. На практике коммерческие организации, использующие сертифицированное системное и прикладное ПО, как правило определяют актуальными угрозы 3-го типа.
Ответственность за отсутствие модели угроз
С принятием Федерального закона от 30.11.2024 № 420-ФЗ существенно ужесточена ответственность за нарушение требований по обработке и защите персональных данных. Введены оборотные штрафы за утечки. За повторную утечку персональных данных юридическим лицам грозит оборотный штраф от 1% до 3% совокупного размера суммы выручки за календарный год, но не менее 20 млн и не более 500 млн рублей (ч. 15 ст. 13.11 КоАП РФ в редакции 420-ФЗ, вступает в силу 30 мая 2025 года). Отсутствие модели угроз само по себе не даёт основание для штрафа по 420-ФЗ, но при утечке данных проверяющие органы оценивают, были ли приняты надлежащие меры защиты. По данным исследований, 51% российских компаний сталкивались с утечками персональных данных (читайте в статье «51% российских компаний сталкивались с утечками персональных данных»). Без модели угроз доказать надлежащий уровень защиты практически невозможно.
По данным InfoWatch, за три года (2023-2025) в России утекло более 4,5 млрд записей персональных данных. Подробнее читайте в статье «За три года в России утекло 4,5 млрд записей персональных данных».
Модель угроз для государственных информационных систем
Приказ ФСТЭК России от 11.04.2025 № 117 заменил № 17
С 1 марта 2026 года вступил в силу приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Этот документ полностью заменил приказ ФСТЭК России от 11.02.2013 № 17, действовавший более 12 лет.
Важно не путать этот документ с одноимённым приказом ФСБ России от 18.03.2025 № 117, который устанавливает требования к использованию СКЗИ в ГИС и заменил приказ ФСБ России от 24.10.2022 № 524. Приказ ФСТЭК России № 117 содержит принципиально обновлённые требования. В нём отсутствуют классы защищённости и базовые наборы мер, привычные по старому приказу. Вместо этого акцент сделан на результаты моделирования угроз и оценку защищённости. Аттестаты соответствия, выданные до вступления в силу нового приказа, сохраняют действие.
Что изменилось в требованиях к модели угроз ГИС
Для операторов ГИС переход на новый приказ означает, что модель угроз становится ещё более значимым документом. Раньше можно было выбрать класс защищённости и применить базовый набор мер «по таблице». Теперь обоснование мер защиты строится непосредственно на модели угроз. Контроль уровня защищённости информации должен проводиться не реже одного раза в три года или после компьютерного инцидента, а отчёт по итогам проверки направляется в ФСТЭК России.
Модель угроз для объектов КИИ
187-ФЗ и приказ ФСТЭК России от 25.12.2017 № 239
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» определяет правовые основы обеспечения безопасности КИИ. Субъекты КИИ, которым принадлежат значимые объекты КИИ, обязаны обеспечить их безопасность в соответствии с приказом ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Этот приказ предусматривает разработку модели угроз как одного из первых шагов при создании системы безопасности значимого объекта.
Связь категорирования и моделирования угроз
Процесс обеспечения безопасности КИИ начинается с категорирования объектов. По результатам категорирования (Постановление Правительства РФ от 08.02.2018 № 127) каждому объекту присваивается одна из трёх категорий значимости или принимается решение об отсутствии необходимости присвоения категории. Для значимых объектов (категории 1, 2 или 3) модель угроз разрабатывается обязательно.
Результаты категорирования влияют на модель угроз напрямую. Чем выше категория значимости, тем более квалифицированных нарушителей необходимо учитывать. Для объектов 1-й категории, как правило, актуальны нарушители с высокими возможностями (Н4), включая специальные службы иностранных государств. Для объектов 3-й категории перечень актуальных нарушителей может быть уже.
| Параметр | ИСПДн | ГИС | КИИ (значимые объекты) |
|---|---|---|---|
| Основной НПА | 152-ФЗ, приказ ФСТЭК России № 21 | Приказ ФСТЭК России № 117 (с 01.03.2026) | 187-ФЗ, приказ ФСТЭК России № 239 |
| Классификация системы | Уровень защищённости (УЗ1-УЗ4) по ПП № 1119 | По результатам моделирования угроз (приказ № 117) | Категория значимости (1, 2, 3) по ПП № 127 |
| Модель угроз обязательна | Да (приказ № 21) | Да (приказ № 117) | Да (приказ № 239) |
| Методика разработки | Методика ФСТЭК России 2021 | Методика ФСТЭК России 2021 | Методика ФСТЭК России 2021 |
| Кто утверждает | Оператор ПДн | Руководитель органа власти (организации) | Субъект КИИ |
| Куда направлять | Не направляется (хранится у оператора) | ФСТЭК России (отчёт о защищённости) | Не направляется (хранится у субъекта КИИ) |
| Ответственность | Ст. 13.11 КоАП РФ (оборотные штрафы по 420-ФЗ) | Предписание ФСТЭК России | Ст. 274.1 УК РФ (для всех объектов КИИ) |
Структура документа и пример
Рекомендуемая структура по методике ФСТЭК России
Приложение 3 к Методике содержит рекомендуемую структуру документа «Модель угроз безопасности информации». Документ состоит из семи разделов.
Первый раздел «Общие положения» включает назначение и область действия документа, перечень использованных НПА, наименование обладателя информации и оператора, подразделения и должностные лица, ответственные за обеспечение защиты. Второй раздел «Описание систем и сетей и их характеристика как объектов защиты» содержит наименование систем, их класс защищённости или категорию значимости, уровень защищённости ПДн, НПА, назначение и задачи, состав обрабатываемой информации, архитектуру, группы пользователей, интерфейсы, сведения об использовании облачной инфраструктуры.
Третий раздел описывает возможные негативные последствия от реализации угроз. Четвёртый перечисляет объекты воздействия и виды воздействия на них. Пятый раздел посвящён источникам угроз (характеристика нарушителей, их цели, категории, возможности). Шестой описывает способы реализации угроз и интерфейсы, доступные нарушителям. Седьмой содержит перечень актуальных угроз, описание сценариев и выводы об актуальности.
На что обращает внимание ФСТЭК России при проверке
По данным доклада Ирины Гефнер (ФСТЭК России) на ТБ Форуме 2022, за 2021 год служба рассмотрела 710 моделей угроз, из которых 695 были разработаны по новой Методике. При этом 67% моделей были возвращены на доработку. Из практики проверок можно выделить несколько моментов, на которые обращают внимание. Модель не должна быть шаблонной. Если в документе для ИСПДн районной поликлиники указан нарушитель уровня Н4 (спецслужбы), возникнут вопросы к обоснованности. И наоборот, если для ГИС федерального уровня учтены только нарушители с базовыми возможностями, такой подход недопустим.
Негативные последствия должны быть конкретными и привязанными к бизнес-процессам, а не переписанными из типового перечня. Объекты воздействия должны соответствовать реальной архитектуре системы, а не абстрактному описанию. Сценарии реализации угроз должны быть определены для каждой актуальной угрозы с указанием тактик и техник. Если система функционирует на базе облачной инфраструктуры, модель угроз должна учитывать разделение зон ответственности между организацией и поставщиком услуг (IaaS, PaaS, SaaS) в соответствии с п. 2.10-2.11, 4.8 Методики.
Типичные ошибки при разработке модели угроз
Ошибки в определении актуальных угроз
Самая распространённая проблема. Организация берёт весь перечень угроз из Банка данных ФСТЭК России и включает их в модель без анализа. Формально документ получается объёмным. Фактически он бесполезен, потому что не отражает реальную ситуацию. При 200 актуальных угрозах в модели обосновать выбор конкретных мер защиты невозможно.
Обратная крайность. В модели определены 5-10 угроз, а остальные отброшены без обоснования. При проверке ФСТЭК России потребует объяснить, почему конкретные угрозы признаны неактуальными. Без обоснования модель будет отклонена.
Ошибки в модели нарушителя
Занижение уровня нарушителя. Это желание сэкономить на мерах защиты. Для значимого объекта КИИ 1-й категории с нарушителями только базовых возможностей Н1 проверяющий сразу увидит несоответствие. Согласно разделу 5.1 Методики необходимо исходить из предположения о повышенной мотивации нарушителей.
Ещё одна ошибка. Не учитывать внутренних нарушителей. По данным исследования «СёрчИнформ» от 2024г., 67% инцидентов в российских компаниях сотрудники совершают случайно, без злого умысла. Администратор системы, обладающий привилегированными правами, может нанести ущерб, сопоставимый с действиями внешнего нарушителя. Увольняемый сотрудник с доступом к конфиденциальной информации тоже входит в перечень видов нарушителей (п. 5.1.3 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021).
Формальный подход без реального анализа
Модель угроз, написанная «для галочки», видна сразу. Обозначим основные признаки формального подхода:
- Негативные последствия скопированы из типового перечня без привязки к конкретным процессам организации.
- Объекты воздействия описаны абстрактно, без указания конкретных компонентов и интерфейсов.
- Сценарии реализации угроз отсутствуют или описаны одним предложением.
Пункт 2.4 методики подчёркивает, что оценка угроз должна носить систематический характер и осуществляться как на этапе создания, так и в ходе эксплуатации систем. Формальный документ, написанный один раз и положенный на полку, этому требованию не соответствует.
Частые вопросы
Как часто нужно обновлять модель угроз?
Фиксированных сроков пересмотра нет (п. 2.14 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021). Обновление происходит при наступлении определённых событий. Изменились нормативные требования или методические документы ФСТЭК России. Изменилась архитектура системы, режим обработки информации или правовой режим информации. Выявлены новые угрозы или новые сценарии реализации существующих угроз. В Банк данных угроз ФСТЭК России добавлены сведения о новых угрозах. На практике для ИСПДн рекомендуется проводить плановый пересмотр не реже одного раза в год, для ГИС каждые 6 месяцев. Внеплановый пересмотр проводится при миграции в облако, после инцидента, при обновлении БДУ или по замечаниям проверяющих.
Нужна ли лицензия ФСТЭК России для разработки модели угроз?
Разработка модели угроз является частью работ по защите информации. Если организация разрабатывает модель для собственных нужд, лицензия не требуется. Если модель разрабатывает сторонняя организация в рамках оказания услуг по защите информации, ей необходима лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ). Пункт 2.7 методики допускает привлечение специалистов сторонних организаций для оценки угроз по решению обладателя информации или оператора в соответствии с законодательством.
Можно ли разработать модель угроз самостоятельно?
Да. Пункт 2.7 методики прямо указывает, что оценка угроз проводится подразделением по защите информации обладателя или оператора с участием специалистов, ответственных за эксплуатацию систем. Для этого рекомендуется привлекать специалистов, обладающих знаниями в области оценки рисков, угроз безопасности, тактик и техник компьютерных атак, уязвимостей систем и нормативных правовых актов. Если таких специалистов в штате нет, имеет смысл привлечь лицензированную организацию хотя бы для консультирования. На сайте БДУ ФСТЭК России находится в опытной эксплуатации инструмент для автоматизации формирования перечня возможных угроз. Существуют и коммерческие решения, но рекламировать здесь их не будем.
Чем модель угроз отличается от модели нарушителя?
Модель нарушителя описывает, кто может реализовать угрозу (виды нарушителей, их категории, уровни возможностей, цели). Но модель угроз шире. Она включает модель нарушителя как составную часть, а также объекты воздействия, способы реализации, негативные последствия, сценарии и перечень актуальных угроз (п. 2.12 методики оценки угроз безопасности информации ФСТЭК России от 05.02.2021, Приложение 3). На практике оба описания оформляются в одном документе.
Заключение
Модель угроз безопасности информации перестала быть формальным документом «для проверки». Вступление в силу приказа ФСТЭК России № 117 и введение оборотных штрафов за утечки данных (420-ФЗ) превратили её в основу, на которой строится вся система защиты. Без актуальной модели невозможно обосновать выбор мер защиты перед регулятором и невозможно доказать надлежащий уровень защиты при инциденте.
Методика ФСТЭК России 2021 года устанавливает три этапа оценки угроз, каждый из которых опирается на конкретные исходные данные и приводит к измеримому результату. Процесс завершается перечнем актуальных угроз с определёнными сценариями реализации. Именно этот перечень ложится в основу проектирования системы защиты.
Требования различаются в зависимости от типа системы. Для ИСПДн ключевым является определение уровня защищённости по Постановлению Правительства РФ № 1119. Для ГИС действует новый приказ № 117 с обязательной периодической оценкой защищённости. Для объектов КИИ модель угроз связана с результатами категорирования и определяет уровень нарушителя, которого необходимо учитывать.
Главное правило одно. Модель угроз должна отражать реальную ситуацию, а не заполнять шаблон. Конкретные негативные последствия для конкретных бизнес-процессов. Реальные объекты воздействия из реальной архитектуры. Обоснованные сценарии реализации угроз. И регулярный пересмотр при любых изменениях.
