Что такое модель угроз информационной безопасности?

Модель угроз ИБ — это документ, описывающий перечень актуальных угроз безопасности информации для конкретной информационной системы. Модель угроз определяет, кто может атаковать систему (источники угроз и нарушители), какие сценарии реализации угроз возможны, какие последствия наступят при их реализации. Документ обязателен для ГИС, ИСПДн, значимых объектов КИИ и АСУ ТП в соответствии с требованиями ФСТЭК России.

Кто разрабатывает модель угроз?

Модель угроз разрабатывает оператор информационной системы — самостоятельно или с привлечением лицензиата ФСТЭК. Ответственность за документ несёт руководитель организации. На практике разработкой занимается подразделение ИБ (CISO, специалист по защите информации), при необходимости привлекаются ИТ-специалисты, знающие архитектуру системы. Для сложных систем (КИИ, крупные ГИС) рекомендуется привлечение организации-лицензиата ФСТЭК.

Чем методика ФСТЭК 2021 года отличается от предыдущей?

Методика 2021 года принципиально отличается от базовой модели угроз 2008 года. Главные изменения: переход к сценарному подходу вместо перечислительного — угрозы описываются через тактики и техники нарушителей (аналог MITRE ATT&CK); единая методика для всех типов систем (ГИС, ИСПДн, КИИ, АСУ ТП); обязательное определение негативных последствий; классификация нарушителей по уровню возможностей (Н1–Н4); использование БДУ ФСТЭК как основного каталога угроз.

Какие разделы должна содержать модель угроз?

Модель угроз по методике ФСТЭК 2021 должна включать: общие положения и область действия; описание информационной системы и её архитектуры; возможные негативные последствия от реализации угроз; возможные объекты воздействия; источники угроз и модель нарушителя (категории, уровни возможностей Н1–Н4); способы реализации угроз (тактики и техники); перечень актуальных угроз безопасности информации с обоснованием; выводы. Приложения включают схему ИС, таблицы соответствия угроз и мер защиты.

Как определить актуальные угрозы из БДУ ФСТЭК?

Определение актуальных угроз выполняется в несколько шагов: сначала из БДУ ФСТЭК (bdu.fstec.ru) выбираются угрозы, применимые к вашему типу системы и используемым технологиям. Затем для каждой угрозы оценивается наличие условий для реализации (уязвимости, доступ нарушителя, объекты воздействия) и уровень последствий. Угроза признаётся актуальной, если существует нарушитель с достаточными возможностями и имеются условия для реализации сценария. Рекомендуется использовать SGRC-платформы для автоматизации отбора и обоснования.

Нужно ли обновлять модель угроз и как часто?

Да, модель угроз — живой документ, требующий регулярного пересмотра. Обновление необходимо при: изменении архитектуры информационной системы (новые компоненты, сегменты, каналы связи); появлении новых угроз в БДУ ФСТЭК; изменении нормативных требований; по результатам аудитов и инцидентов ИБ. Рекомендуемая периодичность планового пересмотра — не реже одного раза в год. SGRC-платформы автоматически отслеживают обновления БДУ и уведомляют о необходимости пересмотра.

Модель угроз ИБ: методика ФСТЭК 2021, пример, шаблон

Модель угроз информационной безопасности — обязательный документ для любой организации, эксплуатирующей государственные информационные системы (ГИС), информационные системы персональных данных (ИСПДн), значимые объекты критической информационной инфраструктуры (КИИ) или автоматизированные системы управления (АСУ ТП). В 2021 году ФСТЭК России утвердила принципиально новую Методику оценки угроз безопасности информации, заменившую устаревшие документы 2008 года. Методика кардинально изменила подход к определению актуальных угроз: вместо статичного перечисления — сценарный анализ на основе тактик и техник нарушителей.

В этом руководстве разберём, как разработать модель угроз по методике ФСТЭК 2021 года от начала до конца: от описания информационной системы до определения перечня актуальных угроз. Приведём практический пример для типовой ИСПДн и покажем, как использовать БДУ ФСТЭК и SGRC-платформу для автоматизации процесса.

Что такое модель угроз ИБ

Определение и назначение

Модель угроз безопасности информации — это структурированный документ, который описывает:

кто может атаковать информационную систему (источники угроз, категории нарушителей);
что именно может быть атаковано (объекты воздействия);
как могут быть реализованы атаки (тактики, техники, сценарии);
какие последствия наступят при успешной реализации угроз.

Модель угроз — не формальная бумага для регулятора, а рабочий инструмент. На её основе формируется техническое задание на систему защиты информации, выбираются конкретные меры и средства защиты, обосновывается бюджет на ИБ.

Для каких систем обязательна

Разработка модели угроз обязательна для:

ГИС — государственные информационные системы (приказ ФСТЭК № 17);
ИСПДн — информационные системы персональных данных (приказ ФСТЭК № 21, 152-ФЗ);
Значимые объекты КИИ — объекты критической информационной инфраструктуры (приказ ФСТЭК № 239, 187-ФЗ);
АСУ ТП — автоматизированные системы управления производственными и технологическими процессами (приказ ФСТЭК № 31).

Для коммерческих организаций, не подпадающих под прямое регулирование, модель угроз рекомендуется как лучшая практика управления рисками ИБ.

Нормативная база

Ключевые документы:

Методика оценки угроз безопасности информации (ФСТЭК, 5 февраля 2021 г.) — основной методический документ.
БДУ ФСТЭК (bdu.fstec.ru) — Банк данных угроз, содержащий каталог УБИ (220+ угроз) и уязвимостей (60 000+).
Приказы ФСТЭК № 17, 21, 31, 239 — требования к защите конкретных типов систем.
152-ФЗ «О персональных данных», 187-ФЗ «О безопасности КИИ» — федеральные законы, устанавливающие обязательность защиты.

Методика ФСТЭК 2021: что изменилось

Единый подход для всех типов систем

До 2021 года для разных типов систем использовались разные документы: «Базовая модель угроз безопасности ПДн» (2008) для ИСПДн, отдельные методики для ГИС и КИИ. Новая методика — единый универсальный документ. Один подход, одна логика, одна структура — независимо от того, разрабатываете ли вы модель угроз для ИСПДн районной поликлиники или для значимого объекта КИИ энергетической компании.

Сценарный подход вместо перечислительного

Главное концептуальное изменение — переход от простого перечисления угроз к сценарному анализу. Раньше модель угроз сводилась к таблице: «УБИ.001 — актуальна/неактуальна». Теперь нужно описать реалистичные сценарии атак — цепочки тактик и техник, которые нарушитель может применить для достижения цели.

Подход аналогичен фреймворку MITRE ATT&CK, который используется мировым ИБ-сообществом. ФСТЭК фактически адаптировала эту концепцию для российского регуляторного поля: тактики в методике соответствуют тактикам ATT&CK (первоначальный доступ, закрепление, повышение привилегий, перемещение внутри сети и т. д.), а техники описывают конкретные способы реализации каждой тактики.

Ключевые отличия от методики 2008 года

Параметр	Методика 2008	Методика 2021
Область применения	Только ИСПДн	Все типы систем (ГИС, ИСПДн, КИИ, АСУ ТП)
Подход к угрозам	Перечислительный (статический список)	Сценарный (тактики → техники → цепочки атак)
Нарушители	Упрощённая классификация	4 уровня возможностей (Н1–Н4)
Последствия	Нарушение КЦД	Негативные последствия через ущерб
Источник угроз	Базовая модель угроз ПДн	БДУ ФСТЭК (bdu.fstec.ru)
Связь с мерами защиты	Косвенная	Прямая (через тактики и техники)

Шесть этапов разработки модели угроз

Методика ФСТЭК 2021 определяет последовательность из шести этапов. Каждый этап — входные данные для следующего. Пропуск или формальное выполнение любого этапа обесценивает весь документ.

Этап 1. Определение негативных последствий

На первом этапе определяются возможные негативные последствия от реализации угроз безопасности информации. Не абстрактные «нарушение конфиденциальности», а конкретные бизнес-последствия:

Ущерб физическим лицам — утечка персональных данных, финансовые потери субъектов ПДн, нарушение прав граждан.
Ущерб юридическому лицу — штрафы регуляторов, прямые финансовые потери, репутационный ущерб, нарушение бизнес-процессов.
Ущерб государству — нарушение функционирования государственных органов, угроза обороне и безопасности.

Для каждого последствия определяется масштаб и степень ущерба. Этот этап задаёт рамку всей модели: если при нарушении доступности к ИС максимальное последствие — задержка обработки заявлений на 2 часа, масштаб защиты будет принципиально иным, чем при возможности остановки технологического процесса на производстве.

Этап 2. Определение возможных объектов воздействия

Объекты воздействия — это компоненты информационной системы, на которые может быть направлена атака. Методика требует описать:

Информационные ресурсы — базы данных, файлы, конфигурации, резервные копии.
Программные компоненты — ОС, СУБД, прикладное ПО, веб-приложения, API.
Аппаратные средства — серверы, АРМ, сетевое оборудование, СХД.
Средства защиты информации — антивирус, СКЗИ, межсетевые экраны, СОВ.
Каналы связи — проводные и беспроводные сегменты сети, VPN-каналы, интернет-каналы.
Персонал — администраторы, пользователи (как объект социальной инженерии).

Для каждого объекта фиксируется его расположение в архитектуре ИС, доступные интерфейсы взаимодействия и применимые угрозы из БДУ ФСТЭК.

Этап 3. Определение источников угроз и модель нарушителя

Источники угроз делятся на антропогенные (нарушители) и техногенные (природные, техногенные факторы). Основное внимание методика уделяет нарушителям.

Категории нарушителей

Методика 2021 выделяет внешних и внутренних нарушителей:

Внешние нарушители:

Специальные службы иностранных государств
Террористические и экстремистские организации
Преступные группы (кибершпионаж, вымогательство)
Отдельные хакеры и хактивисты
Разработчики и производители ПО/оборудования (supply chain)
Бывшие сотрудники

Внутренние нарушители:

Пользователи ИС с легитимным доступом
Администраторы ИС и средств защиты
Обслуживающий персонал (уборка, электрики, курьеры)
Подрядчики с удалённым доступом

Уровни возможностей нарушителей (Н1–Н4)

Уровень	Описание	Примеры
Н1 (базовый)	Использование готовых инструментов, публичных эксплойтов	Скрипт-кидди, инсайдер без навыков ИБ
Н2 (повышенный)	Разработка собственных средств атаки, модификация эксплойтов	Квалифицированный хакер, ИТ-подрядчик
Н3 (высокий)	Использование 0-day, целевые атаки, обход СЗИ	APT-группы, организованная киберпреступность
Н4 (максимальный)	Внедрение закладок в ПО/оборудование, supply chain атаки	Спецслужбы иностранных государств

Для конкретной ИС определяются актуальные категории нарушителей — те, чья мотивация и возможности соответствуют ценности обрабатываемой информации. Для типовой ИСПДн среднего бизнеса обычно актуальны нарушители уровней Н1–Н2, для значимых объектов КИИ — вплоть до Н3–Н4.

Этап 4. Определение способов реализации угроз (тактики и техники)

На этом этапе формируется ядро модели — набор тактик и техник, доступных актуальным нарушителям. Методика ФСТЭК определяет 10 тактик:

Сбор информации — разведка ИС, сканирование портов, OSINT.
Получение первоначального доступа — фишинг, эксплуатация уязвимостей, подбор паролей.
Внедрение и исполнение вредоносного кода — запуск эксплойтов, скриптов, вредоносного ПО.
Закрепление в системе — создание бэкдоров, модификация автозагрузки, планировщик задач.
Повышение привилегий — эксплуатация уязвимостей ОС, кража токенов, обход UAC.
Сокрытие действий — очистка логов, шифрование трафика, обфускация.
Получение доступа к данным — дамп БД, перехват файлов, кейлоггинг.
Горизонтальное перемещение — Pass-the-Hash, RDP, эксплуатация доверия между системами.
Сбор и вывод данных — архивирование, эксфильтрация через C2-каналы.
Деструктивное воздействие — шифрование данных (ransomware), удаление, нарушение доступности.

Каждая тактика раскрывается через конкретные техники. Например, тактика «Получение первоначального доступа» включает техники: целевой фишинг с вложением (T1566.001 по ATT&CK / Т1 по ФСТЭК), эксплуатация уязвимости внешнего сервиса, использование скомпрометированных учётных данных, подключение съёмного носителя.

Для каждой техники оценивается возможность реализации исходя из:

уровня нарушителя (Н1–Н4);
архитектуры ИС (наличие уязвимых компонентов);
применённых мер защиты.

Этап 5. Определение актуальных угроз

Это ключевой этап, объединяющий результаты предыдущих четырёх. Угроза признаётся актуальной, если одновременно выполняются условия:

Существует нарушитель с достаточным уровнем возможностей и мотивацией.
Существует объект воздействия, доступный нарушителю.
Существует способ реализации — техника применима к данной ИС.
Реализация угрозы приводит к негативным последствиям, определённым на этапе 1.

Формально: угроза актуальна, если существует хотя бы один сценарий (цепочка тактик/техник), реализуемый актуальным нарушителем через доступные объекты воздействия, приводящий к негативным последствиям.

Каждая актуальная угроза получает идентификатор из БДУ ФСТЭК (например, УБИ.001, УБИ.007, УБИ.067) и описание сценария реализации.

Этап 6. Оформление документа

Результаты всех этапов оформляются в единый документ — модель угроз безопасности информации, утверждаемый руководителем организации.

Структура документа: шаблон оглавления

Ниже приведена типовая структура модели угроз, соответствующая методике ФСТЭК 2021.

МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
[наименование информационной системы]

1. Общие положения
   1.1. Цель и задачи документа
   1.2. Нормативные ссылки
   1.3. Область применения

2. Описание информационной системы
   2.1. Назначение и функции ИС
   2.2. Архитектура и состав компонентов
   2.3. Структурная схема ИС
   2.4. Обрабатываемая информация и уровень значимости
   2.5. Границы ИС и взаимодействие с внешними системами

3. Возможные негативные последствия
   3.1. Виды ущерба
   3.2. Негативные последствия и их масштаб

4. Возможные объекты воздействия
   4.1. Перечень объектов воздействия
   4.2. Доступные интерфейсы взаимодействия

5. Источники угроз безопасности информации
   5.1. Антропогенные источники (нарушители)
   5.2. Категории актуальных нарушителей
   5.3. Уровни возможностей актуальных нарушителей
   5.4. Цели и мотивация нарушителей

6. Способы реализации угроз
   6.1. Актуальные тактики
   6.2. Актуальные техники
   6.3. Сценарии реализации угроз

7. Актуальные угрозы безопасности информации
   7.1. Перечень актуальных угроз (таблица)
   7.2. Описание сценариев реализации
   7.3. Обоснование исключения неактуальных угроз

8. Выводы

Приложение А. Структурная схема ИС
Приложение Б. Таблица соответствия угроз и мер защиты
Приложение В. Перечень использованных источников

Этот шаблон можно взять за основу и адаптировать под конкретную систему. Для типовой ИСПДн объём документа обычно составляет 40–80 страниц, для значимых объектов КИИ — 80–150 страниц.

Пример модели угроз для ИСПДн

Рассмотрим практический пример — разработку модели угроз для типовой ИСПДн среднего бизнеса.

Описание системы

ИСПДн «Кадры» — система кадрового учёта, обрабатывающая персональные данные 1 200 сотрудников.

Тип данных: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, должность, зарплата, банковские реквизиты.
Уровень защищённости: УЗ-3 (обработка иных ПДн, до 100 000 субъектов, не являющихся сотрудниками — нет; только сотрудники оператора).
Архитектура: клиент-серверная, сервер БД в серверной комнате, тонкие клиенты (веб-интерфейс), 25 АРМ пользователей, канал VPN до филиала.
Средства защиты: межсетевой экран, антивирус на АРМ и сервере, парольная аутентификация, резервное копирование.

Негативные последствия

Последствие	Вид ущерба	Масштаб
Утечка паспортных данных, СНИЛС сотрудников	Ущерб субъектам ПДн	Средний (до 1 200 человек)
Штраф по ст. 13.11 КоАП (нарушение обработки ПДн)	Финансовый ущерб оператору	До 18 млн ₽
Блокировка системы кадрового учёта	Нарушение бизнес-процесса	Средний (невозможность начислять ЗП)
Модификация кадровых данных	Юридический ущерб	Средний (недостоверные приказы, отчётность)

Определение нарушителей

Для ИСПДн «Кадры» актуальны следующие нарушители:

Внешние:

Преступные группы (мотивация: продажа ПДн, вымогательство) — Н2
Отдельные хакеры (мотивация: самоутверждение, продажа данных) — Н1–Н2
Бывшие сотрудники (мотивация: месть, конкурентная разведка) — Н1

Внутренние:

Пользователи ИС — кадровики, бухгалтерия (мотивация: корыстная, непреднамеренные ошибки) — Н1
ИТ-администратор (мотивация: корыстная, максимальный доступ) — Н2

Нарушители уровней Н3–Н4 (APT-группы, спецслужбы) для данной ИСПДн неактуальны — ценность обрабатываемых данных не представляет интереса для нарушителей такого уровня.

Отбор угроз из БДУ ФСТЭК

Из каталога БДУ ФСТЭК для ИСПДн «Кадры» отбираем угрозы, применимые к веб-приложению, серверу БД, АРМ и сетевой инфраструктуре. Примеры актуальных угроз:

ID БДУ	Угроза	Объект	Нарушитель	Сценарий
УБИ.001	Утечка по каналам ПЭМИН	Сервер БД	Н2 (внешний)	Неактуальна — серверная экранирована, данные не гостайна
УБИ.007	Несанкционированный доступ при передаче данных	VPN-канал	Н2 (внешний)	Актуальна — передача ПДн в филиал
УБИ.009	Утечка через съёмные носители	АРМ	Н1 (внутренний)	Актуальна — USB-порты не заблокированы
УБИ.012	Несанкционированный доступ через СУБД	Сервер БД	Н2 (внутренний — админ)	Актуальна — избыточные привилегии
УБИ.067	Несанкционированный доступ через веб-приложение	Веб-интерфейс	Н1–Н2 (внешний)	Актуальна — веб-интерфейс доступен из сети
УБИ.100	Фишинговая атака	АРМ, пользователи	Н1–Н2 (внешний)	Актуальна — электронная почта, отсутствие обучения
УБИ.140	Перехват управления загрузкой ОС	АРМ	Н1 (внутренний)	Актуальна — нет UEFI Secure Boot, физический доступ

Сценарий атаки (пример)

Сценарий: утечка базы ПДн через фишинг

Сбор информации (тактика 1) — нарушитель Н2 собирает email-адреса кадрового отдела через сайт организации и социальные сети.
Получение первоначального доступа (тактика 2) — целевое фишинговое письмо с вредоносным вложением (макрос в XLSX) сотруднику кадров.
Внедрение вредоносного кода (тактика 3) — при открытии вложения запускается макрос, загружающий RAT (Remote Access Trojan).
Закрепление (тактика 4) — RAT прописывается в автозагрузку, устанавливает обратное соединение с C2-сервером.
Повышение привилегий (тактика 5) — через уязвимость локальной ОС нарушитель получает права администратора АРМ.
Горизонтальное перемещение (тактика 8) — используя сохранённые учётные данные, нарушитель подключается к серверу БД.
Сбор и вывод данных (тактика 9) — выгрузка базы ПДн, шифрование и эксфильтрация через C2-канал.

Этот сценарий демонстрирует, как методика 2021 года требует описывать цепочку атаки, а не отдельную угрозу в отрыве от контекста.

Использование БДУ ФСТЭК при разработке модели угроз

Навигация по каталогу угроз

Банк данных угроз ФСТЭК (bdu.fstec.ru) — основной источник для формирования перечня угроз. Каталог содержит 227 угроз безопасности информации (УБИ), каждая из которых описана по структуре:

Идентификатор (УБИ.NNN)
Наименование
Описание
Источник угрозы (внешний/внутренний нарушитель)
Объект воздействия (ПО, оборудование, данные, персонал)
Нарушаемые свойства (конфиденциальность, целостность, доступность)

При разработке модели угроз необходимо пройти весь каталог и для каждой УБИ определить — применима ли она к вашей ИС. Для типовой ИСПДн из 220+ угроз актуальными обычно оказываются 30–60.

Связь с тактиками и техниками

Каждая УБИ в БДУ сопоставлена с тактиками и техниками из методики ФСТЭК 2021. Это позволяет:

связать конкретную угрозу с конкретным сценарием атаки;
определить, какие техники нарушитель будет использовать для реализации угрозы;
выбрать адекватные меры защиты, блокирующие конкретные техники.

Например, УБИ.067 (несанкционированный доступ к веб-приложению) связана с тактикой «Получение первоначального доступа» и техниками: эксплуатация уязвимости веб-приложения, SQL-инъекция, подбор учётных данных.

Автоматизация отбора угроз

Ручной анализ 220+ угроз — трудоёмкий процесс, занимающий 2–5 рабочих дней для квалифицированного специалиста. SGRC-платформы, в том числе КиберОснова, автоматизируют этот процесс:

Автоматическая синхронизация с БДУ ФСТЭК — актуальный каталог угроз всегда под рукой.
Фильтрация по типу ИС, объектам воздействия, источникам угроз — из 220+ угроз сразу выделяются применимые.
Формирование обоснования актуальности/неактуальности — со ссылками на архитектуру ИС и модель нарушителя.
Генерация документа — вместо ручного набора в Word модель угроз формируется автоматически с правильной структурой.

Автоматизация разработки модели угроз

Проблемы ручного подхода (Word/Excel)

Большинство организаций до сих пор разрабатывают модель угроз в Word, а таблицы с угрозами ведут в Excel. Типичные проблемы:

Трудоёмкость. Ручной анализ 220+ угроз, описание сценариев, оформление таблиц — 3–8 недель работы специалиста.
Отсутствие связи с БДУ. При обновлении каталога угроз ФСТЭК модель устаревает. Отслеживать изменения вручную нереалистично.
Версионность. В Word невозможно корректно вести историю изменений. При проверке регулятора нужно предъявить актуальную версию и историю пересмотров.
Дублирование. Если в организации несколько ИС, для каждой нужна отдельная модель угроз. Копирование Word-документов приводит к ошибкам и расхождениям.
Нет связи с мерами защиты. Модель угроз в Word существует отдельно от технического задания на СЗИ, отдельно от реестра рисков. Изменение в одном документе не отражается в другом.

SGRC-подход

SGRC-платформы (Security Governance, Risk, Compliance) решают эти проблемы системно:

Единая база. Модель угроз, реестр рисков, требования регуляторов, меры защиты — в одной системе. Изменение в модели угроз автоматически влияет на оценку рисков и план защиты.
Интеграция с БДУ. Автоматическая загрузка обновлений каталога угроз. При появлении новых УБИ система уведомляет о необходимости пересмотра модели.
Шаблоны и генерация. Структура документа, таблицы, обоснования формируются автоматически. Специалист фокусируется на экспертных решениях, а не на форматировании.
Аудит-трейл. Полная история изменений: кто, когда, что изменил. Критично при проверках ФСТЭК.

Платформа КиберОснова

КиберОснова предоставляет полный цикл работы с моделью угроз:

Описание ИС — карточка системы с архитектурой, компонентами, обрабатываемой информацией.
Автоматический отбор угроз — на основе описания ИС платформа фильтрует каталог БДУ и предлагает применимые угрозы.
Модель нарушителя — конструктор с типовыми категориями и уровнями возможностей.
Сценарии атак — визуальный редактор цепочек тактик/техник.
Оценка актуальности — экспертная оценка с автоматическим формированием обоснования.
Генерация документа — экспорт модели угроз в формате, соответствующем требованиям ФСТЭК.
Связь с рисками — актуальные угрозы автоматически становятся входными данными для модуля управления рисками.

Время разработки модели угроз с использованием платформы сокращается с 3–8 недель до 3–5 рабочих дней.

Запросить демо платформы КиберОснова, чтобы увидеть автоматизацию модели угроз на практике.

Типичные ошибки при разработке модели угроз

1. Формальный подход к определению последствий

Ошибка: копирование стандартных формулировок «нарушение конфиденциальности, целостности, доступности» без привязки к конкретной системе.

Правильно: описать реальные бизнес-последствия — «утечка ПДн 1 200 сотрудников, штраф до 18 млн ₽, блокировка начисления заработной платы на период восстановления».

2. Все угрозы из БДУ — актуальные

Ошибка: признать актуальными все 220+ угроз «на всякий случай». Это обесценивает модель — если всё актуально, невозможно приоритизировать меры защиты.

Правильно: для каждой угрозы дать обоснование актуальности или неактуальности. Неактуальность обосновывается отсутствием объекта воздействия, неприменимостью техник к данной архитектуре или недостаточностью уровня нарушителя.

3. Игнорирование внутренних нарушителей

Ошибка: модель угроз рассматривает только внешние атаки (хакеры, вирусы), игнорируя инсайдеров.

Правильно: по статистике ФСТЭК и BI.ZONE, более 40% инцидентов связаны с действиями внутренних нарушителей — умышленными или непреднамеренными. Для ИСПДн с доступом кадровиков и бухгалтеров внутренний нарушитель Н1 — один из основных источников угроз.

4. Отсутствие сценариев атак

Ошибка: модель угроз содержит таблицу «УБИ — актуальна/неактуальна», но не описывает сценарии реализации.

Правильно: методика 2021 требует описания хотя бы одного сценария для каждой актуальной угрозы — цепочки тактик и техник, которые нарушитель применит для достижения цели. Без сценариев невозможно выбрать адекватные меры защиты.

5. Модель угроз = замороженный документ

Ошибка: модель угроз разработана один раз и положена на полку до следующей проверки.

Правильно: модель угроз должна актуализироваться при любых изменениях ИС (новые серверы, новые приложения, новые каналы связи), при обновлении БДУ ФСТЭК, при изменении ландшафта угроз. Минимальная периодичность планового пересмотра — раз в год. SGRC-платформы автоматизируют мониторинг актуальности.

6. Несоответствие уровня нарушителей и мер защиты

Ошибка: модель определяет нарушителя уровня Н3 (APT), но меры защиты рассчитаны на уровень Н1 (антивирус + пароли).

Правильно: уровень нарушителя определяет требуемый уровень защиты. Если для ИС актуален нарушитель Н3, необходимы: сегментация сети, обнаружение аномалий (NTA/NDR), мониторинг действий привилегированных пользователей (PAM), средства обнаружения вторжений (СОВ), SIEM.

7. Завышение уровня нарушителя

Ошибка: для типовой ИСПДн районной поликлиники указан нарушитель Н4 (спецслужбы иностранных государств).

Правильно: уровень нарушителя должен соответствовать ценности обрабатываемой информации. Для районной ИСПДн максимальный актуальный нарушитель — Н2. Завышение приводит к неоправданным затратам на защиту.

Заключение

Модель угроз по методике ФСТЭК 2021 — это не формальный документ, а основа для построения системы защиты информации. Сценарный подход, классификация нарушителей по уровням Н1–Н4, привязка к тактикам и техникам из БДУ — всё это делает модель угроз рабочим инструментом CISO.

Ключевые принципы при разработке:

Конкретика, а не формальность — описывайте реальные последствия, реальных нарушителей, реальные сценарии.
Обоснованность — каждая актуальная угроза должна иметь обоснование, каждая неактуальная — тоже.
Актуальность — модель угроз живёт вместе с ИС и обновляется при любых изменениях.
Автоматизация — используйте SGRC-платформы для работы с БДУ ФСТЭК, формирования сценариев и генерации документа.

Если вы хотите сократить сроки разработки модели угроз с нескольких недель до нескольких дней — запросите демо платформы КиберОснова и оцените возможности автоматизации на своей ИС.

Модель угроз ИБ по методике ФСТЭК 2021: руководство по разработке

Часто задаваемые вопросы