Модель угроз безопасности персональных данных: как составить по требованиям ФСТЭК
Пошаговое руководство по разработке модели угроз ИСПДн: требования ФСТЭК, методика 2021 года, типовые ошибки и практические рекомендации для бизнеса.
Модель угроз безопасности персональных данных: как составить по требованиям ФСТЭК
Если ваша компания обрабатывает персональные данные — клиентов, сотрудников, контрагентов — вам нужна модель угроз. Это не рекомендация, а прямое требование законодательства. Без модели угроз невозможно корректно определить уровень защищённости ИСПДн и выбрать адекватные меры защиты. Статья поможет разобраться, что входит в модель угроз, как её разработать по актуальной методике ФСТЭК и каких ошибок избежать.
Что такое модель угроз и зачем она нужна
Модель угроз безопасности персональных данных — это документ, описывающий все актуальные угрозы для конкретной информационной системы персональных данных (ИСПДн). На основе модели угроз выбираются технические и организационные меры защиты.
Где закреплено требование:
- Постановление Правительства РФ №1119 — определение уровня защищённости ПДн невозможно без определения типа актуальных угроз
- Приказ ФСТЭК №21 — меры защиты ИСПДн выбираются на основе модели угроз
- Приказ ФСТЭК №17 — для государственных информационных систем модель угроз обязательна
Важно: Без модели угроз проверяющий орган вправе признать систему защиты ПДн несоответствующей требованиям. В 2026 году при новых размерах штрафов это создаёт серьёзные финансовые риски.
Методика оценки угроз ФСТЭК 2021 года
5 февраля 2021 года ФСТЭК утвердила актуальную Методику оценки угроз безопасности информации. Она заменила устаревшие «Базовую модель угроз» и «Методику определения актуальных угроз» 2008 года.
Ключевые отличия новой методики:
- Акцент на сценарном подходе — угрозы оцениваются не абстрактно, а через конкретные сценарии реализации
- Обязательный учёт нарушителей с описанием их возможностей и мотивации
- Привязка к банку данных угроз ФСТЭК (bdu.fstec.ru)
- Оценка негативных последствий для организации и субъектов ПДн
Что входит в модель угроз: структура документа
Модель угроз по методике ФСТЭК 2021 года включает несколько обязательных разделов:
1. Описание информационной системы
- Назначение и функции ИСПДн
- Категории и объём обрабатываемых персональных данных
- Архитектура системы: серверы, АРМ, сетевое оборудование, каналы связи
- Границы контролируемой зоны
- Используемые средства защиты информации
2. Определение негативных последствий
Оцениваются возможные последствия нарушения безопасности ПДн:
| Тип последствий | Примеры |
|---|---|
| Ущерб субъекту ПДн | Разглашение медицинских данных, финансовые потери, дискриминация |
| Ущерб оператору | Штрафы, репутационные потери, приостановка деятельности |
| Ущерб государству | Нарушение функционирования значимых объектов, угроза обороноспособности |
3. Определение объектов воздействия
Перечисляются все компоненты ИСПДн, на которые может быть направлена атака: базы данных, серверы приложений, рабочие станции, сетевое оборудование, средства виртуализации, мобильные устройства.
4. Категории нарушителей
| Категория | Описание | Типичные возможности |
|---|---|---|
| Внешний с низким потенциалом | Случайный злоумышленник, скрипт-кидди | Использование публичных эксплойтов |
| Внешний со средним потенциалом | Организованная группа, хакер | Целевые атаки, социальная инженерия |
| Внешний с высоким потенциалом | Спецслужбы иностранных государств | Атаки на цепочку поставок, 0-day эксплойты |
| Внутренний | Сотрудники, подрядчики, администраторы | Легитимный доступ, знание архитектуры |
5. Способы реализации угроз
- Эксплуатация уязвимостей ПО
- Внедрение вредоносного кода
- Перехват сетевого трафика
- Несанкционированный физический доступ
- Социальная инженерия
- Использование недокументированных возможностей ПО
6. Сценарии угроз и оценка актуальности
Для каждой угрозы формируется сценарий: нарушитель — способ реализации — объект воздействия — последствия. Актуальность угрозы определяется наличием условий для её реализации и мотивации нарушителя.
Пошаговый процесс разработки
- Инвентаризация ИСПДн — описать все компоненты системы, потоки данных, точки входа
- Определение негативных последствий — оценить, что произойдёт при утечке, модификации или блокировке доступа к данным
- Формирование перечня нарушителей — определить, кто и зачем может атаковать систему
- Анализ уязвимостей — использовать банк данных угроз ФСТЭК (bdu.fstec.ru) и результаты сканирования
- Построение сценариев угроз — сопоставить нарушителей, способы атак и объекты воздействия
- Оценка актуальности — исключить угрозы, для реализации которых нет условий
- Документирование — оформить результаты в виде модели угроз
Важно: Модель угроз — не статичный документ. Её необходимо пересматривать при изменении архитектуры ИСПДн, появлении новых угроз или по результатам инцидентов.
Типичные ошибки при разработке модели угроз
Разберём, что компании делают неправильно при самостоятельной разработке:
- Копирование шаблонов из интернета — модель угроз должна описывать конкретную ИСПДн, а не абстрактную систему. Проверяющие сразу видят типовой документ.
- Использование устаревшей методики — до сих пор встречаются модели по методике 2008 года. С 2021 года необходимо применять новую методику ФСТЭК.
- Отсутствие описания нарушителей — перечислить угрозы без привязки к нарушителям недостаточно. Методика требует сценарного подхода.
- Игнорирование банка данных угроз — угрозы не соотнесены с каталогом bdu.fstec.ru, что ставит под сомнение полноту анализа.
- Модель не обновляется — ИСПДн меняется, появляются новые сервисы и уязвимости, а модель угроз остаётся прежней.
- Несоответствие реальной инфраструктуре — в документе описаны компоненты, которых нет в ИСПДн, или не учтены реально используемые.
Кому доверить разработку
Разработать модель угроз можно самостоятельно или с привлечением лицензиата ФСТЭК. Для компаний без штатного специалиста по ИБ второй вариант предпочтительнее.
Ориентировочная стоимость:
| Вариант | Стоимость | Что входит |
|---|---|---|
| Базовая модель угроз | от 30 000 ₽ | Типовая ИСПДн, стандартный набор угроз |
| Комплексная модель с полным соответствием ФСТЭК | от 60 000 ₽ | Аудит инфраструктуры, сценарный анализ, привязка к bdu.fstec.ru |
Специалисты Бюро 152 разрабатывают модели угроз в полном соответствии с методикой ФСТЭК 2021 года. Мы проводим аудит вашей ИСПДн, формируем перечень актуальных угроз и готовим документ, который выдержит любую проверку. Также доступны готовые шаблоны документов для самостоятельной работы.
Не уверены, нужна ли вашей компании модель угроз? Начните с бесплатного экспресс-аудита — он покажет текущий уровень соответствия требованиям. Или свяжитесь с нами для консультации по разработке модели угроз для вашей ИСПДн.