Главная / Глоссарий / Модель угроз безопасности информации

Модель угроз — что это, как разработать, примеры

Модель угроз безопасности информации — это формализованное описание актуальных угроз для конкретной информационной системы, включающее перечень возможных угроз, оценку вероятности их реализации и описание мер по нейтрализации.

Простыми словами: Модель угроз — это документ, который отвечает на вопросы: «Кто может атаковать?», «Какие уязвимые места есть?», «Что может произойти?».

Содержание

Что такое модель угроз безопасности информации?

Модель угроз — это обязательный документ для:

  • Информационных систем, обрабатывающих государственную тайну
  • Информационных систем персональных данных (ИСПДн) 1-3 уровня
  • Систем критической информационной инфраструктуры (КИИ)
  • Объектов информатизации, проходящих аттестацию ФСТЭК

📌 Важно: Без модели угроз невозможно провести аттестацию объекта информатизации или ИСПДн!

Основные компоненты модели угроз:

  • Источники угроз — кто или что создаёт опасность
  • Уязвимости — слабые места в системе
  • Актуальные угрозы — какие риски есть именно у вашей системы
  • Вероятность реализации — как часто это может случиться
  • Последствия — какой ущерб возможен
  • Меры защиты — как нейтрализовать угрозу

Зачем нужна модель угроз?

ЦельОписание
Для аттестации} Без модели угроз аттестат не выдадут
Для выбора СЗИ} Помогает понять, какие средства защиты нужны
Для оптимизации бюджета} Не тратить на меры, которые не нужны
Для обоснования затрат} Документ для госорганов и аудиторов
Для регулярного обновления} При изменении системы нужно пересмотреть угрозы

⚠️ Важно: Модель угроз должна быть не «галочкой», а реально работающим документом. При проверке ФСТЭК обязательно спросят, как вы оцениваете угрозы.

Структура модели угроз (по Методике ФСТЭК)

  1. Общие сведения об информационной системе
    • Описание системы
    • Состав оборудования и ПО
    • Схема сети
    • Категория обрабатываемой информации
  2. Характеристика субъектов доступа
    • Пользователи, администраторы, разработчики
    • Внешние субъекты (контрагенты, хакеры)
  3. Анализ уязвимостей
    • Программные уязвимости (CVE, БДУ ФСТЭК)
    • Аппаратные уязвимости
    • Организационные недостатки
  4. Перечень актуальных угроз
    • Из классификатора ФСТЭК (Приказ № 21)
    • Связанные с архитектурой системы
    • Связанные с человеческим фактором
  5. Оценка вероятности реализации угроз
    • Низкая / Средняя / Высокая
    • С учётом существующих мер защиты
  6. Оценка последствий
    • Для конфиденциальности, целостности, доступности
  7. Перечень предлагаемых мер защиты
    • Сертифицированные СЗИ, СКЗИ
    • Организационные меры

📌 Важно: Для разных классов систем (КИИ, гостайна, ПДн) могут быть свои требования к структуре модели угроз. За консультацией лучше обратиться к специалистам.

Как разработать модель угроз?

1

Сбор исходных данных

Описание системы, состав ПО, категория информации, схема сети, перечень обрабатываемых сведений.

2

Идентификация угроз

Использование банков данных угроз ФСТЭК (БДУ), анализ типовых угроз для вашей системы.

3

Анализ и оценка

Оценка вероятности и последствий, ранжирование угроз по степени опасности.

4

Разработка мер

Подбор СЗИ, организационных мер, технических решений для нейтрализации угроз.

5

Оформление документа

Утверждение руководителем, согласование с ФСТЭК (при необходимости).

⚠️ Важно: Самостоятельная разработка модели угроз технически сложна. Рекомендуется заказать её в организации, имеющей лицензию ФСТЭК (например, АО «РНТ»).

Нормативные требования к модели угроз

ДокументЧто регламентирует
Приказ ФСТЭК № 21} Методика оценки угроз для ИСПДн, классификатор угроз
Методика ФСТЭК от 05.02.2021} Методика оценки угроз для информации, не содержащей гостайну
Пункт 2.5 Приказа ФСТЭК № 239} Требования к оценке угроз для ГИС и КИИ
187-ФЗ (КИИ)} Требования к модели угроз для объектов критической инфраструктуры

Часто задаваемые вопросы

Можно ли скачать готовую модель угроз из интернета?
Нет, модель угроз разрабатывается под конкретную систему. Типовые шаблоны можно использовать как основу, но для аттестации нужен индивидуальный документ.
Кто утверждает модель угроз?
Руководитель организации (заказчика). Если система связана с гостайной — согласование с ФСТЭК.
Сколько действует модель угроз?
До изменения системы (новое оборудование, ПО, архитектура). Рекомендуется пересмотр каждые 1-3 года.
Сколько стоит разработка модели угроз?
От 50 000 руб. до 250 000 руб. (в зависимости от сложности системы). В АО «РНТ» можно заказать «под ключ» с последующей аттестацией.
Что такое БДУ ФСТЭК?
Банк данных угроз ФСТЭК — это официальный перечень актуальных угроз безопасности информации. Используется при разработке модели угроз.

Связанные термины

Аттестация объектов информатизации Техническая защита информации (ТЗИ) Персональные данные Угроза безопасности информации

Услуги АО «РНТ» по разработке модели угроз

Аттестация объектов информатизации

Разработаем модель угроз и проведём полную аттестацию.

Аудит информационной безопасности

Проверим готовность к аттестации.

Нужна модель угроз для вашей системы?

Разработаем документ под ключ, поможем с выбором СЗИ и аттестацией

Заказать разработку Получить консультацию