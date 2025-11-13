Этот документ помогает заранее увидеть уязвимости, оценить риски и выбрать, куда действительно стоит вложить деньги в защиту. Мы расскажем, как создать модель, которая выдержит любую проверку и реально защитит ваш бизнес.
Что такое модель угроз информационной безопасности
Модель угроз информационной безопасности в информационных системах — это документ, который системно описывает, какие нежелательные события (угрозы) могут произойти с вашей ИСПДн, кто и что может стать причиной, через какие уязвимости это реализуется и какие последствия наступят при реализации угрозы. Проще говоря, это рабочая карта рисков и сценариев атак, благодаря которой вы принимаете управленческие решения по защите.
Для чего нужна модель угроз информационной безопасности:
Соблюдение законодательства. Является обязательным элементом при выполнении требований приказа ФСТЭК от 11.02.2013 №17 и ФЗ от 27.07.2006 №152-ФЗ.
Определение рисков. Помогает выявить реальные угрозы для конкретной информационной системы — от утечки персональных данных до ошибок или неправомерных действий сотрудников.
Обоснование мер защиты. Модель позволяет понять, какие меры действительно необходимы.
Оптимизация затрат. За счет анализа приоритетов вы распределяете бюджет на кибербезопасность рационально и не тратите средства на неактуальные угрозы.
Повышение устойчивости бизнеса. Документ позволяет предсказать возможные инциденты, снизить вероятность простоя и финансовых потерь.
Контроль подрядчиков и IT-специалистов. Дает им четкие ориентиры по задачам безопасности и критическим точкам системы.
Формирование отчетности. Используется при сертификации, проверках регуляторов и внутренних аудитах.
Рассмотрим на примере, почему важна разработка модели угроз информационной безопасности: руководитель компании думал, что CRM, которая используется сотрудниками, неинтересна хакерам. Специалисты разработали модель угроз и выяснили, что утечка клиентской базы приведет не только к репутационным потерям, но и к массовым искам и штрафам за нарушение ФЗ №152-ФЗ. В результате приоритет сместился с дорогостоящих внешних сканов к защите резервных копий и прав доступа. Это стоило в разы меньше и закрыло наиболее вероятные сценарии утечки.
Что содержит модель угроз ИБ
Модель угроз информационной безопасности разрабатывается в соответствии с Приложением № 3 к Методическим документам ФСТЭК «Методика определения актуальных угроз безопасности информации». Это основной документ, который определяет порядок анализа и выявления угроз, а также помогает понять, какие стоит внедрить меры защиты, как проводить аттестацию системы защиты информации.
В состав модели угроз входят следующие разделы:
Общие сведения о системе. Указываются наименование, назначение и область применения информационной системы, типы обрабатываемых данных, категории пользователей и архитектура.
Описание среды функционирования. Приводятся сведения о технических средствах, программном обеспечении, сетевых соединениях, а также о взаимодействии с внешними системами и пользователями.
Перечень защищаемой информации. Определяются виды информации (в том числе персональные данные, коммерческая тайна, служебная информация), подлежащие защите в рамках системы.
Описание границ системы и объектов защиты. Фиксируются логические и физические границы, состав подсистем, узлов, серверов, рабочих станций и каналов передачи данных.
Перечень потенциальных источников угроз. Указываются внешние и внутренние субъекты, способные инициировать угрозы — злоумышленники, пользователи, технические сбои, ошибки персонала, стихийные воздействия.
Описание уязвимостей и возможных каналов реализации угроз. Определяются слабые места системы, через которые может быть нарушена конфиденциальность, целостность или доступность информации.
Перечень типовых угроз безопасности информации. Составляется на основе актуального банка угроз ФСТЭК России с учетом особенностей конкретной системы.
Оценка актуальности угроз. Для каждой угрозы указывается вероятность реализации и возможные последствия, формируется итоговый перечень актуальных угроз.
Рекомендации по реализации мер защиты. Определяются направления минимизации рисков — организационные и технические меры, которые должны быть реализованы для нейтрализации выявленных угроз.
Приложения. Включают схемы архитектуры, таблицы идентифицированных угроз, карты уязвимостей, результаты анализа рисков и иные вспомогательные материалы.
Важно! В каждой организации должна быть персональная модель угроз информационной безопасности. Если вы просто скачаете образец из интернета и не адаптируете его под процессы в своей компании или допустите ошибки, документ не будет выполнять свое назначение по снижению рисков.
Разработка модели угроз
Защита информации и подготовка к проверкам
Как разработать модель угроз ИБ
Документ обычно разрабатывается совместно — ваша внутренняя команда ИБ (CISO или ответственный за безопасность), IT-администраторы и другие сотрудники, но лучше привлечь сторонних специалистов, которые специализируются на оформлении документов по защите персональных данных и информационной безопасности.
Разработка модели угроз информационной безопасности — это командная работа, где каждый отвечает за свою зону знаний.
Пошаговая инструкция:
Установите цель и область модели. Четко зафиксируйте, для каких систем, процессов и подразделений вы создаете модель — «что» и «почему» защищаем. Так вы не будете распыляться на несколько систем и упростите последующую работу.
Сформируйте рабочую группу. Назначьте в группу руководителя компании и других сотрудников (по усмотрению). Также включите в группу ответственного координатора, в чьи обязанности будет входить сбор и утверждение данных.
Соберите исходные материалы. Документы по архитектуре, реестры ПО и оборудования, договоры с облачными провайдерами, схемы доступа, политики обработки персональных данных и т.д. — все это входные данные для модели.
Инвентаризация активов. Перечислите информационные активы — данные, сервисы, приложения, серверы, рабочие станции, интерфейсы. Для каждого актива укажите владельца и критичность для бизнеса. Это позволит правильно оценить последствия компрометации.
Определение границ системы и объектов защиты. Зафиксируйте логические и физические границы — какие подсистемы входят в модель, какие взаимодействия с внешним миром существуют (интернет, внешние интеграции).
Идентификация возможных источников угроз и типовых угроз. Используйте банк угроз ФСТЭК и профиль злоумышленников: например, внешние хакеры, сбои оборудования, поставщики услуг. Сопоставьте типовые угрозы с вашими активами.
Анализ уязвимостей и каналов реализации. Проведите аудит конфигураций, анализ уязвимостей и ревизию процессов (права доступа, бэкапы, обновления). Определите, через какие слабые места каждая угроза может реализоваться.
Оценка актуальности угроз — вероятность и последствия. Для каждой угрозы оцените вероятность реализации и потенциальный ущерб — финансовый, репутационный, юридический. Методика ФСТЭК дает рекомендации по оценке и оформлению результатов.
Приоритизация угроз. Сопоставьте вероятность и последствия — получите список актуальных угроз, ранжированных по приоритету. Это основа для принятия решений о мерах защиты и распределении бюджета.
Разработка рекомендаций по мерам защиты. Для каждой приоритетной угрозы опишите организационные и технические контрмеры — изменение процессов, контроль доступа, шифрование, резервирование, мониторинг и реагирование на инциденты. Привяжите меры к исполнителям и срокам.
Оформление модели в документе. Подготовьте модель в соответствии с Приложением №3 методики ФСТЭК — с описанием системы, перечнем угроз, оценками и приложениями (схемы, таблицы). Документ должен быть понятен аудиторам и исполнителям.
Согласование и утверждение. Передайте документ руководству и ответственным подразделениям на утверждение — это даст правовой и управленческий мандат на реализацию мер.Внедрение мер и план реагирования. Реализуйте первоочередные контрмеры, настройте мониторинг и назовите ответственных за инцидент-менеджмент. Подготовьте план действий при инцидентах — кто и какие шаги выполняет при утечке, и т.д.
Тестирование и валидация. Проведите тесты — сценарные отработки, контрольные пентесты, проверки восстановления из бэкапов. Это подтверждает эффективность мер и выявляет пробелы.
Периодический пересмотр и обновление. Пересматривайте документ при изменениях инфраструктуры, бизнес-процессов или после инцидентов — не реже одного раза в год или по событию.
Если вам нужна модель угроз информационной безопасности персональных данных, обратитесь за помощью к специалистам по ИБ. Они разработают документ в соответствии с методическими рекомендациями и учетом специфики вашей ИСПДн, и вы не будете переживать, что при проверках у Роскомнадзора появятся претензии к вашей компании.
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFHwLp1E
Начать дискуссию