Пошаговое руководство: как составить модель угроз по методике ФСТЭК 2021

Модель угроз безопасности информации — один из ключевых документов в системе защиты данных любой организации. Без неё невозможно обоснованно выбрать меры защиты, пройти проверку регулятора и выполнить требования законодательства. В этом руководстве разберём, как составить модель угроз по актуальной Методике ФСТЭК 2021 года — от первого шага до готового документа.

Руководство применимо для всех типов систем: ИСПДн (152-ФЗ, Приказ ФСТЭК 21), ГИС (Приказ ФСТЭК 117), объектов КИИ (187-ФЗ, Приказ ФСТЭК 239) и информационных систем общего назначения.

Что такое модель угроз и зачем она нужна

Модель угроз безопасности информации — это документ, описывающий потенциальные угрозы информационной системе и оценивающий их актуальность для конкретной инфраструктуры. Модель угроз отвечает на вопрос: от чего именно нужно защищать систему.

Это не формальная бумага «для галочки». Модель угроз — фундамент системы защиты: именно на её основе определяется набор организационных и технических мер, подбираются средства защиты информации и формируется бюджет на информационную безопасность.

Нормативные требования

Разработка модели угроз обязательна по целому ряду нормативных актов:

Что происходит без модели угроз

Без модели угроз организация:

• не может обоснованно выбрать меры защиты — выбор становится произвольным или избыточным;
• нарушает требования законодательства — при проверке ФСТЭК это квалифицируется как невыполнение обязательных требований;
• рискует получить штраф — за нарушение требований по защите информации (ст. 13.12 КоАП) и оборотные штрафы за утечку ПДн до 500 млн рублей;
• не пройдёт аттестацию — для ГИС и значимых объектов КИИ модель угроз является обязательным документом при аттестации.

Методика ФСТЭК 2021 года — основа для всех моделей угроз

5 февраля 2021 года ФСТЭК России утвердил «Методику оценки угроз безопасности информации» — единый документ, который заменил устаревшую методику 2008 года и применяется для всех типов информационных систем.

Пять этапов методики

Методика предусматривает последовательное выполнение пяти этапов:

1. Определение негативных последствий — что произойдёт при реализации угрозы (ущерб субъектам ПДн, финансовые потери, нарушение деятельности).
2. Определение возможных объектов воздействия — на какие элементы системы направлены угрозы (серверы, АРМ, каналы связи, ПО, базы данных).
3. Оценка источников угроз — кто может реализовать угрозу (внешний нарушитель, внутренний нарушитель, техногенные факторы).
4. Оценка способов реализации угроз — как именно угроза может быть реализована (эксплуатация уязвимости, социальная инженерия, физический доступ).
5. Оценка актуальности угроз — является ли угроза актуальной для данной конкретной системы с учётом всех предыдущих этапов.

БДУ ФСТЭК — банк данных угроз

Ключевой инструмент при составлении модели угроз — Банк данных угроз безопасности информации (bdu.fstec.ru). Он содержит:

• более 220 типовых угроз (УБИ) с описанием источников, объектов воздействия и последствий;
• каталог уязвимостей программного обеспечения;
• описания типовых нарушителей и их возможностей.

Каждая угроза в БДУ имеет уникальный идентификатор (например, УБИ.001 — угроза автоматического распространения вредоносного кода). При составлении модели угроз необходимо ссылаться на конкретные идентификаторы из БДУ.

Отличия от методики 2008 года

Важно: Если ваша модель угроз составлена по методике 2008 года — её необходимо переработать. ФСТЭК при проверках требует применение актуальной методики.

Структура модели угроз: подробный разбор

Модель угроз состоит из шести основных разделов. Рассмотрим каждый.

1. Описание объекта оценки

Раздел содержит общую характеристику системы, для которой составляется модель угроз:

• наименование и назначение информационной системы;
• категория обрабатываемых данных — персональные данные (категории ПДн), служебная тайна, коммерческая тайна и др.;
• объём обрабатываемых данных — количество субъектов ПДн, объём записей;
• правовые основания обработки — ссылки на 152-ФЗ, договоры, согласия;
• перечень процессов обработки — сбор, хранение, передача, уничтожение;
• территориальное размещение — адреса площадок, наличие удалённого доступа.

2. Описание архитектуры

Технический раздел с детальным описанием инфраструктуры:

• серверное оборудование — тип, количество, размещение (собственный ЦОД, облако, колокация);
• автоматизированные рабочие места (АРМ) — количество, ОС, способ подключения;
• сетевая инфраструктура — топология, маршрутизаторы, коммутаторы, межсетевые экраны;
• программное обеспечение — ОС, СУБД, прикладное ПО, средства виртуализации;
• каналы передачи данных — проводные, беспроводные, VPN, интернет;
• средства защиты информации (СЗИ) — уже внедрённые решения;
• схема информационных потоков — откуда поступают данные, куда передаются, где хранятся.

Для наглядности рекомендуется включать структурную схему системы и схему информационных потоков.

3. Определение негативных последствий

Для каждого типа информации определяются возможные негативные последствия по трём свойствам безопасности:

Для каждого последствия оценивается масштаб ущерба: ущерб субъектам ПДн, финансовый ущерб организации, ущерб государственным интересам (для ГИС и КИИ), репутационный ущерб.

4. Определение источников угроз (модель нарушителя)

Модель нарушителя — составная часть модели угроз, описывающая потенциальных злоумышленников. Подробный шаблон доступен в модели нарушителя.

Методика ФСТЭК 2021 года выделяет следующие категории нарушителей:

Внешние нарушители:

• хакеры и киберпреступники (высокий потенциал);
• конкуренты (средний потенциал);
• бывшие сотрудники (низкий-средний потенциал);
• случайные лица (низкий потенциал).

Внутренние нарушители:

• привилегированные пользователи и администраторы (высокий потенциал);
• штатные пользователи системы (средний потенциал);
• обслуживающий персонал (низкий потенциал);
• подрядчики и сервисные инженеры (средний потенциал).

Для каждого нарушителя оценивается: мотивация (целенаправленные или случайные действия), уровень возможностей (базовый, повышенный, высокий, очень высокий) и доступные ресурсы.

5. Оценка актуальности угроз

Угроза признаётся актуальной, если одновременно выполняются три условия:

1. Существует источник угрозы (нарушитель) с достаточными возможностями и мотивацией.
2. Существует способ реализации угрозы применительно к данной системе.
3. Реализация угрозы приводит к негативным последствиям.

Если хотя бы одно условие не выполняется — угроза признаётся неактуальной с обоснованием.

6. Перечень актуальных угроз

Итоговый раздел содержит таблицу актуальных угроз с обязательными полями:

Пошаговая инструкция: 10 шагов к готовой модели угроз

Шаг 1. Определите тип системы и применимые требования

Прежде чем писать модель угроз, определите, к какой категории относится ваша система:

• ИСПДн — если обрабатываете персональные данные → Приказ ФСТЭК 21;
• ГИС — если система государственная → Приказ ФСТЭК 117;
• Объект КИИ — если система относится к критической инфраструктуре → Приказ ФСТЭК 239;
• АСУ ТП — если система управляет технологическим процессом → Приказ ФСТЭК 31.

Совет: Система может относиться к нескольким категориям одновременно. Например, ГИС, обрабатывающая ПДн, подпадает и под Приказ 117, и под Приказ 21. В этом случае применяются более строгие требования.

Шаг 2. Проведите инвентаризацию инфраструктуры

Соберите полную информацию о системе:

• опросите администраторов и владельцев системы;
• получите сетевые схемы и документацию на ПО;
• зафиксируйте все точки входа в систему (локальные, удалённые, через интернет);
• определите, где именно хранятся и обрабатываются защищаемые данные;
• составьте перечень используемых средств защиты.

Совет: Используйте паспорт ИСПДн как основу — в нём уже собрана значительная часть необходимой информации.

Шаг 3. Определите защищаемую информацию и негативные последствия

Для каждого типа обрабатываемых данных определите:

• какие негативные последствия наступят при нарушении конфиденциальности, целостности и доступности;
• кому будет нанесён ущерб — субъектам ПДн, организации, государству;
• каков масштаб возможного ущерба.

Совет: Для ИСПДн учитывайте, что уровень защищённости ПДн напрямую влияет на объём мер защиты. Определите УЗ до составления модели угроз.

Шаг 4. Опишите архитектуру системы

Составьте детальное описание архитектуры. Включите:

• структурную схему системы;
• схему сетевой инфраструктуры с указанием сегментов;
• перечень программного и аппаратного обеспечения;
• описание каналов передачи данных;
• схему информационных потоков (кто, откуда, куда, какие данные передаёт).

Совет: Чем точнее описание архитектуры, тем обоснованнее будет оценка актуальности угроз. Формальное описание «сервер + 3 рабочие станции» недостаточно.

Шаг 5. Разработайте модель нарушителя

Определите, кто может быть источником угроз для вашей системы:

• перечислите все категории потенциальных нарушителей (внешних и внутренних);
• для каждого определите мотивацию и уровень возможностей;
• исключите заведомо нерелевантных (например, спецслужбы иностранных государств для типовой коммерческой ИСПДн);
• обоснуйте исключение каждой категории нарушителей.

Совет: Не игнорируйте внутреннего нарушителя. По статистике, более 60% утечек данных происходят по вине сотрудников — умышленно или по неосторожности. Подробнее в шаблоне модели нарушителя.

Шаг 6. Сформируйте исходный перечень угроз из БДУ ФСТЭК

Откройте Банк данных угроз (bdu.fstec.ru) и выберите угрозы, потенциально применимые к вашей системе:

• используйте фильтры по источнику угрозы, объекту воздействия и последствиям;
• для типовой коммерческой ИСПДн исходный перечень обычно составляет 30-60 угроз;
• для ГИС и объектов КИИ — 50-100 и более;
• включите в перечень все угрозы, которые хотя бы потенциально могут быть реализованы.

Совет: Лучше включить «лишнюю» угрозу и обоснованно признать её неактуальной, чем пропустить актуальную. Проверяющие оценивают полноту анализа.

Шаг 7. Определите способы реализации угроз

Для каждой угрозы из исходного перечня опишите возможные способы реализации:

• через какие уязвимости (используйте каталог уязвимостей БДУ ФСТЭК);
• с использованием каких инструментов и техник;
• через какие элементы инфраструктуры;
• с учётом существующих мер защиты — блокируют ли они данный способ.

Совет: Для описания техник атак используйте матрицу MITRE ATT&CK — она хорошо дополняет БДУ ФСТЭК и помогает выстроить реалистичные сценарии.

Шаг 8. Оцените актуальность каждой угрозы

Для каждой угрозы из исходного перечня проведите оценку:

1. Есть ли нарушитель с достаточными возможностями? (см. модель нарушителя)
2. Существует ли реалистичный способ реализации? (см. шаг 7)
3. Приведёт ли реализация к негативным последствиям? (см. шаг 3)

Если все три условия выполняются — угроза актуальна. Если хотя бы одно не выполняется — угроза неактуальна (с обоснованием).

Совет: Для каждой неактуальной угрозы обязательно укажите обоснование. Формулировка «угроза неактуальна» без объяснения причин — типичная ошибка, которую отмечают проверяющие.

Шаг 9. Сформируйте итоговый перечень актуальных угроз

Соберите все актуальные угрозы в итоговую таблицу. Для каждой угрозы укажите:

• идентификатор из БДУ ФСТЭК;
• наименование угрозы;
• источник (тип нарушителя);
• объект воздействия;
• способ реализации (сценарий);
• негативные последствия.

Для типовой коммерческой ИСПДн перечень актуальных угроз обычно составляет 15-30 позиций. Для ГИС и КИИ — 30-60 и более.

Шаг 10. Оформите и утвердите документ

Финальный этап:

• оформите модель угроз как единый документ с титульным листом;
• включите лист согласования (ответственный за ИБ, ИТ-директор);
• утвердите документ подписью руководителя организации;
• для ГИС — направьте во ФСТЭК для согласования (если требуется);
• зафиксируйте дату утверждения и плановую дату пересмотра.

Совет: Храните вместе с моделью угроз все материалы, на основе которых она составлена: результаты инвентаризации, выгрузки из БДУ, обоснования решений. Они понадобятся при проверке и при актуализации.

Особенности модели угроз для разных типов систем

Хотя Методика ФСТЭК 2021 года является единой, для разных типов систем есть существенные особенности.

Особенности для ИСПДн

При разработке модели угроз для ИСПДн обратите особое внимание:

• определите категории обрабатываемых ПДн — от этого зависит уровень защищённости;
• учтите тип актуальных угроз (1, 2 или 3 тип) — он влияет на уровень защищённости;
• для ИСПДн с биометрическими или специальными категориями ПДн перечень актуальных угроз будет шире;
• убедитесь, что модель угроз согласована с политикой информационной безопасности.

Особенности для ГИС

Для государственных информационных систем:

• модель угроз согласуется с ФСТЭК (при необходимости);
• учитывайте требования Приказа ФСТЭК 117 — в нём расширен перечень обязательных мер;
• если ГИС обрабатывает ПДн, одновременно применяются требования Приказа 21 — используйте более строгое требование;
• периодичность пересмотра — не реже каждых 6 месяцев (связано с оценкой КЗИ).

Особенности для КИИ

Для значимых объектов критической информационной инфраструктуры:

• перечень угроз значительно шире — включает угрозы промышленной безопасности и техногенные аварии;
• нарушители с высоким потенциалом (в том числе APT-группы) обычно признаются актуальными;
• необходимо учитывать взаимодействие с ГосСОПКА;
• определение субъекта КИИ и категорирование объектов — обязательный предварительный этап.

Типичные ошибки при составлении модели угроз

1. Формальное копирование шаблона

Самая распространённая ошибка — скачать типовой шаблон из интернета и заполнить только титульный лист. Проверяющие ФСТЭК сравнивают содержание модели угроз с фактическим состоянием системы. Несоответствие — основание для предписания.

Как избежать: Каждый раздел модели угроз должен описывать конкретную систему с конкретной архитектурой.

2. Использование устаревшей методики

Модели угроз, составленные по методике 2008 года, не соответствуют актуальным требованиям. Характерные признаки устаревшей модели: оценка «вероятности реализации» по шкале «маловероятная / низкая / средняя / высокая» и отсутствие ссылок на БДУ ФСТЭК.

Как избежать: Используйте только Методику оценки угроз ФСТЭК, утверждённую 05.02.2021.

3. Игнорирование внутреннего нарушителя

Многие организации фокусируются исключительно на внешних угрозах — хакерах и вредоносном ПО. Между тем, по данным исследований, более 60% инцидентов ИБ связаны с действиями сотрудников: случайная отправка данных не тому адресату, копирование базы на флешку, использование слабых паролей.

Как избежать: Обязательно включайте в модель нарушителя внутренних нарушителей всех категорий.

4. Отсутствие обоснования неактуальности угроз

Недостаточно написать «угроза неактуальна». Необходимо указать, почему: отсутствует нарушитель с достаточными возможностями, нет способа реализации в данной архитектуре или негативные последствия несущественны.

Как избежать: Для каждой неактуальной угрозы давайте конкретное обоснование со ссылкой на особенности системы.

5. Несоответствие модели реальной архитектуре

Если в модели описан «автономный сервер без выхода в интернет», а по факту сервер подключён к сети — модель недостоверна. Аналогично, если в системе появились новые компоненты (облачное хранилище, мобильный доступ), а модель не обновлена.

Как избежать: Перед составлением модели проведите инвентаризацию. После составления — сверьте описание архитектуры с реальностью.

6. Отсутствие сценариев реализации угроз

Методика 2021 года требует описания сценариев реализации актуальных угроз — конкретных цепочек действий нарушителя. Просто указать «несанкционированный доступ через уязвимость ПО» недостаточно.

Как избежать: Для каждой актуальной угрозы опишите пошаговый сценарий: точка входа → эксплуатация уязвимости → получение доступа → воздействие на объект.

7. Модель угроз не обновляется

Модель угроз — живой документ. Она теряет актуальность при любых изменениях: новый сервер, миграция в облако, открытие удалённого доступа, обновление ПО, изменение состава пользователей.

Как избежать: Включите в регламент ИБ организации обязательный пересмотр модели угроз при изменениях в системе и плановый — не реже одного раза в год.

8. Нет привязки к конкретным мерам защиты

Модель угроз существует не сама по себе — она определяет набор мер защиты. Если из модели невозможно однозначно определить, какие меры из Приказа 21 или Приказа 117 необходимо реализовать — модель неполна.

Как избежать: Для каждой актуальной угрозы укажите соответствующие меры защиты из применимого приказа ФСТЭК.

Как часто обновлять модель угроз

Модель угроз не является статичным документом и подлежит регулярному пересмотру.

Плановый пересмотр

• ИСПДн — не реже 1 раза в год;
• ГИС — каждые 6 месяцев (связано с оценкой КЗИ по Приказу 117);
• КИИ — не реже 1 раза в год и по предписанию ФСТЭК;
• Общие системы — по решению организации (рекомендуется ежегодно).

Внеплановый пересмотр

Пересмотр обязателен при:

• изменении архитектуры системы — добавление серверов, миграция в облако, подключение новых сегментов;
• изменении состава обрабатываемых данных — новые категории ПДн, увеличение объёма;
• появлении новых угроз — обновления в БДУ ФСТЭК, публикации о новых типах атак;
• инцидентах ИБ — после каждого инцидента анализируется, была ли реализованная угроза учтена в модели;
• изменении нормативных требований — выход новых приказов ФСТЭК, изменение законодательства;
• результатах аудита или проверки — замечания проверяющих по модели угроз.

Нужна ли лицензия ФСТЭК для составления модели угроз?

Ответ: нет. Разработка модели угроз — это создание организационно-распорядительной документации (ОРД). Это не лицензируемый вид деятельности.

Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) требуется для:

• проектирования систем защиты информации;
• установки и настройки сертифицированных средств защиты;
• аттестации объектов информатизации.

Разработка модели угроз, модели нарушителя, политики информационной безопасности и других ОРД — деятельность, которую организация вправе выполнять самостоятельно или привлечь любого консультанта без лицензии.

Вы можете подготовить модель угроз и другие документы по 152-ФЗ с помощью конструктора документов — сервис формирует документы на основе данных о вашей организации и системах.

Практические рекомендации

Начните с малого — но начните

Не пытайтесь сразу составить идеальную модель угроз на 200 страниц. Начните с одной системы, пройдите все 10 шагов, получите рабочий документ — и используйте его как образец для остальных систем.

Вовлекайте ИТ-специалистов

Модель угроз нельзя составить «из кабинета». Необходима реальная информация об архитектуре, настройках, уязвимостях. Привлеките системных администраторов и разработчиков — они знают систему лучше всех.

Используйте БДУ ФСТЭК как чек-лист

Пройдите по всем угрозам в БДУ ФСТЭК и отметьте каждую как «актуальна» или «неактуальна» с обоснованием. Это гарантирует полноту анализа и упрощает проверку.

Ведите реестр изменений

Создайте таблицу изменений модели угроз: дата, что изменилось, причина, кто инициировал. Это упростит плановый пересмотр и покажет проверяющим, что модель — живой документ.

Синхронизируйте с другими документами

Модель угроз должна быть согласована с:

• паспортом ИСПДн — описание системы должно совпадать;
• актом определения уровня защищённости — тип актуальных угроз должен быть единым;
• политикой ИБ — перечень мер защиты должен соответствовать актуальным угрозам;
• техническим заданием на систему защиты — ТЗ составляется на основе модели угроз.

Автоматизируйте создание документов

Подготовка полного комплекта документов по информационной безопасности вручную занимает недели. Конструктор документов по 152-ФЗ позволяет сгенерировать основные документы — модель угроз ПДн, модель нарушителя, политику ИБ и другие — на основе данных о вашей организации.

Итог

Модель угроз безопасности информации — не формальность, а рабочий инструмент для построения обоснованной системы защиты. Составление модели по Методике ФСТЭК 2021 года требует:

1. Глубокого понимания системы — архитектура, данные, пользователи, процессы.
2. Анализа реальных угроз — через БДУ ФСТЭК с учётом модели нарушителя.
3. Обоснованной оценки актуальности — не формального, а содержательного анализа.
4. Регулярного обновления — при изменениях в системе и ландшафте угроз.

Используйте это руководство и шаблоны документов для разных типов систем:

• Модель угроз ПДн — для информационных систем персональных данных;
• Модель угроз КИИ — для объектов критической информационной инфраструктуры;
• Модель нарушителя — для описания потенциальных источников угроз.

Весь комплект документов по информационной безопасности доступен в конструкторе документов.