Разработка модели угроз безопасности информации в 2026: методика ФСТЭК, БДУ, структура документа

Модель угроз безопасности информации — формальный документ, описывающий потенциальные угрозы для конкретной информационной системы, оценивающий риски и обосновывающий выбор мер защиты. Это основа всей системы защиты информации (СЗИ) — без правильной модели угроз все остальные меры (организационные, технические, организационно-распорядительные) теряют юридический смысл.

Когда модель угроз обязательна

• Все информационные системы персональных данных (ИСПДн) — по ст. 19 152-ФЗ и Постановлению Правительства РФ № 1119 от 01.11.2012
• Государственные информационные системы (ГИС) — по Приказу ФСТЭК России от 14.12.2023 № 117 (заменил Приказ №17 с 01.10.2024)
• Объекты КИИ 1 и 2 категории значимости — по Приказу ФСТЭК России №239 от 25.12.2017
• АСУ ТП в значимых отраслях — по Приказу ФСТЭК России №31

Без модели угроз эксплуатация любой защищаемой системы юридически невозможна. Это первое, что проверяют ФСТЭК России и Роскомнадзор при плановых и внеплановых контрольных мероприятиях. Отказ от разработки или формальная «бумажная» модель — основание для штрафов до 700 000 ₽ по ст. 13.11 КоАП РФ (ред. 420-ФЗ от 30.11.2024) и приостановления эксплуатации системы.

Что даёт правильная модель угроз

• Обоснованный выбор мер защиты — не покупаем «всё подряд», а закрываем актуальные угрозы для нашей системы
• Экономию бюджета на ИБ — типичная экономия 20-40% за счёт исключения неактуальных мер защиты
• Готовность к проверке ФСТЭК — главный документ, который запрашивают первым
• Основу для аттестации — для ГИС, ИСПДн уровня УЗ-1/УЗ-2 и значимых объектов КИИ
• Юридическую защиту при инцидентах — при правильной модели субъекту проще доказать добросовестность

С 05.02.2021 действует «Методика оценки угроз безопасности информации», утверждённая методическим документом ФСТЭК России от 05.02.2021. Она заменила «Методику определения актуальных угроз» 2008 года и стала основным документом для разработки моделей угроз во всех типах систем — ИСПДн, ГИС, объекты КИИ, АСУ ТП.

Ключевые отличия методики 2021 от 2008

Сценарный подход — главное нововведение

В методике 2021 актуальной считается угроза, для которой существует хотя бы один реализуемый сценарий с учётом возможностей нарушителя и архитектуры системы. Сценарий — последовательность действий нарушителя от первоначального доступа до достижения цели.

Этапы оценки угроз по методике 2021

1. Определение объектов воздействия — что именно может атаковать нарушитель (сервер БД, рабочие места, каналы связи, СЗИ)
2. Определение источников угроз — внутренние нарушители, внешние, природные явления, технические сбои
3. Определение возможностей нарушителя — категория и потенциал по 4-балльной шкале
4. Построение сценариев — пошаговое описание реализации каждой угрозы
5. Оценка актуальности — если есть хотя бы один реализуемый сценарий, угроза актуальна
6. Связь с мерами защиты — каждой актуальной угрозе сопоставляется одна или несколько мер из Приказа ФСТЭК №21 (ИСПДн), №117 (ГИС), №239 (КИИ), №31 (АСУ ТП)

Методика 2021 существенно сложнее методики 2008 — типовые шаблоны не работают, требуется индивидуальная разработка под каждую систему. Это главная причина, по которой 70%+ моделей угроз, скачанных из интернета, не проходят проверку ФСТЭК.

Документ «Модель угроз» должен содержать 5 обязательных разделов в соответствии с Методикой ФСТЭК 2021. Объём типовой модели угроз — от 30 до 80 страниц в зависимости от сложности системы.

Раздел 1. Описание информационной системы

• Назначение и состав системы
• Архитектура: сегменты, компоненты, интерфейсы
• Перечень обрабатываемых данных (с категориями — ПДн, КИИ-данные, ГИС-данные)
• Технологии обработки, передачи, хранения
• Способы взаимодействия с внешними системами
• Схема подключения к интернету и внутренним сетям
• Перечень рабочих мест и пользователей
• Сведения о подрядчиках, обслуживающих систему

Раздел 2. Модель нарушителя

Описание потенциальных нарушителей по методике 2021. Включает: категории нарушителей (внешний / внутренний с легитимным доступом / внутренний без легитимного доступа / привилегированный пользователь), потенциал нарушителя (низкий / средний / высокий), цели и мотивацию. Подробнее в отдельной секции ниже.

Раздел 3. Перечень актуальных угроз

• Полный перечень угроз из БДУ ФСТЭК с указанием конкретных номеров (УБИ.001 — УБИ.222+)
• Для каждой угрозы — обоснование актуальности с описанием сценария реализации
• Указание объектов воздействия в нашей системе
• Указание возможностей нарушителя, необходимых для реализации
• Ссылки на конкретные слабые места (CVE для известных уязвимостей, особенности архитектуры)

Раздел 4. Меры защиты для нейтрализации угроз

• Для каждой актуальной угрозы — одна или несколько мер защиты
• Меры группируются по 15 группам Приказа ФСТЭК №21 (УПД, ИАФ, АВЗ, ЗТС и др.) для ИСПДн или Приказа №117 для ГИС
• Указание используемых средств защиты с сертификатами ФСТЭК
• Описание организационных мер (приказы, регламенты, инструкции)

Раздел 5. Оценка остаточного риска

• Идентификация рисков, которые остаются после применения мер защиты
• Обоснование, почему остаточные риски приемлемы
• План действий при реализации остаточных рисков (реагирование на инциденты)
• Сроки пересмотра модели угроз (типично — раз в год + при существенных изменениях системы)

Приложения к модели угроз

• Схема архитектуры системы
• Схема информационных потоков
• Перечень обрабатываемых ПДн с категориями
• Перечень используемых СЗИ с сертификатами
• Журнал пересмотра модели угроз

Полный пакет с правильной структурой можно сгенерировать в конструкторе Кибероснова Документы — 30-60 минут на полный документ вместо 2-3 недель самостоятельной разработки.

БДУ ФСТЭК (Банк данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю) — официальный реестр угроз информационной безопасности, поддерживаемый ФСТЭК России. Расположен по адресу bdu.fstec.ru. Это обязательный источник угроз для всех моделей угроз в РФ по методике 2021.

Что содержит БДУ ФСТЭК

• Реестр угроз — более 220 угроз (УБИ.001 — УБИ.222+) с подробным описанием
• Реестр уязвимостей — известные уязвимости по продуктам и версиям
• Информация о вредоносном ПО — описание актуальных образцов
• Сведения о методах атак — TTP (tactics, techniques, procedures)

Структура записи угрозы в БДУ

Каждая угроза в БДУ описывается стандартизированным набором полей:

• УБИ.XXX — уникальный идентификатор
• Наименование — краткое описание угрозы
• Описание — развёрнутая характеристика
• Источники угрозы — кто может реализовать (внешний, внутренний, природный)
• Объект воздействия — что атакуется (ОС, СУБД, прикладное ПО, каналы связи)
• Возможные последствия — нарушение конфиденциальности / целостности / доступности
• Связанные уязвимости — конкретные CVE или категории уязвимостей

Как использовать БДУ в модели угроз

1. Проанализируйте архитектуру вашей системы — какие технологии используются (ОС, СУБД, сети)
2. Выберите все угрозы из БДУ, объекты воздействия которых присутствуют в вашей системе
3. Для каждой выбранной угрозы оцените сценарий реализации — есть ли у нарушителя возможности?
4. Если сценарий реализуем — угроза актуальна, включите её в модель
5. Сопоставьте угрозу с конкретными мерами защиты из Приказа ФСТЭК №21/117/239/31

Регулярность обновлений БДУ

БДУ ФСТЭК пополняется новыми угрозами 4-8 раз в год. Например, в 2023-2024 добавлены угрозы, связанные с атаками через open-source библиотеки (supply chain), угрозы при использовании ИИ-моделей, угрозы для систем виртуализации и контейнеризации. Модель угроз должна периодически пересматриваться с учётом обновлений БДУ — типично раз в год.

В услуге Кибероснова по разработке модели угроз мы автоматически синхронизируем актуальный перечень угроз из БДУ с архитектурой вашей системы. Это снимает риск использования устаревших данных.

Модель нарушителя — критический раздел модели угроз. От правильной классификации нарушителя зависит, какие угрозы будут актуальны и какие меры защиты потребуются. Методика 2021 ввела упрощённую 4-категорийную модель вместо громоздкой 6-уровневой 2008 года.

4 категории нарушителей

Потенциал нарушителя — 3 уровня

Помимо категории, для каждого нарушителя определяется потенциал — его технические и финансовые возможности:

• Низкий потенциал — использует общедоступные средства, без специальных знаний. Бытовой пользователь, инсайдер с базовыми навыками.
• Средний потенциал — обладает специализированными знаниями, использует профессиональные инструменты. Опытный IT-специалист, конкурент с бюджетом.
• Высокий потенциал — имеет ресурсы государственного уровня, нулевые дни (0-day), длительные операции (APT). Иностранные спецслужбы, крупные киберпреступные группировки.

Типичные комбинации для разных систем

• Коммерческая ИСПДн небольшой компании: внешний + средний потенциал, внутренний с легитимным + низкий потенциал
• Государственная информационная система (ГИС): внешний + высокий потенциал, привилегированный пользователь + средний потенциал
• Объект КИИ К1 (критическая инфраструктура): внешний + высокий потенциал (APT, иностранные службы), привилегированный + высокий потенциал
• АСУ ТП промышленного предприятия: внешний + средний-высокий потенциал, внутренний с легитимным доступом + средний потенциал

Завышение категории нарушителя приводит к избыточным расходам на защиту. Занижение — к отказу ФСТЭК в аттестации или проверке. Правильная классификация требует понимания актуальной угрожающей картины для конкретной отрасли — без опыта аналитика ИБ это сложно.

Самая частая ошибка — попытка сэкономить на разработке модели угроз, скачав шаблон из интернета. ФСТЭК и Роскомнадзор отлавливают это сразу — типовые шаблоны имеют характерные формулировки, которые опытный проверяющий узнаёт за минуты. Разберём три рабочих варианта.

Вариант 1. Самостоятельная разработка (внутренняя команда)

• Стоимость: 0 ₽ прямых затрат + рабочее время штатного администратора безопасности
• Срок: 2-4 недели для простой ИСПДн, 1-3 месяца для ГИС или объекта КИИ
• Кто справится: компании со штатным CISO или сертифицированным специалистом по ИБ
• Риски: отсутствие опыта с методикой 2021, неправильное использование БДУ, формальный подход → отказ ФСТЭК
• Когда оправдано: крупные компании с собственным отделом ИБ; повторная разработка после первой модели «под ключ»

Вариант 2. Заказ у консультанта-лицензиата ФСТЭК

• Стоимость: от 150 000 до 500 000 ₽ за модель угроз для ИСПДн; от 300 000 до 1 500 000 ₽ для ГИС или объекта КИИ
• Срок: 1-3 месяца на разработку + согласование
• Кто справится: любая организация, желающая получить «под ключ» с гарантией
• Риски: зависимость от качества конкретного консультанта; обновления при изменении системы — платные
• Когда оправдано: однократная разработка для сертификации/аттестации; компании без штатного ИБ-специалиста

Вариант 3. Конструктор Кибероснова Документы + услуга

• Стоимость: бесплатно при регистрации в SaaS; для сложных систем — услуга разработки модели угроз от 80 000 ₽
• Срок: 30-60 минут на базовую модель в конструкторе; 1-2 недели на индивидуальную модель в услуге
• Принцип работы: вы отвечаете на вопросы об архитектуре системы, конструктор автоматически выбирает угрозы из БДУ ФСТЭК с учётом ваших технологий, генерирует модель нарушителя по методике 2021, сопоставляет угрозы с мерами защиты из Приказов ФСТЭК №21/117/239/31
• Преимущество: автоматическое обновление при изменении БДУ ФСТЭК + поддержка 6 фреймворков в одной подписке
• Когда оправдано: постоянная актуализация моделей угроз; группы компаний с несколькими ИСПДн (multi-org); параллельная работа с разными типами систем

Сравнительная таблица

За 2024-2025 годы по практике аттестации опубликованы статистики типовых ошибок, которые приводят к отказам ФСТЭК. Знание этих ошибок позволяет избежать их на этапе разработки.

Ошибка 1. Использование методики 2008 вместо 2021

Модели угроз, выполненные по старой методике 2008 года, считаются недействительными с 2022 года. Если в документе видим формулы Y1 × Y2 и таблицы качественной оценки актуальности — это методика 2008. Сейчас обязательно сценарный подход 2021.

Ошибка 2. Игнорирование БДУ ФСТЭК

В модели нет конкретных номеров УБИ.XXX, угрозы описываются произвольными формулировками. БДУ ФСТЭК — обязательный источник, без ссылок на конкретные угрозы из реестра модель не принимается.

Ошибка 3. Шаблонная модель нарушителя

Описание нарушителя скопировано из чужой модели и не соответствует реальной угрожающей картине для конкретной отрасли. Для медицинской клиники не актуальны APT с государственным финансированием; для атомной станции наоборот — недостаточно «инсайдера среднего потенциала».

Ошибка 4. Несоответствие описания системы реальной архитектуре

В разделе «Описание ИС» написано «1 сервер с СУБД PostgreSQL», в реальности — кластер из 5 серверов с MS SQL, репликация в облако и зеркалирование на резервный ЦОД. ФСТЭК сверяет с проектной документацией.

Ошибка 5. Угрозы без сценариев реализации

Каждая актуальная угроза должна иметь описание сценария реализации с учётом возможностей нарушителя и архитектуры системы. Без сценария — это методика 2008, не 2021.

Ошибка 6. Отсутствие связи угроза → мера защиты

В разделе угроз — список из 50 актуальных, в разделе мер защиты — общий перечень без привязки. ФСТЭК требует прямую связь: «Для нейтрализации УБИ.057 применяются меры УПД.1, УПД.2, ИАФ.3 (см. Приказ ФСТЭК №21)».

Ошибка 7. Отсутствие плана пересмотра

Модель угроз не статичный документ. Раздел 5 (остаточный риск) должен включать триггеры пересмотра: изменения архитектуры системы, новые угрозы в БДУ ФСТЭК (раз в год), новые сертификаты СЗИ, инциденты безопасности. Без плана пересмотра — нарушение методики 2021.

Все эти ошибки устраняются при разработке через профессиональную услугу Кибероснова или конструктор документов. Кибероснова автоматически использует актуальную БДУ ФСТЭК, методику 2021, корректную модель нарушителя для отрасли и правильно сопоставляет угрозы с мерами защиты.

Модель угроз — живой документ. Пересмотр требуется не только по графику, но и при наступлении конкретных событий. Игнорирование пересмотра — основание для штрафа и отзыва аттестата для аттестованных систем.

Регламентный пересмотр (плановый)

• Раз в год — стандартная периодичность пересмотра. Поводы: обновления БДУ ФСТЭК, изменения в Приказах ФСТЭК, новые угрозы в отрасли
• За 6 месяцев до истечения аттестата — обязательная процедура для аттестованных систем (срок аттестата 5 лет)

Внеочередной пересмотр (по триггерам)

• Расширение или сокращение функций системы — добавление новых модулей, интеграций, рабочих мест
• Изменения архитектуры — миграция в облако, переход на новую СУБД, смена ОС
• Новые типы обрабатываемых данных — добавление биометрии, спецкатегорий ПДн, медицинских данных
• Изменения в нормативной базе — новые приказы ФСТЭК, поправки в 152-ФЗ (как 420-ФЗ от 30.11.2024)
• Серьёзные инциденты безопасности — успешная атака, утечка, нарушение конфиденциальности
• Существенные изменения в БДУ ФСТЭК — добавление новых классов угроз (как угрозы supply chain в 2023, ИИ-атаки в 2024)

Как поддерживать модель в актуальном состоянии

1. Назначить ответственного за актуальность модели угроз (обычно — администратор безопасности или CISO)
2. Завести журнал изменений системы, по которому отслеживаются триггеры пересмотра
3. Подписаться на обновления БДУ ФСТЭК и Приказов ФСТЭК (через бот ФСТЭК или RSS)
4. Раз в квартал проводить экспресс-аудит — соответствует ли модель текущему состоянию системы
5. Раз в год — полный пересмотр с переутверждением документа

SaaS-подход: автоматическая актуализация

В услуге Кибероснова мониторинг и пересмотр модели угроз — часть тарифа поддержки. Автоматически: уведомления об обновлениях БДУ ФСТЭК, проверка соответствия методике 2021, генерация обновлённой модели при изменениях в системе. Это снимает с штатной команды задачу постоянного мониторинга регуляторики.