Можно ли объединить модель угроз КИИ и модель угроз ПДн в один документ?

Да, если объект КИИ одновременно обрабатывает персональные данные (что бывает часто — например, медицинская ИС). В этом случае создаётся единый документ, учитывающий требования обоих направлений: и Приказа ФСТЭК № 239 (КИИ), и Приказа ФСТЭК № 21 (ПДн). Методика одна — ФСТЭК 2021. Главное — корректно определить все негативные последствия: и для субъектов ПДн, и для функционирования объекта КИИ.

Какие угрозы специфичны для КИИ и не встречаются в модели угроз ПДн?

Для объектов КИИ (особенно АСУ ТП) характерны специфические угрозы: атаки на промышленные протоколы (Modbus, OPC, IEC 104), перехват управления ПЛК и SCADA, атаки на цепочку поставок оборудования, целенаправленные APT-атаки государственного уровня, нарушение технологического процесса через IT-сегмент. В БДУ ФСТЭК эти угрозы выделены отдельно и привязаны к типам объектов.

Нужно ли согласовывать модель угроз КИИ с ФСТЭК?

187-ФЗ и Приказ ФСТЭК № 239 не требуют обязательного согласования модели угроз с ФСТЭК. Документ утверждается руководителем субъекта КИИ. Однако при проверках ФСТЭК вправе оценить адекватность модели угроз и потребовать её доработки. Для объектов 1-й категории значимости рекомендуется привлечь лицензиата ФСТЭК и согласовать подход с регулятором неформально.

Как использовать БДУ ФСТЭК при разработке модели угроз КИИ?

Банк данных угроз ФСТЭК (bdu.fstec.ru) содержит более 220 угроз безопасности информации. При разработке модели угроз КИИ следует: отфильтровать угрозы по типу объекта (ИС, ИТКС, АСУ), определить применимость каждой угрозы к конкретной архитектуре, оценить актуальность по методике ФСТЭК 2021 (источник, способ реализации, объект воздействия, негативные последствия). Рекомендуется также учитывать уязвимости из БДУ, привязанные к используемому ПО и оборудованию.

187-ФЗ / КИИ

152-ФЗ20265 мин

Модель угроз безопасности значимого объекта КИИ

Name: Модель угроз объекта КИИ — образец 2026 | Кибероснова
Brand: Кибероснова
Availability: InStock

Модель угроз безопасности значимого объекта КИИ по методике ФСТЭК: правовая основа, отличия от модели угроз ПДн, структура, таблица угроз и образец 2026 года.

Скачать образец .docx Создать в конструкторе

* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.

Чем модель угроз КИИ отличается от модели угроз ПДн

Модель угроз безопасности значимого объекта КИИ и модель угроз ПДн разрабатываются по единой Методике оценки угроз безопасности информации (утв. ФСТЭК 05.02.2021), но имеют принципиальные различия:

Правовая основа

Модель угроз ПДн — требуется ПП РФ № 1119 и Приказом ФСТЭК № 21 для определения уровня защищённости ПДн;
Модель угроз КИИ — требуется Приказом ФСТЭК от 25.12.2017 № 239 для обеспечения безопасности значимых объектов КИИ (ст. 7 187-ФЗ).

Объект защиты

ПДн — защищается информация (персональные данные), негативные последствия — для субъектов ПДн;
КИИ — защищается функционирование объекта (ИС, ИТКС, АСУ), негативные последствия — социальные, экономические, экологические, оборонные.

Масштаб последствий

ПДн — ущерб конкретным физическим лицам;
КИИ — ущерб государству, обществу, экономике, экологии, обороноспособности. Масштаб на порядок выше.

Источники угроз

ПДн — преимущественно коммерческая мотивация (кража данных);
КИИ — добавляются государственные APT-группировки, кибертерроризм, диверсии на критической инфраструктуре.

Результат

ПДн — определяет тип актуальных угроз (1-й, 2-й, 3-й) для выбора уровня защищённости;
КИИ — определяет состав мер безопасности по Приказу ФСТЭК № 239 для конкретной категории значимости.

Правовая основа и методика

Нормативные документы

187-ФЗ (ст. 7) — субъект КИИ обязан обеспечить безопасность значимых объектов КИИ;
Приказ ФСТЭК от 25.12.2017 № 239 — требования по обеспечению безопасности значимых объектов КИИ, включая разработку модели угроз;
Приказ ФСТЭК от 21.12.2017 № 235 — требования к созданию системы безопасности значимых объектов КИИ;
Методика оценки угроз безопасности информации (утв. ФСТЭК 05.02.2021) — единая методика для всех типов систем;
БДУ ФСТЭК (bdu.fstec.ru) — банк данных угроз, содержащий описания угроз и уязвимостей.

Методика ФСТЭК 2021

Методика предусматривает последовательную оценку:

Негативные последствия — что произойдёт при реализации угрозы;
Объекты воздействия — на что направлена угроза;
Источники угроз — кто или что может реализовать угрозу;
Способы реализации — как именно угроза может быть реализована;
Актуальность угрозы — является ли угроза актуальной для конкретного объекта КИИ.

Для объектов КИИ особое внимание уделяется угрозам, способным привести к нарушению функционирования объекта (не только к утечке информации).

Структура модели угроз КИИ

Общие положения

Цель, область применения, нормативная база, используемые сокращения.

Описание объекта КИИ

Наименование и категория значимости;
Тип объекта (ИС, ИТКС, АСУ);
Архитектура и состав (серверы, АРМ, сетевое оборудование, ПЛК, SCADA);
Сфера функционирования и обеспечиваемые процессы;
Границы объекта КИИ и смежные системы.

Возможные негативные последствия

Оценка последствий в привязке к критериям значимости (ПП РФ № 127): нарушение жизнеобеспечения, экономический ущерб, экологический вред, нарушение обороноспособности.

Возможные объекты воздействия

Серверное оборудование, SCADA/HMI, ПЛК (для АСУ ТП), СУБД, каналы связи, АРМ операторов, сетевое оборудование, средства защиты информации.

Источники угроз безопасности

Внешние: APT-группировки, хакеры, кибертеррористы, конкуренты;
Внутренние: сотрудники, подрядчики, обслуживающий персонал;
Техногенные: отказы оборудования, сбои электропитания.

Способы реализации угроз

Сетевые атаки (через Интернет, смежные сети), эксплуатация уязвимостей, вредоносное ПО, социальная инженерия, физический доступ, атаки на цепочку поставок.

Перечень актуальных угроз

Таблица с оценкой каждой угрозы по методике ФСТЭК.

Выводы

Перечень актуальных угроз, рекомендации по составу мер безопасности в соответствии с Приказом ФСТЭК № 239.

Пример таблицы угроз для значимого объекта КИИ

№	Угроза (БДУ ФСТЭК)	Источник	Объект воздействия	Негативные последствия	Актуальность
1	УБИ.006 — Угроза внедрения кода или данных	Внешний нарушитель (APT)	Прикладное ПО, SCADA	Нарушение функционирования объекта КИИ	Актуальная
2	УБИ.012 — Угроза перехвата управления	Внешний нарушитель	АСУ ТП, ПЛК	Несанкционированное управление процессами	Актуальная
3	УБИ.034 — Угроза использования вредоносного ПО	Внешний нарушитель	Серверы, АРМ	Блокирование работы, шифрование данных	Актуальная
4	УБИ.074 — Угроза несанкционированного доступа через смежные сети	Внешний нарушитель	Сетевое оборудование	Проникновение в сегмент КИИ	Актуальная
5	УБИ.100 — Угроза нарушения доступности из-за DDoS	Внешний нарушитель	ИТКС, серверы	Прекращение функционирования объекта	Актуальная
6	УБИ.027 — Угроза НСД к аутентификационной информации	Внутренний нарушитель	Учётные записи, СУБД	Компрометация управления объектом	Актуальная
7	УБИ.089 — Угроза атаки на цепочку поставок	Внешний нарушитель	Обновления ПО, вендорский доступ	Внедрение закладок, компрометация	Актуальная

Когда обновлять модель угроз КИИ

Модель угроз значимого объекта КИИ подлежит пересмотру в следующих случаях:

Изменение архитектуры объекта КИИ — модернизация, замена оборудования, миграция в облако;
Изменение категории значимости — по результатам пересмотра категорирования (раз в 5 лет или при изменениях);
Появление новых угроз — обновление БДУ ФСТЭК, публикация информации о новых векторах атак на КИИ;
По результатам компьютерных инцидентов — реальный инцидент может выявить не учтённые ранее угрозы;
Изменение нормативной базы — обновление методики ФСТЭК, приказов;
Результаты аудитов и проверок — рекомендации ФСТЭК по итогам контрольных мероприятий.

Рекомендуемый срок планового пересмотра — не реже одного раза в 3 года, а для объектов 1-й категории значимости — ежегодно.

Что должна содержать модель угроз КИИ

Описание объекта КИИ (наименование, тип, категория значимости, сфера функционирования)
Архитектура объекта (серверы, АРМ, сетевое оборудование, ПЛК, каналы связи)
Границы объекта КИИ и точки взаимодействия со смежными системами
Оценка возможных негативных последствий (по критериям значимости ПП РФ №127)
Перечень объектов воздействия (включая компоненты АСУ ТП при наличии)
Перечень источников угроз (включая APT-группировки для объектов 1-2 категории)
Способы реализации угроз (включая атаки на цепочку поставок)
Оценка актуальности каждой угрозы по методике ФСТЭК 2021
Ссылки на БДУ ФСТЭК (идентификаторы УБИ)
Перечень актуальных угроз с обоснованием
Соответствие мерам безопасности по Приказу ФСТЭК № 239
Утверждение руководителем субъекта КИИ

Модель угроз КИИ — экспертный документ повышенной сложности

Разработка модели угроз для значимого объекта КИИ требует глубоких знаний: методики ФСТЭК 2021, специфики промышленных протоколов (для АСУ ТП), ландшафта APT-угроз, архитектуры объекта. Ошибки приводят к неадекватным мерам защиты и уязвимости критической инфраструктуры. Для объектов **1-й и 2-й категории** рекомендуется привлечение лицензиатов ФСТЭК.

Сформируйте модель угроз объекта КИИ

Конструктор Кибероснова поможет подготовить структуру модели угроз по методике ФСТЭК с учётом специфики объектов критической информационной инфраструктуры.

Открыть конструктор

Часто задаваемые вопросы

Приказ ФСТЭК № 239 и требование разработки модели угроз распространяется только на значимые объекты КИИ (имеющие 1, 2 или 3 категорию значимости). Для объектов без категории модель угроз формально не требуется. Однако если объект КИИ одновременно является ИСПДн, модель угроз всё равно потребуется — по линии защиты ПДн (ПП РФ № 1119, Приказ ФСТЭК № 21).

Нужна помощь с этим документом?

«Модель угроз безопасности значимого объекта КИИ» — сложный документ, который требует экспертизы. Обратитесь к специалистам Кибероснова — мы подготовим его под вашу организацию.

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно

Связанные материалы

Акт категорирования объекта КИИАкт категорирования объекта КИИ по 187-ФЗ: образец 2026, критерии значимости, порядок направления во ФСТЭК.Модель угроз ПДнМодель угроз безопасности персональных данных: как составить, методика ФСТЭК, образец 2026.План реагирования на инциденты КИИПлан реагирования на компьютерные инциденты на объектах КИИ: образец 2026, требования НКЦКИ.