Кибероснова | 152-ФЗ — документы по защите персональных данных
Экспертный документ
152-ФЗ20265 мин

Модель угроз безопасности персональных данных

Модель угроз безопасности ПДн по методике ФСТЭК: что включает, как составить, типы угроз и образец 2026 года. Сложный документ — обратитесь к экспертам Кибероснова.

Обратиться к экспертамСкачать образец

Что такое модель угроз ПДн

Модель угроз безопасности персональных данных — это документ, определяющий совокупность условий и факторов, создающих опасность несанкционированного доступа к персональным данным, который может повлечь уничтожение, изменение, блокирование, копирование, распространение ПДн или иные неправомерные действия.

Требование разработать модель угроз установлено Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21. Модель угроз является основой для:

  • Определения уровня защищённости ПДн — тип актуальных угроз напрямую влияет на УЗ;
  • Выбора мер защиты — перечень организационных и технических мер формируется на основании актуальных угроз;
  • Проектирования системы защиты — модель угроз входит в обязательный пакет документов.

Три типа угроз по ПП 1119

1-й тип — угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном ПО (операционные системы, СУБД).

2-й тип — угрозы, связанные с наличием НДВ в прикладном ПО (CRM, 1С, веб-приложения).

3-й тип — угрозы, не связанные с НДВ. Актуален для большинства коммерческих организаций, использующих лицензионное ПО.

Кому нужна модель угроз

Модель угроз обязана быть у каждого оператора ПДн, эксплуатирующего информационную систему персональных данных (ИСПДн). Это касается:

  • Коммерческих организаций — ООО, АО, ИП, имеющих CRM, 1С, сайт с базой клиентов;
  • Государственных и муниципальных органов — обязательна по приказам ФСТЭК;
  • Образовательных и медицинских учреждений — обрабатывают специальные категории ПДн;
  • Банков и финансовых организаций — повышенные требования ЦБ РФ.

На практике модель угроз запрашивается при проверках Роскомнадзора и ФСТЭК, а также может потребоваться при получении лицензий (ФСТЭК, ФСБ) и прохождении аттестации ИСПДн.

Структура модели угроз

Модель угроз разрабатывается по Методике оценки угроз безопасности информации (утверждена ФСТЭК 05.02.2021). Типичная структура включает:

1

Общие положения

Цель документа, нормативная база, область применения.

2

Описание ИСПДн

  • Наименование и назначение системы
  • Архитектура (клиент-серверная, облачная, локальная)
  • Категории обрабатываемых ПДн
  • Категории субъектов и их количество
  • Технические средства обработки
3

Определение возможных негативных последствий

Что произойдёт при реализации угрозы: ущерб субъектам, нарушение деятельности оператора, финансовые потери.

4

Определение возможных объектов воздействия

Серверы, рабочие станции, каналы связи, СУБД, прикладное ПО, съёмные носители.

5

Источники угроз

  • Внешние нарушители (хакеры, конкуренты)
  • Внутренние нарушители (сотрудники, подрядчики)
  • Техногенные источники (сбои оборудования, стихийные бедствия)
6

Способы реализации угроз

Сетевые атаки, вредоносное ПО, социальная инженерия, физический доступ.

7

Оценка актуальности угроз

Для каждой угрозы определяется: вероятность реализации, уровень опасности, актуальность.

8

Перечень актуальных угроз

Итоговая таблица с актуальными угрозами и мерами нейтрализации.

9

Выводы

Тип актуальных угроз (1-й, 2-й или 3-й), рекомендации по защите.

Пример таблицы актуальных угроз

Угроза (БДУ ФСТЭК)ИсточникСпособ реализацииВероятностьАктуальность
1УБИ.003 — Угроза использования слабостей криптографических алгоритмовВнешний нарушительСетевая атакаНизкаяНеактуальная
2УБИ.012 — Угроза перехвата информации при передаче по каналам связиВнешний нарушительПерехват трафикаСредняяАктуальная
3УБИ.027 — Угроза несанкционированного доступа к аутентификационной информацииВнутренний нарушительПодбор пароляСредняяАктуальная
4УБИ.034 — Угроза использования вредоносного ПОВнешний нарушительВредоносное ПОВысокаяАктуальная
5УБИ.067 — Угроза несанкционированного копирования ПДнВнутренний нарушительФизический доступСредняяАктуальная

Это сложный экспертный документ

Модель угроз требует глубокого понимания методики ФСТЭК, Банка данных угроз (БДУ ФСТЭК), архитектуры вашей ИС и специфики обработки ПДн. Ошибки в модели угроз приводят к неправильному определению уровня защищённости и, как следствие, к недостаточным мерам защиты. Рекомендуем обратиться к специалистам.

Что должна содержать модель угроз

  • Описание информационной системы (наименование, назначение, архитектура)
  • Перечень обрабатываемых ПДн с указанием категорий
  • Категории и количество субъектов ПДн
  • Описание технической инфраструктуры (серверы, сети, ПО)
  • Границы контролируемой зоны
  • Перечень возможных источников угроз (внешние и внутренние нарушители)
  • Перечень возможных способов реализации угроз
  • Оценка вероятности и опасности каждой угрозы
  • Определение актуальных угроз с обоснованием
  • Определение типа актуальных угроз (1-й, 2-й или 3-й тип)
  • Ссылки на БДУ ФСТЭК (bdu.fstec.ru)
  • Выводы и рекомендации по мерам защиты
  • Утверждение руководителем организации

Модель угроз под ключ от экспертов Кибероснова

Наши специалисты разработают модель угроз под вашу ИСПДн с учётом актуальной методики ФСТЭК и Банка данных угроз.

Обратиться к экспертам

Часто задаваемые вопросы

Модель угроз определяет КАКИЕ угрозы актуальны для вашей ИСПДн и к какому типу они относятся (1-й, 2-й или 3-й). Акт определения УЗ использует результаты модели угроз (тип угроз) вместе с категорией ПДн и объёмом для определения УРОВНЯ ЗАЩИЩЁННОСТИ (УЗ-1 — УЗ-4). То есть модель угроз первична — она является исходными данными для акта определения УЗ.

Нужна помощь с этим документом?

«Модель угроз безопасности персональных данных» — сложный документ, который требует экспертизы. Обратитесь к специалистам Кибероснова — мы подготовим его под вашу организацию.

Укажите телефон или email — хотя бы одно обязательно

Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Оставить заявку на комплект документовСобрать самостоятельно

Связанные материалы

Акт определения уровня защищённостиАкт определения уровня защищённости ПДн — образец 2026, как составить.Акт оценки вреда субъектам ПДнАкт оценки вреда субъектам персональных данных — образец 2026, требования ПП 1119.Перечень персональных данныхКак составить перечень ПДн для организации. Образец 2026, приказ об утверждении.Паспорт ИСПДнПаспорт информационной системы персональных данных — образец 2026, содержание, методика ФСТЭК.