ФСТЭК

Разработка модели угроз — по методике ФСТЭК 2021

Определим актуальные угрозы безопасности ПДн для ваших информационных систем. Документ по методике ФСТЭК 2021 — обязательное основание для выбора средств защиты.

Бесплатный конструктор

Почему модель угроз нужна уже сейчас

Риски растут с каждым месяцем промедления

Модель угроз обязательна для каждой ИСПДн (Приказ ФСТЭК №21, п. 14)

Без модели угроз невозможно обоснованно определить меры и средства защиты

ФСТЭК обновил Банк данных угроз (БДУ) — старые модели устарели

Новая методика ФСТЭК 2021 требует пересмотра ранее разработанных моделей

от 2 нед

Срок разработки

100%

Соответствие методике ФСТЭК 2021

БДУ

Актуальная база угроз ФСТЭК

Зачем нужна модель угроз безопасности ПДн

Модель угроз — обязательный документ для любого оператора ПДн (ст. 19 152-ФЗ, Приказ ФСТЭК № 21). Без неё невозможно обоснованно выбрать меры и средства защиты, а при проверке ФСТЭК или РКН отсутствие модели — основание для штрафа.

С февраля 2021 года ФСТЭК России применяет новую методику оценки угроз. Документ учитывает тактики и техники атак (MITRE ATT&CK), категории нарушителей и реальные сценарии реализации угроз — вместо устаревшего «базового» подхода.

Мы разрабатываем модель угроз под конкретную ИСПДн вашей организации: учитываем архитектуру, обрабатываемые данные, применяемые СЗИ и условия эксплуатации.

Есть вопросы? Получите бесплатную консультацию эксперта

Что входит в разработку модели угроз

Обследование ИСПДн

Инвентаризация информационных систем, каналов передачи, границ контролируемой зоны и применяемых СЗИ.

Определение объектов защиты

Категории ПДн, серверы, АРМ, сетевое оборудование, ПО — всё, что обрабатывает персональные данные.

Анализ источников угроз

Определение категорий нарушителей (внешние/внутренние) и их возможностей по методике ФСТЭК.

Оценка актуальности угроз

Перебор сценариев атак с учётом тактик и техник. Итог — перечень актуальных угроз с обоснованием.

Документ модели угроз

Оформленная модель угроз по структуре ФСТЭК: описание системы, нарушители, угрозы, выводы.

Не уверены, что именно нужно?

Проведём бесплатный экспресс-разбор за 30 минут: оценим текущее состояние, определим риски и подскажем оптимальный формат работы.

Смотреть все услуги

Кому нужна разработка модели угроз

Операторы ПДн с ИСПДн 1–3 уровня защищённости

Организации, проходящие аттестацию ИСПДн по требованиям ФСТЭК

Компании, получившие предписание от ФСТЭК или РКН

ИТ-компании, обрабатывающие ПДн клиентов (SaaS, хостинг, облака)

Медицинские и образовательные учреждения с биометрией или спецкатегориями

Есть вопросы? Получите бесплатную консультацию эксперта

Как мы работаем

Прозрачный процесс с фиксированными этапами и результатами

Обследование

Изучаем ИСПДн, архитектуру, потоки данных и текущие меры защиты.

Анализ угроз

Определяем нарушителей, сценарии атак и оцениваем актуальность по методике ФСТЭК.

Разработка документа

Оформляем модель угроз со всеми разделами и обоснованиями.

Согласование и передача

Презентуем результаты, вносим корректировки, передаём финальный документ.

Почему выбирают Кибероснова

Методика ФСТЭК 2021

Работаем строго по актуальной методике: тактики и техники атак, категории нарушителей, сценарии реализации.

Актуальная БДУ ФСТЭК

Используем актуальную базу данных угроз ФСТЭК с учётом последних обновлений и новых типов атак.

Адаптация под ИС

Модель разрабатывается под конкретную информационную систему — не шаблон, а рабочий документ.

Формат регулятора

Документ оформляется по структуре ФСТЭК — принимается при аттестации и проверках без замечаний.

Попробуйте бесплатно

Инструменты для самостоятельной работы — без регистрации

Конструктор документов

Вопросы и ответы

Да, если организация является оператором ПДн и эксплуатирует ИСПДн. Требование установлено ст. 19 152-ФЗ и Приказом ФСТЭК № 21.

Новая методика учитывает реальные тактики и техники атак (аналог MITRE ATT&CK), категории нарушителей с уровнями возможностей и конкретные сценарии реализации угроз.

Для типовой ИСПДн — от 2 до 4 недель. Сроки зависят от количества систем, сложности архитектуры и оперативности предоставления данных.

Да. Модель угроз актуализируется при изменениях в ИСПДн (новые системы, изменение архитектуры), а также при появлении новых угроз. Рекомендуемая периодичность — не реже 1 раза в год.

Если ИСПДн имеют одинаковую архитектуру и обрабатывают те же категории ПДн — допускается типовая модель. В остальных случаях для каждой ИСПДн нужна отдельная модель.

Описание информационной системы, определение возможных нарушителей и их потенциала, анализ тактик и техник атак, перечень актуальных угроз с обоснованием, рекомендации по нейтрализации.

Да. Модель угроз — обязательный документ для аттестации. Мы оформляем её по требованиям ФСТЭК, что исключает замечания при аттестационных испытаниях.

Связанные услуги

Аттестация ИСПДн

Пакет документов по 152-ФЗ

Аудит персональных данных

Нужна модель угроз по методике ФСТЭК?

Оставьте заявку — определим состав работ и сроки для вашей организации.