Кибероснова152-ФЗ
ФСТЭК

Разработка модели угроз — по методике ФСТЭК 2021

Определим актуальные угрозы безопасности ПДн для ваших информационных систем. Документ по методике ФСТЭК 2021 — обязательное основание для выбора средств защиты.
Скачать образцы документов

Почему модель угроз нужна уже сейчас

Риски растут с каждым месяцем промедления

01

Модель угроз обязательна для каждой ИСПДн (Приказ ФСТЭК №21, п. 14)

02

Без модели угроз невозможно обоснованно определить меры и средства защиты

03

ФСТЭК обновил Банк данных угроз (БДУ) — старые модели устарели

04

Новая методика ФСТЭК 2021 требует пересмотра ранее разработанных моделей

от 2 нед
Срок разработки
100%
Соответствие методике ФСТЭК 2021
БДУ
Актуальная база угроз ФСТЭК

Зачем нужна модель угроз безопасности ПДн

Модель угроз — обязательный документ для любого оператора ПДн (ст. 19 152-ФЗ, Приказ ФСТЭК № 21). Без неё невозможно обоснованно выбрать меры и средства защиты, а при проверке ФСТЭК или РКН отсутствие модели — основание для штрафа.

С февраля 2021 года ФСТЭК России применяет новую методику оценки угроз. Документ учитывает тактики и техники атак (MITRE ATT&CK), категории нарушителей и реальные сценарии реализации угроз — вместо устаревшего «базового» подхода.

Мы разрабатываем модель угроз под конкретную ИСПДн вашей организации: учитываем архитектуру, обрабатываемые данные, применяемые СЗИ и условия эксплуатации.

Есть вопросы? Получите бесплатную консультацию эксперта

Что входит в разработку модели угроз

01

Обследование ИСПДн

Инвентаризация информационных систем, каналов передачи, границ контролируемой зоны и применяемых СЗИ.

02

Определение объектов защиты

Категории ПДн, серверы, АРМ, сетевое оборудование, ПО — всё, что обрабатывает персональные данные.

03

Анализ источников угроз

Определение категорий нарушителей (внешние/внутренние) и их возможностей по методике ФСТЭК.

04

Оценка актуальности угроз

Перебор сценариев атак с учётом тактик и техник. Итог — перечень актуальных угроз с обоснованием.

05

Документ модели угроз

Оформленная модель угроз по структуре ФСТЭК: описание системы, нарушители, угрозы, выводы.

06

Рекомендации по нейтрализации

Перечень мер и классов СЗИ для нейтрализации каждой актуальной угрозы.

Не уверены, что именно нужно?

Проведём бесплатный экспресс-разбор за 30 минут: оценим текущее состояние, определим риски и подскажем оптимальный формат работы.

Смотреть все услуги

Кому нужна разработка модели угроз

1
Операторы ПДн с ИСПДн 1–3 уровня защищённости
2
Организации, проходящие аттестацию ИСПДн по требованиям ФСТЭК
3
Компании, получившие предписание от ФСТЭК или РКН
4
ИТ-компании, обрабатывающие ПДн клиентов (SaaS, хостинг, облака)
5
Медицинские и образовательные учреждения с биометрией или спецкатегориями

Есть вопросы? Получите бесплатную консультацию эксперта

Как мы работаем

Прозрачный процесс с фиксированными этапами и результатами

1

Обследование

Изучаем ИСПДн, архитектуру, потоки данных и текущие меры защиты.

2

Анализ угроз

Определяем нарушителей, сценарии атак и оцениваем актуальность по методике ФСТЭК.

3

Разработка документа

Оформляем модель угроз со всеми разделами и обоснованиями.

4

Согласование и передача

Презентуем результаты, вносим корректировки, передаём финальный документ.

Почему выбирают Кибероснова

Методика ФСТЭК 2021

Работаем строго по актуальной методике: тактики и техники атак, категории нарушителей, сценарии реализации.

Актуальная БДУ ФСТЭК

Используем актуальную базу данных угроз ФСТЭК с учётом последних обновлений и новых типов атак.

Адаптация под ИС

Модель разрабатывается под конкретную информационную систему — не шаблон, а рабочий документ.

Формат регулятора

Документ оформляется по структуре ФСТЭК — принимается при аттестации и проверках без замечаний.

Инструменты без регистрации

Бесплатные калькуляторы и образцы — для самостоятельной работы

Вопросы и ответы

Модель угроз обязательна для всех ИСПДн (по ст. 19 152-ФЗ и ПП РФ №1119), государственных информационных систем (по Приказу ФСТЭК №117 с 01.03.2026 заменил №17), объектов КИИ К1/К2 (по Приказу ФСТЭК №239), АСУ ТП в значимых отраслях (по Приказу ФСТЭК №31). Это первый документ, который проверяют ФСТЭК и Роскомнадзор при аттестации и плановых проверках. Без модели угроз эксплуатация защищаемой системы юридически невозможна — штраф до 700 000 ₽ и приостановление эксплуатации. Подробнее — в нашем гайде «Разработка модели угроз 2026».
С 5 февраля 2021 года действует «Методика оценки угроз безопасности информации» ФСТЭК России. Модели по старой методике 2008 года недействительны с 2022 года. Главные отличия 2021: сценарный подход (актуальной считается угроза, для которой есть хотя бы один реализуемый сценарий), обязательное использование БДУ ФСТЭК (банк данных угроз, bdu.fstec.ru, более 220 угроз УБИ.001-222+), упрощённая 4-категорийная модель нарушителя с 3 уровнями потенциала, прямая связь угроза → мера защиты из Приказов ФСТЭК №21/117/239/31. Подробный разбор методики — в статье.
Полный документ — 30-80 страниц с 5 обязательными разделами: (1) Описание информационной системы — архитектура, сегменты, потоки данных, перечень обрабатываемых данных. (2) Модель нарушителя — 4 категории + потенциал. (3) Перечень актуальных угроз из БДУ ФСТЭК с обоснованием сценариев. (4) Меры защиты для нейтрализации угроз по Приказу ФСТЭК №21/117/239/31. (5) Оценка остаточного риска и план пересмотра. Плюс приложения: схема архитектуры, схема информационных потоков, перечень категорий ПДн, перечень используемых СЗИ с сертификатами.
Зависит от способа и сложности системы. Через консультанта-лицензиата ФСТЭК для ИСПДн — 1-3 месяца. Для ГИС или значимого объекта КИИ — 2-4 месяца. Через конструктор Кибероснова Документы — базовая модель угроз бесплатно при регистрации за 30-60 минут (отвечаете на вопросы об архитектуре, конструктор автоматически выбирает угрозы из БДУ ФСТЭК и сопоставляет с мерами защиты). Для сложных систем доступна услуга индивидуальной разработки — точная стоимость формируется индивидуально под проект, оставьте заявку на КП.
Только как ориентир структуры — не как готовый документ. По обзорам ФСТЭК за 2024-2025 годы 70%+ моделей угроз, скачанных из интернета, не проходят проверку. Причины: используется методика 2008 вместо 2021, нет ссылок на БДУ ФСТЭК с конкретными номерами УБИ, описание системы не соответствует реальной архитектуре, угрозы без сценариев реализации, отсутствует связь угроза → мера защиты. Шаблон работает только при адаптации под конкретную систему — это занимает почти столько же времени, как разработка с нуля. Эффективнее — конструктор Кибероснова с автосинком БДУ ФСТЭК.
Прямая связь. Аттестация ГИС (по Приказу ФСТЭК №117) и значимых объектов КИИ К1/К2 (по Приказу №239) проводится по модели угроз — это главный документ, который проверяет аттестационный орган (лицензиат ФСТЭК). Без правильной модели угроз аттестация невозможна. Подробнее — в нашей статье о подготовке к аттестации ГИС. Кибероснова разрабатывает модель угроз → передаём партнёру-лицензиату ФСТЭК для аттестации (мы саму аттестацию не проводим — это лицензируемая деятельность).
Регламентный пересмотр — раз в год. Внеочередной обязателен при триггерах: расширение/сокращение функций системы, изменения архитектуры (миграция в облако, смена СУБД), новые типы обрабатываемых данных (биометрия, спецкатегории), изменения в нормативной базе (как 420-ФЗ от 30.11.2024), серьёзные инциденты безопасности, существенные обновления БДУ ФСТЭК (пополняется 4-8 раз в год). Для аттестованных систем — обязательный пересмотр за 6 месяцев до истечения аттестата (срок 5 лет). В SaaS-сервисе Кибероснова мониторинг обновлений БДУ ФСТЭК и автоматическая регенерация модели — часть тарифа поддержки.
Базовая структура одинакова (5 разделов по методике 2021), различия: набор учитываемых угроз (для объектов КИИ — расширенный, включая supply chain и APT), модель нарушителя (для К1 объектов КИИ обязательно высокий потенциал), глубина проработки сценариев (для значимых объектов КИИ сценарии включают оценку времени реализации и стоимости для нарушителя), связь с мерами защиты (для ИСПДн — Приказ ФСТЭК №21, для значимых объектов КИИ — Приказ №239 с расширенным набором мер). Объём документа для объекта КИИ К1 — 80-150 страниц, для типовой ИСПДн уровня УЗ-3 — 30-60 страниц.

Нужна модель угроз по методике ФСТЭК?

Оставьте заявку — определим состав работ и сроки для вашей организации.

Скачать образцы документов

Чем мы отличаемся

Преимущества разработки модели угроз в Кибероснова

Методика ФСТЭК 2021 + автосинк БДУ

Актуальная методика 2021 (сценарный подход, 4 категории нарушителей). Автоматическая синхронизация с обновлениями БДУ ФСТЭК (220+ угроз, обновляется 4-8 раз в год).

6 фреймворков из одного набора данных

Модель угроз генерируется под 152-ФЗ + ФСТЭК Приказы №21/№117/№239 + ПП РФ №1119 + 187-ФЗ из единого описания системы. Не нужно дублировать описание архитектуры для каждого фреймворка.

Связь с пакетом ОРД и аттестацией

Модель угроз — часть единого пакета ОРД Кибероснова. После разработки модели — генерируется проект СЗИ, ТЗ, регламенты эксплуатации. Партнёры-лицензиаты ФСТЭК для аттестации К1/К2 — единый проектный менеджмент.

Multi-org для холдингов

Один аккаунт = много юрлиц. Промышленные группы, энергетические холдинги, телеком-операторы — модели угроз для всех объектов через единый интерфейс без отдельных подписок.

Как мы разрабатываем модель угроз

6-этапный процесс по методике ФСТЭК 2021. Срок 1-2 недели для типовой ИСПДн, 4-6 недель для сложной ГИС или объекта КИИ.

Этап 1. Сбор информации (3-5 дней)

Подписание NDA. Запрос проектной документации системы: архитектура, перечень компонентов, потоки данных, перечень СЗИ. Интервью с владельцем системы, ИБ-специалистом, системным администратором. Изучение существующих документов (если есть): паспорт системы, акт классификации, регламент эксплуатации.

Этап 2. Анализ системы (3-5 дней)

Построение схемы архитектуры: сегменты, точки уязвимости, потоки данных. Определение перечня объектов воздействия — что именно может атаковать нарушитель. Классификация защищаемой информации: категории ПДн (по ПП-1119), категории защищаемых данных (для ГИС/КИИ). Определение уровня защищённости (УЗ-1..УЗ-4 для ИСПДн, класс для ГИС, категория значимости для КИИ).

Этап 3. Модель нарушителя (1-2 дня)

Определение категорий нарушителей по методике 2021 (внешний, внутренний без легитимного доступа, внутренний с легитимным доступом, привилегированный пользователь). Оценка потенциала каждой категории (низкий/средний/высокий) с учётом отрасли и угрожающей картины. Описание возможностей: технические, организационные, финансовые.

Этап 4. Идентификация актуальных угроз (3-7 дней)

Анализ полной базы БДУ ФСТЭК (УБИ.001-222+). Выбор угроз, объекты воздействия которых присутствуют в системе. Для каждой угрозы — построение сценария реализации с учётом возможностей нарушителя. Если хотя бы один сценарий реализуем — угроза актуальна, включается в модель. Документирование сценариев с обоснованиями.

Этап 5. Сопоставление с мерами защиты (2-3 дня)

Для каждой актуальной угрозы — определение мер защиты из Приказа ФСТЭК №21 (для ИСПДн) или №117 (для ГИС) или №239 (для КИИ) или №31 (для АСУ ТП). Группировка мер: организационные (политики, регламенты), технические (СЗИ с сертификатами). Оценка достаточности мер.

Этап 6. Оценка остаточного риска и план пересмотра (1-2 дня)

Идентификация рисков, которые остаются после применения мер. Обоснование, почему остаточные риски приемлемы (риск-аппетит организации). План действий при реализации остаточных рисков. Триггеры пересмотра модели (изменения архитектуры, обновления БДУ, инциденты).

Что получает заказчик

Готовый документ для аттестации и плановых проверок ФСТЭК / РКН.

  • Модель угроз — 30-150 страниц в зависимости от сложности системы. Формат DOCX (для редактирования) + PDF (для подписания)
  • Модель нарушителя — отдельный документ или приложение, с описанием 4 категорий + потенциала
  • Схема архитектуры системы — визуальное представление сегментов и потоков данных
  • Перечень актуальных угроз с обоснованиями — таблица УБИ.XXX → сценарий → меры защиты
  • Спецификация СЗИ — перечень используемых средств защиты с сертификатами ФСТЭК
  • Регламент пересмотра модели угроз — порядок и триггеры
  • Презентация для руководства — основные риски и меры
  • Сопровождение в течение 6 месяцев — бесплатные консультации, обновления при изменении НПА, мониторинг БДУ ФСТЭК

Специфика разных систем

Разработка модели угроз учитывает специфику типа защищаемой системы.

Для ИСПДн (коммерческие операторы)

Применяется Приказ ФСТЭК №21. Модель нарушителя обычно: внешний + средний потенциал, внутренний с легитимным + низкий потенциал. Уровень защищённости УЗ-1..УЗ-4 по ПП-1119. Объём 30-60 страниц. Цикл разработки 1-2 недели.

Для ГИС (государственные системы)

Применяется Приказ ФСТЭК №117 (с 01.03.2026 заменил №17). Класс защищённости по показателю КЗИ (16 критериев). Модель нарушителя расширенная: внешний + высокий потенциал (включая APT), привилегированный пользователь + средний потенциал. Объём 60-100 страниц. Цикл разработки 2-4 недели.

Для значимых объектов КИИ (К1, К2)

Применяется Приказ ФСТЭК №239 + 187-ФЗ. Модель нарушителя включает иностранные спецслужбы и крупные киберпреступные группировки. Учитываются supply chain атаки и APT. Объём 80-150 страниц. Цикл разработки 4-6 недель.

Для АСУ ТП промышленных предприятий

Применяется Приказ ФСТЭК №31. Учитывается специфика OT-сегмента: ПЛК, SCADA, HMI. Модель нарушителя: внешний + средний-высокий, внутренний с легитимным + средний. Объём 50-100 страниц.

С чего начать

Запустите конструктор Кибероснова — за 30-60 минут получите базовую модель угроз бесплатно. Для аттестации или сложных систем — оставьте заявку на КП по индивидуальной разработке: оценим архитектуру, согласуем сроки и стоимость. Подбор партнёра-лицензиата ФСТЭК для аттестации К1/К2 включаем в проект.