Как разработать модель угроз и нарушителя по требованиям ФСТЭК России без ошибок: подробный гайд

Знаете ли вы, через какие конкретные уязвимости злоумышленник может получить доступ к вашей базе клиентов или бухгалтерским документам? Многие компании несут финансовые и репутационные потери, потому что их защита строится на общих шаблонах, а не на анализе реальных рисков. Без системного подхода вы тратите бюджет на неэффективные средства защиты, оставаясь уязвимыми для целенаправленных атак или внутренних инцидентов. Единственный способ перейти от иллюзии безопасности к управляемому риску — это разработка модели угроз и модели нарушителя, которая станет основой для всех технических и экономичных решений в области ИБ.

Что это за документ

Модель угроз и нарушителя безопасности — это фундаментальный документ в системе защиты информации. Он представляет собой структурированное описание возможных путей реализации актуальных угроз безопасности через уязвимости информационной системы. По сути, это детальная карта рисков для ваших данных, прежде всего персональных (ПДн).

Его разработка — прямое требование регулятора. Для кого обязательна разработка модели угроз безопасности и нарушителя:

1. Для государственных информационных систем (Приказ ФСТЭК России от 11 февраля 2013 г. № 17.).
2. Для ИСПДн (Приказом ФСТЭК России от 18.02.2013 №21).
3. Для объектов критической информационной инфраструктуры (Приказ ФСТЭК от 21.12.2017 №235). 

Также документ нужен компаниям, использующим автоматизированные системы управления технологическими процессами, если они связаны с КИИ или используются на объектах повышенной опасности. Отдельными законодательными актами утверждено создание модели угроз для предприятий в транспортной, оборонной и банковской сферах. Документ служит основой для определения и оценки реальных опасностей и возможностей нарушителя.

Проще говоря, модель отвечает на три ключевых вопроса:

1. Кто может атаковать вашу систему?
2. Какими способами и через какие слабые места?
3. К каким последствиям для бизнеса это приведет?

На основе модели угроз вы принимаете обоснованные решения: какие технические меры защиты внедрять в первую очередь, как распределить бюджет на информационную безопасность и как выполнить требования ФСТЭК. Без этого документа система защиты строится вслепую.

Кто разрабатывает модель угроз и нарушителя 

Согласно Приказу ФСТЭК России № 17, разработка модели угроз безопасности информации является обязанностью оператора — организации, которая обрабатывает ПДн. Именно вы, как оператор, утверждаете финальный документ и несете за него ответственность перед регулятором.

Фактическую работу по построению модели обычно выполняют специалисты по информационной безопасности (ИБ). Это может быть штатный сотрудник, отвечающий за ИБ, или сторонняя организация. Ключевое требование — глубокое понимание типов и уровня актуальных угроз безопасности, а также методик анализа уязвимостей.

Содержание модели угроз и нарушителя информационной безопасности

Согласно официальной рекомендуемой структуре, утвержденной ФСТЭК России, модель угроз безопасности информации и нарушителя содержать следующие обязательные разделы:

1. Титульный лист и утверждающая подпись. Документ начинается с титульного листа, содержащего его полное наименование и указание на конкретную информационную систему или сеть. Он утверждается руководителем организации или иным уполномоченным лицом, что подтверждает его официальный статус и возлагает ответственность.
2. Общие положения. Этот раздел устанавливает методическую и нормативную базу для разработки модели. В нем указываются цели и задачи документа, а также ссылки на нормативные акты (например, Приказ ФСТЭК № 17), требованиям которых должна соответствовать система защиты.
3. Описание информационной системы. Здесь приводится детальная характеристика объекта защиты: состав и топология системы, перечень информационных ресурсов, технологии обработки данных, категории обрабатываемых персональных данных. Эта информация является исходной для последующего анализа уязвимостей.
4. Модель нарушителя безопасности информации. Ключевой раздел, в котором потенциальные злоумышленники классифицируются по типу (внешний/внутренний), уровню возможностей, мотивации и предполагаемым методам действий. Эта классификация позволяет оценить, от кого именно и каким образом необходимо защищаться.
5. Перечень угроз безопасности информации. Ядро документа, формируемое на основе анализа уязвимостей системы и возможностей нарушителя. Угрозы систематизируются и описываются с указанием возможных путей их реализации и последствий для организации.
6. Выводы и рекомендации. Финальный раздел, в котором подводятся итоги анализа. На основе выявленных угроз и возможностей нарушителя формулируются конкретные предложения по выбору и внедрению необходимых организационных и технических мер защиты для минимизации установленных рисков.

Эта структура обеспечивает системный подход от общего описания к детальному анализу и формированию плана действий, делая модель угроз практическим инструментом для обоснования и планирования мероприятий по информационной безопасности.

Как разработать модель угроз и нарушителя ИБ

Построение модели угроз и нарушителя — это методичный процесс, основанный на анализе вашей инфраструктуры и рисков. Для успешной разработки следуйте ключевым этапам:

1. Сбор исходных данных и описание системы. Начните с инвентаризации информационных активов и документирования архитектуры ИТ-среды. Определите границы системы и категории обрабатываемых данных, включая персональные. Это основа для всего последующего моделирования.
2. Определение модели нарушителя и угроз. Классифицируйте потенциальных злоумышленников по их мотивации, возможностям и точке доступа (внешний/внутренний). На основе этого выявите виды актуальных угроз безопасности, используя типовые перечни ФСТЭК.
3. Анализ уязвимостей и оценка рисков. Проведите аудит защищенности, чтобы выявить технические и организационные уязвимости сетей и систем. Для каждой угрозы оцените вероятность реализации и тяжесть потенциальных последствий для бизнеса. Результатом является оценка рисков.
4. Разработка рекомендаций по защите. На основе приоритетных рисков сформируйте перечень мер защиты информации. Контрмеры должна быть адресными: для каждой угрозы определите конкретные технические средства или организационные действия.
5. Оформление, утверждение и внедрение. Оформите результаты работы в документ по рекомендуемой структуре ФСТЭК. После согласования с ответственными лицами утвердите модель у руководителя организации. Далее следует этап практического использования модели — реализация запланированных мер.
6. Периодический пересмотр. Модель — «живой» документ. Ее необходимо регулярно актуализировать при изменении инфраструктуры, законодательства, бизнес-процессов, или при появлении новых угроз безопасности.

Этот системный подход позволяет перейти от абстрактных требований регулятора к конкретному плану действий, обеспечивающему безопасность ваших данных.

Заключение 

Разработка модели угроз и модели нарушителя — это инвестиция в устойчивость бизнеса. Лучше обратиться к специалистам по информационной безопасности. Они подготовят документ, который будет соответствовать всем требованиям ФСТЭК и реально отразит уникальные риски вашей инфраструктуры. Это сэкономит ваше время, избавит от доработок по замечаниям регулятора и, главное, создаст действенную основу для защиты критически важных активов от целевых атак и внутренних инцидентов.