Без четкой модели угроз ИБ ваш бизнес действует наугад. Утечка данных клиентов, сбои в работе систем, штрафы от Роскомнадзора — всё это не теория, а реальные риски, которые могут обнулить прибыль. Модель угроз — это не просто документ для проверок. Это стратегический инструмент, который помогает заранее выявить слабые места, оценить реальные риски и направить бюджет на те меры защиты, которые действительно работают.
Что такое модель угроз информационной безопасности?
Модель угроз ИБ — это систематизированный документ, описывающий:
- какие сценарии атак могут повлиять на вашу информационную систему обработки персональных данных (ИСПДн);
- кто может быть источником угроз (внутренние сотрудники, внешние злоумышленники, технические сбои);
- через какие уязвимости они реализуются;
- какие последствия наступят при реализации каждого сценария.
Проще говоря — это карта рисков, на основе которой вы принимаете обоснованные решения о защите, а не тратите деньги на «всё подряд».
Зачем нужна модель угроз? 7 ключевых причин
1. Соответствие закону — обязательный элемент для выполнения требований Приказа ФСТЭК №17 и ФЗ-152 «О персональных данных».
2. Точечное выявление рисков — вы узнаете, какие угрозы реально актуальны для вашей системы, а не копируете шаблоны из интернета.
3. Обоснование инвестиций — доказывает руководству, почему именно эти меры защиты необходимы, а не другие.
4. Экономия бюджета — фокус на приоритетных угрозах исключает траты на избыточные или нереальные меры.
5. Устойчивость бизнеса — снижает вероятность простоя, репутационных потерь и юридических последствий.
6. Контроль над подрядчиками — даёт чёткие критерии для оценки работы IT-команд и внешних поставщиков.
7. Подготовка к аудитам — документ служит основой для успешных проверок Роскомнадзора, ФСТЭК и сертификаций.
Пример из практики почему важна разработка модели угроз информационной безопасности: Руководитель считал, что CRM-система не представляет интереса для хакеров. После разработки модели угроз выяснилось: утечка клиентских данных ведёт к массовым искам и штрафам до 5% от выручки по ФЗ-152. Вместо дорогих сканирований сети компания вложилась в контроль доступа и резервное копирование — затраты снизились в 5 раз, а уровень защиты вырос.
Какие разделы входят в модель угроз ИБ?
Модель разрабатывается в соответствии с Приложением №3 к методике ФСТЭК и включает:
- Общие сведения о системе: название, назначение, типы обрабатываемых данных, категории пользователей, архитектура.
- Среда функционирования: оборудование, ПО, сетевые соединения, взаимодействие с внешними системами.
- Перечень защищаемой информации: ПДн, коммерческая тайна, служебная информация.
- Границы системы и объекты защиты: физические и логические границы, серверы, рабочие станции, каналы передачи.
- Источники угроз: внешние (хакеры, вредоносное ПО), внутренние (сотрудники, ошибки), природные и техногенные факторы.
- Уязвимости и каналы реализации: слабые места (например, устаревшее ПО, открытые порты, избыточные права доступа).
- Типовые угрозы: список на основе актуального банка угроз ФСТЭК, адаптированный под вашу систему.
- Оценка актуальности: вероятность реализации × возможный ущерб (финансовый, репутационный, юридический).
- Рекомендации по мерам защиты: технические (шифрование, WAF, бэкапы) и организационные (обучение, политики, аудит).
- Приложения: схемы, таблицы рисков, карты уязвимостей, результаты анализа.
Важно: Шаблон из интернета — не решение. Модель должна быть индивидуальной, отражать реальные процессы вашей компании. Иначе она не пройдёт проверку и не защитит вас.
Как разработать модель угроз ИБ: пошаговая инструкция
Шаг 1. Определите цель и охват
Чётко укажите: для какой системы (CRM, ERP, сайт с формами) вы создаёте модель. Не пытайтесь охватить всё сразу — начните с критичного актива.
Шаг 2. Сформируйте рабочую группу
Включите:
- ответственного за ИБ (CISO или специалист по ПДн);
- IT-администратора;
- представителя юридического/комплаенс-отдела;
- руководителя подразделения.
Рекомендация: привлеките внешнего эксперта — он сэкономит вам время и избежит типичных ошибок.
Шаг 3. Соберите исходные данные
- Архитектурные схемы
- Реестры оборудования и ПО
- Договоры с облачными провайдерами
- Политики обработки ПДн
- Журналы доступа и инцидентов
Шаг 4. Инвентаризация активов
Перечислите все информационные активы:
- Базы данных
- Серверы, приложения, API
- Рабочие станции
Для каждого укажите: владелец, критичность (высокая/средняя/низкая), уровень защиты.
Шаг 5. Определите границы системы
Что входит в модель? Что — нет? Какие внешние связи есть (интернет, SaaS, API)? Это критично для оценки угроз.
Шаг 6. Идентифицируйте источники и типовые угрозы
Используйте банк угроз ФСТЭК. Сопоставьте их с вашими активами:
- Внешние: DDoS, фишинг, эксплойты
- Внутренние: утечка через сотрудника, неправильные права доступа
- Технические: сбой диска, отключение электропитания
Шаг 7. Анализ уязвимостей
Проведите аудит:
- Конфигурации серверов
- Права доступа (принцип наименьших привилегий)
- Обновления ПО
- Наличие и качество бэкапов
- Шифрование данных
Шаг 8. Оценка актуальности угроз
Для каждой угрозы оцените:
- Вероятность (от 1 до 5)
- Последствия (финансовые потери, штрафы, репутация — от 1 до 5)
Умножьте — получите приоритет.
Пример: утечка ПДн через сотрудника — вероятность 4, последствия 5 → приоритет 20 (высокий).
Шаг 9. Приоритизация и выбор мер защиты
Создайте список топ-5 актуальных угроз. Для каждой — предложите:
- Технические меры: MFA, шифрование, SIEM, WAF
- Организационные: обучение, инструкции, аудит доступа, договоры с НД
- Ответственные и сроки реализации
Шаг 10. Оформление документа
Соберите всё в единый отчёт по формату Приложения №3 ФСТЭК. Документ должен быть:
- Понятен аудитору
- Логично структурирован
- Подкреплён схемами и таблицами
Шаг 11. Утверждение и внедрение
Подпишите документ руководителем — это даёт юридическую силу. Назначьте ответственных за внедрение мер.
Шаг 12. Тестирование и валидация
Проведите:
- Сценарные тренировки (например, «утечка данных»)
- Пентесты (внешние/внутренние)
- Проверку восстановления из бэкапов
Шаг 13. Регулярный пересмотр
Обновляйте модель:
- При изменении инфраструктуры
- После инцидентов
- Не реже 1 раза в год
Заключение: модель угроз — это не «бумага», а защита
Модель угроз ИБ — это не формальность для Роскомнадзора. Это живой инструмент управления рисками, который помогает бизнесу не просто «не попасться», а действовать уверенно в цифровой среде.
Если вы хотите, чтобы модель была:
✅ Соответствующей ФСТЭК и ФЗ-152
✅ Адаптированной под вашу ИСПДн
✅ Готовой к проверке и внедрению
— обратитесь к экспертам по информационной безопасности. Мы поможем вам создать документ, который защитит ваш бизнес — а не просто «заполнит форму».