Дата публикации: 09.07.2026

Модель угроз – это документ, который отвечает на один вопрос: от чего именно вы защищаете свою информационную систему. Без него система защиты строится наугад: меры выбираются «как у всех», деньги уходят на средства защиты от угроз, которых у вас нет, а реальные риски остаются неприкрытыми. Регуляторы это понимают, поэтому для государственных систем, персональных данных и объектов КИИ модель угроз – не рекомендация, а обязательный документ, с которого начинается любой проект по защите информации.

Разбираем, кому модель угроз обязательна по закону, по какой методике её разрабатывать, что должно быть внутри и какие ошибки чаще всего находят при проверках и аттестации.

Кому модель угроз обязательна

Методика оценки угроз безопасности информации, утверждённая ФСТЭК России 5 февраля 2021 года, прямо перечисляет системы, для которых она применяется (п. 1.3 методики):

Тип системыОснованиеЧто требуется
ГИС и муниципальные ИСПриказ ФСТЭК № 117 (п. 36), ПП № 676Модель угроз разрабатывается при создании системы, согласуется с ФСТЭК России, а в части криптографии – с ФСБ России
ИСПДн (персональные данные)ч. 2 ст. 19 152-ФЗ, ПП № 1119, приказ ФСТЭК № 21Определение актуальных угроз и их типа (1, 2 или 3) – без этого нельзя установить уровень защищённости и выбрать меры
Значимые объекты КИИПриказ ФСТЭК № 239 (п. 11.1)Анализ угроз и разработка модели угроз (или её уточнение) – обязательный первый этап создания подсистемы безопасности
АСУ ТП на критически важных и потенциально опасных объектах, ИС предприятий ОПКМетодика ФСТЭК 2021 (п. 1.3)Оценка угроз по той же методике
Коммерческие ИС (не ГИС, не ИСПДн, не КИИ)Приказ ФСТЭК № 117 (п. 36)По решению руководителя. Обязанности нет, но без модели угроз выбор мер защиты не обосновать

Для персональных данных у модели угроз есть отдельная роль: по ПП № 1119 оператор определяет тип актуальных угроз. Угрозы 1-го типа связаны с недокументированными возможностями в системном ПО, 2-го типа – в прикладном ПО, 3-го типа – с ними не связаны. От типа угроз вместе с категорией и объёмом данных зависит уровень защищённости (УЗ-1..УЗ-4), а от него – состав мер по приказу ФСТЭК № 21. Ошибка в типе угроз искажает уровень защищённости, а вместе с ним и весь состав мер: проект защиты придётся пересматривать.

Практический вывод: если организация обрабатывает персональные данные, эксплуатирует ГИС или попала в реестр субъектов КИИ – модель угроз у вас уже должна быть. А персональные данные обрабатывает почти любая компания со штатом и клиентами. Её запросят при проверке, при аттестации и при любом споре о том, достаточны ли принятые меры.

По какой методике разрабатывать

С 5 февраля 2021 года действует единая Методика оценки угроз безопасности информации ФСТЭК России. Она заменила два старых документа: методику определения актуальных угроз для персональных данных 2008 года и методику для ключевых систем 2007 года (п. 1.8 методики). Это важно на практике: модели угроз, написанные «по инерции» по методике 2008 года после февраля 2021-го, при проверке вызывают вопросы.

Старые модели угроз, утверждённые до 2021 года, продолжают действовать. Но при развитии или модернизации системы их нужно переработать уже по новой методике – это прямое требование п. 1.8.

Два ограничения, о которых часто забывают (п. 1.4 методики): методика не покрывает угрозы, связанные с криптографическими средствами защиты, и угрозы утечки по техническим каналам. Для СКЗИ действуют отдельные требования ФСБ России, и если в системе есть криптография, раздел угроз для неё моделируется по документам ФСБ.

Что должно быть внутри модели угроз

Структура документа задана приложением 3 к методике:

  • общие положения: назначение документа, нормативная база, по которой он разработан, наименование организации-разработчика, если привлекали подрядчика;
  • описание систем и сетей: архитектура, состав, группы пользователей, внешние и внутренние интерфейсы;
  • негативные последствия, которые может повлечь реализация угроз: для граждан, организации, государства;
  • возможные объекты воздействия: от аппаратного уровня до уровня пользователей;
  • источники угроз и возможности нарушителей: кто и с каким уровнем оснащённости может атаковать систему;
  • способы реализации угроз и, главное, актуальные угрозы с оценкой сценариев их реализации.

К документу прикладываются схемы архитектуры, интерфейсов и сценариев атак. Итог всей работы – перечень актуальных угроз, под которые затем проектируется система защиты и выбираются конкретные средства. Именно так модель угроз связана с деньгами: каждая мера и каждое средство защиты в проекте должны закрывать конкретную угрозу из модели.

Как проходит оценка угроз: пять шагов

Методика раскладывает работу на последовательные задачи (п. 2.2):

  1. Определить негативные последствия. Что случится, если угроза сработает: утечка данных клиентов, остановка производства, ущерб для граждан или государства.
  2. Провести инвентаризацию и найти объекты воздействия. Серверы, АРМ, СУБД, веб-приложения, каналы связи – всё, на что может быть направлена атака, по уровням от «железа» до пользователей.
  3. Определить источники угроз и оценить нарушителей. Внешний злоумышленник, инсайдер, подрядчик с удалённым доступом: для каждого – категория и уровень возможностей.
  4. Оценить способы реализации. Через какие интерфейсы (сетевые, физические, съёмные носители) угроза может быть реализована.
  5. Определить актуальность и построить сценарии. Угроза признаётся актуальной, если существует хотя бы один сценарий её реализации. Актуальные угрозы попадают в модель.

Исходные данные для оценки – не фантазия эксперта, а конкретные источники, названные в п. 2.3 методики: банк данных угроз ФСТЭК России (БДУ, сейчас в нём 227 угроз), матрицы атак ATT&CK, CAPEC, OWASP, документация на систему, результаты оценки рисков. При эксплуатации системы к ним добавляются результаты анализа уязвимостей и тестирования на проникновение (п. 2.5).

Частые ошибки: за что модели угроз возвращают

  • Скачанный шаблон без привязки к системе. Модель угроз для «абстрактной ИСПДн из интернета» видно сразу: в ней нет вашей архитектуры, ваших интерфейсов и ваших нарушителей. При согласовании ГИС такой документ вернут, при аттестации – придётся переделывать.
  • Методика 2008 года после 2021-го. Формально документ есть, фактически он разработан по отменённой методике.
  • Перекос экспертной оценки. Методика прямо предупреждает: занижение прогнозов ведёт к неожиданному ущербу, завышение – к неоправданным расходам на защиту от неактуальных угроз. Модель «на всякий случай включим всё» удорожает проект защиты в разы.
  • Модель угроз ради галочки. Документ написан, подписан и убран в шкаф, а проект системы защиты с ним не сверялся. При проверке несоответствие между моделью и реально внедрёнными мерами – готовое замечание.
  • Забытая криптография. В системе есть СКЗИ, а угрозы для них по требованиям ФСБ не смоделированы.

Согласование и что происходит с моделью дальше

Для ГИС модель угроз (и техническое задание на систему защиты) согласуется с ФСТЭК России, а в части применения криптографии – с ФСБ России. Это требование постановления Правительства № 676. Для ИСПДн и коммерческих систем согласование с регулятором не требуется: модель утверждает оператор.

Дальше модель угроз работает всю жизнь системы:

  • на её основе пишется техническое задание и проектируется подсистема защиты;
  • для значимых объектов КИИ по возможностям нарушителей из модели проводится тестирование на проникновение, а сама модель входит в комплект приёмочных испытаний (приказ № 239);
  • при аттестации модель угроз – один из основных исходных документов;
  • при модернизации системы модель уточняется; для ИСПДн оценка эффективности мер проводится до ввода системы в эксплуатацию (п. 4 ч. 2 ст. 19 152-ФЗ), а контроль выполнения требований к защите – не реже одного раза в три года, самостоятельно или с привлечением лицензиата ФСТЭК (п. 17 ПП № 1119).

Кто разрабатывает модель угроз: сами или подрядчик

Методика допускает оба варианта. Оценку угроз проводит подразделение по защите информации оператора с участием ИТ-специалистов, а по решению оператора могут привлекаться специалисты сторонних организаций (п. 2.7 методики).

Собственными силами имеет смысл делать модель, если в штате есть специалист, который уже работал с методикой 2021 года и БДУ ФСТЭК. Подрядчика привлекают в трёх случаях. Своего специалиста нет. Модель нужна под согласование с ФСТЭК, где цена ошибки – возврат документа и сдвиг сроков всего проекта. Или модель – часть большой работы: аттестации, подсистемы безопасности значимого объекта КИИ, приведения ГИС к приказу № 117.

Кредо-С разрабатывает модели угроз по методике ФСТЭК 2021 года как отдельную работу и в составе проектов: аттестации информационных систем, категорирования объектов КИИ и защиты государственных информационных систем. Лицензия ФСТЭК России на ТЗКИ, на рынке с 1993 года. Оставьте заявку – оценим состав работ и сроки по вашей системе.

Частые вопросы

Можно ли взять готовый образец модели угроз?

Как ориентир по структуре – да, как готовый документ – нет. Модель угроз описывает конкретную систему: её архитектуру, интерфейсы, нарушителей и негативные последствия. Типовой образец этих данных не содержит, поэтому при согласовании ГИС с ФСТЭК или при аттестации «универсальный» документ вернут на доработку. Структуру берите из приложения 3 к методике 2021 года, а содержание – только из обследования вашей системы.

Чем модель угроз отличается от модели нарушителя?

Модель нарушителя – часть модели угроз: раздел об источниках угроз, категориях нарушителей и их возможностях. По методике 2021 года отдельный документ не требуется – нарушители описываются внутри модели угроз. Но для систем с СКЗИ модель нарушителя оформляется по требованиям ФСБ России: от возможностей нарушителя зависит требуемый класс криптосредств.

Нужно ли обновлять модель угроз?

Да. Оценка угроз по методике носит систематический характер (п. 2.4): модель актуализируется при модернизации системы, изменении архитектуры или появлении новых угроз – при эксплуатации к исходным данным добавляются результаты анализа уязвимостей и пентестов. Для ИСПДн к этому добавляется регулярный контроль выполнения требований к защите: не реже одного раза в три года (п. 17 ПП № 1119).

Сколько времени занимает разработка?

Зависит от масштаба: для одной небольшой ИСПДн – от двух-трёх недель, для ГИС или значимого объекта КИИ с согласованием – от месяца и больше. Основное время уходит на обследование: инвентаризацию активов, интерфейсов и процессов. Согласование с ФСТЭК добавляет к сроку время рассмотрения документа регулятором, поэтому для ГИС модель закладывают в план проекта заранее.

Модель угроз согласуется с ФСТЭК для коммерческой системы?

Нет. Согласование с ФСТЭК России и ФСБ России обязательно только для государственных информационных систем по постановлению Правительства № 676. Для ИСПДн и коммерческих систем модель угроз утверждает руководитель оператора, а регулятор запрашивает её точечно – при проверке или аттестации системы.

Что будет, если модели угроз нет?

Для ГИС без согласованной модели угроз нельзя ввести систему в эксплуатацию. Для ИСПДн правило жёстче: не определены актуальные угрозы – значит, уровень защищённости и меры выбраны без основания. Это замечание при любой проверке. Для значимых объектов КИИ модель угроз – обязательный этап по приказу № 239, без неё не пройти приёмку подсистемы безопасности.

Часто задаваемые вопросы

Можно ли взять готовый образец модели угроз?
Как ориентир по структуре – да, как готовый документ – нет. Модель угроз описывает конкретную систему: её архитектуру, интерфейсы, нарушителей и негативные последствия. Типовой образец этих данных не содержит, поэтому при согласовании ГИС с ФСТЭК или при аттестации «универсальный» документ вернут на доработку. Структуру берите из приложения 3 к методике 2021 года, а содержание – только из обследования вашей системы.
Чем модель угроз отличается от модели нарушителя?
Модель нарушителя – часть модели угроз: раздел об источниках угроз, категориях нарушителей и их возможностях. По методике 2021 года отдельный документ не требуется – нарушители описываются внутри модели угроз. Но для систем с СКЗИ модель нарушителя оформляется по требованиям ФСБ России: от возможностей нарушителя зависит требуемый класс криптосредств.
Нужно ли обновлять модель угроз?
Да. Оценка угроз по методике носит систематический характер (п. 2.4): модель актуализируется при модернизации системы, изменении архитектуры или появлении новых угроз – при эксплуатации к исходным данным добавляются результаты анализа уязвимостей и пентестов. Для ИСПДн к этому добавляется регулярный контроль выполнения требований к защите: не реже одного раза в три года (п. 17 ПП № 1119).
Сколько времени занимает разработка?
Зависит от масштаба: для одной небольшой ИСПДн – от двух-трёх недель, для ГИС или значимого объекта КИИ с согласованием – от месяца и больше. Основное время уходит на обследование: инвентаризацию активов, интерфейсов и процессов. Согласование с ФСТЭК добавляет к сроку время рассмотрения документа регулятором, поэтому для ГИС модель закладывают в план проекта заранее.
Модель угроз согласуется с ФСТЭК для коммерческой системы?
Нет. Согласование с ФСТЭК России и ФСБ России обязательно только для государственных информационных систем по постановлению Правительства № 676. Для ИСПДн и коммерческих систем модель угроз утверждает руководитель оператора, а регулятор запрашивает её точечно – при проверке или аттестации системы.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных