Модель угроз – это документ, который отвечает на один вопрос: от чего именно вы защищаете свою информационную систему. Без него система защиты строится наугад: меры выбираются «как у всех», деньги уходят на средства защиты от угроз, которых у вас нет, а реальные риски остаются неприкрытыми. Регуляторы это понимают, поэтому для государственных систем, персональных данных и объектов КИИ модель угроз – не рекомендация, а обязательный документ, с которого начинается любой проект по защите информации.
Разбираем, кому модель угроз обязательна по закону, по какой методике её разрабатывать, что должно быть внутри и какие ошибки чаще всего находят при проверках и аттестации.
Методика оценки угроз безопасности информации, утверждённая ФСТЭК России 5 февраля 2021 года, прямо перечисляет системы, для которых она применяется (п. 1.3 методики):
| Тип системы | Основание | Что требуется |
|---|---|---|
| ГИС и муниципальные ИС | Приказ ФСТЭК № 117 (п. 36), ПП № 676 | Модель угроз разрабатывается при создании системы, согласуется с ФСТЭК России, а в части криптографии – с ФСБ России |
| ИСПДн (персональные данные) | ч. 2 ст. 19 152-ФЗ, ПП № 1119, приказ ФСТЭК № 21 | Определение актуальных угроз и их типа (1, 2 или 3) – без этого нельзя установить уровень защищённости и выбрать меры |
| Значимые объекты КИИ | Приказ ФСТЭК № 239 (п. 11.1) | Анализ угроз и разработка модели угроз (или её уточнение) – обязательный первый этап создания подсистемы безопасности |
| АСУ ТП на критически важных и потенциально опасных объектах, ИС предприятий ОПК | Методика ФСТЭК 2021 (п. 1.3) | Оценка угроз по той же методике |
| Коммерческие ИС (не ГИС, не ИСПДн, не КИИ) | Приказ ФСТЭК № 117 (п. 36) | По решению руководителя. Обязанности нет, но без модели угроз выбор мер защиты не обосновать |
Для персональных данных у модели угроз есть отдельная роль: по ПП № 1119 оператор определяет тип актуальных угроз. Угрозы 1-го типа связаны с недокументированными возможностями в системном ПО, 2-го типа – в прикладном ПО, 3-го типа – с ними не связаны. От типа угроз вместе с категорией и объёмом данных зависит уровень защищённости (УЗ-1..УЗ-4), а от него – состав мер по приказу ФСТЭК № 21. Ошибка в типе угроз искажает уровень защищённости, а вместе с ним и весь состав мер: проект защиты придётся пересматривать.
Практический вывод: если организация обрабатывает персональные данные, эксплуатирует ГИС или попала в реестр субъектов КИИ – модель угроз у вас уже должна быть. А персональные данные обрабатывает почти любая компания со штатом и клиентами. Её запросят при проверке, при аттестации и при любом споре о том, достаточны ли принятые меры.
С 5 февраля 2021 года действует единая Методика оценки угроз безопасности информации ФСТЭК России. Она заменила два старых документа: методику определения актуальных угроз для персональных данных 2008 года и методику для ключевых систем 2007 года (п. 1.8 методики). Это важно на практике: модели угроз, написанные «по инерции» по методике 2008 года после февраля 2021-го, при проверке вызывают вопросы.
Старые модели угроз, утверждённые до 2021 года, продолжают действовать. Но при развитии или модернизации системы их нужно переработать уже по новой методике – это прямое требование п. 1.8.
Два ограничения, о которых часто забывают (п. 1.4 методики): методика не покрывает угрозы, связанные с криптографическими средствами защиты, и угрозы утечки по техническим каналам. Для СКЗИ действуют отдельные требования ФСБ России, и если в системе есть криптография, раздел угроз для неё моделируется по документам ФСБ.
Структура документа задана приложением 3 к методике:
К документу прикладываются схемы архитектуры, интерфейсов и сценариев атак. Итог всей работы – перечень актуальных угроз, под которые затем проектируется система защиты и выбираются конкретные средства. Именно так модель угроз связана с деньгами: каждая мера и каждое средство защиты в проекте должны закрывать конкретную угрозу из модели.
Методика раскладывает работу на последовательные задачи (п. 2.2):
Исходные данные для оценки – не фантазия эксперта, а конкретные источники, названные в п. 2.3 методики: банк данных угроз ФСТЭК России (БДУ, сейчас в нём 227 угроз), матрицы атак ATT&CK, CAPEC, OWASP, документация на систему, результаты оценки рисков. При эксплуатации системы к ним добавляются результаты анализа уязвимостей и тестирования на проникновение (п. 2.5).
Для ГИС модель угроз (и техническое задание на систему защиты) согласуется с ФСТЭК России, а в части применения криптографии – с ФСБ России. Это требование постановления Правительства № 676. Для ИСПДн и коммерческих систем согласование с регулятором не требуется: модель утверждает оператор.
Дальше модель угроз работает всю жизнь системы:
Методика допускает оба варианта. Оценку угроз проводит подразделение по защите информации оператора с участием ИТ-специалистов, а по решению оператора могут привлекаться специалисты сторонних организаций (п. 2.7 методики).
Собственными силами имеет смысл делать модель, если в штате есть специалист, который уже работал с методикой 2021 года и БДУ ФСТЭК. Подрядчика привлекают в трёх случаях. Своего специалиста нет. Модель нужна под согласование с ФСТЭК, где цена ошибки – возврат документа и сдвиг сроков всего проекта. Или модель – часть большой работы: аттестации, подсистемы безопасности значимого объекта КИИ, приведения ГИС к приказу № 117.
Кредо-С разрабатывает модели угроз по методике ФСТЭК 2021 года как отдельную работу и в составе проектов: аттестации информационных систем, категорирования объектов КИИ и защиты государственных информационных систем. Лицензия ФСТЭК России на ТЗКИ, на рынке с 1993 года. Оставьте заявку – оценим состав работ и сроки по вашей системе.
Как ориентир по структуре – да, как готовый документ – нет. Модель угроз описывает конкретную систему: её архитектуру, интерфейсы, нарушителей и негативные последствия. Типовой образец этих данных не содержит, поэтому при согласовании ГИС с ФСТЭК или при аттестации «универсальный» документ вернут на доработку. Структуру берите из приложения 3 к методике 2021 года, а содержание – только из обследования вашей системы.
Модель нарушителя – часть модели угроз: раздел об источниках угроз, категориях нарушителей и их возможностях. По методике 2021 года отдельный документ не требуется – нарушители описываются внутри модели угроз. Но для систем с СКЗИ модель нарушителя оформляется по требованиям ФСБ России: от возможностей нарушителя зависит требуемый класс криптосредств.
Да. Оценка угроз по методике носит систематический характер (п. 2.4): модель актуализируется при модернизации системы, изменении архитектуры или появлении новых угроз – при эксплуатации к исходным данным добавляются результаты анализа уязвимостей и пентестов. Для ИСПДн к этому добавляется регулярный контроль выполнения требований к защите: не реже одного раза в три года (п. 17 ПП № 1119).
Зависит от масштаба: для одной небольшой ИСПДн – от двух-трёх недель, для ГИС или значимого объекта КИИ с согласованием – от месяца и больше. Основное время уходит на обследование: инвентаризацию активов, интерфейсов и процессов. Согласование с ФСТЭК добавляет к сроку время рассмотрения документа регулятором, поэтому для ГИС модель закладывают в план проекта заранее.
Нет. Согласование с ФСТЭК России и ФСБ России обязательно только для государственных информационных систем по постановлению Правительства № 676. Для ИСПДн и коммерческих систем модель угроз утверждает руководитель оператора, а регулятор запрашивает её точечно – при проверке или аттестации системы.
Для ГИС без согласованной модели угроз нельзя ввести систему в эксплуатацию. Для ИСПДн правило жёстче: не определены актуальные угрозы – значит, уровень защищённости и меры выбраны без основания. Это замечание при любой проверке. Для значимых объектов КИИ модель угроз – обязательный этап по приказу № 239, без неё не пройти приёмку подсистемы безопасности.
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года