Как составить модель угроз для информационных систем персональных данных
Недавно мы опубликовали полный перечень организационно-распределительной документации (ОРД) в сфере персональных данных по требованиям регуляторов. «А почему здесь нет модели угроз?» — поинтересовался читатель.
Как всегда, всё просто, но не очень. Ведомства обязывают подготовить не только ОРД, но и пакет проектной документации для построения системы защиты — к ней-то как раз и относится модель угроз (МУ). А ещё — техническое задание и технический проект.
Основы основ проектной документации ИСПДн и подробно о модели угроз — в сегодняшнем материале.
На чем стоит модель угроз?
Итак, прежде чем перейти к защите информации, нужно понять, КАК и ЧТО защищать. Согласно приказу ФСТЭК №17, порядок действий выглядит так:
- принятие решения о необходимости защиты информации, содержащейся в информационной системе (ИС);
- классификация ИС по требованиям защиты информации — здесь определяем, какие информационные системы персональных данных (ИСПДн) есть в организации.
Затем определяем уровень защищённости (УЗ) для каждой ИСПДн. Как это делать — рассказывали тут. Для государственных информационных систем (ГИС) — определяем класс защищённости (КЗ), об этом тут.
Затем открываем приказ ФСТЭК №17 (для ГИС) или приказ ФСТЭК №21 (для ИСПДн) и выбираем меры защиты информации в зависимости от результатов проверки УЗ или КЗ. Это база 🙂 - определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, и разработку на их основе модели угроз безопасности информации.
- определение требований к системе защиты информации информационной системы — вот здесь техническое задание и технический проект.
Итак, мы дошли до этапа составления модели угроз. Что делать, и что в ней должно быть?
Создание модели угроз
Модель угроз обязательна при создании системы защиты. Это — основание для внедрения средств защиты информации, организационных и иных мер защиты. Её спрашивают при проверках в соответствии с п.4 приказа ФСТЭК № 21, п.2 постановления Правительства N 1119 и ч.2 статьи 19 закона № 152-ФЗ «О персональных данных».
Разумеется, есть документ, регламентирующий разработку модели угроз для ИС – Методика оценки угроз безопасности информации от ФСТЭК, 2021 года. Она универсальна и подходит как для ИСПДн, так и для ГИС, и субъектов КИИ.
Цель создания МУ — проанализировать все возможные тактики нападений, уязвимости и разработать стратегии по предотвращению и реагированию. Важно учесть — конкретные меры и СЗИ в МУ не прописываем. Они пойдут в техническое задание и проект.

Согласно Методике, основные этапы моделирования угроз — это:
- аудит компонентов ИС;
- определение негативных последствий, которые могут наступить от реализации угроз безопасности информации;
- определение источников угроз безопасности информации и оценка возможностей нарушителей при реализации;
- оценка способов реализации (возникновения) угроз безопасности информации;
- оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
- оценка сценариев реализации угроз безопасности информации в системах и сетях.
Рассмотрим каждый подробнее.
Аудит компонентов информационной системы
Аудит — наше всё. Он даст реальную картину происходящего, поможет избежать лишних затрат и оценить специфические угрозы. На этом этапе обязательно собрать данные обо всех информационных ресурсах, ПО, железе, СЗИ, взаимодействии с другими системами и пользователей с системой, а также об уже реализованных мерах защиты.
Информационная система обычно состоит из линий связи в локальной и внешней сетях, сетевых сервисов, автоматизированных рабочих мест, серверов — и всего этого в среде виртуализации.
Желательно, чтобы в инвентаризации участвовали не только сотрудники ИТ и ИБ, но и представители других отделов для сбора достоверной информации.
Определение негативных последствий
Негативные последствия — это ущерб, который может быть нанесён физлицу, юрлицу или государству. Если отдельные инциденты не приносят такого ущерба, то их можно не включать в перечень угроз.
Второй нюанс — угрозы могут относиться не только к системам владельца, но и на облачную инфраструктуру. В таких случаях модель угроз составляет поставщик услуг.
И третье — как и на этапе аудита, важно привлекать сотрудников из других подразделений. Они знают о специфических рисках и информации, которая находится под угрозой.
Определение источников угроз и оценка возможностей нарушителей
Отвечаем на вопрос: откуда и кто на вас может напасть? И как раз здесь пригодится информация из первого пункта — какую выгоду из причиненных последствий получит злоумышленник? Кому может быть интересна конкретная ИС и информация, которую в ней обрабатывают?
Если в организации используют средства криптографической защиты информации (СКЗИ), нужно также определить типы угроз, возможности и класс СКЗИ. Подробно об этом рассказывали тут.
Оценка способов реализации угроз
Отвечаем на вопрос: КАК на вас могут напасть? То есть, описываем способы реализации угроз, интерфейсы, через которые могут реализовать атаки.
Оценка возможности реализации угроз и определение актуальности
Отвечаем на вопрос: с какой ВЕРОЯТНОСТЬЮ на вас нападут? Здесь учитываем: источник, уязвимости, способ, последствия воздействия.
Форма представления сведений об угрозе есть в «Банке данных угроз безопасности информации» от ФСТЭК Также он содержит сведения об основных угрозах и уязвимостях. Отсюда должен быть сформирован перечень угроз безопасности информации.
Оценка сценариев реализации угроз безопасности информации в системах и сетях
Далее устанавливаем возможные последовательности тактик и техник — это самая объёмная часть работы. Сценарии также прописаны в Методике ФСТЭК.
При наличии хотя бы одного, угрозу признают актуальной для обоснования выбора мер по защите информации и СЗИ.
Таким образом, угроза актуальна, если её реализации может быть причинён ущерб, есть нарушитель и сценарий реализации угрозы.
После того, как составили модель угроз, переходим к техническому заданию и техническому проекту. Подробнее о них расскажем в следующих материалах.
Кто ответственный?
Закон разрешает работать над моделью угроз любому штатному ИТ или ИБ специалисту. Однако, составить реалистичные сценарии нападения, эксплуатации уязвимостей и оценить возможный ущерб может только опытный профессионал.
Ввиду специфики компании, эксперты могут отходить от установленных методик и регламентов, поскольку часто сценарии угроз индивидуальны.
Оставьте заявку, и наш отдел информационной безопасности проконсультирует вас по составлению модели угроз и другой документации. А ещё, по запросу, бесплатно проведёт аудит вашего сайта на соответствие требованиям регуляторов.