Модель угроз информационной безопасности

Модель угроз информационной безопасности

Модель угроз информационной безопасности
Время на чтение: 5 мин.

Модель угроз информационной безопасности необходима, без модели угроз информационной безопасности бизнес работает вслепую: данные клиентов могут утечь, системы — работать неправильно, а штрафы от Роскомнадзора обнулят прибыль.

Этот документ помогает заранее увидеть уязвимости, оценить риски и выбрать, куда действительно стоит вложить деньги в защиту. Мы расскажем, как создать модель, которая выдержит любую проверку и реально защитит ваш бизнес.

В этой статье:

  1. Что такое модель угроз информационной безопасности
  2. Что содержит модель угроз информационной безопасности
  3. Как разработать модель угроз информационной безопасности

Что такое модель угроз информационной безопасности

Модель угроз информационной безопасности в информационных системах — это документ, который системно описывает, какие нежелательные события (угрозы) могут произойти с вашей ИСПДн, кто и что может стать причиной, через какие уязвимости это реализуется и какие последствия наступят при реализации угрозы. Проще говоря, это рабочая карта рисков и сценариев атак, благодаря которой вы принимаете управленческие решения по защите.

Для чего нужна модель угроз информационной безопасности:

  1. Соблюдение законодательства. Является обязательным элементом при выполнении требований Приказа ФСТЭК от 11.02.2013 №17 и Федерального Закона от 27.07.2006 №152‑ФЗ.
  2. Определение рисков. Помогает выявить реальные угрозы для конкретной информационной системы — от утечки персональных данных до ошибок или неправомерных действий сотрудников.
  3. Обоснование мер защиты. Модель позволяет понять, какие меры действительно необходимы.
  4. Оптимизация затрат. За счёт анализа приоритетов вы распределяете бюджет на кибербезопасность рационально и не тратите средства на неактуальные угрозы.
  5. Повышение устойчивости бизнеса. Документ позволяет предсказать возможные инциденты, снизить вероятность простоя и финансовых потерь.
  6. Контроль подрядчиков и IT‑специалистов. Даёт им четкие ориентиры по задачам безопасности и критическим точкам системы.
  7. Формирование отчётности. Используется при сертификации, проверках регуляторов и внутренних аудитах.
Рассмотрим на примере, почему важна разработка модели угроз информационной безопасности: руководитель компании думал, что CRM, которая используется сотрудниками, неинтересна хакерам. Специалисты разработали модель угроз и выяснили, что утечка клиентской базы приведёт не только к репутационным потерям, но и к массовым искам и штрафам за нарушение Федерального Закона от 27.07.2006 №152‑ФЗ. В результате приоритет сместился с дорогостоящих внешних сканов к защите резервных копий и прав доступа. Это стоило в разы меньше и закрыло наиболее вероятные сценарии утечки.

Что содержит модель угроз информационной безопасности

Модель угроз информационной безопасности разрабатывается в соответствии с Приложением № 3 к Методическим документам ФСТЭК «Методика определения актуальных угроз безопасности информации». Это основной документ, который определяет порядок анализа и выявления угроз, а также помогает понять, какие стоит внедрить меры защиты, как проводить аттестацию системы защиты информации.

В состав модели угроз входят следующие разделы:

  1. Общие сведения о системе. Указываются наименование, назначение и область применения информационной системы, типы обрабатываемых данных, категории пользователей и архитектура.
  2. Описание среды функционирования. Приводятся сведения о технических средствах, программном обеспечении, сетевых соединениях, а также о взаимодействии с внешними системами и пользователями.
  3. Перечень защищаемой информации. Определяются виды информации (в том числе персональные данные, коммерческая тайна, служебная информация), подлежащие защите в рамках системы.
  4. Описание границ системы и объектов защиты. Фиксируются логические и физические границы, состав подсистем, узлов, серверов, рабочих станций и каналов передачи данных.
  5. Перечень потенциальных источников угроз. Указываются внешние и внутренние субъекты, способные инициировать угрозы — злоумышленники, пользователи, технические сбои, ошибки персонала, стихийные воздействия.
  6. Описание уязвимостей и возможных каналов реализации угроз. Определяются слабые места системы, через которые может быть нарушена конфиденциальность, целостность или доступность информации.
  7. Перечень типовых угроз безопасности информации. Составляется на основе актуального банка угроз ФСТЭК России с учётом особенностей конкретной системы.
  8. Оценка актуальности угроз. Для каждой угрозы указывается вероятность реализации и возможные последствия, формируется итоговый перечень актуальных угроз.
  9. Рекомендации по реализации мер защиты. Определяются направления минимизации рисков — организационные и технические меры, которые должны быть реализованы для нейтрализации выявленных угроз.
  10. Приложения. Включают схемы архитектуры, таблицы идентифицированных угроз, карты уязвимостей, результаты анализа рисков и иные вспомогательные материалы.
Важно! В каждой организации должна быть персональная модель угроз информационной безопасности. Если вы просто скачаете образец из интернета и не адаптируете его под процессы в своей компании или допустите ошибки, документ не будет выполнять свое назначение по снижению рисков.

Как разработать модель угроз информационной безопасности

Документ обычно разрабатывается совместно — ваша внутренняя команда ИБ (CISO или ответственный за безопасность), IT‑администраторы и другие сотрудники, но лучше привлечь сторонних специалистов, которые специализируются на оформлении документов по защите персональных данных и информационной безопасности.

Разработка модели угроз информационной безопасности — это командная работа, где у каждого своя зона ответственности.

Пошаговая инструкция:

  1. Установите цель и область модели. Чётко зафиксируйте, для каких систем, процессов и подразделений вы создаете модель — «что» и «почему» защищаете. Так вы не будете распыляться на несколько систем и упростите последующую работу.
  2. Сформируйте рабочую группу. Назначьте в группу руководителя компании и других сотрудников (по усмотрению). Также включите в группу ответственного координатора, в чьи обязанности будет входить сбор и утверждение данных.
  3. Соберите исходные материалы. Документы по архитектуре, реестры ПО и оборудования, договоры с облачными провайдерами, схемы доступа, политики обработки персональных данных и т.д. — всё это входные данные для модели.
  4. Инвентаризация активов. Перечислите информационные активы — данные, сервисы, приложения, серверы, рабочие станции, интерфейсы. Для каждого актива укажите владельца и критичность для бизнеса. Это позволит правильно оценить последствия компрометации.
  5. Определение границ системы и объектов защиты. Зафиксируйте логические и физические границы — какие подсистемы входят в модель, какие взаимодействия с внешним миром существуют (интернет, внешние интеграции).
  6. Идентификация возможных источников угроз и типовых угроз. Используйте банк угроз ФСТЭК и профиль злоумышленников: например, внешние хакеры, сбои оборудования, поставщики услуг. Сопоставьте типовые угрозы с вашими активами.
  7. Анализ уязвимостей и каналов реализации. Проведите аудит конфигураций, анализ уязвимостей и ревизию процессов (права доступа, бэкапы, обновления). Определите, через какие слабые места каждая угроза может реализоваться.
  8. Оценка актуальности угроз — вероятность и последствия. Для каждой угрозы оцените вероятность реализации и потенциальный ущерб — финансовый, репутационный, юридический. Методика ФСТЭК даёт рекомендации по оценке и оформлению результатов.
  9. Приоритизация угроз. Сопоставьте вероятность и последствия — получите список актуальных угроз, ранжированных по приоритету. Это основа для принятия решений о мерах защиты и распределении бюджета.
  10. Разработка рекомендаций по мерам защиты. Для каждой приоритетной угрозы опишите организационные и технические контрмеры — изменение процессов, контроль доступа, шифрование, резервирование, мониторинг и реагирование на инциденты. Привяжите меры к исполнителям и срокам.
  11. Оформление модели в документе. Подготовьте модель в соответствии с Приложением № 3 методики ФСТЭК — с описанием системы, перечнем угроз, оценками и приложениями (схемы, таблицы). Документ должен быть понятен аудиторам и исполнителям.
  12. Согласование и утверждение. Передайте документ руководству и ответственным подразделениям на утверждение — это даст правовой и управленческий мандат на реализацию мер.
  13. Внедрение мер и план реагирования. Реализуйте первоочередные контрмеры, настройте мониторинг и назовите ответственных за инцидент‑менеджмент. Подготовьте план действий при инцидентах — кто и какие шаги выполняет при утечке, и т.д.
  14. Тестирование и валидация. Проведите тесты — сценарные отработки, контрольные пентесты, проверки восстановления из бэкапов. Это подтверждает эффективность мер и выявляет пробелы.
  15. Периодический пересмотр и обновление. Пересматривайте документ при изменениях инфраструктуры, бизнес‑процессов или после инцидентов — не реже одного раза в год или по событию.

Если вам нужна модель угроз информационной безопасности персональных данных, обратитесь за помощью к специалистам по ИБ. Они разработают документ в соответствии с методическими рекомендациями и учётом специфики вашей ИСПДн, и вы не будете переживать, что при проверках у Роскомнадзора появятся претензии к вашей компании.

В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», информационно-правового портала«Гарант.Ру», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, сайта klerk.ru, сайта kontur.ru, сайта www.buhonline.ru, сайта самозанятые.рф, сайта mertech.ru, а также материалы и обзоры из их телеграм‑каналов.

Владельцам бизнеса

Штрафов и конфликтов с контролирующими организациями вы можете избежать полностью, если заключите с нами Договор на Аутсорсинг бухгалтерских услуг

ООО «Аврора Консалт» — команда аттестованных специалистов, которая готова взять на себя: бухгалтерский и налоговый учёт, кадровый учёт и расчёт заработной платы, воинский учёт, составление необходимых форм отчётности, ведение 1С, а также юридическую поддержку.

Мы обеспечим учёт в полном соответствии с законодательством РФ, защиту базы данных и предоставим страховку от штрафов.

В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ЖСК и СНТ зарегистрированными и ведущими свою деятельность на территории Санкт‑Петербурга и Ленинградской области.

Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.

Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.

Все возникающие вопросы вы можете задать, связавшись с нами любым удобным для вас способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:

или оставить заявку в чате.

Вы можете поделиться этой новостью с друзьями
Мы используем файлы cookie для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием файлов cookie.
Принять