Модель угроз ИСПДн: как составить и актуализировать

Модель угроз ИСПДн: как составить и актуализировать

---

Что такое модель угроз ИСПДн и зачем она нужна

Модель угроз для ИСПДн — это формализованный документ, который описывает, какие угрозы безопасности персональных данных актуальны для вашей информационной системы, каковы возможные источники и векторы атак, какие уязвимости задействуются и какие меры защиты вы применяете для их нивелирования. Это базовый элемент системы защиты, на который опираются «описание мер 152 ФЗ», план внедрения средств защиты, контрольные процедуры и аудит.

Закон «О персональных данных» требует принимать правовые, организационные и технические меры для защиты ПДн. Сама обязанность вытекает из статьи 19 152‑ФЗ и конкретизируется регуляторами (ФСТЭК/ФСБ, см. требования ФСТЭК и ФСБ). Правильно подготовленная модель угроз 152 ФЗ позволяет обосновать выбор мер, уровень защищенности ИСПДн и при проверках демонстрирует осознанный, риск-ориентированный подход.

Нормативная база и термины

• Базовый закон: 152‑ФЗ, последняя редакция и его структура и статьи.
• Термины и определения: глоссарий по 152‑ФЗ, ИСПДн: определение и требования.
• Уровни защищенности: методика классификации и связь с набором мер — уровни защищенности ИСПДн.
• Криптография и шифрование: когда и как применять — криптография по 152‑ФЗ.

Важно: в текстах и на проверках встречаются синонимы — «модель угроз ИСПДн», «модель угроз 152 ФЗ», «угрозная модель». Суть одна: документ, обосновывающий меры защиты для вашей конкретной ИСПДн.

Структура документа: шаблон модели угроз по 152‑ФЗ

Если вы стартуете «с нуля», используйте готовые проекты и чек‑листы. На странице шаблоны и формы и в нашем пакете документов по 152‑ФЗ есть «модель угроз: шаблон документа по 152‑ФЗ». Типовая структура включает:

1. Титульный лист, область применения и версия документа.
2. Описание организации и ответственных лиц.
3. Краткое описание процессов обработки ПДн и правовые основания (связь с политикой обработки ПДн).
4. Границы ИСПДн, архитектура, состав и размещение компонентов.
5. Карта потоков ПДн (внутренние, внешние, подрядчики, облака).
6. Классы и категории ПДн (в т.ч. специальные, биометрические, медицинские).
7. Потенциальные нарушители и источники угроз.
8. Перечень актуальных угроз и уязвимостей.
9. Оценка рисков (качество/вероятность/влияние).
10. Выбранные меры защиты (организационные и технические) и их обоснование — «описание мер 152 ФЗ».
11. Уровень защищенности ИСПДн и основание выбора.
12. План внедрения и контроль выполнения.
13. Порядок актуализации, связь с «журналами» (в т.ч. «журналы инцидентов 152 ФЗ»).

Пошаговая методика разработки

1. Сформируйте перечень процессов обработки ПДн

   • Источники: анкеты, HR, CRM/ERP, сайт и формы (формы на сайте и согласие), мессенджеры (мессенджеры и 152‑ФЗ).
   • Определите правовые основания и цели (принципы и цели обработки, поручение обработки ПДн).

2. Описывайте границы ИСПДн и архитектуру

   • Сервера/хостинг/ЦОД, сети, VPN, рабочие места, облака (серверы и хостинг, облака и Yandex Cloud).
   • Внешние взаимодействия: подрядчики, API, СМЭВ, платежи, трансграничная передача (передача третьим лицам, трансграничная передача).

   

3. Классифицируйте ПДн и определите уровень защищенности

   • По типам ПДн и количеству субъектов определите уровень согласно методикам — см. уровни защищенности ИСПДн.

4. Опишите источники угроз и нарушителей

   • Внешние (интернет, фишинг, вредоносное ПО), внутренние (ошибки персонала, злоупотребления), технологические (сбои, износ).

5. Составьте перечень актуальных угроз и уязвимостей

   • Для каждой угрозы: вектор, объект воздействия, уязвимость, последствие, риск.

6. Сформируйте «описание мер 152 ФЗ» и обоснуйте выбор

   • Организационные меры: разграничение ролей, договоры с подрядчиками, NDA, обучение, контроль доступа, уничтожение и блокировка ПДн (сроки хранения, уничтожение и блокировка).
   • Технические меры: антивирус/EDR, межсетевые экраны, DLP, SIEM, шифрование каналов/данных (SSL/HTTPS, криптография по 152‑ФЗ).
   • Управленческие меры: внутренний контроль и обучение (внутренний контроль).

7. Свяжите меры с контролем и журналами

   • Установите, какие события фиксируются: доступы, администрирование, инциденты. Ведите «журналы инцидентов 152 ФЗ» и регламент оповещения (инциденты и утечки ПДн, уведомление Роскомнадзора).

8. Утвердите документ, назначьте ответственных

   • Ответственный за обработку ПДн, владелец ИСПДн, ИБ/ИТ, руководители процессов — см. обязанности оператора и ст. 18.1.

Типовые угрозы и контрмеры (таблица)

Угроза	Источник/вектор	Риск для ПДн	Контрмеры	Логи/журналы
Подбор/кража паролей	Фишинг, слабые пароли	Несанкционированный доступ	MFA, менеджер паролей, регулярная смена паролей, обучение — см. меры безопасности	Журнал аутентификаций, SIEM, «журнал инцидентов»
Утечка через email/мессенджеры	Сотрудник, ошибка	Распространение ПДн	DLP, запрет пересылки ПДн без шифрования, мессенджеры и 152‑ФЗ	Журнал отправок, DLP-отчеты
Перехват данных с сайта	MITM, незашифрованный канал	Компрометация учетных данных/форм	HTTPS/SSL, HSTS, CSP	Веб‑логи, WAF‑логи
Бэкдоры/вредоносное ПО	Фишинг, зараженные носители	Массовая компрометация	Антивирус/EDR, почтовая фильтрация, ограничение носителей	Антивирусные логи, EDR‑алерты
Неправильные права доступа	Ошибка настройки	Чрезмерный доступ к ПДн	RBAC, ревизии ACL, принцип минимальных привилегий	Журнал администрирования, аудит ACL
Сбой/отказ оборудования	Технологический риск	Потеря/недоступность ПДн	Резервное копирование, DR‑план, отказоустойчивость	Логи бэкапов, отчеты DR‑тестов
Утечка у подрядчика	Внешний оператор	Раскрытие ПДн	Договоры и оценка ИБ, поручение обработки ПДн, шифрование	Акт проверки, журнал взаимодействий

Примечание: для каждой угрозы в модели нужно указать уязвимости, вероятность/влияние и связь с конкретной мерой. Если воздействие критично — обоснуйте дополнительные меры или компенсационные контроли.

Актуализация модели угроз

Модель — «живой» документ. Ее пересматривают:

• При изменении архитектуры ИСПДн (новые системы, миграции в облако, интеграции, трансграничные потоки).
• При инцидентах и выявленных уязвимостях (на основании «журналов инцидентов 152 ФЗ» и пост‑мордемов).
• При изменениях законодательства или методик (следите за изменениями 2025).
• По итогам проверок, аудитов, пентестов.

Как актуализировать:

1. Соберите изменения (архитектура, процессы, подрядчики). 2) Пересмотрите карту угроз, риски, уровни защищенности. 3) Обновите «описание мер 152 ФЗ» и планы внедрения. 4) Утвердите новую версию, доведите до ответственных. 5) Обновите контрольные формы и журналы. Рекомендуем минимальную периодичность — раз в год или чаще при существенных изменениях.

Связь с другими документами и процессами

Модель угроз — «сердце» набора документов оператора:

• Политика обработки ПДн и публичные документы для сайта — см. документы для сайта, требования к сайту, cookie и баннеры.
• Внутренний контроль и обучение персонала — ст. 18.1, внутренний контроль.
• Реакция на инциденты и уведомления — инциденты и утечки, уведомление Роскомнадзора.
• Жизненный цикл ПДн — сроки хранения, прекращение обработки.

Практические советы и частые ошибки

• Не ограничивайтесь «типовым списком» угроз. Фокусируйтесь на вашей архитектуре и реальных потоках ПДн.
• Учитывайте SaaS/облака и внештатные каналы (мессенджеры, личная почта). Документируйте меры и договоренности с провайдерами (облака).
• Четко фиксируйте границы ИСПДн и взаимодействия с внешними системами — это влияет на уровень защищенности и набор мер.
• Внедрите контроль доступа по ролям и пересмотры прав. Чрезмерные права — частая причина инцидентов.
• Ведите журналы: доступы, администрирование, резервное копирование, «журналы инцидентов 152 ФЗ». Без журналов невозможно доказать соблюдение мер и расследовать события.
• Проверяйте подрядчиков: письменно закрепляйте поручение, меры, ответственность (поручение обработки ПДн).

Чек‑лист для быстрого старта

• Определить процессы и цели обработки ПДн, правовые основания.
• Нарисовать границы ИСПДн и карту потоков ПДн.
• Классифицировать ПДн и определить уровень защищенности.
• Составить перечень угроз и уязвимостей, оценить риски.
• Подготовить «описание мер 152 ФЗ», привязать меры к угрозам.
• Настроить журналы и регламенты реагирования на инциденты.
• Утвердить документ и назначить ответственных.
• Спланировать регулярную актуализацию.

Полезно: чек‑лист 152‑ФЗ и подготовка к проверке.

FAQ: ответы на частые вопросы

• Нужна ли модель угроз микробизнесу? Да, если вы оператор ПДн и ведете ИСПДн (даже простая HR‑система или сайт с формой). Масштаб и глубина анализа зависят от рисков.
• Можно ли использовать «универсальный» документ? Используйте «модель угроз: шаблон документа по 152‑ФЗ», но обязательно адаптируйте под вашу архитектуру и потоки — иначе документ будет формальным и нерабочим. См. шаблоны и формы.
• Достаточно ли антивируса и HTTPS? Нет. Набор мер определяется уровнем защищенности и актуальными угрозами — читайте меры безопасности и уровни защищенности ИСПДн.

Итог и что делать дальше

Модель угроз 152 ФЗ — это не «бумага для проверки», а рабочий инструмент, который связывает риски, меры и контроль. Начните с шаблона, адаптируйте под вашу ИСПДн, обоснуйте выбор мер, настройте журналы и регулярно актуализируйте документ.

Нужна помощь? Закажите аудит и подготовку пакета документов «под ключ»: аудит соответствия, консалтинг и документы, обучите команду — обучение и курсы. Для быстрых правок используйте наш генератор политики и согласий.