Гладиаторы - меню
Гладиаторы - меню

Методики построения модели угроз

В современном мире информационные технологии являются основой практически всех бизнес-процессов и государственных служб. При этом, с ростом цифровизации и взаимосвязанности систем, вопросы защиты информации приобретают исключительную важность. Успешная защита данных и ресурсов невозможна без системного и продуманного подхода к выявлению и оценке угроз. Именно здесь на первый план выходит модель угроз — фундаментальный инструмент в области информационной безопасности.

Модель угроз это структурированный аналитический инструмент, который помогает выявить потенциальные опасности, классифицировать их, понять механизм реализации и оценить степень риска для конкретной информационной системы. В отличие от простого перечня возможных атак, модель угроз представляет собой целостное описание взаимоотношений между информационными активами, нарушителями и уязвимостями.

Понимание того, что такое модель угроз безопасности информации, и как грамотно её построить, позволяет организации эффективно планировать меры по защите, оптимизировать затраты на безопасность и повысить устойчивость к кибератакам. Далее подробно рассмотрим назначение модели угроз, её структуру и этапы построения.


Содержание:

Команда редакторов "Гладиаторы ИБ"
Дата публикации: 19.07.2025
Время прочтения 12 минут

Зачем нужна модель угроз?

Основная цель построения модели угроз — системное выявление и анализ факторов, способных нанести вред информационной системе. Рассмотрим, почему именно модель угроз так важна:

  1. Систематизация знаний об угрозах. Без формального подхода риск пропустить критические уязвимости или неправильно оценить степень риска существенно возрастает. Модель угроз позволяет аккумулировать, упорядочить и формализовать информацию о возможных негативных сценариях.
  2. Приоритизация мер защиты. Ресурсы безопасности (финансовые, человеческие, технические) всегда ограничены. Модель угроз даёт объективное основание для расстановки приоритетов: какие угрозы представляют наибольшую опасность и требуют немедленных мер.
  3. Соответствие нормативным требованиям и стандартам. Многие законодательные акты, такие как Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» и рекомендации ФСТЭК и ФСБ, прямо предписывают проведение анализа угроз с использованием формализованных моделей.
  4. Оценка рисков и принятие решений. Модель угроз становится отправной точкой для оценки рисков, позволяя определить возможные последствия и вероятность реализации каждой угрозы, что в итоге влияет на управленческие решения.
  5. Повышение безопасности и осведомлённости персонала. Процесс моделирования вовлекает разные подразделения и уровни управления, способствуя формированию культуры безопасности и совместному пониманию рисков.
  6. Разработка эффективных планов реагирования. Знание конкретных сценариев атак помогает заранее подготовиться к возможным инцидентам, сократить время реагирования и минимизировать ущерб.

Таким образом, без правильно построенной модели угроз информационной безопасности невозможно обеспечить надежную защиту и устойчивость организации в условиях постоянно меняющейся кибер среды.

Вступительная часть модели угроз

Вступительная часть модели угроз выполняет роль ориентира и вводит в контекст всей работы.

Она должна содержать:

  • Цели и задачи моделирования угроз, например:
- выявление и классификация угроз безопасности информационной системы;
- анализ рисков и определение приоритетных направлений защиты;
- обеспечение соответствия нормативным требованиям;
- подготовка рекомендаций по усилению защиты.

  • Область применения модели, которая может включать:
- конкретную информационную систему или группу систем;
- бизнес-процессы, связанные с использованием данных;
- территориально распределенные инфраструктурные объекты.

  • Определения ключевых терминов и понятий, таких как:
- угроза;
- уязвимость;
- актив;
- нарушитель;
- риск и т.д.

  • Методология моделирования угроз, которая будет использоваться в работе, с кратким описанием применяемых подходов и инструментов.

Данная часть позволяет всем заинтересованным сторонам иметь общее понимание целей и задач, обеспечивая прозрачность процесса и согласованность действий.

Нормативно-методическое обеспечение

Построение модели угроз не может существовать в вакууме — она должна опираться на актуальную нормативную и методическую базу. В этом разделе необходимо подробно указать:

  • Законодательные акты, регулирующие информационную безопасность и защиту данных:
- Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- другие профильные законы и постановления.

  • Методические документы и рекомендации ФСБ и ФСТЭК:
- требования по защите гостайны и конфиденциальной информации;
- правила криптографической защиты;
- требования к обеспечению целостности и доступности информации.

  • Национальные стандарты в области информационной безопасности:
- ГОСТ Р 57580 — основы обеспечения безопасности информации;
- ГОСТ Р 50922 — методы и средства защиты информации.
- ГОСТ Р 52633-2012 — регулирует требования по защите персональных данных в случае биометрической аутентификации.
- ГОСТ Р ИСО/МЭК 15408 — используется для оценки уровня безопасности информационных систем и средств защиты информации
- ГОСТ Р ИСО/МЭК 27001 — адаптация международного стандарта ISO/IEC 27001, который устанавливает требования к системе управления информационной безопасностью (СУИБ).

  • Внутренние политики, регламенты и стандарты организации, регламентирующие процесс анализа и управления угрозами.

Такое нормативное основание гарантирует, что построенная модель угроз будет не только методически корректной, но и юридически обоснованной, что критически важно для организаций, работающих с чувствительной информацией.

Общие положения

В этом разделе излагаются базовые принципы и подходы, которые будут применяться при моделировании угроз:

  • Определение терминологии, чтобы исключить неоднозначность при интерпретации ключевых понятий.
  • Выбор методики моделирования угроз — на практике за рубежом встречаются разные подходы, например:
  • STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) — фокусируется на категориях угроз. STRIDE применяется для анализа диаграмм потоков данных (DFD), помогает выявлять уязвимости на ранних этапах разработки, способствует проактивному внедрению мер защиты и оптимизации распределения ресурсов на защиту наиболее критичных компонентов системы. Метод активно используется в индустрии и адаптируется под различные задачи, включая защищённое проектирование (SDL) и анализ облачных решений.
  • PASTA (Process for Attack Simulation and Threat Analysis) — основана на моделировании сценариев атак. Это риск-ориентированный подход к моделированию угроз, акцентирующий внимание на анализе бизнес-целей, моделировании атак и приоритизации угроз. PASTA состоит из семи этапов, начиная с определения бизнес-целей и заканчивая анализом и управлением рисками. Эта методика помогает связать бизнес-риски с техническими уязвимостями и определить наиболее опасные сценарии атак. Методика также применяется сегодня, особенно для сложных корпоративных и критических инфраструктур.
  • OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) — комплексный анализ активов, угроз и уязвимостей. Это методология, ориентированная на идентификацию и оценку рисков, связанных с активами организации. OCTAVE фокусируется на участии сотрудников компании для выявления ключевых активов, угроз и уязвимостей, а также выработке стратегических мер по их защите. Метод активно применяется в крупных организациях, в том числе для оценки соответствия стандартам и подготовки к сертификациям.

Фактически сейчас в России при составлении модели угроз, особенно если потом подразумевается аттестация объектов, рекомендуется полагаться на основной документ ФСТЭК - «Методический документ. Методика оценки угроз безопасности информации» (утверждён ФСТЭК России 5 февраля 2021 года). STRIDE, PASTA, OCTAVE — продолжают использоваться в современной практике информационной безопасности, как в международных, так и в российских организациях. Они могут применяться как самостоятельно, так и в сочетании с государственными методиками (например, методикой ФСТЭК), а также интегрироваться в процессы защищённой разработки и оценки рисков.

  • Принципы построения модели:
  • комплексный охват всех существенных элементов системы;
  • системность — учёт взаимосвязей между активами, уязвимостями и угрозами;
  • адаптивность — регулярное обновление модели с учётом новых данных и изменений в инфраструктуре;
  • реалистичность — исключение маловероятных и малозначимых угроз.
  • Обязательное вовлечение всех заинтересованных сторон, включая IT-специалистов, руководителей подразделений, экспертов по безопасности и представителей бизнес-процессов.

Такой подход обеспечивает полноту, адекватность и практическую применимость модели угроз.

Описание информационной системы

Для качественного моделирования угроз необходимо детально описать защищаемую информационную систему. Включаются следующие аспекты:

  • Архитектура системы:
- описание компонентов (серверы, рабочие станции, сети, базы данных);
- взаимодействие между компонентами и с внешними системами;
- сетевая сегментация, зоны безопасности.

  • Активы, подлежащие защите:
- данные (конфиденциальные, персональные, коммерческие);
- программное обеспечение и сервисы;
- аппаратные средства;
- инфраструктурные объекты.

  • Критичность активов:
- оценка бизнес-значимости каждого ресурса;
- определение последствий потери, модификации или утраты доступности.

  • Действующие меры защиты:
- технические (межсетевые экраны, антивирусы, системы обнаружения вторжений);
- организационные (политики безопасности, процедуры доступа).

  • Процессы и процедуры:
- управление доступом;
- резервное копирование и восстановление;
- мониторинг и аудит;
- Управление уязвимостями;
- Реагирование на инциденты безопасности.

Такое подробное описание формирует полное представление о защищаемой среде, что является ключом к точному моделированию угроз.

Модель нарушителя

Ключевой элемент любой модели угроз и нарушителя — понимание того, кто и каким образом может атаковать систему. В разделе выделяются категории потенциальных нарушителей:

  • Внутренние нарушители:
- сотрудники с разным уровнем доступа;
- лица с доступом к конфиденциальной информации;
- лица, совершившие ошибку или умышленно нарушающие правила.

  • Внешние нарушители:
- киберпреступники и хакеры;
- конкуренты, пытающиеся получить коммерческую тайну;
- государственные структуры, заинтересованные в разведывательной информации.

  • Целенаправленные атакующие:
- APT-группы (Advanced Persistent Threats) с высоким уровнем технической подготовки и ресурсов;
- инсайдеры, имеющие мотив и возможность.

  • Случайные и технические угрозы:
- ошибки эксплуатации;
- сбои оборудования и программного обеспечения.

Для каждого типа нарушителя описываются мотивы, доступные ресурсы, типичные методы атак, уровень квалификации и возможные цели. Это помогает адекватно оценить вероятность реализации угроз и сфокусировать защитные мероприятия.

Особые разделы, связанные с обработкой информации

При работе с критически важными информационными системами, а также с информацией, подлежащей государственной защите, законодательство и ведомственные требования ФСБ и ФСТЭК РФ предписывают дополнительные обязательства.

В этом разделе моделируются:

  • Требования по защите гостайны и служебной информации, включая:
- классификацию информации по уровню секретности;
- порядок разграничения доступа;
- требования к хранению и передаче данных.

  • Использование криптографических средств защиты:
- обеспечение криптографической защиты каналов связи и хранимой информации;
- управление криптографическими ключами и средствами криптографической защиты информации (СКЗИ).

  • Организация мандатного контроля доступа:
- системы контроля и учёта действий пользователей;
- аудит и анализ событий безопасности.

  • Обеспечение контроля безопасности коммуникационных каналов:
- защита от прослушивания и перехвата данных;
- контроль сетевого трафика.

  • Процедуры реагирования на инциденты безопасности:
- организация мониторинга и реагирования;
- взаимодействие с надзорными органами.

Включение таких разделов обеспечивает соответствие модели угроз государственным требованиям и повышает общий уровень защищённости.

Уязвимости

Определение и анализ уязвимостей — фундаментальный этап моделирования угроз, позволяющий выявить слабые места, через которые могут быть реализованы атаки.

  • Технические уязвимости:
- ошибки программного кода (например, переполнение буфера, SQL-инъекции);
- неправильные настройки систем и приложений;
- устаревшие версии ПО с известными дырами.

  • Организационные уязвимости:
- отсутствие или несоблюдение регламентов безопасности;
- недостаточная квалификация персонала;
- слабая политика управления доступом.

  • Физические уязвимости:
- недостаточный контроль доступа к помещениям;
- отсутствие системы видеонаблюдения и охраны.

Каждая выявленная уязвимость сопровождается описанием возможных способов её эксплуатации и потенциальных последствий, что служит основой для построения частной модели угроз.

Частная модель угроз безопасности

Частная модель угроз — это конкретизация общей модели под конкретную информационную систему и её особенности. Она включает:

  • Конкретные угрозы безопасности информации, релевантные именно для рассматриваемой системы;
  • Подробные сценарии реализации угроз с учетом описанных ранее уязвимостей и модели нарушителя;
  • Оценку воздействия на конфиденциальность, целостность и доступность данных;
  • Анализ взаимосвязей между угрозами и способами их предотвращения.

Такой подход позволяет не просто перечислять угрозы, а формировать реальную и практическую модель для последующего управления безопасностью.

Уровень исходной защищенности

На данном этапе необходимо оценить текущее состояние защиты информационной системы. Это позволяет понять, какие меры уже реализованы, насколько они эффективны и какие «пробелы» существуют.

  • Аудит текущих средств защиты:
- использование межсетевых экранов, антивирусов, систем обнаружения и предотвращения вторжений (IDS/IPS);
- наличие и настройка систем аутентификации и авторизации;
- применение криптографических средств.

  • Анализ организационных мер:
- наличие и исполнение политик информационной безопасности;
- квалификация персонала и его подготовка по безопасности;
- процедуры резервного копирования и восстановления.

  • Идентификация «узких мест» и уязвимых зон:
- выявление компонентов с недостаточной защитой;
- оценка степени контроля доступа и мониторинга.

Определение уровня исходной защищенности является отправной точкой для оценки рисков и выработки стратегии усиления безопасности.

Фактически, на этом этапе строится функциональная модель работы бизнес процессов, на которую накладываются точки контроля доступа разных категорий пользователей с учётом существующих средств и методов защиты.

Опасность угроз

Для каждой выявленной угрозы необходимо оценить её опасность, то есть определить вероятность реализации и потенциальные последствия для информационной системы и бизнеса в целом.

  • Вероятность реализации угрозы:
- основывается на анализе модели нарушителя, уязвимостей и сложившихся условий;
- учитывает частоту подобных инцидентов в отрасли или организации.

  • Возможные последствия:
- нарушение конфиденциальности (утечка данных);
- нарушение целостности (изменение данных);
- нарушение доступности (отказ в обслуживании);
- экономический ущерб, репутационные потери, юридические риски.

  • Критерии оценки риска:
- интегральные показатели, объединяющие вероятность и тяжесть последствий;
- градации риска (низкий, средний, высокий).

Такая оценка позволяет сосредоточить внимание на наиболее критичных угрозах и не распылять усилия на малозначимые риски. Это позволит сократить не только время внедрения и уменьшить сложность создаваемой системы, но и существенно снизит её стоимость (что особенно важно на первом этапе, когда система безопасности создается в первый раз с нуля и тем самым требует высоких и капитальных. и операционных затрат).

Исключение «лишних» угроз

В процессе моделирования часто выявляется множество потенциальных угроз, часть из которых может быть маловероятной, нерелевантной или незначительной для конкретной системы.

Чтобы повысить практическую ценность модели угроз, необходимо:

  • Исключить угрозы с крайне низкой вероятностью реализации, не имеющие прецедентов и не соответствующие профилю нарушителей;
  • Отсечь угрозы, не влияющие на критические активы или связанные с несущественными последствиями;
  • Удалить дублирующие или пересекающиеся угрозы, чтобы избежать избыточности и путаницы.

Данный процесс обеспечивает фокусировку модели на реально значимых рисках и повышает её управляемость.

Описание угроз

Для каждой актуальной угрозы необходимо составить подробное описание, включающее:

  • Наименование угрозы и её классификацию;
  • Источник угрозы (категория нарушителя);
  • Возможный сценарий реализации, включая технические и организационные способы атаки;
  • Связанные уязвимости, позволяющие реализовать угрозу;
  • Цели и объекты атаки (какие активы подвергаются риску);
  • Потенциальные последствия для системы и бизнеса;
  • Возможные методы обнаружения и противодействия.

Такое описание формирует основу для практического управления угрозами и выбора контрмер.

Список актуальных угроз

В конце модели угроз формируется итоговый перечень угроз, отобранных и подробно описанных по всем вышеуказанным критериям.

Идентификатор угрозы

Описание угрозы

Способ реализации

Источник угрозы

Объект воздействия

Нарушаемые свойства

Потенциал нарушителя

1

УБИ.001

Несанкционированный доступ к служебной информации через фишинговые письма

Отправка сотрудникам писем с вредоносными вложениями, получение доступа к учётным данным

Внешний: хакеры, киберпреступники

Рабочие станции, корпоративная почта

К, Ц, Д

Высокий

2

УБИ.002

Утечка конфиденциальных данных через инсайдера

Копирование данных на внешние носители, пересылка по личной почте

Внутренний: сотрудник компании

Серверы хранения данных, рабочие станции

К

Средний

3

УБИ.003

Блокировка критических сервисов с помощью вредоносного ПО (шифровальщик)

Внедрение через заражённые файлы, запуск скриптов, массовое шифрование данных

Внешний: организованная группа

Файловые серверы, базы данных

Д

Высокий

4

УБИ.004

Нарушение целостности данных при ошибках обновления ПО

Ошибки персонала или некорректные действия при обновлении программ

Внутренний: ИТ-специалист

Серверы приложений, базы данных

Ц

Средний

5

УБИ.005

Несанкционированный физический доступ в серверную комнату

Использование утерянного пропуска, подлог, обход контроля доступа

Внутренний: сотрудник/внешний подрядчик

Серверное оборудование

К, Ц, Д

Средний

6

УБИ.006

Атаки через поставщиков (компрометация доверенных связей)

Внедрение вредоносного ПО через обновления или доступ подрядчиков

Внешний: подрядчик, поставщик

Корпоративная сеть, серверы

К, Ц, Д

Высокий

7

УБИ.007

Нарушение работы инфраструктуры из-за сбоев электропитания

Авария в энергосистеме, отключение резервного питания

Внешний: случайный фактор

Серверные, коммуникационное оборудование

Д


Обозначения:
  • К — конфиденциальность
  • Ц — целостность
  • Д — доступность

В подобной таблице каждая угроза адаптируется под специфику предприятия: учитываются его инфраструктура, используемые технологии, перечень хранимых и обрабатываемых данных, а также особенности бизнес-процессов. Сценарии угроз и их актуальность формируются на основе анализа БДУ ФСТЭК и внутреннего аудита, а также с учётом отраслевой специфики и результатов оценки рисков.

Заключение

Построение модели угроз информационной безопасности — это сложный, многогранный и непрерывный процесс, который лежит в основе эффективного управления безопасностью информационных систем. Правильно выстроенная модель позволяет системно выявлять и оценивать угрозы, учитывать специфику нарушителей и уязвимостей, а также вырабатывать адекватные меры защиты.

При этом необходимо помнить, что моделирование угроз — это не разовая задача. Информационная среда постоянно меняется: появляются новые технологии, уязвимости, изменяются мотивы и методы нарушителей. Поэтому модель угроз должна регулярно пересматриваться и актуализироваться.

В результате использования методик моделирования угроз организация получает чёткое понимание своих рисков, возможность планировать защитные меры и минимизировать вероятность и последствия инцидентов. Это существенно повышает безопасность информационных активов и способствует устойчивому развитию бизнеса и государственных структур.
Показать еще

Есть вопросы или запрос на проект по безопасности?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности