Модель угроз без догадок: как IT‑компания определила актуальные угрозы для ИСПДн и получила основу для плана защиты

Клиент обратился за разработкой документа «Модель угроз безопасности».

Потребность была сформулирована чётко и прагматично: нужно понять, какие угрозы для компании актуальны, чтобы дальше составить план нейтрализации этих угроз. То есть задача не ограничивалась созданием какого-то одного документа, а была связана с управлением риском: определить приоритеты и базу для последующих мер защиты.

Критических сроков и особых требований не было, проект не содержал нестандартных обстоятельств. Это позволило сфокусироваться на корректности и полноте обследования и на качественной привязке модели угроз к реальной инфраструктуре и составу ИСПДн.

Хотя клиент не отмечал проект как сложный, в моделях угроз есть типовой набор тонких мест, которые важно закрыть, чтобы документ был рабочим.

1. Граница ИСПДн: риск защищать не то или упустить важное. Если компания не определила, какие компоненты инфраструктуры относятся к ИСПДн, модель угроз будет либо избыточной (описывает все подряд), либо недостаточной (не покрывает реальные контуры обработки). В обоих случаях страдает управляемость: план защиты либо становится слишком дорогим, либо остается неэффективным.
2. Соответствие методике: риск получить формальный документ без практической ценности. Для регуляторно‑корректного подхода важно опираться на признанную методологию оценки угроз. В проекте использовалась методика ФСТЭК России — «Методика оценки угроз безопасности информации» (2021). Следование методике снижает риск субъективных выводов и позволяет выстроить системную логику: от активов и контуров обработки к перечню актуальных угроз.
3. Связь модели угроз с реальными мерами: риск «бумаги ради бумаги». Модель угроз ценна, когда ее можно перевести в действия: что усиливать, какие каналы контроля вводить, где ограничивать доступ и какие сценарии учитывать при реагировании. Если модель составлена без привязки к инфраструктуре, она не станет основой для плана нейтрализации.
4. Коммуникация и согласование: риск затягивания на уточнениях. Даже в простых проектах бывает сложно быстро согласовать терминологию и границы системы. Здесь проект шёл через одно контактное лицо — это снизило риск расхождений и ускорило согласования: меньше сборки между подразделениями и меньше конфликтов интерпретаций.

Команда выполнила обследование инфраструктуры заказчика, определила, что относится к ИСПДн, а что нет, и разработала документ «Модель угроз». Методологическая основа — Методический документ ФСТЭК России «Методика оценки угроз безопасности информации» (2021).

1. Обследование инфраструктуры. На этом шаге собрали фактуру о техническом контуре, в котором обрабатываются данные: какие системы и компоненты участвуют, где находятся ключевые точки доступа и хранения, как устроены интеграции и роли.
2. Определение границ ИСПДн. На основании обследования обозначили, что именно является информационной системой персональных данных, а что к ИСПДн не относится. Этот этап задаёт рамку для всей дальнейшей логики: модель угроз должна покрывать именно тот контур, где обрабатываются ПДн.
3. Разработка модели угроз по методике ФСТЭК (2021). Далее сформировали документ «Модель угроз», используя подход, предусмотренный методикой оценки угроз безопасности информации. Здесь принципиальна последовательность: исходный перечень угроз формируется на основе Банка данных угроз ФСТЭК России (БДУ ФСТЭК), а актуальность угроз выводится из характеристик системы и сценариев угроз.
4. Согласование через одного контактного лица. Коммуникация и согласование документов происходили с одним контактным лицом. Это помогло сохранить единое понимание границ ИСПДн и ускорило согласование результатов обследования и текста модели угроз.

— Проведено обследование инфраструктуры заказчика.

— Определены границы: что является ИСПДн, а что не относится к ИСПДн.

— Разработан документ «Модель угроз безопасности» на основе методики ФСТЭК России «Методика оценки угроз безопасности информации» (2021).

— По итогам анализа выявлены актуальные угрозы: 113 угроз.

Клиент получил рабочую основу для планирования защиты: понимание, от каких угроз нужно защищаться, и документ «Модель угроз», привязанный к границам ИСПДн.

Практический эффект выражается в снижении рисков за счёт управляемости: когда угрозы определены и согласованы, компания может переходить к плану нейтрализации — выбирать меры и выстраивать контроль не на ощущениях, а по приоритетам.

Дополнительный эффект — экономия времени на последующих этапах. Чётко определённые границы ИСПДн и единая модель угроз обычно упрощают коммуникацию между ИТ и ИБ: меньше спорных трактовок и меньше возвратов к исходным допущениям.

Кейс полезен IT‑компаниям, которые хотят перейти от разрозненных мер безопасности к управляемой программе защиты: сначала определить границы ИСПДн, затем актуальные угрозы, и уже после этого формировать план нейтрализации.

Типовая ошибка — начинать с мер (купить средство защиты, внедрить контроль, написать регламент), не понимая, от каких угроз компания защищается и какие контуры приоритетны. В результате меры оказываются либо избыточными, либо не закрывают реальные сценарии.

Второй частый промах — пытаться описать угрозы универсальным списком без привязки к инфраструктуре. Такой документ сложно применять: он не помогает принимать решения и быстро устаревает.

Рабочий вывод: даже простой проект по модели угроз дает ценность, если он построен на обследовании и методике. Определенные границы ИСПДн и перечень актуальных угроз создают основу для понятного плана защиты и для управляемого снижения рисков. При этом модель угроз не является разовым документом: ее нужно поддерживать в актуальном состоянии и пересматривать при изменении состава ИСПДн или нововведениях в процессе моделирования на уровне регулятора; даже без изменений, как минимум раз в три года.