Модель угроз безопасности информации: разработка с использованием БДУ ФСТЭК

Модель угроз безопасности информации (МУБИ) — основополагающий документ, определяющий актуальные угрозы для конкретной информационной системы и обосновывающий выбор необходимых мер защиты. Без утверждённой модели угроз дальнейшие работы по аттестации или сертификации объекта информатизации невозможны.

Модель угроз безопасности информации (МУБИ) разрабатывается в соответствии с Методикой оценки угроз безопасности информации (утверждена ФСТЭК России 05.02.2021) с использованием актуальной версии Банка данных угроз ФСТЭК (БДУ).

Что входит в модель угроз

  • Описание структуры и архитектуры информационной системы
  • Анализ возможных нарушителей (потенциал, мотивация, возможности, категории нарушителей)
  • Категорирование угроз по источникам, способам реализации и последствиям
  • Перечень актуальных угроз с использованием Банка данных угроз ФСТЭК России (БДУ)
  • Обоснование выбора организационных и технических мер защиты
  • Оценка вероятности реализации угроз и возможного ущерба

📌 Актуальность

Разработка модели угроз должна проводиться с использованием Банка данных угроз ФСТЭК России (БДУ) — версия 5.0 и выше. Устаревшие модели угроз (до 2021 года) не принимаются аттестационными комиссиями.

Методическая база

  • Методика оценки угроз безопасности информации (утверждена ФСТЭК России 05.02.2021)
  • Базовая модель угроз безопасности персональных данных (ФСТЭК России, 15.02.2008)
  • Актуализированный Банк данных угроз (БДУ) — версия 5.0 и выше (регулярные обновления)
  • Рекомендации по формированию экспертной группы и проведению экспертной оценки (Приложение 2 к методике)

Почему важно использовать БДУ ФСТЭК

Банк данных угроз ФСТЭК России содержит формализованное описание уязвимостей, способов реализации угроз и типов нарушителей. Использование БДУ при разработке модели угроз является обязательным требованием для систем, обрабатывающих персональные данные или информацию государственных информационных систем. Регулярная актуализация модели угроз должна проводиться при изменении структуры системы, появлении новых уязвимостей или изменении нормативных требований.

Этапы разработки модели угроз

  1. Сбор исходных данных — анализ архитектуры ИС, типов обрабатываемой информации, состава оборудования и ПО
  2. Определение возможных нарушителей — внешние и внутренние нарушители, их потенциал, мотивация, возможности
  3. Анализ угроз из БДУ ФСТЭК — выбор актуальных для данной ИС из Банка данных угроз
  4. Формирование перечня угроз — с обоснованием актуальности каждой угрозы
  5. Оценка вероятности и последствий — расчёт рисков реализации угроз
  6. Разработка рекомендаций по выбору мер защиты — обоснование выбора СЗИ и организационных мер
  7. Согласование и утверждение модели угроз — с руководством организации

📋 Что нужно для разработки модели угроз

  • ✅ Описание архитектуры информационной системы
  • ✅ Перечень используемого программного обеспечения и оборудования
  • ✅ Схема информационных потоков и сетевого взаимодействия
  • ✅ Категории обрабатываемой информации (ПДн, гостайна, КИИ, коммерческая тайна)
  • ✅ Информация о существующих средствах защиты информации (при наличии)

Стоимость разработки модели угроз

💰 Стоимость услуг

УслугаСтоимостьСрок
ИСПДн (до 1000 субъектов)от 90 000 ₽10-14 дней
ГИС 3 классаот 120 000 ₽14-20 дней
АСУ ТП / КИИот 150 000 ₽20-30 дней
Распределённая ГИС 1-2 классаот 200 000 ₽30-45 дней

* Точная стоимость определяется после предпроектного обследования

❓ Часто задаваемые вопросы

Что такое модель угроз?

Модель угроз — документ, описывающий актуальные угрозы для вашей информационной системы, потенциал нарушителей и обоснование выбора мер защиты.

Нужно ли обновлять модель угроз?

Да, при изменении структуры системы, появлении новых угроз (актуализация БДУ) или изменении нормативных требований. Рекомендуется актуализировать не реже одного раза в год.

Где брать данные об угрозах?

Используется Банк данных угроз ФСТЭК (БДУ), который содержит формализованные описания уязвимостей и способов их реализации. БДУ регулярно обновляется.

Можно ли разработать модель угроз самостоятельно?

Формально да, но для согласования и аттестации потребуется экспертная оценка. На практике проще и надёжнее заказать разработку у лицензиата ФСТЭК.

Какой срок действия модели угроз?

Срок действия не установлен, но модель должна поддерживаться в актуальном состоянии. При каждом существенном изменении ИС требуется актуализация.

📄 Нормативные документы

📘
Методика оценки угроз безопасности информации

Утверждена ФСТЭК России 05.02.2021

📖 Читать на fstec.ru 📑 Читать на Контур.Норматив ⚖️ Читать на КонсультантПлюс
🗄️
Банк данных угроз (БДУ) ФСТЭК

Актуальная база уязвимостей и угроз (версия 5.0 и выше)

🔍 Перейти к БДУ 📋 Реестр угроз

📚 Полезные материалы

Нужна консультация?

Оставьте заявку, и наш специалист свяжется с вами для уточнения деталей.

Или напишите нам: sales@rnt.ru | +7 (495) 777-75-77

АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 20+ лет опыта, 4 доктора наук, 35 кандидатов наук, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.

Приказ №117 | Сертификация | Лицензия ФСТЭК | Аттестация | Модель угроз | КИИ | Аттестация ГИС | ТЗКИ | Защита ПДн | Реестр ФСТЭК