Разработка Модели угроз безопасности информации для значимых объектов КИИ

Модель угроз безопасности информации — обязательный документ для каждого значимого объекта КИИ по Приказу ФСТЭК № 239. В этой статье разбираем полный цикл разработки: от описания архитектуры и определения негативных последствий до маппинга БДУ ФСТЭК на матрицу MITRE ATT&CK. Чек-листы, таблицы и практические рекомендации для CISO и ИБ-инженеров.

Этап 3 — модель нарушителя: от инсайдера до APT-группировки

Модель нарушителя — обязательная часть модели угроз по п. 11.1 Приказа № 239. Методика ФСТЭК классифицирует нарушителей по двум параметрам: тип доступа (внешний / внутренний) и уровень возможностей (4 уровня).

Практическая рекомендация. Для объектов КИИ 3-й категории значимости минимально необходимо рассматривать нарушителей уровней Н1–Н2. Для 2-й категории — Н1–Н3. Для 1-й категории (особенно в ОПК и атомной энергетике) — все четыре уровня.

Не забывайте про внутреннего нарушителя. По данным отчёта Positive Technologies за 2025 год, 34% инцидентов в промышленном секторе начинались с действий инсайдера (умышленных или неумышленных). Комиссия по категорированию должна оценить риски, исходя из реальных прав доступа сотрудников.

Этап 4 — работа с БДУ ФСТЭК: пошаговый алгоритм отбора угроз

Банк данных угроз безопасности информации (bdu.fstec.ru) — обязательный источник для формирования перечня угроз. По состоянию на начало 2026 года каталог БДУ содержит более 220 угроз, каждая из которых описана по единому шаблону: источник, объект воздействия, последствия реализации.

Алгоритм отбора угроз из БДУ

1. Фильтрация по объектам воздействия. Откройте раздел «Угрозы» на bdu.fstec.ru. Используйте фильтры по типу объекта (ИС, АСУ, сеть электросвязи) и по уровню воздействия (аппаратный, системный, прикладной, сетевой).
2. Сопоставление с архитектурой. Для каждой угрозы из отфильтрованного перечня определите, присутствует ли объект воздействия в вашей инфраструктуре. Если объекта нет (например, угроза относится к облачной инфраструктуре, а ваш ЗОКИИ работает on-premise) — угроза исключается.
3. Сопоставление с моделью нарушителя. Если источник угрозы в БДУ требует уровня возможностей Н4, а для вашего объекта актуальны только Н1–Н2 — угроза может быть исключена (но решение должно быть обосновано в документе).
4. Проверка применимости к отрасли. Ряд угроз специфичен для конкретных сфер: например, УБИ.044 (угроза нарушения изоляции среды виртуализации) актуальна только при наличии виртуализации.
5. Формирование предварительного перечня. Все угрозы, прошедшие фильтрацию, заносятся в таблицу с указанием идентификатора БДУ, краткого описания, источника и объекта.

Типичная ошибка. Организации копируют в модель угроз весь каталог БДУ «для надёжности». ФСТЭК трактует это как формальный подход — модель не отражает реальную инфраструктуру. По нашему опыту, для ЗОКИИ среднего размера (50–200 узлов) после грамотной фильтрации остаётся 40–80 актуальных угроз из 220+.

Этап 5 — наложение матрицы MITRE ATT&CK на перечень БДУ

Банк данных угроз ФСТЭК описывает угрозы на высоком уровне абстракции. Чтобы превратить модель угроз из «бумажного» документа в рабочий инструмент ИБ-инженера, ФСТЭК рекомендует дополнительно использовать базы знаний ATT&CK, CAPEC и OWASP. На практике наиболее эффективен маппинг БДУ → MITRE ATT&CK.

Почему именно MITRE ATT&CK?

• Детализация. Каждая угроза БДУ может быть декомпозирована в несколько конкретных техник и подтехник ATT&CK (более 600 для Enterprise, 78 для ICS).
• Практическая привязка. Техники ATT&CK привязаны к реальным хакерским группировкам (более 140 профилей) и вредоносным программам.
• Интеграция с СЗИ. Большинство SIEM, EDR, NTA-систем маппят свои детекты на техники ATT&CK, что позволяет проверить покрытие защиты.
• Специальная матрица ICS. Для объектов КИИ с АСУ ТП доступна матрица ATT&CK for ICS (12 тактик, 78 техник), адаптированная под промышленные протоколы и контроллеры.

Сводная таблица маппинга: БДУ ФСТЭК → MITRE ATT&CK

Ниже — пример маппинга для типичных угроз ЗОКИИ. Такую таблицу рекомендуется включить в модель угроз как приложение.

Такой маппинг решает две задачи одновременно: удовлетворяет требование ФСТЭК по использованию БДУ и даёт ИБ-инженерам конкретные техники для настройки правил детектирования в SIEM. По опыту наших проектов, организации, использующие маппинг БДУ → ATT&CK, обнаруживают на 15–25% больше релевантных угроз, чем те, кто ограничивается только каталогом БДУ.

Оценка актуальности угроз: формула, критерии и практика

Финальный этап — определение, какие из отобранных угроз являются актуальными. Только актуальные угрозы включаются в итоговый документ и ложатся в основу проектирования системы защиты.

Формула актуальности по Методике ФСТЭК

Угроза признаётся актуальной, если одновременно выполняются два условия:

1. Наличие предпосылок для реализации: существует источник угрозы (нарушитель), имеется объект воздействия в инфраструктуре, существует способ реализации (техника атаки).
2. Реализация угрозы приводит к негативным последствиям: нарушение конфиденциальности, целостности или доступности информации / нарушение функционирования объекта КИИ.

Методика формализует оценку через матрицу сценариев. Для каждой угрозы строится цепочка:

Нарушитель (тип, уровень) → Способ реализации (техника) → Объект воздействия (компонент) → Негативное последствие

Если хотя бы один реалистичный сценарий такой цепочки существует — угроза актуальна.

Дерево решений: актуальна ли угроза?

На практике мы рекомендуем использовать следующий алгоритм:

1. Есть ли в инфраструктуре объект воздействия данной угрозы?
   • Нет → Неактуальна (с обоснованием)
   • Да → переход к пункту 2
2. Актуален ли источник угрозы (нарушитель данного уровня)?
   • Нет → Неактуальна (с обоснованием)
   • Да → переход к пункту 3
3. Существует ли реалистичный способ реализации (техника)?
   • Нет (например, объект изолирован от внешних сетей) → Неактуальна (с обоснованием)
   • Да → переход к пункту 4
4. Приведёт ли реализация к негативным последствиям?
   • Нет → Неактуальна
   • Да → Актуальна — включается в модель угроз

Каждое исключение угрозы обязательно сопровождается обоснованием. Формулировка «угроза неактуальна, так как применяется антивирусное ПО» не является достаточным обоснованием — ФСТЭК требует привязки к конкретным условиям эксплуатации объекта.

Структура итогового документа и чек-лист самопроверки

По итогам всех этапов формируется документ «Модель угроз безопасности информации для ЗОКИИ». Методика ФСТЭК рекомендует следующую структуру:

1. Титульный лист — с грифом утверждения руководителем субъекта КИИ.
2. Аннотация — краткое описание назначения документа.
3. Содержание — с нумерацией разделов.
4. Перечень сокращений — КИИ, ЗОКИИ, БДУ, АСУ ТП, МЭ, IDS и др.
5. Раздел 1. Описание систем и сетей — архитектура ЗОКИИ, сегменты, информационные потоки.
6. Раздел 2. Негативные последствия — перечень последствий с привязкой к критериям значимости.
7. Раздел 3. Объекты воздействия — компоненты инфраструктуры, на которые направлены угрозы.
8. Раздел 4. Модель нарушителя — типы нарушителей, уровни возможностей, мотивация.
9. Раздел 5. Способы реализации угроз — техники и тактики (с маппингом на ATT&CK).
10. Раздел 6. Перечень актуальных угроз — итоговая таблица с идентификаторами БДУ и обоснованием актуальности.
11. Приложения — сетевые схемы, таблицы маппинга БДУ → ATT&CK, матрица «угроза — мера защиты».

Чек-лист самопроверки перед утверждением

Типичные ошибки при разработке модели угроз КИИ и как их избежать

По опыту сопровождения проектов категорирования и защиты КИИ, специалисты «Астелс» выделяют 7 критичных ошибок, которые приводят к отклонению модели угроз при проверке ФСТЭК.

Подробнее о частых причинах возврата документов регулятором читайте в статье «Ошибки при взаимодействии со ФСТЭК». Если вам предстоит пересмотр актов категорирования в рамках «второй волны» — обновление модели угроз является обязательным этапом.

Итог

Разработка модели угроз для значимого объекта КИИ — не формальность, а основа всей системы защиты. В 2026 году, когда ФСТЭК переходит к риск-ориентированному подходу (Приказ 117) и параллельно обновляет каталог БДУ, качество модели угроз становится определяющим фактором при проверках. Документ должен отражать реальную архитектуру, опираться на актуальные источники (БДУ ФСТЭК + MITRE ATT&CK) и содержать обоснованную оценку каждой угрозы.

Ключевое правило: модель угроз — живой документ. Она актуализируется при любом изменении инфраструктуры, обнаружении новых уязвимостей или появлении новых угроз в каталоге БДУ, но не реже одного раза в год. Только так можно обеспечить соответствие требованиям 187-ФЗ, Приказа № 239 и подготовиться к проверке ФСТЭК.

Нужна помощь с разработкой или актуализацией модели угроз для объектов КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и предложат оптимальный формат сопровождения.