- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Разработка Модели угроз безопасности информации для значимых объектов КИИ
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Разработка Модели угроз безопасности информации для значимых объектов КИИ
Модель угроз безопасности информации — обязательный документ для каждого значимого объекта КИИ по Приказу ФСТЭК № 239. В этой статье разбираем полный цикл разработки: от описания архитектуры и определения негативных последствий до маппинга БДУ ФСТЭК на матрицу MITRE ATT&CK. Чек-листы, таблицы и практические рекомендации для CISO и ИБ-инженеров.
Модель угроз безопасности информации (МУ) — центральный документ системы защиты каждого значимого объекта критической информационной инфраструктуры. Без неё невозможно обоснованно выбрать меры защиты, спроектировать подсистему безопасности и успешно пройти проверку ФСТЭК. Согласно п. 11.1 Приказа ФСТЭК России № 239, модель угроз КИИ должна содержать описание архитектуры объекта, характеристику источников угроз (включая модель нарушителя) и перечень всех актуальных угроз.
Представьте: ваш объект КИИ — промышленная АСУ ТП с выходом в корпоративную сеть. «Типовая» модель угроз, скопированная из интернета, не учитывает ни специфику протоколов Modbus/OPC UA, ни вектор атаки через подрядчика, обслуживающего SCADA. При проверке ФСТЭК такой документ будет отклонён, а организация получит предписание об устранении нарушений. По нашему опыту сопровождения более 7 000 проектов, каждый третий акт категорирования возвращается именно из-за формальной модели угроз, которая не соответствует реальной инфраструктуре.
В 2026 году ситуация ещё жёстче. Вступает в силу Приказ ФСТЭК № 117, закрепляющий риск-ориентированный подход: если модель угроз устарела, систему защиты признают несоответствующей требованиям даже при наличии сертифицированных средств. Параллельно завершается «вторая волна» категорирования, обязывающая пересмотреть акты и актуализировать модели угроз для всех значимых объектов.
Разработка модели угроз КИИ опирается на иерархию нормативных актов, каждый из которых выполняет свою функцию. Ниже — сводная таблица с разграничением «что требуется» и «как это сделать».
| Документ | Функция | Ключевые положения для модели угроз |
|---|---|---|
| 187-ФЗ | Базовый закон | Обязанность обеспечивать безопасность ЗОКИИ; определение понятий «компьютерная атака», «компьютерный инцидент» |
| Приказ ФСТЭК № 239 | Требования «что должна содержать МУ» | П. 11.1: архитектура объекта, источники угроз, модель нарушителя, перечень актуальных угроз. П. 12: актуализация не реже 1 раза в год |
| Методика оценки угроз ФСТЭК (05.02.2021) | Пошаговая процедура «как разрабатывать» | 5 этапов: негативные последствия → объекты воздействия → источники угроз → способы реализации → актуальность. Обязательное использование БДУ |
| Приказ ФСТЭК № 117 (с 01.03.2026) | Актуализация требований | Риск-ориентированный подход; обоснованность мер защиты через модель угроз; контроль актуальности документа |
| БДУ ФСТЭК (bdu.fstec.ru) | Справочная база | Систематизированный каталог угроз; описание источников, объектов воздействия, последствий. Обновлён в 2025 году |
Обратите внимание: Постановление Правительства РФ № 127 (в редакции ПП № 1762) не описывает саму модель угроз, но определяет процедуру категорирования, в рамках которой модель угроз разрабатывается. Если категорирование ещё не завершено, рекомендуем начать с пошагового руководства по категорированию.
Прежде чем анализировать угрозы, необходимо понять, что именно вы защищаете. Методика ФСТЭК 2021 года требует зафиксировать следующую информацию:
На практике этот этап часто занимает до 40% всего времени разработки модели угроз. Причина — неполная инвентаризация ИТ-активов. Если объект КИИ уже прошёл категорирование, основа данных есть в акте категорирования и форме сведений, поданной во ФСТЭК по Приказу № 236. Если нет — начните с полной инвентаризации.
| Категория данных | Источник | Собрано? |
|---|---|---|
| Акт категорирования ЗОКИИ | Комиссия по категорированию | Проверить |
| Сетевая топология (L2/L3-схемы) | ИТ-отдел / SGRC-система | Проверить |
| Перечень ПО и СЗИ с версиями | Реестр активов / сканер уязвимостей | Проверить |
| Матрица доступа пользователей | Служба ИБ / IdM-система | Проверить |
| Перечень внешних подключений и VPN | ИТ-отдел / МЭ | Проверить |
| Отраслевые типовые перечни объектов | Перечни регуляторов | Проверить |
Методика ФСТЭК 2021 года начинает оценку угроз не с технических уязвимостей, а с бизнес-последствий. Это принципиальный сдвиг: вы моделируете не «что может пойти не так в системе», а «какой ущерб понесёт организация и общество».
Для значимых объектов КИИ последствия определяются с учётом критериев значимости из ПП № 127. Основные группы:
После определения последствий составляется перечень конкретных компонентов, атака на которые приведёт к этим последствиям. Методика выделяет уровни:
Для кого эта услуга
Здравоохранение
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Модель нарушителя — обязательная часть модели угроз по п. 11.1 Приказа № 239. Методика ФСТЭК классифицирует нарушителей по двум параметрам: тип доступа (внешний / внутренний) и уровень возможностей (4 уровня).
| Уровень | Описание | Типичный профиль | Актуальность для ЗОКИИ |
|---|---|---|---|
| Н1 — Базовый | Использует публично доступные эксплойты и утилиты | Хактивист, скрипт-кидди | Средняя |
| Н2 — Повышенный | Способен модифицировать инструменты, обходить стандартные СЗИ | Киберкриминальная группа, продвинутый инсайдер | Высокая |
| Н3 — Средний | Разрабатывает собственные инструменты, эксплуатирует 0-day | Организованная APT-группа | Высокая |
| Н4 — Высокий | Располагает ресурсами спецслужб, воздействует на цепочку поставок | Иностранные спецслужбы | Критичная (кат. 1) |
Практическая рекомендация. Для объектов КИИ 3-й категории значимости минимально необходимо рассматривать нарушителей уровней Н1–Н2. Для 2-й категории — Н1–Н3. Для 1-й категории (особенно в ОПК и атомной энергетике) — все четыре уровня.
Не забывайте про внутреннего нарушителя. По данным отчёта Positive Technologies за 2025 год, 34% инцидентов в промышленном секторе начинались с действий инсайдера (умышленных или неумышленных). Комиссия по категорированию должна оценить риски, исходя из реальных прав доступа сотрудников.
Банк данных угроз безопасности информации (bdu.fstec.ru) — обязательный источник для формирования перечня угроз. По состоянию на начало 2026 года каталог БДУ содержит более 220 угроз, каждая из которых описана по единому шаблону: источник, объект воздействия, последствия реализации.
Типичная ошибка. Организации копируют в модель угроз весь каталог БДУ «для надёжности». ФСТЭК трактует это как формальный подход — модель не отражает реальную инфраструктуру. По нашему опыту, для ЗОКИИ среднего размера (50–200 узлов) после грамотной фильтрации остаётся 40–80 актуальных угроз из 220+.
Банк данных угроз ФСТЭК описывает угрозы на высоком уровне абстракции. Чтобы превратить модель угроз из «бумажного» документа в рабочий инструмент ИБ-инженера, ФСТЭК рекомендует дополнительно использовать базы знаний ATT&CK, CAPEC и OWASP. На практике наиболее эффективен маппинг БДУ → MITRE ATT&CK.
Ниже — пример маппинга для типичных угроз ЗОКИИ. Такую таблицу рекомендуется включить в модель угроз как приложение.
| Угроза БДУ | Тактика ATT&CK | Техники ATT&CK | Отраслевой контекст |
|---|---|---|---|
| УБИ.006 — Внедрение вредоносного кода | Execution | T1059 (Command & Scripting), T1203 (Exploitation for Client Execution) | Все отрасли |
| УБИ.013 — Перехват сетевого трафика | Credential Access / Collection | T1040 (Network Sniffing), T1557 (Adversary-in-the-Middle) | Финансы, ТЭК |
| УБИ.036 — Использование уязвимостей в ПО | Initial Access / Lateral Movement | T1190 (Exploit Public-Facing App), T1210 (Exploitation of Remote Services) | Все отрасли |
| УБИ.044 — Нарушение изоляции виртуализации | Privilege Escalation | T1611 (Escape to Host) | ЦОДы, облака |
| УБИ.100 — Несанкционированное управление АСУ ТП | ICS: Impair Process Control | T0855 (Unauthorized Command Message), T0836 (Modify Parameter) | Промышленность, энергетика |
| УБИ.172 — Атака на цепочку поставок | Initial Access | T1195 (Supply Chain Compromise) | ОПК, атомная |
Такой маппинг решает две задачи одновременно: удовлетворяет требование ФСТЭК по использованию БДУ и даёт ИБ-инженерам конкретные техники для настройки правил детектирования в SIEM. По опыту наших проектов, организации, использующие маппинг БДУ → ATT&CK, обнаруживают на 15–25% больше релевантных угроз, чем те, кто ограничивается только каталогом БДУ.
Финальный этап — определение, какие из отобранных угроз являются актуальными. Только актуальные угрозы включаются в итоговый документ и ложатся в основу проектирования системы защиты.
Угроза признаётся актуальной, если одновременно выполняются два условия:
Методика формализует оценку через матрицу сценариев. Для каждой угрозы строится цепочка:
Нарушитель (тип, уровень) → Способ реализации (техника) → Объект воздействия (компонент) → Негативное последствие
Если хотя бы один реалистичный сценарий такой цепочки существует — угроза актуальна.
На практике мы рекомендуем использовать следующий алгоритм:
Каждое исключение угрозы обязательно сопровождается обоснованием. Формулировка «угроза неактуальна, так как применяется антивирусное ПО» не является достаточным обоснованием — ФСТЭК требует привязки к конкретным условиям эксплуатации объекта.
По итогам всех этапов формируется документ «Модель угроз безопасности информации для ЗОКИИ». Методика ФСТЭК рекомендует следующую структуру:
| Критерий проверки | Статус |
|---|---|
| Архитектура ЗОКИИ описана с указанием сегментов, узлов и точек входа | Проверить |
| Негативные последствия привязаны к критериям значимости ПП № 127 | Проверить |
| Модель нарушителя содержит все актуальные уровни (Н1–Н4 в зависимости от категории) | Проверить |
| Использован каталог БДУ ФСТЭК (обязательное требование Методики) | Проверить |
| Каждая исключённая угроза имеет письменное обоснование | Проверить |
| Маппинг на MITRE ATT&CK выполнен (Enterprise и/или ICS) | Проверить |
| Документ утверждён руководителем субъекта КИИ | Проверить |
| Определена периодичность актуализации (не реже 1 раза в год по Приказу 239) | Проверить |
| Учтены новые угрозы, добавленные в БДУ в 2025–2026 гг. | Проверить |
По опыту сопровождения проектов категорирования и защиты КИИ, специалисты «Астелс» выделяют 7 критичных ошибок, которые приводят к отклонению модели угроз при проверке ФСТЭК.
| Ошибка | Почему это проблема | Как исправить |
|---|---|---|
| 1 Копирование типовой модели из интернета | Не отражает реальную архитектуру; ФСТЭК выявляет формальность при проверке | Разработать модель на основе актуальных данных об инфраструктуре |
| 2 Включение всех 220+ угроз БДУ без фильтрации | Признак формального подхода; завышает требования к защите и бюджет | Провести фильтрацию по архитектуре, нарушителю и способам реализации |
| 3 Отсутствие модели нарушителя | Прямое нарушение п. 11.1 Приказа ФСТЭК № 239 | Определить типы и уровни нарушителей с учётом специфики объекта |
| 4 Игнорирование внутреннего нарушителя | 34% инцидентов в промышленности связаны с инсайдерами | Включить оценку рисков привилегированных пользователей и подрядчиков |
| 5 Необоснованное исключение угроз | ФСТЭК требует обоснование каждого исключения; «не применимо» не является обоснованием | Указывать конкретные условия: «объект не подключён к сети общего пользования» |
| 6 Неактуальная версия БДУ | В 2025 году ФСТЭК впервые за 5 лет добавила новые угрозы; модель устарела | Проверить дату последнего обновления БДУ; актуализировать перечень |
| 7 Отсутствие актуализации более 1 года | Нарушение п. 12 Приказа № 239; с 01.03.2026 (Приказ 117) — основание для признания несоответствия | Внести в план ИБ ежегодную актуализацию модели угроз |
Подробнее о частых причинах возврата документов регулятором читайте в статье «Ошибки при взаимодействии со ФСТЭК». Если вам предстоит пересмотр актов категорирования в рамках «второй волны» — обновление модели угроз является обязательным этапом.
Разработка модели угроз для значимого объекта КИИ — не формальность, а основа всей системы защиты. В 2026 году, когда ФСТЭК переходит к риск-ориентированному подходу (Приказ 117) и параллельно обновляет каталог БДУ, качество модели угроз становится определяющим фактором при проверках. Документ должен отражать реальную архитектуру, опираться на актуальные источники (БДУ ФСТЭК + MITRE ATT&CK) и содержать обоснованную оценку каждой угрозы.
Ключевое правило: модель угроз — живой документ. Она актуализируется при любом изменении инфраструктуры, обнаружении новых уязвимостей или появлении новых угроз в каталоге БДУ, но не реже одного раза в год. Только так можно обеспечить соответствие требованиям 187-ФЗ, Приказа № 239 и подготовиться к проверке ФСТЭК.
Нужна помощь с разработкой или актуализацией модели угроз для объектов КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и предложат оптимальный формат сопровождения.
Да, это прямое требование Приказа ФСТЭК России № 239. Без утверждённой модели угроз невозможно обосновать состав мер защиты, а при проверке регулятора отсутствие документа квалифицируется как нарушение. Кроме того, 187-ФЗ устанавливает ответственность вплоть до уголовной за несоблюдение требований по безопасности КИИ.
Нет, типовой шаблон не учитывает конкретную архитектуру, категорию значимости и специфику вашего объекта. Методика ФСТЭК 2021 года требует анализа реальных негативных последствий, актуальных нарушителей и применимых векторов атак именно для вашей инфраструктуры. Регулятор при проверке сразу выявляет формальные документы без привязки к реальности.
Для одного значимого объекта — от 3 до 8 недель в зависимости от масштаба инфраструктуры, количества информационных систем и наличия актуальной документации. Основное время уходит на обследование архитектуры, инвентаризацию активов и согласование результатов с ответственными подразделениями.
Модель нарушителя — это часть модели угроз, описывающая типы потенциальных злоумышленников (от инсайдера до APT-группировки), их мотивацию и возможности. Модель угроз — более широкий документ, который на основе модели нарушителя определяет конкретные сценарии атак, объекты воздействия и оценку актуальности каждой угрозы.
БДУ ФСТЭК содержит перечень угроз, актуальных для российских информационных систем, и является обязательной базой для отбора. MITRE ATT&CK дополняет этот перечень детализированными техниками и тактиками атак, что позволяет выстроить цепочки действий нарушителя и точнее определить необходимые меры защиты.
Да, модель угроз пересматривается при изменении архитектуры объекта, появлении новых угроз в БДУ ФСТЭК, изменении категории значимости или по результатам инцидентов. На практике рекомендуется проводить ревизию не реже одного раза в год, а также после любой существенной модернизации инфраструктуры.
ФСТЭК выдаёт предписание об устранении нарушения с конкретным сроком. При повторном нарушении возможны штрафы по статье 13.12.1 КоАП РФ. Если отсутствие модели угроз привело к инциденту на объекте КИИ, ответственные лица могут быть привлечены к уголовной ответственности по статье 274.1 УК РФ.
Медиа
Была ли полезна вам данная статья?
Так же читайте другие статьи на эту тему
Как правильно создать и обучить комиссию по категорированию объектов КИИ
Пошаговое руководство по формированию комиссии по категорированию КИИ: кого включать, как распределить роли между ИБ, ИТ и бизнесом, какие документы подготовить и каких ошибок избежать при проверке ФСТЭК.
Образец и правила заполнения формы сведений о результатах категорирования КИИ
Детальная инструкция по заполнению формы сведений о результатах категорирования объектов КИИ (Приказ ФСТЭК № 236 в редакции Приказа № 247): разбор каждого поля, акцент на сетевых атрибутах, чек-лист и типичные ошибки.
Автоматизация учёта объектов КИИ: почему SGRC-системы заменяют Excel
SGRC-платформы автоматизируют учёт, категорирование и мониторинг объектов КИИ, заменяя устаревшие Excel-таблицы. Обзор рынка, сравнение решений и чек-лист выбора — в экспертной статье.
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Добровольная сертификация, Сетификация ИСО, Сертификация услуг, Категорирование КИИ, Классификация гостиниц, Разработка СМК, ХАССП
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 06.04.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград