Модель угроз безопасности персональных данных: назначение и структура

Защита персональных данных — обязательное требование для любой организации, которая работает с личной информацией. Чтобы выполнить это требование не формально, а эффективно, нужна модель угроз. Но что это такое?

Разбираемся в этой статье.

Всё актуальное — в наших соцсетях. Подписывайтесь!

Телеграм ВКонтакте

Что такое модель угроз безопасности персональных данных

Модель угроз безопасности персональных данных — это описание того, какие опасности могут возникнуть при работе с личной информацией в компьютерных системах. В ней указано, из‑за чего данные могут попасть к посторонним, повредиться или стать недоступными, а также к каким проблемам это может привести для компании и людей, чьи данные были затронуты.

Согласно законодательству РФ, в том числе Федеральному закону № 152‑ФЗ, операторы информационных систем персональных данных (ИСПДн) обязаны разработать модель угроз безопасности.

Этот документ необходим, чтобы законно обрабатывать личную информацию и подтверждать, что данные защищены на требуемом уровне. Без модели угроз организация не сможет полноценно обеспечить безопасность персональных данных и выполнить требования закона.

Какие угрозы учитываются для ИСПДн

В соответствии с постановлением Правительства РФ № 1119 угрозы безопасности персональных данных (ПДн) в информационных системах персональных данных делятся на три типа.

Основа классификации — наличие или отсутствие недекларированных (недокументированных) возможностей в программном обеспечении системы:

1. Угрозы первого типа — самые опасные. Их особенность в том, что они связаны с недокументированными возможностями в системном программном обеспечении. Это значит, что в ключевых элементах системы — например, в операционной системе, встроенных средствах защиты или служебных программах — могут быть скрытые функции, о которых нет информации в официальной документации.

К этому типу относятся:

• уязвимости нулевого дня (неизвестные разработчикам);
• критические уязвимости ядра операционной системы;
• аппаратные закладки в оборудовании;
• скрытые функции системного ПО, не описанные в документации.

2. Угрозы второго типа относят к категории продвинутого уровня опасности. Они возникают из-за наличия скрытых, не описанных в документации возможностей в прикладном программном обеспечении, которое используется в ИСПДн.

Речь идет о программах, с которыми ежедневно работают пользователи: системах управления базами данных, бухгалтерских приложениях, CRM-системах и других специализированных решениях. В их коде могут присутствовать неочевидные функции, позволяющие обойти стандартные механизмы защиты.

Эти уязвимости могут использоваться для несанкционированного доступа к данным, их изменения или удаления.

3. Угрозы третьего типа считаются наименее опасными, поскольку не связаны с недекларированными возможностями ПО. Это наиболее распространенные виды угроз, которые встречаются в любой информационной системе независимо от используемого программного обеспечения.

В их число входят:

• вредоносные программы (вирусы, трояны, шпионское ПО);
• сетевые атаки (DDoS, фишинг, перехват трафика);
• ошибки конфигурации системы (неправильно выставленные права доступа, открытые порты);
• социальная инженерия (мошенничество с целью получения доступа к учетным данным);
• человеческий фактор (случайные ошибки сотрудников, нарушение правил информационной безопасности).

Угрозы первого и второго типов связаны со скрытыми, не описанными в документации возможностями в программном обеспечении. Однако для большинства организаций такие угрозы не представляют серьезной опасности — при условии, что компания соблюдает базовые правила информационной безопасности.

Если компания использует лицензионное системное ПО от надежных поставщиков, применяет сертифицированные средства защиты информации и поддерживает защищенную информационную среду в соответствии с требованиями регуляторов (ФСТЭК, ФСБ и др.), вероятность таких угроз существенно снижается.

Подробнее об ИСПДн рассказывали в статье «Все, что нужно знать об ИСПДн: от основ до защиты данных».

Как определяется тип угроз

Оператор информационной системы персональных данных (ИСПДн) сам определяет, какие угрозы могут быть опасны для его системы. От оценки зависит, насколько надежно будут защищены персональные данные и будет ли система соответствовать законодательным требованиям.

При анализе оператор в первую очередь разбирается, какой ущерб может принести каждая угроза. Он смотрит, насколько серьезными могут быть последствия: сколько людей пострадает, если данные окажутся под угрозой; какие финансовые потери понесет компания; как это повлияет на репутацию организации; как долго будут сказываться негативные последствия для компании и тех, чьи данные хранятся в системе.

Кроме того учитываются:

• Уровень первоначальной защищенности системы. Оператор изучает, какие механизмы безопасности уже внедрены: используются ли сертифицированные средства защиты, как настроены контроль доступа и аутентификация, регулярно ли обновляется программное обеспечение, организована ли система резервного копирования. Также учитывается физическая защита оборудования и помещений, где размещены компоненты ИСПДн.
• Характер обрабатываемых персональных данных. Например, общедоступные сведения (ФИО и телефон) требуют менее строгих мер защиты, чем специальные категории данных (информация о здоровье или убеждениях). Биометрические данные (отпечатки пальцев, фотографии лица) предполагают максимально высокий уровень защищенности, поскольку их утечка может привести к серьезным последствиям.
• Особенности архитектуры ИСПДн. Оператор анализирует состав программного и аппаратного обеспечения, способ взаимодействия компонентов (локальный, распределенный или облачный), наличие подключений к внешним сетям, количество пользователей и их роли в системе. Эти факторы помогают точнее определить уязвимые места и вероятные векторы атак.

Из чего состоит базовая модель угроз

Посмотрим из каких частей складывается эта модель и какую информацию каждая часть содержит:

1. Основные сведения о модели угроз и защищаемой системе

Раздел, который описывает, на каких принципах строится модель и по каким правилам оцениваются угрозы безопасности персональных данных. Он нужен для того, чтобы модель была понятной, логичной и обоснованной.

В нем раскрываются следующие положения:

• используемый подход к построению модели угроз, включая опору на методические документы ФСТЭК России и принципы риск-ориентированного анализа;
• исходный уровень защищенности ИСПДн, определяемый с учетом архитектуры системы, применяемых средств защиты и организационных мер;
• условия эксплуатации информационной системы, включая режимы доступа, распределение ролей пользователей, наличие удаленного доступа и взаимодействие с внешними системами;
• ограничения и допущения, принятые при моделировании угроз, например исключение нереалистичных сценариев или заведомо недостижимых для конкретной системы атак;
• критерии определения актуальности угроз безопасности персональных данных, основанные на возможности реализации сценария угрозы и уровне потенциального ущерба;
• источники данных об угрозах и уязвимостях, используемые при анализе, включая банк данных угроз безопасности информации ФСТЭК России и иные общедоступные базы и классификаторы;
• взаимосвязь между категориями нарушителей, их возможностями и перечнем рассматриваемых угроз.

2. Категории нарушителей

В этом разделе определяется, кто может представлять опасность для ИСПДн и какими возможностями такие нарушители обладают. Классификация используется для оценки реализуемости угроз и выбора адекватных мер защиты.

ФСБ и ФСТЭК России предлагают классификацию нарушителей по уровню их возможностей:

• Базовый уровень. Нарушители с ограниченными знаниями и ресурсами. К этой категории относятся хакеры-любители, поставщики ПО, а также сотрудники организации с минимальными правами доступа.
• Базовый повышенный уровень. Нарушители с более широкими возможностями и мотивацией. Сюда входят организованные преступные группы, конкуренты и системные администраторы, у которых есть расширенные права доступа к ИСПДн.
• Средний уровень. К этой группе относятся нарушители, которые обладают профессиональной подготовкой и специальными знаниями. Например, это могут быть опытные разработчики программного обеспечения или участники террористических группировок.
• Высокий уровень. Нарушители с максимальными ресурсами и техническими возможностями. Как правило, это спецслужбы иностранных государств, способные проводить комплексные и длительные атаки, включая использование недекларированных возможностей ПО и оборудования.

Дополнительно нарушители разделяются по характеру доступа к системе:

• Внешние нарушители — лица, у которых нет легального доступа к ИСПДн, поэтому они атакуют извне.
• Внутренние нарушители — пользователи или администраторы, у которых есть законный доступом к системе. Эта категория считается наиболее опасной, поскольку такие нарушители уже находятся внутри доверенной среды и знают особенности работы ИСПДн.

Категории нарушителей определяют исходя из особенностей конкретной системы персональных данных. Хотя общие правила задает ФСТЭК, каждая организация подстраивает модель под себя. Для этого анализируют, как устроена ее система, в каких условиях она работает и какие реальные угрозы наиболее вероятны.

3. Вступление

Согласно требованиям ФСТЭК России, модель угроз начинается с титульного листа, оформленного по форме, приведенной в документе «Методики определения угроз безопасности информации». Титульный лист содержит основные сведения о документе, операторе персональных данных и информационной системе.

4. Описание информационной системы

В этом разделе рассказывается об информационной системе персональных данных в общих чертах. Здесь можно узнать, как система называется, где физически находится, для чего предназначена, какие у нее границы и насколько она защищена (какой у нее уровень безопасности). Также указывается, какие персональные данные в ней обрабатываются — например, имена, адреса, паспортные данные или что‑то еще.

Кроме того, вы также можете кратко описать, из чего система состоит, как ее части взаимодействуют между собой и по каким каналам передаются данные.

Описание должно давать целостное представление о работе ИСПДн и ее архитектуре, а не дословно копировать паспорт системы.

5. Уязвимости

Когда разрабатывают модель угроз для системы персональных данных, важно правильно описать ее слабые места. Но делают это не через перечисление конкретных ошибок или недавних сбоев — такие детали быстро теряют актуальность. Вместо этого выделяют целые группы уязвимостей — те, что типичны для данной системы. То есть смотрят, какие слабые места закономерно появляются из‑за того, как система устроена и как ее используют.

Почему так? Модель угроз — документ на долгий срок. Если вносить в нее данные от автоматических сканеров или описывать каждый отдельный сбой, придется постоянно обновлять текст. Это противоречит самой сути модели: она должна давать общее, устойчивое представление о рисках.

Чтобы систематизировать уязвимости, удобно опираться на ГОСТ Р 56546‑2015. Этот стандарт позволяет систематизировать угрозы и уязвимости по области их происхождения, типу недостатков информационной системы и месту возникновения уязвимости.

Базовая модель угроз ФСТЭК/ФСБ — когда использовать

Базовая модель угроз, которая разработана ФСТЭК и ФСБ России, применяется как отправная точка при анализе угроз безопасности персональных данных и информации ограниченного доступа. Она используется в тех случаях, когда требуется формализованный и методически корректный подход, соответствующий требованиям регуляторов.

Использование базовой модели угроз ФСТЭК целесообразно в следующих ситуациях:

• при разработке модели угроз для ИСПДн, подлежащей проверкам со стороны регуляторов;
• при определении уровня защищенности персональных данных в соответствии с постановлением Правительства РФ № 1119;
• при создании системы защиты персональных данных «с нуля», когда отсутствует ранее утвержденная модель угроз;
• при существенных изменениях архитектуры ИСПДн, состава обрабатываемых данных или условий эксплуатации системы;
• при необходимости обоснования выбора мер защиты и средств защиты информации.

Базовая модель угроз ФСБ России в основном используется для защиты государственных информационных систем, а также тех систем, где применяется шифрование данных. Она актуальна, когда нужно предусмотреть сложные варианты атак — например, если злоумышленник попытается воспользоваться скрытыми возможностями программ или оборудования, о которых не сказано в официальной документации.

В коммерческих и негосударственных ИСПДн, как правило, используется базовая модель угроз ФСТЭК с адаптацией под конкретную систему. Но это не шаблон, который можно использовать без изменений: базовую модель нужно адаптировать под конкретную информационную систему.

10 типичных ошибок при разработке модели угроз

Когда организация создает модель угроз для защиты персональных данных, нередко допускаются ошибки. Из-за них система защиты может работать плохо или формально — на бумаге все будет выглядеть нормально, а на деле риски останутся.

• Фокус только на технике. Многие думают: «Поставлю хороший антивирус и межсетевой экран — и буду защищен». Но забывают про инструкции для сотрудников, правила работы с данными и соглашения о конфиденциальности. В итоге даже самая продвинутая техника не спасет, если сотрудник по незнанию отправит конфиденциальные данные на личную почту или поделится паролем.
• Неправильные настройки защитных программ. Например, всем сотрудникам дают права администратора. Вроде бы удобно: человек сам устанавливает программы и меняет настройки. Но он же может случайно или намеренно отключить антивирус или файрвол. Угроза формально учтена, а фактически система остается открытой.
• Недооценка внутренних угроз. Как правило, все внимание сосредоточено на внешних злоумышленниках. Между тем именно персонал может непреднамеренно или умышленно нанести ущерб: удалить важные данные, передать информацию неавторизованным лицам или установить небезопасное ПО.
• Отсутствие анализа уязвимостей. Нередко модель угроз составляют по шаблону, не проводя реального анализа слабых мест. В системе могут оставаться незакрытые уязвимости: устаревшее ПО, недостаточная квалификация персонала, слабый физический контроль доступа к оборудованию. Без выявления таких дыр невозможно выстроить эффективную защиту.
• Отсутствие конкретных сценариев атак. Часто бывает так: в документах по безопасности просто перечисляют угрозы вроде «утечка данных» или «взлом». Но от такого списка мало пользы — он не объясняет, как может случиться инцидент. Чтобы защита работала, нужно не просто назвать угрозу, а подробно разобрать, как она может воплотиться в жизнь: кто может атаковать, какими методами и через какие уязвимости.
• Игнорирование неантропогенных угроз. Риск потери данных из‑за технических сбоев, природных явлений или аварий часто не учитывается. Отсутствие резервных копий, источников бесперебойного питания или запасных площадок для оборудования и без вмешательства злоумышленников может привести к полной потере информации.
• Использование шаблонной модели без учета специфики. Модель угроз для больницы никак не может быть такой же, как для интернет‑магазина — у них совершенно разные задачи, данные и способы работы. Но на практике часто берут готовый шаблон, не адаптируя его под особенности конкретной системы, бизнес‑процессов и отраслевых рисков. Это приводит к пробелам в защите.
• Отсутствие регулярного обновления модели. Компания меняет программы, нанимает новых сотрудников, выходит на новые рынки — а модель угроз остается старой. Через год-два она уже не отражает реальную картину.
• Ошибки в определении уровня защищенности. Есть четкие требования закона: для разных типов данных нужен свой уровень защиты. Если его занизить (например, посчитать, что достаточно минимума для особых категорий данных), система будет уязвима. Если завысить — потратите лишние деньги на ненужные меры.
• Отсутствие контроля за эффективностью защиты. Часто модель угроз создают, утверждают — и забывают. Никто не смотрит, действительно ли сотрудники соблюдают правила, не появились ли новые дыры в ПО, не изменились ли тактики хакеров. Без регулярной проверки защита превращается в картонную.

Как упростить работу над моделью угроз

Создать систему защиты персональных данных с нуля — непростая задача. Нужно разобраться в законах, продумать архитектуру, подобрать средства защиты, все настроить и проверить. На это уходит много времени и денег.

Но есть более простой путь — воспользоваться готовыми облачными решениями. Они уже созданы с учетом всех требований закона, поэтому вам не придется проходить весь путь самостоятельно.

Один из таких сервисов — «Рег.Облако». Это облачная платформа, где можно хранить и обрабатывать персональные данные безопасно и законно. Она соответствует всем нормам, включая самые строгие требования к защите информации.

Что это значит для бизнеса? Вам больше не нужно придумывать, как должна выглядеть ваша система защиты, искать и покупать программы для защиты данных, а также тратить месяцы на настройку и внедрение разных компонентов.

Провайдер уже позаботился о безопасности инфраструктуры — закрыл многие уязвимости и подтвердил соответствие требованиям регуляторов. Поэтому ваша задача становится проще:

• модель угроз получается короче — ведь часть рисков берет на себя провайдер;
• расходы снижаются — не надо тратиться на покупку и обслуживание защитных программ;
• работы меньше — не требуется внедрять множество технических и организационных мер самостоятельно.

Для компаний, которые работают с чувствительными персональными данными и не хотят вкладываться в сложную и дорогую систему ИБ, облачные решения позволяют сосредоточиться на основной работе. При этом требования законодательства выполняются, а риски утечки и нарушений остаются под контролем.

Заключение

Таким образом, модель угроз безопасности персональных данных — не формальный документ, а важный инструмент реальной защиты информации. Ее нельзя брать из интернета или копировать из прошлых проектов: чтобы модель работала, ее необходимо адаптировать под конкретную организацию, ее данные, процессы и риски.

Грамотно составленная модель позволяет:

• увидеть реальные уязвимости системы;
• понять, кто и как может атаковать;
• выбрать именно те меры защиты, которые нужны именно вам;
• соблюсти требования закона без лишних затрат.

Важно помнить, что модель угроз — не разовый документ. Ее необходимо регулярно пересматривать и актуализировать. Только так модель останется действенным инструментом, который реально защищает персональные данные, а не просто лежит в папке с документами.

Для эффективной реализации модели угроз можно применять современные облачные платформы и специализированные защищенные решения, такие, как Облако ФЗ-152 от Рег.облако. Они позволяют сократить перечень актуальных технических угроз за счет ответственности провайдера за базовую инфраструктуру, чтобы компания могла сосредоточиться на прикладных рисках и организационных мерах. Также «Облако ФЗ-152» помогает устранять разные типы угроз за счет своей архитектуры: например, оно построено на сертифицированных компонентах с гарантией отсутствия недокументированного кода, что снижает исходный уровень угроз для размещенных в нем ИСПДн и минимизирует риски, связанные с угрозами первого типа.

FAQ

Что должна содержать модель угроз безопасности персональных данных?

Согласно методическими рекомендациями ФСТЭК России, модель угроз должна включать следующие элементы:

• вступительную часть с титульным листом, аннотацией, содержанием и перечнем используемых сокращений;
• общие положения, в которых определяются цель документа, область применения, нормативная база и организационные сведения;
• описание информационной системы персональных данных, включая ее назначение, границы, архитектуру и типы обрабатываемых данных;
• основные параметры модели угроз, отражающие принципы анализа, исходный уровень защищенности и критерии актуальности угроз;
• модель нарушителя, описывающую категории потенциальных злоумышленников, их возможности, доступы и ресурсы;
• классификацию угроз безопасности персональных данных и перечень возможных каналов утечки информации;
• описание уязвимостей, представленное в виде классов уязвимостей, характерных для данной ИСПДн;
• способы и сценарии реализации угроз, с учетом тактик и техник нарушителей;
• список актуальных угроз безопасности персональных данных, сформированный на основе анализа сценариев и исходных данных;
• выводы и обоснования, подтверждающие выбор угроз и необходимость дальнейших мер защиты.

Кто должен разрабатывать модель угроз?

Модель угроз безопасности персональных данных разрабатывает оператор персональных данных. Он несет ответственность за соблюдение требований ФЗ-152 и обеспечивает защиту персональных данных в своих информационных системах.

Как составить модель нарушителя?

Вам нужно:

• определить, какие категории нарушителей могут быть актуальны для конкретной ИСПДн;
• оценить их уровень подготовки, доступы и ресурсы;
• разделить нарушителей на внешних и внутренних;
• сопоставить возможности нарушителей с потенциальными угрозами и сценариями атак;
• исключить нереалистичные сценарии и оставить только обоснованные для данной системы.

Модель нарушителя должна отражать реальные риски для ИСПДн и использовать классификации ФСТЭК и, при необходимости, ФСБ России.

Какие методы используются для анализа уязвимостей ИСПДн?

Для анализа уязвимостей ИСПДн используются методы, которые позволяют выявить потенциальные слабые места системы без привязки к разовым инцидентам:

• аналитический анализ архитектуры ИСПДн — оценка структуры системы, компонентов, каналов передачи данных и точек доступа;
• классификация уязвимостей — описание уязвимостей по классам в соответствии с ГОСТ Р 56546-2015;
• анализ конфигураций и регламентов — проверка корректности настроек, разграничения прав доступа и организационных мер;
• экспертная оценка — использование опыта специалистов по ИБ для выявления типовых уязвимостей;
• анализ сценариев угроз — сопоставление уязвимостей с возможностями нарушителей и путями реализации угроз.

Автоматические сканеры уязвимостей могут применяться как вспомогательный инструмент, но не используются как основа модели угроз, так как их результаты быстро устаревают.

Как проводится оценка уровня исходной защищенности?

Оценка уровня исходной защищенности проводится на начальном этапе разработки модели угроз и отражает текущее состояние защиты ИСПДн на момент анализа.

В ходе оценки учитываются:

• архитектура информационной системы и ее техническая реализация;
• применяемые организационные меры защиты;
• используемые технические и программные средства защиты информации;
• разграничение прав доступа пользователей и администраторов;
• условия эксплуатации системы, включая удаленный доступ и взаимодействие с внешними системами;
• наличие и степень формализации регламентов и процедур безопасности.

Результаты оценки используются для определения актуальных угроз и выбора уровня защищенности ИСПДн в соответствии с требованиями регуляторов.