Примерная форма модели угроз безопасности информации (май 2025)

[указать наименование оператора,
организующего и (или) осуществляющего
обработку персональных данных]

Утверждаю [должность лица, подпись, Ф. И. О., уполномоченного утверждать положение] [число, месяц, год] М. П.

Модель угроз безопасности информации

1. Общие положения

1.1. Модель угроз безопасности информации [указать наименование системы и (или) сети] [указать наименование оператора, организующего и (или) осуществляющего обработку персональных данных] (далее - Модель угроз безопасности информации) разработана в целях реализации [указать наименование оператора, организующего и (или) осуществляющего обработку персональных данных] требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановления Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Методического документа "Методика оценки угроз безопасности информации", утвержденного Федеральной службой по техническому и экспортному контролю 5 февраля 2021 г.

1.2. Модель угроз безопасности информации применяется в [указать наименование системы и (или) сети] [указать наименование оператора, организующего и (или) осуществляющего обработку персональных данных] для решения следующих задач:

- определения требуемого уровня защищенности персональных данных;

- разработки системы защиты персональных данных;

- выбора технических и организационных мер по обеспечению безопасности персональных данных;

- проведения мероприятий по предотвращению несанкционированного доступа к персональным данным;

- [иное].

1.3. [Указать наименование оператора, организующего и (или) осуществляющего обработку персональных данных] использует для оценки угроз безопасности информации [перечислить нормативные правовые акты, методические документы, национальные стандарты].

1.4. Ответственными за обеспечение защиты информации в [указать наименование оператора, организующего и (или) осуществляющего обработку персональных данных] назначаются: [указать наименование должности, Ф. И. О./наименование подразделения].

1.5. Модель угроз безопасности информации должна поддерживаться в актуальном состоянии в процессе функционирования систем и сетей.

ГАРАНТ:

Примечание. Ведение модели угроз безопасности информации и поддержание ее в актуальном состоянии может осуществляться в электронном виде.

1.6. Изменение модели угроз безопасности информации осуществляется в случаях:

- изменения требований нормативных правовых актов Российской Федерации, методических документов Федеральной службе по техническому и экспортному контролю (далее - ФСТЭК) России, регламентирующих вопросы оценки угроз безопасности информации;

- изменений архитектуры и условий функционирования систем и сетей, режима обработки информации, правового режима информации, влияющих на угрозы безопасности информации;

- выявления, в том числе по результатам контроля уровня защищенности систем и сетей и содержащейся в них информации (анализа уязвимостей, тестирований на проникновение, аудита), новых угроз безопасности информации или новых сценариев реализации существующих угроз;

- включения в банк данных угроз безопасности информации ФСТЭК России сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации.

2. Описание систем и сетей и их характеристика как объектов защиты

2.1. Модель угроз безопасности разработана для [указать наименование систем (сетей)].

2.2. [Указать наименование систем (сетей)] имеют [указать класс защищенности], [указать категорию значимости систем (сетей)], [указать уровень защищенности персональных данных в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119].

2.3. [Указать наименование систем (сетей)] [указать наименование оператора, организующего и (или) осуществляющего обработку персональных данных] созданы и (или) функционируют в соответствии с [указать наименование и реквизиты нормативных правовых актов Российской Федерации]. [Указать наименование систем (сетей)] созданы для обеспечения [перечислить основные процессы (бизнес-процессы) обладателя оператора, для обеспечения которых создаются (функционируют) системы и сети].

2.4. [Указать наименование систем (сетей)] используются в целях [вписать нужное].

Задачами [указать наименование систем (сетей)] является: [вписать нужное].

[Указать наименование оператора, организующего и (или) осуществляющего обработку персональных данных] обрабатывается следующая информация: [указать состав обрабатываемой информации и ее правовой режим].

2.5. [Указать наименование систем (сетей)] имеют следующий состав: [вписать нужное].

[Указать наименование систем (сетей)] имеют следующую архитектуру: [указать совокупность основных структурно-функциональных характеристик, свойств, компонентов систем и сетей, воплощенных в информационных ресурсах и компонентах, правилах их взаимодействия, режимах обработки информации].

[Перечислить типы интерфейсов и взаимосвязь компонентов систем и сетей].

2.6. [Привести описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа].

ГАРАНТ:

Примечание. В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119, в состав групп пользователей включаются все пользователи, для которых требуется авторизация при доступе к информационным ресурсам, и пользователи, для которых не требуется авторизация (например, предоставлен доступ к сайту без прохождения авторизации.

2.7. [Привести описание внешних интерфейсов и взаимодействий систем и сетей с пользователями (в том числе посредством машинных носителей информации, средств ввода-вывода, веб-приложений), иными системами и сетями, обеспечивающими системами, в том числе с сетью "Интернет"].

2.8. [Указать информацию о функционировании систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры].

2.9. [Указать информацию о модели предоставления вычислительных услуг].

2.10. [Указать информацию о распределении ответственности за защиту информации между обладателем информации, оператором и поставщиком вычислительных услуг].

2.11. Условия использования [информационно-телекоммуникационной инфраструктуры центра обработки данных/облачной инфраструктуры] поставщика услуг [вписать нужное].

ГАРАНТ:

Примечание. В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119, к модели угроз безопасности информации могут прилагаться схемы и рисунки, иллюстрирующие состав и архитектуру систем и сетей, интерфейсы взаимодействия компонентов системы и сети, группы пользователей, а также другие поясняющие материалы.

3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

3.1. К рискам, которые могут наступить в результате нарушения или прекращения основных процессов, относятся: [указать виды рисков].

3.2. К негативным последствиям, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба), относятся: [вписать нужное].

4. Возможные объекты воздействия угроз безопасности информации

4.1. В обработке и хранении защищаемой информации непосредственно участвуют [указать наименования и назначение компонентов систем и сетей].

4.2. Виды воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям: [привести описание видов].

ГАРАНТ:

Примечание. В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119, к модели угроз безопасности информации может прилагаться схема с отображением объектов воздействия и их назначения в составе архитектуры систем и сетей.

5. Источники угроз безопасности информации

5.1. Нарушителями, которые могут являться источниками угроз безопасности информации, являются: [привести категории и характеристику актуальных нарушителей, которые могут являться источниками угроз безопасности информации] (далее - нарушители).

Целями реализации нарушителями угроз безопасности информации являются: [вписать нужное].

5.2. [Привести описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей].

ГАРАНТ:

Примечание. В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119, к модели угроз безопасности информации могут прилагаться рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы.

6. Способы реализации (возникновения) угроз безопасности информации

6.1. Нарушителями могут быть использованы следующие способы реализации (возникновения) угроз безопасности информации: [вписать нужное].

6.2. [Привести описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации].

ГАРАНТ:

Примечание. В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119, к модели угроз безопасности информации может прилагаться схема с отображением типов логических, физических интерфейсов объектов воздействия, в том числе требующих физического доступа к ним, а также соответствующие им способы реализации угроз безопасности информации.

7. Актуальные угрозы безопасности информации

7.1. [Указать перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей].

7.2. [Выводы об актуальности угроз безопасности информации].

ГАРАНТ:

Примечание. В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119, к модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.