ГрамотаИБ ГрамотаИБ

Модель угроз ФСТЭК и реальные угрозы малого бизнеса: как одно ложится на другое

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Как формальная модель угроз по методике ФСТЭК 2021 года практически соотносится с типичными угрозами малого бизнеса — фишингом, вредоносными вложениями, шифровальщиками и кражей денег через клиент-банк. Разбираем, кто на самом деле нарушитель для небольшой организации, какие угрозы для неё актуальны и почему грамотная, пропорциональная масштабу модель угроз обосновывает тот же практичный минимум мер, а не бюрократию ради галочки.

Небольшие организации часто воспринимают «модель угроз» как бумагу для галочки, оторванную от реальных проблем — фишинга, шифровальщиков, хищения денег через клиент-банк. На деле формальная методика ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. и практические угрозы малого бизнеса — это одно и то же, только на разном языке. Покажем, как элементы модели угроз ложатся на реальность и почему пропорциональная модель угроз обосновывает тот же практичный минимум мер.

Нужна ли малому бизнесу модель угроз

Если организация обрабатывает персональные данные в информационной системе, оператор обязан определить актуальные угрозы безопасности персональных данных, а меры защиты выбирают с учётом уровня защищённости и модели угроз (статья 19 152-ФЗ, постановление Правительства РФ №1119, приказ ФСТЭК России №21); на практике это оформляют моделью угроз или разделом в комплекте документов по защите ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.. Объём должен быть пропорционален масштабу: у типовой ИСПДн небольшого оператора часто получается уровень защищённости УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-3 или УЗ-4 (его рассчитывают по постановлению №1119 — по категории и числу субъектов и типу актуальных угроз, а не по размеру бизнеса), и модель угроз для неё компактна, без «300 страниц» с максимальным нарушителем. Её вполне можно разработать самостоятельно — порядок разбирали в статье «Модель угроз ФСТЭК пошагово».

Как элементы модели угроз ложатся на реальность

Методика ФСТЭК 2021 года описывает угрозу через несколько элементов. У каждого есть понятный практический аналог для малого бизнеса:

  • Нарушитель (источник угрозы). В методике это виды нарушителей и их возможности (потенциал — базовый, базовый повышенный, средний, высокий). Для типичной небольшой организации актуальны прежде всего внешние нарушители с базовым или базовым повышенным потенциалом: массовый фишинг, типовые вредоносные вложения, подбор паролей, эксплуатация известных уязвимостей. Плюс внутренний нарушитель — чаще по ошибке (сотрудник открыл вложение), реже умышленно. Нарушителя высокого потенциала (например, спецслужбы; целевые группы с существенными ресурсами — в зависимости от сценария среднего или высокого потенциала) для типовой ИСПДн малого бизнеса без КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ., гостайны, оборонной тематики и особо ценных массивов данных часто можно признать неактуальным — при документированном обосновании в модели.
  • Объекты воздействия. В методике — компоненты системы, на которые действует нарушитель. На практике это то, что реально атакуют: рабочее место бухгалтера и клиент-банк, корпоративная почта, учётные записи и пароли, токен электронной подписи, сервер или 1С с персональными данными, сайт, а также личные устройства сотрудников при удалённой работе.
  • Способы реализации угроз. В методике — как именно нарушитель действует. Для малого бизнеса это фишинг и социальная инженерия, вредоносные вложения, эксплуатация уязвимостей непропатченного программного обеспечения, подбор и утечка паролей, кража носителя или устройства.
  • Негативные последствия (ущерб). В методике оценивают возможный ущерб. На практике это хищение денег через клиент-банк, утечка персональных данных (штрафы и уведомление Роскомнадзора в течение 24 и 72 часов), остановка работы из-за шифровальщика, ущерб репутации.
  • Актуальность угрозы. В методике угроза актуальна, если есть возможность её реализации и возможность наступления негативных последствий (для обладателя информации, оператора, субъектов персональных данных и иных лиц). Для малого бизнеса это как раз массовые угрозы базового потенциала — а значит, и меры против них совпадают с типовым набором.

Из модели угроз следует практичный минимум мер

Когда актуальные угрозы названы честно (фишинг, вредоносное ПО, подбор паролей, кража токена, потеря данных), из них прямо вытекает набор мер — тот же, что мы советуем в статье об угрозах для малого бизнеса:

  • фишинг и социальная инженерия → обучение сотрудников и памятки, проверка платежей по второму каналу;
  • вредоносное ПО и эксплуатация уязвимостей → антивирус, своевременные обновления и управление уязвимостями (снижают риск эксплуатации известных уязвимостей, в том числе учитываемых в банке данных угроз ФСТЭК);
  • подбор и кража паролей → длинные уникальные пароли и двухфакторная аутентификация;
  • шифровальщик и потеря данных → резервное копирование с офлайн-копией;
  • кража ключа и хищение денег → защита ключа электронной подписи и выделенное рабочее место для клиент-банка.

То есть модель угроз здесь — не бюрократия, а обоснование практичного минимума: она объясняет, почему именно эти меры и именно в таком объёме.

Частая ошибка — «универсальная» модель с максимальным нарушителем

Соблазн взять готовую модель угроз с нарушителем высокого потенциала (спецслужбы, целевые атаки) кажется «безопаснее», но избыточное включение нарушителей и сценариев без обоснования приводит к выбору чрезмерных мер: под завышенного нарушителя формально требуются средства и решения, которые типичному малому бизнесу не нужны. Корректная модель угроз пропорциональна реальной системе, составу данных, возможным последствиям и актуальным способам реализации угроз; защищённость при этом зависит не от «занижения» нарушителя, а от корректности исходных данных. Это тот же принцип: платить за обоснованную защиту, а не за бумагу.

Главное

Формальная модель угроз ФСТЭК и практические угрозы малого бизнеса — про одно и то же. Нарушитель для типичной небольшой организации — внешний, базового или базового повышенного потенциала (массовые атаки, фишинг, шифровальщики); объекты воздействия — рабочее место, клиент-банк, почта, пароли, токен ЭПЭлектронная подпись — Информация в электронной форме, присоединённая к документу и подтверждающая подписанта (63-ФЗ)., 1С; способы — фишинг, вредоносные вложения, уязвимости, подбор паролей; последствия — хищение денег, утечка ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., остановка бизнеса. Из честно названных актуальных угроз вытекает практичный минимум мер: обучение, 2FA, антивирус и обновления, резервные копии, защита ключей. Модель угроз стоит делать пропорционально масштабу (уровень защищённости — по постановлению №1119): она обосновывает нужные меры, а избыточный, необоснованный нарушитель лишь раздувает затраты.

Частые вопросы

Нужна ли модель угроз малому бизнесу?

Если организация обрабатывает персональные данные в информационной системе, оператор обязан определить актуальные угрозы, а меры выбирают с учётом уровня защищённости и модели угроз (статья 19 152-ФЗ, постановление Правительства РФ №1119, приказ ФСТЭК России №21). Объём делают пропорционально масштабу: у типовой ИСПДн небольшого оператора часто выходит уровень защищённости УЗ-3 или УЗ-4 (его рассчитывают по постановлению №1119, а не по размеру бизнеса), модель для неё компактна и её можно разработать самостоятельно.

Как формальная модель угроз связана с реальными угрозами вроде фишинга и шифровальщиков?

Это одно и то же на разном языке. Нарушитель, объекты воздействия, способы реализации и негативные последствия из методики ФСТЭК — это и есть фишинг, вредоносные вложения, кража паролей и денег, только описанные формально. Честно названные актуальные угрозы прямо обосновывают практичный минимум мер: обучение, 2FA, антивирус и обновления, резервные копии, защита ключей.

Нужно ли брать нарушителя высокого потенциала (спецслужбы, целевые атаки)?

Для типичного малого бизнеса — как правило, нет. Актуальны внешние нарушители базового или базового повышенного потенциала: массовый фишинг, типовые вредоносные вложения, подбор паролей, эксплуатация известных уязвимостей. Нарушителя высокого потенциала (спецслужбы, целевые группы) для типовой ИСПДн без КИИ, гостайны и особо ценных данных часто можно признать неактуальным — при документированном обосновании. Избыточное включение нарушителей без обоснования лишь ведёт к чрезмерным мерам и затратам.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Модель угроз ФСТЭК пошагово: как разработать по методике 2021 года

Пошаговый порядок разработки модели угроз безопасности информации по методике ФСТЭК России 2021 года: от определения негативных последствий и объектов воздействия к оценке нарушителей, способам и сценариям реализации угроз и определению их актуальности. Что использовать (Банк данных угроз, УБИ), как оформить и когда актуализировать модель.

Что такое СЗИ простыми словами: виды, классы и сертификация ФСТЭК

Простое объяснение, что такое средства защиты информации (СЗИ): чем они отличаются от криптосредств (СКЗИ), какие бывают виды (межсетевой экран, антивирус, система обнаружения вторжений, средство защиты от несанкционированного доступа), что такое сертификация и уровни доверия ФСТЭК и когда обязательно применять именно сертифицированные средства.

Управление уязвимостями по ФСТЭК: БДУ, процесс и почему обновление стало риском

Как построить процесс управления уязвимостями (vulnerability management) по требованиям ФСТЭК: анализ уязвимостей как мера защиты (АНЗ в приказе №21, АУД в приказе №239), Банк данных угроз (БДУ), методический документ ФСТЭК 2023 года. Пошаговый процесс — инвентаризация, мониторинг, оценка критичности, устранение и контроль — и почему в текущих условиях само обновление ПО стало отдельным риском.

Импортозамещение СЗИ и ПО: запрет иностранного, реестр отечественного и что делать оператору

Кого и с каких сроков касается запрет иностранных средств защиты информации и программного обеспечения: Указ Президента №250 (СЗИ из недружественных государств), Указ №166 и 187-ФЗ (иностранное ПО на значимых объектах КИИ), реестр российского ПО и госзакупки. Практические шаги для оператора по переходу на отечественные сертифицированные решения.