Лекция 5. Методологии моделирования угроз¶

• Содержание
• Лекция 5. Методологии моделирования угроз
  • Введение
  • Обзор международных методологий
    • STRIDE
    • PASTA
    • Сравнение методологий
  • Методика ФСТЭК
    • Исходные данные
    • Этап 1. Определение негативных последствий (п. 3)
    • Этап 2. Определение объектов воздействия (п. 4)
    • Этап 3, шаг 1. Определение источников угроз — модель нарушителя (п. 5.1)
    • Этап 3, шаг 2. Оценка способов реализации угроз (п. 5.2)
    • Этап 3, шаг 3. Формула актуальной угрозы (п. 5.3)
    • Сценарии реализации угроз и тактики ATT&CK
  • Структура документа «Модель угроз»
  • Типичные ошибки при разработке модели угроз
  • Периодичность пересмотра модели угроз
  • Автоматизация разработки модели угроз
  • Сквозной пример: модель угроз ИСПДн кадровой службы
  • Что дальше
  • Список литературы и нормативных актов

Введение¶

На предыдущих лекциях мы разобрали компоненты модели угроз по отдельности: объект информатизации, активы, угрозы, нарушитель. Теперь нужно собрать их в единый документ — модель угроз безопасности информации — по конкретной методологии.

В мировой практике существует несколько подходов: STRIDE (Microsoft), PASTA , VAST и другие. В российской регуляторной практике с 2021 года действует единая обязательная методология — Методика оценки угроз безопасности информации ФСТЭК России. Именно она является основой для всех систем, подпадающих под требования регуляторов: ГИС, ИСПДн, объекты КИИ.

Международные методологии в этой лекции рассматриваются как инструменты понимания и профессионального кругозора — они помогают глубже осмыслить процесс моделирования. Практическое применение для российских объектов — исключительно методика ФСТЭК.

Модель угроз безопасности информации — документ, представляющий собой описание систем и сетей и актуальных угроз безопасности информации, разработанный в соответствии с установленными требованиями и утверждённый руководителем организации.
(Методика ФСТЭК, п. 2.12)

Обзор международных методологий¶

STRIDE¶

STRIDE — аббревиатура шести категорий угроз, разработанная Microsoft для анализа угроз при проектировании программного обеспечения. Применяется при создании диаграмм потоков данных (DFD) и помогает систематически перебрать угрозы для каждого элемента системы.

Буква	Категория угрозы	Нарушаемое свойство	Пример
S	Spoofing (Подмена)	Аутентификация	Использование чужих учётных данных
T	Tampering (Фальсификация)	Целостность	Модификация данных в транзите
R	Repudiation (Отказ от авторства)	Неотказуемость	Отрицание факта совершённой операции
I	Information Disclosure (Утечка)	Конфиденциальность	Несанкционированное чтение данных
D	Denial of Service (Отказ в обслуживании)	Доступность	DDoS-атака
E	Elevation of Privilege (Повышение привилегий)	Авторизация	Получение прав администратора

Применение: для каждого элемента диаграммы потоков данных (процесс, хранилище, поток, внешняя сущность) аналитик задаёт вопрос: «Какие угрозы из STRIDE применимы к этому элементу?»

Ограничения для российской практики: STRIDE не учитывает российскую нормативную базу, не содержит понятий «нарушитель», «контролируемая зона», «уровень защищённости». Использование STRIDE как единственной методологии не удовлетворяет требованиям ФСТЭК.

PASTA¶

PASTA — семиэтапная риск-ориентированная методология, ориентированная на бизнес-контекст. В отличие от STRIDE (который фокусируется на технических свойствах системы), PASTA связывает угрозы с бизнес-рисками и финансовыми последствиями.

Семь этапов PASTA:

1. Определение бизнес-целей и требований к безопасности.
2. Определение технического охвата.
3. Декомпозиция и анализ приложения (DFD, компоненты).
4. Анализ угроз (на основе разведывательных данных).
5. Анализ уязвимостей и слабых мест.
6. Моделирование атак и сценариев.
7. Анализ риска и выработка контрмер.

Применение: PASTA популярна в западной практике для оценки приложений и сервисов. Полезна как концептуальный фреймворк при проектировании системы защиты.

Ограничения: как и STRIDE, не соответствует требованиям российских регуляторов в части обязательных элементов (13 видов нарушителей, уровни Н1–Н4, классификация объектов).

Сравнение методологий¶

Критерий	STRIDE	PASTA	Методика ФСТЭК 2021
Фокус	Технические свойства системы	Бизнес-риски и атаки	Антропогенные угрозы, нарушители
Обязательность в РФ	Нет	Нет	Да — для ГИС, ИСПДн, КИИ
Модель нарушителя	Отсутствует	Частично	Формализована (13 видов, Н1–Н4)
Сценарии атак	Частично	Да	Да (тактики и техники, Приложение 11)
Связь с мерами защиты	Нет	Частично	Да — прямая связь с Приказами №21, №117, №239
Инструментарий	DFD	Диаграммы атак	БДУ ФСТЭК (bdu.fstec.ru)

Методика ФСТЭК¶

Перейдём к детальному разбору алгоритма разработки модели угроз по Методике ФСТЭК 2021. Этот алгоритм состоит из трёх этапов и шести последовательных шагов.

Исходные данные¶

Прежде чем приступить к оценке, необходимо собрать исходные данные (п. 2.3 Методики):

• Описание систем и сетей: архитектура, состав компонентов, интерфейсы взаимодействия, схемы информационных потоков.
• Общий перечень угроз из БДУ ФСТЭК (bdu.fstec.ru) — на апрель 2026 года содержит 227 угроз.
• Описания векторов атак из открытых источников: CAPEC, MITRE ATT&CK, OWASP Top 10, STIX.
• Нормативные правовые акты, определяющие требования к защите конкретного типа систем.
• Результаты предыдущих аудитов, тестирований на проникновение и оценок уязвимостей (при наличии).

Этап 1. Определение негативных последствий (п. 3)¶

На первом этапе определяется: что произойдёт с организацией и гражданами, если угрозы будут реализованы?

Негативные последствия привязываются к конкретным бизнес-процессам и видам ущерба (Приложение 4 Методики):

Вид ущерба	Примеры негативных последствий
Ущерб физическому лицу	Нарушение неприкосновенности частной жизни, раскрытие ПДн, причинение вреда здоровью
Экономический ущерб оператору	Финансовые потери, штрафы, затраты на устранение последствий
Репутационный ущерб	Снижение доверия клиентов, партнёров, публичный скандал
Социальный ущерб	Нарушение прав граждан, дестабилизация общественного порядка
Ущерб государству	Нарушение обороноспособности, безопасности, государственного управления
Экологический ущерб	Нарушение функционирования объектов, влияющих на окружающую среду

Практически для каждого объекта определяется 2–5 ключевых негативных последствий. Именно они станут «якорем» при оценке актуальности угроз — угроза признаётся актуальной только если её реализация может привести к одному из определённых последствий.

Этап 2. Определение объектов воздействия (п. 4)¶

На втором этапе определяется: на что именно может воздействовать нарушитель?

Объекты воздействия рассматриваются на нескольких уровнях архитектуры (п. 4.6):

• Аппаратный уровень — серверы, АРМ, сетевое оборудование, носители.
• Системный уровень — ОС, СУБД, системы виртуализации, гипервизоры.
• Прикладной уровень — веб-приложения, бизнес-системы, API.
• Сетевой уровень — сетевые протоколы, каналы передачи данных, DNS, DHCP.
• Уровень пользователей — учётные записи, привилегированные субъекты, сессии.

Для каждого объекта определяются виды воздействия (п. 4.5): утечка конфиденциальной информации, несанкционированный доступ, нарушение целостности, отказ в обслуживании, нарушение функционирования.

Этап 3, шаг 1. Определение источников угроз — модель нарушителя (п. 5.1)¶

Этот шаг подробно разобран в Лекции 4. Здесь зафиксируем его место в общем алгоритме:

• Рассматриваем все 13 видов нарушителей из п. 5.1.3.
• Для каждого определяем: актуален ли для данного объекта (совпадение целей и возможностей)?
• Актуальным нарушителям присваиваем уровень возможностей Н1–Н4.
• Формируем таблицу актуальных нарушителей с описанием целей и доступных интерфейсов.

Этап 3, шаг 2. Оценка способов реализации угроз (п. 5.2)¶

На этом шаге для каждого актуального нарушителя с его уровнем возможностей определяется: какими конкретными способами он может реализовать угрозы?

Методика (п. 5.2.3) выделяет девять основных способов реализации угроз:

1. Использование уязвимостей — программного кода, архитектуры, конфигурации.
2. Внедрение вредоносного программного обеспечения — вирусы, трояны, RAT, ransomware.
3. Использование недекларированных возможностей — скрытые функции ПО, бэкдоры разработчиков.
4. Установка программных и программно-аппаратных закладок — в процессе поставки или обслуживания.
5. Формирование скрытых каналов передачи данных — стеганография, DNS-туннелирование, ICMP.
6. Перехват побочных электромагнитных излучений и наводок (ПЭМИН) — физический перехват сигналов.
7. Инвазивные способы доступа к информации в аппаратных средствах — зондирование, реверс-инжиниринг.
8. Нарушение безопасности при поставках — компрометация оборудования или ПО в цепочке поставок.
9. Ошибочные действия в ходе создания и эксплуатации — непреднамеренные угрозы персонала.

Способ признаётся актуальным, если уровень возможностей нарушителя позволяет его использовать И на объекте созданы условия для его реализации (наличие уязвимостей, интерфейсов доступа).

Например: способ «Перехват ПЭМИН» требует уровня Н3 и физической близости к объекту. Для коммерческой ИСПДн с актуальными нарушителями Н1–Н2, расположенной в арендованном офисе, этот способ может быть признан неактуальным — с соответствующим обоснованием.

Этап 3, шаг 3. Формула актуальной угрозы (п. 5.3)¶

Ключевой элемент Методики ФСТЭК — формализованная запись угрозы в виде четырёхкомпонентной структуры (п. 5.3.3):

УБИ_i = [Нарушитель (источник угрозы); Объект воздействия; Способ реализации; Негативные последствия]

Угроза признаётся возможной, если все четыре компонента определены и выполнены условия наличия нарушителя, объекта, способа и потенциального ущерба.

Угроза признаётся актуальной, если существует хотя бы один реализуемый сценарий её реализации (п. 5.3.4).

Сценарии реализации угроз и тактики ATT&CK¶

Сценарий — это последовательность тактик и техник, применяемых нарушителем для достижения цели. Перечень тактик и типовых техник приведён в Приложении 11 Методики ФСТЭК 2021 и фактически является адаптацией матрицы MITRE ATT&CK для российской нормативной практики.

Тактика (цель нарушителя)	Типовые техники	Соответствие MITRE ATT&CK
Получение первоначального доступа	Фишинг, эксплуатация уязвимостей публичных сервисов, компрометация цепочки поставок	Initial Access (TA0001)
Закрепление в системе	Создание учётных записей, планировщики задач, изменение автозагрузки	Persistence (TA0003)
Повышение привилегий	Эксплуатация уязвимостей ОС, злоупотребление токенами, обход UAC	Privilege Escalation (TA0004)
Сокрытие следов	Удаление журналов, отключение средств защиты, маскировка процессов	Defense Evasion (TA0005)
Получение учётных данных	Дамп памяти LSASS, кейлоггинг, атаки на Kerberos	Credential Access (TA0006)
Разведка внутри сети	Сканирование сети, перечисление объектов AD	Discovery (TA0007)
Горизонтальное перемещение	Pass-the-Hash, RDP, эксплуатация уязвимостей SMB	Lateral Movement (TA0008)
Воздействие на данные	Шифрование (ransomware), удаление, утечка	Impact (TA0040)

Важно для практики: наличие хотя бы одного реализуемого сценария — достаточное основание для признания угрозы актуальной (п. 5.3.5). Отсутствие сценариев — основание для признания угрозы неактуальной с обоснованием.

Структура документа «Модель угро绶

Рекомендуемая структура документа закреплена в Приложении 3 Методики ФСТЭК . Это не просто рекомендация — при аттестации объекта проверяющие сверяют документ именно с этой структурой.

Раздел	Содержание
1. Общие положения	Назначение модели, основания для разработки, нормативная база, перечень задействованных документов
2. Описание систем и сетей	Состав объекта, архитектура, классификация, интерфейсы взаимодействия, схема информационных потоков
3. Возможные негативные последствия	Виды ущерба и конкретные негативные последствия для данного объекта (результат Этапа 1)
4. Возможные объекты воздействия	Перечень объектов и видов воздействия по уровням архитектуры (результат Этапа 2)
5. Источники угроз	Модель нарушителя: актуальные нарушители, их категории, уровни Н1–Н4, цели, интерфейсы
6. Способы реализации угроз	Актуальные способы реализации с обоснованием; тактики и техники из Приложения 11
7. Актуальные угрозы	Итоговый перечень угроз в формате УБИ_i с описанием сценариев; обоснование неактуальных угроз

Типичные ошибки при разработке модели угроз¶

По результатам проверок ФСТЭК наиболее распространены следующие ошибки:

1. Занижение уровня возможностей нарушителя.
Аргумент «нас вряд ли атакуют» не принимается. Методика требует исходить из повышенной мотивации нарушителей.

2. Копирование всего БДУ без анализа актуальности.
Модель угроз — не перечень всех 227 угроз из БДУ, а результат анализа применительно к конкретному объекту. Неактуальные угрозы должны быть обоснованно исключены.

3. Отсутствие сценариев реализации.
Угрозы перечислены, но сценарии не описаны. Без сценария невозможно обосновать выбор конкретных мер защиты.

4. Несоответствие модели угроз реальному составу объекта.
Модель разработана для одного состава системы, а реально эксплуатируется другой (после модернизации без пересмотра модели).

5. Отсутствие обоснования для неактуальных угроз.
Угроза просто отсутствует в перечне без пояснений. Проверяющий не может понять, была ли она рассмотрена.

6. Устаревшая методологическая база.
Использование Методики 2008 года или отраслевых методик, не согласованных с Методикой ФСТЭК 2021.

Периодичность пересмотра модели угроз¶

Модель угроз — живой документ. Согласно п. 2.14 Методики, она подлежит обязательному пересмотру при:

• изменении нормативных требований ФСТЭК, ФСБ или иных регуляторов;
• существенных изменениях архитектуры или условий функционирования системы;
• выявлении новых угроз или сценариев, в том числе при включении новых угроз в БДУ ФСТЭК;
• инцидентах безопасности, свидетельствующих о реализации угроз, не предусмотренных моделью.

На практике рекомендуется проводить плановый пересмотр модели угроз не реже одного раза в год — даже при отсутствии формальных оснований, поскольку ландшафт угроз меняется постоянно.

Автоматизация разработки модели угроз¶

В 2025–2026 годах на российском рынке сложилась практика использования SGRC-платформ (Security Governance, Risk & Compliance) для автоматизированной разработки моделей угроз. Такие платформы:

• загружают актуальные угрозы из БДУ ФСТЭК автоматически;
• предлагают интерфейс для описания нарушителей, объектов, способов;
• генерируют итоговый документ в соответствии со структурой Приложения 3 Методики;
• отслеживают изменения в БДУ и оповещают о необходимости пересмотра.

Это не отменяет необходимости экспертного анализа — платформа автоматизирует рутину, но решение об актуальности каждой угрозы принимает специалист.

Сквозной пример: модель угроз ИСПДн кадровой службы¶

Соберём результаты всех предыдущих лекций в итоговую таблицу актуальных угроз.

Объект: ИСПДн кадровой службы (Лекция 1)
Активы: БД личных дел, резервные копии, учётные записи HR (Лекция 2)
Нарушители: Н1 (хакеры, HR-пользователи, бывшие сотрудники), Н2 (преступные группы, конкуренты, администраторы) (Лекция 4)

УБИ	Нарушитель	Объект воздействия	Способ реализации	Тактика / техника	Последствие	Актуальна
УБИ.001*	Н2 (преступная группа)	БД личных дел (прикладной уровень)	Использование уязвимостей веб-приложения	Initial Access → Exploit Public Application	Утечка ПДн, штраф по 420-ФЗ	Да
УБИ.002*	Н1 (HR-пользователь)	Учётные записи HR (уровень пользователей)	Ошибочные действия (фишинг)	Initial Access → Phishing	Компрометация учётной записи	Да
УБИ.003*	Н2 (администратор СУБД)	БД личных дел (системный уровень)	Злоупотребление привилегированным доступом	Collection → Data from Local System	Утечка ПДн, ущерб репутации	Да
УБИ.004*	Н2 (преступная группа)	БД + резервные копии (системный уровень)	Внедрение вредоносного ПО (ransomware)	Impact → Data Encrypted for Impact	Недоступность системы, финансовые потери	Да
УБИ.005*	Н1 (бывший сотрудник)	Учётные записи (уровень пользователей)	Использование сохранившихся учётных данных	Initial Access → Valid Accounts	Несанкционированный доступ к ПДн	Да
УБИ.006	Н4 (спецслужбы)	Все объекты	Внедрение аппаратных закладок	—	—	Нет — нет интереса спецслужб к кадровой ИСПДн
УБИ.007	Н3 (террористы)	Все объекты	Разработка специализированных эксплойтов	—	—	Нет — нет мотива

* Идентификаторы условные; в реальном документе используются коды из БДУ ФСТЭК (УБИ.XXX)

Что дальше¶

• Следующая тема: 6. СЗИ и разграничение доступа — меры защиты, выбираемые на основе актуальных угроз из модели
• Связь с аттестацией: 11. Аттестация объектов — утверждённая модель угроз является обязательным документом при аттестации
• Смежная тема курса аудита: 13. Требования ФСТЭК — аудитор проверяет соответствие реализованных мер модели угроз
• Смежная тема курса менеджмента: 5. Управление рисками — модель угроз как инструмент управления рисками

Список литературы и нормативных актов¶

• Методика оценки угроз безопасности информации ФСТЭК России (утв. 05.02.2021) — полный текст; все приложения обязательны к изучению
• Приказ ФСТЭК России №117 от 11.04.2025 — требования к ГИС (с 01.03.2026)
• Приказ ФСТЭК России №21 от 18.02.2013 — требования к ИСПДн
• Приказ ФСТЭК России №239 от 25.12.2017 — требования к значимым объектам КИИ
• БДУ ФСТЭК России — bdu.fstec.ru — 227 угроз, регулярно обновляется
• Методика анализа защищённости информационных систем ФСТЭК России (утв. 25.11.2025)
• MITRE ATT&CK — attack.mitre.org — основа Приложения 11 Методики ФСТЭК
• Shostack A. «Threat Modeling: Designing for Security» (2014) — классическое пособие по STRIDE и PASTA