Перейти к содержанию
инструкция 21 февраля 2027 По состоянию на 21 февраля 2027

Модель угроз ИСПДн: 3 типа

Модель угроз ИСПДн — обязательный документ оператора ПДн по ст. 19 ФЗ-152 и ПП РФ №1119: без неё невозможно определить уровень защищённости и выбрать меры по Приказу ФСТЭК №21.
Три типа угроз (1, 2, 3) определяют уровень защищённости от УЗ-1 до УЗ-4. Ошибка в типе ведёт к недоукомплектованному набору мер — и к штрафу по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) при проверке РКН.
→ Если вы юрист и готовите ОРД для оператора — эта инструкция даёт последовательность шагов от классификации угроз до утверждения документа.

С 30.05.2025 за нарушение требований к техническим мерам защиты ИСПДн операторам грозит штраф по обновлённой ст. 13.11 КоАП. При повторной утечке из-за несоответствия уровня защищённости — оборотный штраф по ч. 15 до 500 млн ₽. Модель угроз — отправная точка: без неё нельзя корректно заполнить уведомление по ст. 22 ФЗ-152, назначить ответственного по ст. 22.1 и утвердить политику по ст. 18.1. Ниже — пять шагов построения модели угроз с разбором каждого типа.

Что такое модель угроз ИСПДн и зачем она нужна юристу?

Модель угроз — это документ, в котором оператор фиксирует актуальные для его информационной системы типы угроз безопасности персональных данных. Требование составить такой документ закреплено в ПП РФ №1119 от 01.11.2012: именно от типа угрозы зависит, какой уровень защищённости (УЗ-1, УЗ-2, УЗ-3 или УЗ-4) необходимо обеспечить.

Юрист участвует в этом процессе в двух ролях. Во-первых, как составитель или согласующий ОРД: модель угроз — это внутренний организационно-распорядительный документ, утверждаемый руководителем. Во-вторых, как советник при взаимодействии с РКН: инспектор при проверке запрашивает модель угроз в числе первых документов наряду с политикой по ст. 18.1 ФЗ-152 и уведомлением по Приказу РКН №180.

«ПП РФ №1119, п. 2: оператор обязан установить актуальные угрозы безопасности ПДн при их обработке в ИСПДн до определения необходимого уровня защищённости.»

Методологическую основу для составления модели угроз предоставляет ФСТЭК России. С 2022 года применяется Методика ФСТЭК (утверждена в 2021 году) — она задаёт структуру, источники угроз и порядок определения актуальности. Для целей ФЗ-152 ключевым остаётся выбор типа угрозы из трёх вариантов, предусмотренных ПП РФ №1119.

Готовите ОРД для оператора, но не уверены в правильности типа угроз?

Ошибка в типе угрозы означает неверный уровень защищённости и неполный набор мер ФСТЭК. При проверке РКН это — основание для предписания и штрафа. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений — включая модель угроз и полный пакет ОРД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите категории ПДн и число субъектов в ИСПДн

До выбора типа угрозы необходимо зафиксировать два параметра, которые вместе с типом угрозы задают уровень защищённости по ПП РФ №1119.

Категория ПДн: специальные (ст. 10 ФЗ-152: здоровье, судимость, вероисповедание и др.), биометрические (ст. 11 ФЗ-152: изображение, голос), иные общедоступные, прочие. Специальные категории при любом типе угрозы дают уровень защищённости не ниже УЗ-3.

Число субъектов: пороговое значение — 100 000. ИСПДн с данными более 100 000 субъектов при угрозах типа 3 требует УЗ-3; менее 100 000 — УЗ-4 (для общих категорий). Зафиксируйте оба параметра в текстовом поле модели угроз до перехода к классификации.

Шаг 2. Разберитесь, что означает каждый из 3 типов угроз

ПП РФ №1119 различает три типа угроз по источнику возможного несанкционированного доступа к ПДн:

  • Угрозы 1-го типа — актуальны, если в системном программном обеспечении ИСПДн присутствуют незадокументированные (недекларированные) возможности. Это наиболее строгий вариант: он предполагает, что угроза исходит из самой операционной системы или базового ПО (гипервизор, BIOS/UEFI). Уровень защищённости при угрозах типа 1 — всегда УЗ-1 (для специальных ПДн) или УЗ-2 (для иных категорий с числом субъектов >100 000).
  • Угрозы 2-го типа — актуальны, если недекларированных возможностей в системном ПО нет, но они присутствуют в прикладном программном обеспечении ИСПДн. Под прикладным ПО понимаются СУБД, веб-приложения, серверное ПО, ERP-системы и аналогичные продукты. Уровень защищённости — УЗ-1 или УЗ-2 в зависимости от категории ПДн.
  • Угрозы 3-го типа — актуальны, если недекларированных возможностей нет ни в системном, ни в прикладном ПО. Это базовый (наименее строгий) вариант, применимый для большинства типовых корпоративных ИСПДн. Уровень защищённости — УЗ-3 или УЗ-4.

На практике большинство коммерческих операторов обоснованно выбирают угрозы 3-го типа. Выбор угроз 1-го или 2-го типа требует технического обоснования: для этого проводится анализ программного стека ИСПДн с привлечением специалиста ИБ.

«ПП РФ №1119, п. 6–9: уровень защищённости определяется оператором самостоятельно на основании типа угроз, категории ПДн и числа субъектов. Таблица соответствия утверждена в приложении к Постановлению.»

Шаг 3. Обоснуйте актуальность выбранного типа угроз

Выбор типа угроз должен быть документально обоснован — иначе при проверке РКН инспектор вправе поставить под сомнение весь пакет технических мер. Обоснование включает три элемента.

Инвентаризация программного стека. Составьте перечень системного и прикладного ПО ИСПДн. Для каждого компонента зафиксируйте: наличие сертификата ФСТЭК (или его отсутствие), версию, наличие поддержки производителем. Несертифицированное отечественное или зарубежное ПО — аргумент в пользу угроз 2-го типа.

Заключение специалиста ИБ. Технический специалист подтверждает письменно, что в системном (и/или прикладном) ПО отсутствуют известные недекларированные возможности, которые могут быть использованы для несанкционированного доступа к ПДн. Этот документ является приложением к модели угроз.

Ссылка на Методику ФСТЭК. В тексте модели угроз необходимо сослаться на применённую методологию. Действующий документ — Методика моделирования угроз безопасности информации, утверждённая ФСТЭК России в 2021 году. Она описывает порядок идентификации угроз, нарушителей и сценариев реализации.

Как определить уровень защищённости после выбора типа угроз?

После выбора типа угроз уровень защищённости определяется по матрице ПП РФ №1119. Ниже — основные сочетания, актуальные для коммерческих операторов:

  • Специальные ПДн + угрозы 3-го типа + более 100 000 субъектов → УЗ-2
  • Специальные ПДн + угрозы 3-го типа + менее 100 000 субъектов → УЗ-3
  • Прочие (общие) ПДн + угрозы 3-го типа + более 100 000 субъектов → УЗ-3
  • Прочие (общие) ПДн + угрозы 3-го типа + менее 100 000 субъектов → УЗ-4
  • Любые ПДн + угрозы 1-го или 2-го типа → минимум УЗ-2, при специальных — УЗ-1

Определённый уровень защищённости фиксируется в тексте модели угроз и становится основанием для подбора конкретных мер по Приказу ФСТЭК №21. При УЗ-4 достаточен базовый набор из 15 групп мер; при УЗ-1 реализуются усиленные требования по каждой группе (ИАФ, УПД, ОПС, ЗНИ, РСБ и другим).

Что подготовить для модели угроз и пакета ОРД

  • Перечень ИСПДн с указанием категорий ПДн и числа субъектов (основа для классификации по ПП РФ №1119)
  • Инвентаризационный список системного и прикладного ПО с версиями и сертификатами ФСТЭК
  • Заключение специалиста ИБ об отсутствии недекларированных возможностей (приложение к модели угроз)
  • Утверждённая модель угроз с зафиксированным типом угроз и уровнем защищённости
  • Политика обработки ПДн по ст. 18.1 ФЗ-152 с разделом о мерах защиты, согласованная с моделью угроз

Шаг 4. Встройте модель угроз в пакет ОРД оператора

Модель угроз — не самостоятельный документ, а часть системы ОРД. Её содержание должно быть согласовано с пятью другими обязательными документами.

Политика обработки ПДн (ст. 18.1 ФЗ-152). Раздел о мерах защиты в политике должен ссылаться на уровень защищённости, определённый в модели угроз. Если в политике указан УЗ-4, а фактически применяются меры УЗ-3, это расхождение инспектор РКН зафиксирует как нарушение.

Уведомление в реестр РКН (ст. 22 ФЗ-152, Приказ РКН №180). В форме уведомления есть поле о применяемых мерах защиты — оно заполняется на основании уровня защищённости из модели угроз. Неуведомление или несоответствие данных реестра — штраф по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).

Приказ о назначении ответственного (ст. 22.1 ФЗ-152). Ответственный за организацию обработки ПДн должен быть в числе лиц, согласовавших модель угроз. Квалификационные требования к ответственному закреплены в ч. 4 ст. 22.1 ФЗ-152.

Согласие субъектов (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). С 01.09.2025 согласие оформляется отдельным документом. Его форма должна соответствовать перечню ПДн, зафиксированному в модели угроз как обрабатываемые данные ИСПДн.

Регламент реагирования на инциденты. Модель угроз описывает сценарии реализации угроз — они служат основой для описания инцидентных сценариев в регламенте и для 24-часового уведомления РКН по ч. 3.1 ст. 21 ФЗ-152.

Если вы юрист и готовите уведомление РКН по ст. 22 ФЗ-152 — модель угроз нужна до подачи: без неё невозможно корректно заполнить раздел о мерах защиты. Неверное заполнение = штраф по ч. 10 ст. 13.11 КоАП. Специалисты DATUM соберут ОРД под ключ, включая модель угроз и уведомление.

Собрать ОРД под ключ

Шаг 5. Утвердите модель угроз и установите порядок её актуализации

Модель угроз утверждается руководителем организации или иным уполномоченным лицом. Приказ об утверждении должен содержать указание на дату вступления в силу и периодичность пересмотра.

Плановая актуализация проводится не реже одного раза в три года, а также при наступлении следующих событий: существенное изменение программного стека ИСПДн (замена ОС, переход на новую СУБД, подключение облачного хранилища); расширение перечня обрабатываемых категорий ПДн; инцидент с несанкционированным доступом к ПДн; изменение нормативных требований (новый приказ ФСТЭК, поправки в ПП РФ №1119).

Факт актуализации фиксируется в листе согласования с датой и подписями ответственного по ст. 22.1 ФЗ-152 и технического специалиста ИБ. Устаревшая версия модели угроз хранится в архиве с отметкой «аннулирована».

Типовые ситуации из практики

Ситуация 1. Оператор выбрал угрозы 3-го типа без технического обоснования. Ситуация: средний ритейлер заполнил модель угроз на основе шаблона из интернета, указав тип 3 без перечня ПО и заключения специалиста ИБ. При внеплановой проверке инспектор РКН запросил обоснование. Документов не оказалось. Доказательства: отсутствие инвентаризации ПО и подписи технического специалиста. Вероятный исход: предписание об устранении нарушения и штраф по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Стратегия: составить инвентаризацию и получить заключение ИБ-специалиста до проверки; хранить документы не менее трёх лет.

Ситуация 2. Модель угроз не согласована с уведомлением в РКН. Ситуация: юридическая компания указала в уведомлении по Приказу РКН №180 меры защиты, соответствующие УЗ-4, однако модель угроз фактически определяла УЗ-3 (специальные ПДн работников). Расхождение выявлено при плановой проверке. Доказательства: сопоставление текста уведомления и модели угроз. Вероятный исход: предписание и протокол по ч. 1 ст. 13.11 КоАП. Стратегия: перед подачей уведомления сверить его с утверждённой моделью угроз; при изменении категорий ПДн одновременно обновлять оба документа через портал pd.rkn.gov.ru.

Ситуация 3. Модель угроз не актуализирована после перехода на облачный сервис. Ситуация: IT-компания перенесла ИСПДн в облако зарубежного провайдера, не обновив модель угроз и не уведомив РКН о трансграничной передаче по ст. 12 ФЗ-152. При проверке это квалифицировано как нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и несоответствие фактической обработки уведомлению. Доказательства: данные трафика и договор с облачным провайдером. Вероятный исход: штраф по ч. 8 ст. 13.11 КоАП (1–6 млн ₽) за нарушение локализации. Стратегия: любое изменение инфраструктуры ИСПДн — триггер для немедленной актуализации модели угроз и сверки с уведомлением в реестре РКН.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156), уведомление в реестр РКН по Приказу №180, модель угроз с определённым уровнем защищённости по ПП РФ №1119, перечень мер защиты по Приказу ФСТЭК №21, инструкции для работников и регламент реагирования на инциденты. Отсутствие любого из этих документов при проверке РКН фиксируется как нарушение.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, перечисленные в ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, перечень операций, меры защиты (со ссылкой на уровень защищённости из модели угроз), порядок реализации прав субъектов, сведения об ответственном по ст. 22.1. Политика публикуется в открытом доступе — на сайте или при входе в помещение, где ведётся обработка. Отсутствие публикации — штраф по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽).

3. Кого назначить ответственным по ст. 22.1?

Ответственным за организацию обработки ПДн может быть штатный сотрудник или внешний специалист (DPO-аутсорсинг). Требования к квалификации закреплены в ч. 4 ст. 22.1 ФЗ-152: лицо должно обладать знаниями в области законодательства о ПДн. Ответственный оформляется приказом руководителя. Его функции — контроль соблюдения 152-ФЗ, взаимодействие с РКН, ответы на запросы субъектов в течение 10 рабочих дней по ст. 20 ФЗ-152.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников можно использовать как структурную основу, но не как готовый документ. Проблема типовых шаблонов — несоответствие фактическим целям и составу обработки конкретного оператора. РКН при проверке сопоставляет политику с реальной практикой обработки и с уведомлением в реестре. Расхождение между политикой и фактической обработкой квалифицируется по ч. 1 ст. 13.11 КоАП. Шаблон необходимо адаптировать под конкретную ИСПДн, категории ПДн и уровень защищённости из модели угроз.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн оформляется исключительно отдельным документом — его нельзя включать в текст трудового договора, оферты, политики конфиденциальности или иного документа (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок и способ отзыва. Согласия, полученные до 01.09.2025 в составе иных документов, переоформлять не требуется — обратной силы норма не имеет. Новые согласия с указанной даты — только отдельным документом.

6. Что проверяет РКН в части модели угроз?

При плановой и внеплановой проверке инспектор РКН запрашивает: текст модели угроз с указанием типа угроз и уровня защищённости, обоснование выбора типа угроз (инвентаризация ПО, заключение ИБ-специалиста), соответствие уровня защищённости фактически реализованным мерам по Приказу ФСТЭК №21, соответствие данных в уведомлении РКН (Приказ №180) содержанию модели угроз. Несоответствие или отсутствие документа — основание для предписания и протокола по ч. 1 ст. 13.11 КоАП.

Итог

Модель угроз ИСПДн — это не формальный документ для «галочки», а точка входа для всей системы технической защиты: от выбора уровня защищённости до конкретных мер ФСТЭК и содержания политики по ст. 18.1 ФЗ-152. Ошибка в типе угроз или отсутствие документа при проверке РКН ведёт к предписанию и штрафу, а при повторном нарушении с утечкой — к оборотному штрафу по ч. 15 ст. 13.11 КоАП.

Практика DATUM охватывает полный цикл ОРД для операторов ПДн: от разработки модели угроз и определения уровня защищённости до уведомления РКН по Приказу №180 и сопровождения при проверках. Юристы практики консультируют по взаимодействию с ФСТЭК и РКН с 2014 года.

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и ИБ. Уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн, SaaS, реагирование на утечки за 24/72 ч, ст. 272.1 УК.

21 февраля 2027 года