# Критерии классификации угроз.  
  
Что такое модель угроз?
Модель угроз и нарушителя – это «совокупность предположений о возможных угрозах и возможностях нарушителя, которые он 
может использовать для разработки и проведения атак в рамках разрабатываемой системы».  
Для более точного понимания обратимся к нормативной документации, а именно – методике Федеральной службы по техническому 
и экспортному контролю (ФСТЭК). Получим следующее определение:  
  
Данная модель содержит перечень возможных нарушителей, которые могут скомпрометировать/навязать/испортить информацию в 
разрабатываемой системе; список угроз в соответствии с классом вашей системы и описание некоторых последствий, которые 
могут появиться, если нарушитель все-таки украдет вашу информацию.  
  
Нормативно-методическая база  
  
С моей точки зрения, необходимо сделать небольшое формальное отступление и перечислить ФЗ, которые, как раз-таки, 
регламентируют написание данного документа:  
  
-Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» 
(ред. от 09.03.2021);  
  
-Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»;  
  
-Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные 
постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119;  
  
Требования к защите автоматизированных систем управления субъектов критической информационной инфраструктуры – в 
соответствии с положениями Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной 
инфраструктуры Российской Федерации»;  
  
Вывод: если вы взялись за разработку государственной информационной системы, которая содержит коммерчески значимую 
информацию или персональные данные, которые, как ни крути, подлежат защите в соответствии с законодательством, от 
разработки модели угроз вам никуда не деться.  
  
Содержание модели угроз  
  
«Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных 
характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель 
нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и 
последствий от нарушения свойств безопасности информации».  
  
Давайте еще раз перечитаем и выделим основные моменты, которые должны быть:  
  
-описание информационной системы;  
  
-структурно-функциональные характеристики;  
  
-описание угроз безопасности;  
  
-модель нарушителя;  
  
-возможные уязвимости;  
  
-способы реализации угроз;  
  
-последствия от нарушения свойств безопасности информации.  
  
Давайте еще раз перечитаем и выделим основные моменты, которые должны быть:  
  
-описание информационной системы;  
  
-структурно-функциональные характеристики;  
  
-описание угроз безопасности;  
  
-модель нарушителя;  
  
-возможные уязвимости;  
  
-способы реализации угроз;  
  
-последствия от нарушения свойств безопасности информации.  
  
## Список литературы:  
[habr.com](https://habr.com/ru/post/704904/)