Типичные ошибки при разработке модели угроз и методы их предотвращения

Модель угроз — это фундаментальный документ, на основе которого строится вся система информационной безопасности организации. От качества её разработки зависит выбор средств защиты, проектирование технических решений и обоснование затрат на обеспечение безопасности.

🎯 Типичные ошибки в процессе разработки

При создании модели угроз организации часто допускают серьёзные ошибки, которые можно систематизировать следующим образом:
📎 Формальный подход к составлению документа без учёта специфики конкретной организации
📎 Некорректное определение границ защищаемой информационной системы
📎 Пренебрежение новыми объектами защиты, особенно в сфере облачных сервисов
📎 Абстрактное описание угроз без привязки к реальным активам организации
📎 Механическое копирование угроз из базы данных без необходимой адаптации
📎 Отсутствие оценки возможностей потенциальных нарушителей
📎 Игнорирование требований нормативных документов ФСТЭК

⚠️ Как избежать типичных ошибок

Для предотвращения этих проблем необходимо придерживаться следующих принципов:
Прежде всего, важно тщательно изучить нормативную базу, включая приказы ФСТЭК №17, 21, 31 и 239, которые формируют основу для разработки модели. Кроме того, рекомендуется:
✅ Провести детальный аудит существующей инфраструктуры
✅ Привлечь профильных экспертов для объективной оценки
✅ Учитывать отраслевую специфику организации
✅ Регулярно обновлять модель при изменении условий
✅ Вести систематическую работу по исправлению выявленных недочётов
✅ Внедрять автоматизированные инструменты моделирования

Поддержание актуальности модели

Для сохранения эффективности модели необходимо регулярно обновлять её в следующих случаях:
📌 При изменении архитектуры информационной системы
📌 При выявлении новых угроз безопасности
📌 При обновлении базы данных угроз ФСТЭК

Правильно разработанная модель угроз становится не просто формальным документом, а живым инструментом для оценки рисков, планирования защитных мер и управления инцидентами.

Она помогает организации понимать актуальные угрозы, эффективно управлять уязвимостями и выстраивать грамотную коммуникацию с руководством по вопросам информационной безопасности.

Объект КИИ не попал в новый перечень? Алгоритм действий для ИБ-специалиста

В свете планируемого вступления в силу новых Правил категорирования и уже опубликованного Перечня типовых отраслевых объектов КИИ многие ИБ-специалисты проводят предварительный анализ. Его цель — проверить, сохранится ли статус ранее категорированных объектов. Если ваш объект не соответствует ни одному типовому из нового перечня, важно заранее понять план действий.

📌 Ожидаемые изменения: два пути отнесения к КИИ

Согласно проекту новой редакции Правил категорирования, для присвоения статуса объекта КИИ будут актуальны два критерия:

1. Наличие в перечне: Ваш объект прямо указан в утвержденном Правительством РФ перечне типовых отраслевых объектов КИИ.

2. Соответствие критериям значимости: Вашего объекта нет в перечне, но масштаб возможных последствий от инцидента на нем соответствует установленным показателям критериев значимости.

🎯 Что делать, если ваш объект не проходит по первому критерию?

Рекомендуемый алгоритм подготовки:

👉 Глубокий предварительный анализ.
Внимательно проверьте, будет ли соответствовать ваш объект второму критерию по новым правилам. Проанализируйте масштаб возможных последствий инцидента по утвержденным показателям. Если соответствует — проводите категорирование на общих основаниях.

👉 Если не соответствует ни одному критерию:
После вступления в силу новых правил ваша постоянно действующая комиссия по категорированию должна будет:

📎 Принять решение об отсутствии необходимости присвоения объекту КИИ одной из категорий значимости;
📎 Направить сведения об отсутствии необходимости присвоения объекту КИИ одной из категорий значимости в ФСТЭК России. Содержание сведений регламентируется п. 17 ПП № 127 от 08.02.2018.

⚖️ Нормативная база:
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — основа основ.
- Постановление Правительства РФ от 08.02.2018 № 127 — действующая редакция Правил категорирования и критериев значимости.
- Приказ ФСТЭК России от 25.12.2023 № 239 — утверждает Требования по обеспечению безопасности значимых объектов КИИ
- Проект постановления Правительства РФ о внесении изменений в Правила категорирования (находится на обсуждении, но отражает текущий вектор регулирования).

⚠️ Почему важно готовиться заранее?
Запаздывание с приведением документов в соответствие с новыми требованиями — это прямой риск для компании. Наличие в реестре объекта, не отвечающего новым критериям, после их вступления в силу с высокой вероятностью приведет к предписаниям и штрафам при первой же проверке регулятора.

Если вам нужна помощь или консультация по категорированию объектов КИИ, наши специалисты всегда готовы помочь:
☎️ (8152) 692702 (Мурманск)
☎️ (812) 6795008 (Санкт-Петербург)
📧 info@it-pole.ru

Вебинар партнера: Обеспечение технологического суверенитета муниципальных систем исполнения бюджета

📅 25 ноября 2025
⏳ 09:00 (Мск)

Как муниципальным образованиям выстроить цифровое управление бюджетом в новых реалиях? Наш партнер, компания «Кейсистемс», проводит бесплатный вебинар, где разберет самые актуальные вызовы:

📌 Причины и предпосылки импортозамещения как нормативные, так и технологические
📌 Практика перевода на российское системное программное обеспечение. Пошаговая реализация: от аудита текущей ИТ-инфраструктуры и выбора российской ОС и СУБД до миграции данных, настройки интеграций и подготовки к аттестации
📌 Централизация исполнения бюджета и бухгалтерского учета в муниципальных образованиях с применением ПК «КС Смета»

Спикеры — ведущие эксперты «Кейсистемс» с огромным практическим опытом.

Не упустите шанс получить работающие инструкции! Регистрируйтесь по ссылке: https://eventks.keysystems.ru/Main/EventRegister/2375

Роскомнадзор предлагает отказаться от индивидуальных согласий на обработку ПД

Роскомнадзор выступил с инициативой кардинально изменить подход к обработке персональных данных в России.

➡️ Суть предложения
Ведомство планирует заменить массовый сбор индивидуальных согласий на отраслевые стандарты. Это значит:
👉 Для каждой сферы (туризм, образование, финансы и др.) создадут единые правила обработки ПД.
👉 Не нужно будет получать отдельное согласие под каждую операцию.

➡️ Почему это важно?
По словам главы Роскомнадзора Андрея Липова, нынешняя система стала слишком громоздкой. Это создаёт двойную проблему: бизнес тонет в бюрократии, а люди не могут отслеживать судьбу своих данных.

Пока предложение находится на стадии обсуждения.

💡 Мнение наших экспертов:
Это системное изменение, похожее на внедрение 152-ФЗ. Компаниям, которые заранее проанализируют свои потоки данных и категории ПДн, будет значительно проще пройти переходный период без лишних затрат.

Обсудим?
Как вы оцениваете эту инициативу? С какими сложностями, по-вашему, столкнутся компании при таком переходе?

______________________
Источник: d-russia.ru

#ПерсональныеДанные #152ФЗ #ИнформационнаяБезопасность #ИТ #ИТКонсалтинг

Штрафы за отказ от импортозамещения ПО: что делать бизнесу уже сегодня?

На прошедшем CNews Forum министр цифрового развития Максут Шадаев расставил все точки над i: период мягкого адаптивного импортозамещения для критической информационной инфраструктуры (КИИ) подходит к концу. Минцифры готовит законопроект, вводящий ежегодные оборотные штрафы для компаний, не перешедших на отечественное ПО на значимых объектах КИИ к 1 января 2028 года.

Давайте разберемся по пунктам, что это значит:

📅 Дедлайн: 1 января 2028 года — основной срок перевода значимых объектов КИИ на российский софт.

⚖️ Штрафы: Будут накладываться как за сам непереход, так и за отсутствие классификации объектов КИИ. Суммы уточняются, но принцип — ежегодная выплата.

🔄 Что такое «оборотный штраф»? Это значит, что у компании теоретически будет выбор: переходить на отечественное ПО или продолжать использовать иностранное, но ежегодно платить штраф. Однако, как показывают расчеты, в большинстве случаев переход будет экономически выгоднее.

📈 Отсрочки возможны! Законопроект предусматривает гибкость. Например, если ваша компания готова разрабатывать недостающее решение, можно получить отсрочку до 2030 года.

Ожидание окончательного утверждения размера штрафов — это стратегическая ошибка.
Вот три причины, почему подготовку к переходу нужно начинать уже сейчас:
👉 Чтобы избежать «штрафной» нагрузки в будущем.
👉 Чтобы спокойно и планомерно оценить российские аналоги, которые часто требуют доработки под специфику бизнеса.
👉 Чтобы успеть классифицировать объекты КИИ — без этого первый штраф может прийти еще до 2028 года.

Мы предлагаем комплексный подход:
✅ Аудит и классификация ваших объектов КИИ.
✅ Подбор российских решений, оптимальных по цене и функционалу.
✅ Разработка дорожной карты перехода

Не откладывайте на завтра то, что обеспечит безопасность и независимость вашего бизнеса послезавтра.

#импортозамещениеПО #КИИ #ИТбезопасность #бизнесуназаметку #новостиИТ

Дорогие клиенты!

Поздравляем вас с Днем бухгалтера!
Ваша работа — это искусство находить баланс там, где другие видят хаос цифр. Пусть каждый новый проект становится ступенью к новым вершинам, а профессиональные навыки открывают двери к интересным возможностям.

Желаем, чтобы отчёты сдавались легко, проверки проходили гладко, а жизнь за пределами офиса была наполнена яркими впечатлениями.

Пусть удача сопутствует вам во всём — и в работе, и в личных делах!

С праздником!
Команда ГК «IT Полюс»

Актуализируем процедуру категорирования КИИ: Разбор ключевых изменений от 7 ноября

7 ноября 2025 года вступили в силу поправки в Правила категорирования объектов критической информационной инфраструктуры (КИИ), утверждённые Постановлением Правительства № 127. Эти изменения носят обязательный характер и требуют от субъектов КИИ пересмотра внутренних процессов.

Что изменилось в правилах?

📍 Смещение фокуса с процессов на типовые объекты. Теперь отправной точкой для категорирования являются типовые отраслевые объекты КИИ, а не критические процессы. Это упрощает классификацию, однако, даже если объект не входит в типовой перечень, но соответствует показателям значимости, он подлежит обязательному категорированию.

📍Учёт отраслевой специфики. Ожидается утверждение отдельных отраслевых особенностей процедуры категорирования, что повысит точность оценки рисков.

📍Обновление показателей значимости. Добавлены новые и изменены наименования существующих показателей критериев значимости объектов КИИ.

Ваши действия:

✒️ Обновить внутреннюю документацию (Положение о комиссии, Акт категорирования и пр.).
✒️ Провести повторное категорирование объектов КИИ в соответствии с новыми правилами.
✒️ Уведомить ФСТЭК России о новых объектах или изменении категории существующих.

АльфаДок уже соответствует новым требованиям

Продукт «АльфаДок» оперативно адаптирован под обновлённые правила. Разработчики обеспечили готовое решение для быстрого и легитимного прохождения процедуры:

✅ Актуальные показатели критериев значимости.
✅ Новые атрибуты объектов КИИ: доменное имя и сетевой адрес.
✅ Обновлённые шаблоны документов (Положение о комиссии, Акт, Сведения по форме №236).
✅ Учтено, что сведения о критических процессах теперь необязательны.

⚠️ Важно: В пункте 1.7 формы №236 пока стоит прочерк (ждём те самые типовые перечни).

Рекомендация: Используйте «АльфаДок» для проведения перекатегорирования. Это позволит вам выполнить требования законодательства с минимальными затратами времени и ресурсов.

#КИИ #ИБ #Импортозамещение #АльфаДок #ИнформационнаяБезопасность #ИТКонсалтинг

Разрозненные данные в ВУЗе? Есть решение!

Современный ВУЗ — это сложный механизм. Приемная кампания, учебный процесс, финансы, кадры, инфраструктура... Как собрать данные из всех этих направлений в единую картину для принятия решений?

Мы предлагаем решение, которое закроет эти вопросы.

Модуль «КС Аналитика. Университет» — мощный аналитический инструмент от наших партнеров, компании «Кейсистемс».

Система собирает информацию со всех уголков университета и предоставляет руководству наглядные отчеты и аналитику в реальном времени.

Кому будет полезно?

📌 Руководителям вуза: для контроля эффективности и стратегического планирования.
📌 Приемной комиссии: для анализа потока абитуриентов и результатов маркетинга.
📌 Экономистам и кадровикам: для управления финансами, закупками и персоналом.
📌 Деканатам: для мониторинга успеваемости и вовлеченности студентов.
📌 Службам инфраструктуры: для контроля за ресурсами и обеспечения доступной среды.

Что вы получаете?
✔️ Единое окно для всех управленческих данных университета.
✔️ Автоматизацию сбора отчетности и визуализацию ключевых показателей.
✔️ Полный контроль над образовательной, финансовой и научной деятельностью.
✔️ Эффективное управление ресурсами и развитие материальной базы.

Сделайте ваше управление университетом прозрачным, эффективным и основанным на данных.

Решение включено в реестр ПО (№ 8293).

Запишитесь на демонстрацию у наших менеджеров:
📞 (8152) 692702 (Мурманск)
📞 (812) 6795008 (Санкт-Петербург)
📧 keysystems@it-pole.ru

#УправлениеВузом #ЦифроваяТрансформация #АналитикаДляРуководителя #ИТКонсалтинг #Кейсистемс #ИмпортозамещениеПО #ОтечественноеПО

Экосистема «Альфа» обновляется! Новый месяц — новая версия «АльфаДок» и улучшения для всей линейки.

Друзья, наши партнёры из «Кейсистемс» выпустили очередное обновление для Экосистемы «Альфа». Мы, как официальный партнёр, спешим рассказать о ключевых улучшениях, которые сделают вашу работу с инструментами ИБ и импортозамещения ещё эффективнее.

🌟 Главная новость месяца: «АльфаДок» теперь соответствует актуальным требованиям ФСТЭК!

В новой версии приложения реализованы критически важные изменения:

✅ Соответствие новой методике ФСТЭК: «АльфаДок» обеспечивает выполнение самой последней редакции Методики оценки показателя Кзи (утверждена 11 ноября 2025 г.). Все регламенты, показатели и их значения актуализированы.

✅ Автоматизация рутины: Реквизиты приказа о комиссии по категорированию теперь автоматически подставляются в Акт категорирования объекта КИИ при его генерации.

✅ Детализированная отчётность: В Технический паспорт объекта информатизации добавлены сведения о модели технических средств.

✅ Наглядное управление задачами: В модуле управления задачами появились новые столбцы со статусами, где отображается количество задач в каждом из них. Порядок и видимость столбцов можно гибко настраивать.

📈 Общие улучшения для Экосистемы Альфа («АльфаКрипто», «АльфаКоннект», «АльфаРеестр»):

- Умный экспорт: Таблицы выгружаются в Excel именно в том порядке, в котором вы их отсортировали.

- Автоматизация: Приложения автоматически проверяют статус организаций по ЕГРЮЛ и уведомляют пользователей о ликвидации контрагента.

- Удобство: Упрощена работа с виджетами и массовое удаление данных о сотрудниках.

🔐 А вот что нового в каждом из других приложений:

«АльфаРеестр»:

- Просмотр карточек ИС из госреестров (ГИС/ИС) даже без прямого доступа к ним.
- Гибкое разграничение прав доступа к файлам по разделам (при интеграции с «АльфаДиск»).

«АльфаКоннект»:

- Меньше шума: Сократили количество уведомлений при согласовании.
- Автоотчётность: Возможность автоматического формирования отчётов по пользователям.

«АльфаКрипто»:

- Актуальные шаблоны: Обновлены формы для журналов учёта и актов.
- Детализированный учёт СКЗИ: В карточки добавлены поля для номера помещения, аппаратных средств и отметки об установке «в помещение».

🎯 Итог: Обновления делают вашу работу безопаснее, избавляя от рутины и человеческого фактора, и гарантируют соответствие последним требованиям регуляторов.

Готовы работать с обновлёнными и более умными инструментами?
Пишите нам, чтобы узнать подробности, получить доступ или провести обновление!

#ИТКонсалтинг #ИБ #ИнформационнаяБезопасность #Импортозамещение #Кейсистемс #ЭкосистемаАльфа #АльфаДок #АльфаКрипто #АльфаКоннект #АльфаРеестр #КатегорированиеКИИ

С Днём энергетика!

Желаем мощных проектов, стабильных систем и блестящих решений. Пусть ваша энергия ведёт к развитию, а технологии работают на все 100%.
Крепкого здоровья, профессиональных побед и уверенности в завтрашнем дне!

С праздником!
Команда «IT Полюс»

«МойОфис» для бизнеса: полный рабочий офис на вашем смартфоне

Компания «МойОфис», ведущий российский разработчик офисного ПО, выпустила специализированное корпоративное приложение «МойОфис Документы Мобильные». Решение позволяет сотрудникам безопасно и полноценно работать с документами в любом месте.

Новое приложение «МойОфис Документы Мобильные» обеспечивает не просто просмотр, а полноценное создание и редактирование текстов, таблиц, презентаций и PDF-файлов прямо на смартфоне или планшете, сохраняя все необходимые корпоративные стандарты.

Ключевые преимущества для бизнеса:

📍 Продукт включен в Единый реестр российского ПО Минцифры. Его использование позволяет организациям выполнять государственные требования по переходу на отечественное программное обеспечение без потери функциональности.

📍 Безопасность как основа: Приложение разработано с использованием практик Shift-Left Security. Это означает встроенную защиту на уровне архитектуры: постоянный аудит кода, автоматизированные проверки на уязвимости и проактивный поиск угроз. Решение готово к использованию в компаниях с самыми высокими стандартами защиты данных.

📍 Полная совместимость и автономность: Поддерживаются все популярные форматы, включая устаревшие (.doc, .xls). Функция офлайн-работы позволяет сотрудникам создавать и редактировать документы без доступа к интернету — идеально для командировок или удаленных локаций.

📍 Единое рабочее пространство: Приложение обеспечивает безопасный доступ к корпоративным файлам, хранящимся в облаке «МойОфис Документы Онлайн» или сторонних сервисах. Можно видеть, кто работает над документом, оставлять голосовые комментарии и управлять доступом прямо с мобильного устройства.

Для кого это решение?

🏢 «МойОфис Документы Мобильные» рассчитан на компании любого масштаба — от среднего бизнеса до крупных корпораций и госструктур. Решение также открывает возможности для интеграторов, производителей устройств на Android и специалистов по MDM-системам для создания комплексных отраслевых решений.

Масштабное обновление экосистемы «МойОфис»:
Выпуск мобильного приложения — часть большой ноябрьской трансформации «МойОфис». Компания представила 5 новых продуктов, включая платформу и чат с ИИ, сервис для создания презентаций и no-code-платформу. Ключевые классические решения получили 7 значимых обновлений, таких как первый в России интерпретатор VBA в табличном редакторе, инструменты для визуализации данных и ИИ-фичи для работы с текстом и формулами.

«МойОфис Документы Мобильные» — это не просто приложение, а безопасный и легитимный с точки зрения импортозамещения рабочий инструмент, который обеспечивает гибкость и оперативность вашим бизнес-процессам.

Команда «ИТ Консалтинг» готова помочь во внедрении этого и других решений экосистемы «МойОфис» для цифровой трансформации вашей компании.

ФСТЭК официально включил угрозы ИИ в реестр. Как бизнесу и госсектору действовать уже сейчас?

⚠️ В декабре 2025 года ФСТЭК России совершила знаковый шаг: впервые в истории искусственный интеллект был выделен как отдельный источник угроз в официальном Банке данных угроз безопасности информации (БДУ).

Фактически ФСТЭК определил новые «правила игры»: теперь государственные ведомства, субъекты КИИ и коммерческий сектор (в первую очередь — операторы ПДн) обязаны учитывать эти угрозы в своих системах защиты.

❓ Почему эта новость касается именно вас?

👉 Для руководителей и собственников: Это сигнал о новых правовых и репутационных рисках. Внедрение ИИ без учёта этих угроз может привести к нарушениям требований ФСТЭК (особенно в свете приказа №117, вступающего в силу 01.03.2026), финансовым потерям от инцидентов и утрате конкурентного преимущества.

👉 Для специалистов по ИБ и ИТ: БДУ — обязательный исходный документ для актуализации моделей угроз и проектирования систем защиты. Традиционные средства кибербезопасности «вслепую» неэффективны против специфичных ИИ-атак. Вы получаете перечень векторов для тестирования и закрытия уязвимостей.

👉 Для договорных отделов и юристов: Появляется основание для пересмотра соглашений с поставщиками ИИ-решений. В договоры необходимо включать требования, обязывающие вендора обеспечивать безопасность на всех этапах — от «обучения» модели до её эксплуатации, учитывая новый раздел БДУ.

В фокусе регулятора: что именно признано угрозой?

ФСТЭК структурировал угрозы по жизненному циклу ИИ-системы, выделив две ключевые зоны риска:

1. Угрозы на этапе разработки и обучения:

✅ «Отравление» обучающих данных и несанкционированная модификация моделей машинного обучения (включая параметры и LoRA-адаптеры).
✅ Использование уязвимостей в фреймворках, библиотеках и коде самой ИИ-модели.
✅ Компрометация среды разработки.

2. Угрозы на этапе эксплуатации:

✅ Целенаправленные атаки на интерфейсы (включая RAG): Специальные промпты для кражи конфиденциальных данных, нарушения логики работы или хищения самой ИИ-модели.
✅ Атаки на доступность: DoS-атаки, направленные на исчерпание квот запросов (токенов) и вывод системы из строя.
✅ Манипуляции с конфигурацией: Изменение системных промптов и параметров ИИ-агентов для дестабилизации работы.

📌 Практические последствия и перспективы

🛡 Конкурентное преимущество: Организации, которые первыми актуализируют свои процессы моделирования угроз и защиты в соответствии с новым разделом БДУ, получат преимущество на рынке и снизят риски. Для поставщиков услуг это также повод пересмотреть договоры с пользователями.

🛡 Подготовка к новому стандарту: Как отмечал первый замдиректора ФСТЭК Виталий Лютиков, этот перечень ляжет в основу готовящегося отраслевого стандарта по безопасной разработке ИИ-систем, который дополнит требования приказа №117 конкретными мерами защиты.

🛡 Ответ на реальную угрозу: Статистика (например, от SlashNext) показывает, что после появления ChatGPT-4 количество фишинговых атак в мире выросло на 1265% за счёт генерации писем ИИ. Новый раздел БДУ — это формализованный ответ регулятора на технологический вызов.

Конкретные шаги для вашей организации в ближайшее время:

🔒 Инвентаризация и аудит: Выявите все используемые или внедряемые системы с компонентами ИИ (чат-боты, аналитические платформы, системы поддержки решений).

🔒 Оценка разрыва: Проверьте, покрывают ли ваши текущие меры защиты векторы атак из нового раздела БДУ. Особое внимание — целям аутсорсинга ИИ-разработки.

🔒 Актуализация документов: Внесите ИИ-риски в модель угроз, политики и регламенты информационной безопасности.

🔒 Работа с поставщиками: Сформулируйте и включите в договоры с вендорами ИИ требования по соответствию их процессов разработки и продукта новому разделу БДУ ФСТЭК.

Внедрение ИИ должно быть драйвером роста, а не источником угроз. Начните адаптацию сейчас, чтобы завтра не столкнуться с необходимостью срочных и затратных изменений.

#ИТКонсалтинг #ФСТЭК #БДУ #ИИ #Кибербезопасность #ИнформационнаяБезопасность #КИИ #Импортозамещение