152-ФЗ для сайта

Модель угроз ПДн: как составить для сайта

Модель угроз ПДн — это описание того, от каких сценариев нужно защищать персональные данные: случайный доступ, взлом админки, утечка выгрузки, ошибка подрядчика, потеря резервной копии. Для сайта она нужна, чтобы меры защиты были связаны с реальными рисками, а не взяты из шаблона.

Хорошая модель угроз для малого сайта может быть простой таблицей. Главное — показать систему, данные, источники угроз, последствия и меры, которые оператор действительно применяет.

Зачем нужна модель угроз

Без модели угроз трудно объяснить, почему выбраны именно такие меры защиты. Если сайт хранит только заявки, один набор мер может быть достаточным. Если есть личный кабинет, медицинская анкета или база клиентов с историей заказов, риски будут другими.

Модель угроз помогает связать юридическую часть с техникой: какие данные есть, кто может получить доступ, что случится при утечке и как это предотвращается.

Пример таблицы

УгрозаИсточникПоследствиеМера
Подбор пароля к админкевнешний атакующийдоступ к заявкам2FA, сложные пароли, лимиты
Выгрузка базы подрядчикомподрядчикнесанкционированная передачадоговор, роли, журнал
Потеря резервной копииошибка процессаутрата или раскрытие ПДншифрование, срок хранения
Старый плагин CMSуязвимость ПОвзлом сайтаобновления, контроль версий

Как составить модель за один подход

  • Опишите сайт, CMS, CRM, почту, хостинг и внешние сервисы.
  • Выпишите категории данных: контакты, заказы, кабинеты, спецкатегории.
  • Отметьте пользователей системы: владелец, менеджер, разработчик, подрядчик.
  • Запишите 10-15 реалистичных угроз.
  • Напротив каждой угрозы поставьте меру, которую можно проверить.

Типичные ошибки

Слабая модель угроз выглядит как копия чужого документа: много общих слов и мало связи с конкретным сайтом. При проверке такой документ плохо помогает, потому что из него не видно, где именно обрабатываются данные.

Вторая ошибка — описать угрозы, но не назначить меры. Если риск есть, должен быть ответ: ограничение доступа, журнал, резервная копия, договор с подрядчиком или удаление лишнего поля.

Коротко

Модель угроз нужна каждому сайту?

Если сайт и связанные сервисы образуют ИСПДн, угрозы безопасности нужно определить. Формат зависит от масштаба и рисков.

Можно ли использовать шаблон?

Шаблон можно взять как основу, но его нужно адаптировать под реальные формы, CRM, хостинг, роли доступа и подрядчиков.

Практический следующий шаг

Начните модель угроз с проверки сайта

Бесплатное превью покажет точки сбора ПДн. Месячный мониторинг за 1 490 ₽ помогает отслеживать новые формы, виджеты и риски после изменений.