first commit
This commit is contained in:
20
docs/org/README.md
Normal file
20
docs/org/README.md
Normal file
@@ -0,0 +1,20 @@
|
||||
# Организационные документы (шаблоны)
|
||||
|
||||
Технические меры защиты не дают соответствия 152-ФЗ и приказу ФСТЭК №21 без
|
||||
организационно-распорядительной документации. Ниже — шаблоны-заготовки.
|
||||
Заполните плейсхолдеры `{{ ... }}` под конкретного оператора и ИСПДн и
|
||||
утвердите у ответственного за организацию обработки ПДн.
|
||||
|
||||
| Документ | Назначение | Основание |
|
||||
|---|---|---|
|
||||
| [politika-obrabotki-pdn.md](politika-obrabotki-pdn.md) | Политика обработки ПДн | 152-ФЗ ст. 18.1 |
|
||||
| [perechen-pdn.md](perechen-pdn.md) | Перечень обрабатываемых ПДн | ФСТЭК |
|
||||
| [akt-klassifikacii.md](akt-klassifikacii.md) | Акт классификации ИСПДн / определение УЗ | ПП РФ №1119 |
|
||||
| [model-ugroz.md](model-ugroz.md) | Модель угроз и нарушителя | Приказ ФСТЭК №21 |
|
||||
| [perechen-sobytiy.md](perechen-sobytiy.md) | Перечень регистрируемых событий | РСБ.1 |
|
||||
| [reglament-incidenty.md](reglament-incidenty.md) | Регламент реагирования на инциденты | ИНЦ, 152-ФЗ |
|
||||
| [instrukciya-operatora.md](instrukciya-operatora.md) | Инструкция пользователя/оператора | УПД.13, РСБ.7 |
|
||||
|
||||
> Перечень не исчерпывающий. Дополнительно обычно требуются: приказ о назначении
|
||||
> ответственного за защиту ПДн, согласие субъектов ПДн, журнал учёта носителей,
|
||||
> регламент резервного копирования, матрица доступа.
|
||||
32
docs/org/akt-klassifikacii.md
Normal file
32
docs/org/akt-klassifikacii.md
Normal file
@@ -0,0 +1,32 @@
|
||||
# Акт определения уровня защищённости ИСПДн
|
||||
|
||||
**Оператор:** {{ организация }} · **Комиссия:** {{ состав }} · **Дата:** {{ ... }}
|
||||
|
||||
## 1. Сведения об ИСПДн
|
||||
- Наименование ИСПДн: {{ ... }}
|
||||
- Тип: {{ информационная система обработки ПДн }}
|
||||
- Категория ПДн: {{ специальные / биометрические / иные / общедоступные }}
|
||||
- Объём (число субъектов): {{ менее/более 100 000 }}
|
||||
- Субъекты: {{ сотрудники оператора / иные лица }}
|
||||
|
||||
## 2. Тип актуальных угроз (ПП РФ №1119)
|
||||
- {{ Угрозы 1-го типа — связаны с НДВ в системном ПО }}
|
||||
- {{ Угрозы 2-го типа — НДВ в прикладном ПО }}
|
||||
- {{ Угрозы 3-го типа — не связаны с НДВ }}
|
||||
|
||||
## 3. Определение уровня защищённости
|
||||
На основании категории ПДн, объёма и типа актуальных угроз установлен
|
||||
**уровень защищённости УЗ-{{ 1 }}**.
|
||||
|
||||
| Параметр | Значение |
|
||||
|---|---|
|
||||
| Категория ПДн | {{ специальные }} |
|
||||
| Тип угроз | {{ 1-й тип }} |
|
||||
| Число субъектов | {{ > 100 000 / < 100 000 }} |
|
||||
| **Итоговый УЗ** | **{{ УЗ-1 }}** |
|
||||
|
||||
## 4. Вывод
|
||||
Для ИСПДн применяется базовый набор мер защиты для УЗ-{{ 1 }} по приказу ФСТЭК
|
||||
№21. Перечень и реализация мер — docs/security/compliance.md.
|
||||
|
||||
Подписи членов комиссии: {{ ... }}
|
||||
31
docs/org/instrukciya-operatora.md
Normal file
31
docs/org/instrukciya-operatora.md
Normal file
@@ -0,0 +1,31 @@
|
||||
# Инструкция пользователя (оператора) ИСПДн
|
||||
|
||||
**Оператор:** {{ организация }} · **Утверждено:** {{ дата }}
|
||||
|
||||
## 1. Доступ
|
||||
- Доступ предоставляется по заявке и приказу, по принципу наименьших привилегий.
|
||||
- Роль определяет права: **operator** работает с ПДн в рамках задач, **auditor**
|
||||
только просматривает журналы, **admin** управляет пользователями.
|
||||
|
||||
## 2. Аутентификация (ИАФ)
|
||||
- Вход только по индивидуальной учётной записи и паролю (≥ 12 символов).
|
||||
- Обязательна двухфакторная аутентификация (TOTP). Резервные коды хранить в
|
||||
защищённом месте, не передавать третьим лицам.
|
||||
- Пароль меняется не реже 1 раза в 90 дней; запрещён повтор последних 5 паролей.
|
||||
- Передавать учётные данные другим лицам запрещено.
|
||||
|
||||
## 3. Работа с ПДн
|
||||
- Обрабатывать только ПДн, необходимые для выполнения задач (need-to-know).
|
||||
- Запрещены выгрузка/копирование ПДн на неучтённые носители и пересылка по
|
||||
незащищённым каналам.
|
||||
- Экран блокировать при отходе от рабочего места (сессия истекает через 30 мин).
|
||||
|
||||
## 4. Реагирование
|
||||
- О подозрении на инцидент (НСД, утечка, фишинг) немедленно сообщать
|
||||
ответственному за безопасность ПДн: {{ контакты }}.
|
||||
|
||||
## 5. Ответственность
|
||||
Нарушение правил влечёт ответственность согласно законодательству РФ и
|
||||
локальным актам оператора. Все действия с ПДн регистрируются в журнале аудита.
|
||||
|
||||
С инструкцией ознакомлен: {{ ФИО, подпись, дата }}
|
||||
33
docs/org/model-ugroz.md
Normal file
33
docs/org/model-ugroz.md
Normal file
@@ -0,0 +1,33 @@
|
||||
# Модель угроз и нарушителя безопасности ПДн (шаблон)
|
||||
|
||||
**Оператор:** {{ организация }} · **ИСПДн:** {{ ... }} · **УЗ:** {{ 1 }} · **Дата:** {{ ... }}
|
||||
|
||||
> Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз
|
||||
> ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021).
|
||||
|
||||
## 1. Описание ИСПДн
|
||||
Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел
|
||||
архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита.
|
||||
|
||||
## 2. Модель нарушителя
|
||||
| Тип | Возможности | Актуальность |
|
||||
|---|---|---|
|
||||
| Внешний нарушитель (интернет) | сетевые атаки, перебор, эксплойты | {{ да }} |
|
||||
| Внутренний пользователь | злоупотребление правами, утечка | {{ да }} |
|
||||
| Привилегированный администратор | полный доступ | {{ да/нет }} |
|
||||
|
||||
Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}.
|
||||
|
||||
## 3. Актуальные угрозы (выборка из БДУ ФСТЭК)
|
||||
| ID БДУ | Угроза | Актуальность | Нейтрализующая мера |
|
||||
|---|---|---|---|
|
||||
| УБИ.* | НСД к ПДн через веб | актуальна | ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ) |
|
||||
| УБИ.* | Перебор паролей | актуальна | ИАФ.3, ИАФ.6 (lockout), fail2ban |
|
||||
| УБИ.* | Перехват при передаче | актуальна | ЗИС.9 (TLS), HSTS |
|
||||
| УБИ.* | Подделка/удаление журналов | актуальна | РСБ.3 (HMAC, отдельная БД) |
|
||||
| УБИ.* | Внедрение SQL/XSS | актуальна | Eloquent, Blade-экранирование, CSP |
|
||||
| УБИ.* | Утечка через резервные копии | {{ ... }} | шифрование бэкапов |
|
||||
|
||||
## 4. Вывод
|
||||
Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные
|
||||
угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.
|
||||
16
docs/org/perechen-pdn.md
Normal file
16
docs/org/perechen-pdn.md
Normal file
@@ -0,0 +1,16 @@
|
||||
# Перечень обрабатываемых персональных данных
|
||||
|
||||
**Оператор:** {{ организация }} · **ИСПДн:** {{ наименование }} · **Утверждено:** {{ дата }}
|
||||
|
||||
| Категория субъектов | Состав ПДн | Спец. категория | Цель | Правовое основание | Срок хранения |
|
||||
|---|---|---|---|---|---|
|
||||
| {{ Клиенты }} | ФИО, паспорт, СНИЛС, телефон, email | нет | {{ оказание услуг }} | {{ согласие/договор }} | {{ N лет }} |
|
||||
| {{ Работники }} | ФИО, паспорт, СНИЛС, ИНН, сведения о здоровье | да (здоровье) | {{ кадровый учёт }} | {{ ТК РФ }} | {{ 50/75 лет }} |
|
||||
|
||||
> Поля ПДн в коде шифруются (см. `App\Models\PersonalData`, трейт
|
||||
> `HasPdnEncryption`). Список зашифрованных полей — свойство `$encrypted` модели.
|
||||
|
||||
## Места хранения и потоки
|
||||
- БД приложения (PostgreSQL, поля зашифрованы): {{ сервер/сегмент }}
|
||||
- Журнал аудита (без ПДн, только идентификаторы): отдельная БД
|
||||
- Резервные копии: {{ где, шифрование }}
|
||||
25
docs/org/perechen-sobytiy.md
Normal file
25
docs/org/perechen-sobytiy.md
Normal file
@@ -0,0 +1,25 @@
|
||||
# Перечень регистрируемых событий безопасности (РСБ.1)
|
||||
|
||||
Перечень синхронизирован с `config/audit.php` (ключ `events`). Каждое событие
|
||||
фиксируется в журнале аудита с атрибутами: время, идентификатор пользователя,
|
||||
IP, идентификатор сессии, объект, действие, результат, контрольная подпись.
|
||||
|
||||
| Тип события (event_type) | Описание | Источник |
|
||||
|---|---|---|
|
||||
| `auth.login.success` | Успешный вход | `AuthEventSubscriber` |
|
||||
| `auth.login.failed` | Неудачная попытка входа | `AuthEventSubscriber` |
|
||||
| `auth.logout` | Выход пользователя | `AuthEventSubscriber` |
|
||||
| `auth.locked` | Блокировка после неудачных попыток | `LoginRequest` |
|
||||
| `auth.mfa.enabled` | Включение MFA | `TwoFactorController` |
|
||||
| `auth.mfa.disabled` | Отключение MFA | `TwoFactorController` |
|
||||
| `auth.mfa.failed` | Неудачная проверка 2-го фактора | `TwoFactorController` |
|
||||
| `auth.password.changed` | Смена пароля | `PasswordController` |
|
||||
| `user.created/updated/deleted` | Управление учётными записями | контроллеры/Observer |
|
||||
| `role.assigned/revoked` | Изменение прав доступа | контроллеры |
|
||||
| `pdn.viewed` | Просмотр ПДн | `PersonalDataPolicy` |
|
||||
| `pdn.created/updated/deleted` | Изменение ПДн | Observer/контроллеры |
|
||||
| `pdn.exported` | Выгрузка/экспорт ПДн | контроллер экспорта |
|
||||
| `security.incident` | Событие безопасности/инцидент | произвольно |
|
||||
|
||||
**Важно:** в журнал записываются только идентификаторы объектов, **не сами ПДн**
|
||||
(раздел 7.3 гайда). Срок хранения — не менее 3 лет (`AUDIT_RETENTION_DAYS`).
|
||||
46
docs/org/politika-obrabotki-pdn.md
Normal file
46
docs/org/politika-obrabotki-pdn.md
Normal file
@@ -0,0 +1,46 @@
|
||||
# Политика обработки персональных данных
|
||||
|
||||
**Оператор:** {{ наименование организации }}
|
||||
**ИНН/ОГРН:** {{ ... }}
|
||||
**Утверждено:** приказ № {{ ... }} от {{ дата }}
|
||||
|
||||
> Шаблон по 152-ФЗ ст. 18.1. Документ публикуется в открытом доступе.
|
||||
|
||||
## 1. Общие положения
|
||||
Политика определяет порядок обработки и защиты персональных данных (ПДн) в
|
||||
{{ организация }} в соответствии с 152-ФЗ, ПП РФ №1119, приказом ФСТЭК №21,
|
||||
приказом ФСБ №378.
|
||||
|
||||
## 2. Цели обработки
|
||||
{{ перечислить цели: оказание услуг, исполнение договора, кадровый учёт и т.п. }}
|
||||
|
||||
## 3. Категории субъектов и ПДн
|
||||
- Категории субъектов: {{ клиенты, работники, ... }}
|
||||
- Категории ПДн: {{ ФИО, паспорт, СНИЛС, контакты, специальные категории... }}
|
||||
- Специальные категории ПДн (здоровье, биометрия): {{ да/нет }}
|
||||
|
||||
## 4. Правовые основания
|
||||
{{ согласие субъекта (ст. 9), договор, требование закона ... }}
|
||||
|
||||
## 5. Принципы обработки
|
||||
Законность, ограничение целями, минимизация, точность, ограничение срока
|
||||
хранения, конфиденциальность и безопасность.
|
||||
|
||||
## 6. Меры защиты
|
||||
Технические и организационные меры реализованы в соответствии с уровнем
|
||||
защищённости **УЗ-{{ 1 }}** (см. акт классификации). Перечень мер — приложение
|
||||
«Сопоставление мер ФСТЭК» (docs/security/compliance.md).
|
||||
|
||||
## 7. Права субъектов ПДн
|
||||
Право на доступ, уточнение, удаление, отзыв согласия. Запросы обрабатываются в
|
||||
срок {{ 10 }} рабочих дней.
|
||||
|
||||
## 8. Сроки хранения и уничтожение
|
||||
{{ срок хранения по каждой цели; порядок уничтожения }}
|
||||
|
||||
## 9. Трансграничная передача
|
||||
{{ осуществляется/не осуществляется }}
|
||||
|
||||
## 10. Ответственность
|
||||
Ответственный за организацию обработки ПДн: {{ должность, ФИО }}.
|
||||
Ответственный за обеспечение безопасности ПДн: {{ ... }}.
|
||||
37
docs/org/reglament-incidenty.md
Normal file
37
docs/org/reglament-incidenty.md
Normal file
@@ -0,0 +1,37 @@
|
||||
# Регламент реагирования на инциденты безопасности ПДн
|
||||
|
||||
**Оператор:** {{ организация }} · **Утверждено:** {{ дата }} · **Ответственный:** {{ ... }}
|
||||
|
||||
## 1. Определения
|
||||
Инцидент — событие, повлёкшее или способное повлечь нарушение
|
||||
конфиденциальности, целостности или доступности ПДн (НСД, утечка, подмена
|
||||
журналов, компрометация ключей и т.п.).
|
||||
|
||||
## 2. Обнаружение (ИНЦ.1)
|
||||
Источники: журнал аудита, алерты SIEM, команда `audit:verify` (контроль
|
||||
целостности журнала), мониторинг диска, обращения пользователей.
|
||||
|
||||
## 3. Классификация и эскалация
|
||||
| Уровень | Пример | Срок реакции |
|
||||
|---|---|---|
|
||||
| Критический | Утечка ПДн, компрометация ключей | немедленно |
|
||||
| Высокий | Множественный НСД, нарушение целостности журнала | {{ 1 ч }} |
|
||||
| Средний | Подбор паролей, аномалии | {{ 4 ч }} |
|
||||
|
||||
## 4. Реагирование
|
||||
1. Локализация (блокировка учётных записей/IP, изоляция сегмента).
|
||||
2. Сбор доказательств (выгрузка журнала аудита, образ системы).
|
||||
3. Устранение причины.
|
||||
4. Восстановление из доверенной резервной копии.
|
||||
|
||||
## 5. Уведомление Роскомнадзора (ИНЦ.3)
|
||||
При утечке ПДн — уведомление в течение **24 часов** о факте и в течение
|
||||
**72 часов** о результатах внутреннего расследования (152-ФЗ ст. 21 ч. 3.1).
|
||||
Контакты и форма: {{ ... }}.
|
||||
|
||||
## 6. Взаимодействие с ГосСОПКА / НКЦКИ
|
||||
{{ при отнесении к субъектам КИИ — порядок и сроки уведомления }}
|
||||
|
||||
## 7. Анализ и предупреждение (ИНЦ.5)
|
||||
Post-mortem, корректирующие меры, обновление модели угроз. Журнал инцидентов
|
||||
ведётся ответственным за безопасность ПДн.
|
||||
Reference in New Issue
Block a user