first commit

This commit is contained in:
brusnitsyn
2026-06-24 17:20:43 +09:00
commit 43499acf1c
165 changed files with 25929 additions and 0 deletions

20
docs/org/README.md Normal file
View File

@@ -0,0 +1,20 @@
# Организационные документы (шаблоны)
Технические меры защиты не дают соответствия 152-ФЗ и приказу ФСТЭК №21 без
организационно-распорядительной документации. Ниже — шаблоны-заготовки.
Заполните плейсхолдеры `{{ ... }}` под конкретного оператора и ИСПДн и
утвердите у ответственного за организацию обработки ПДн.
| Документ | Назначение | Основание |
|---|---|---|
| [politika-obrabotki-pdn.md](politika-obrabotki-pdn.md) | Политика обработки ПДн | 152-ФЗ ст. 18.1 |
| [perechen-pdn.md](perechen-pdn.md) | Перечень обрабатываемых ПДн | ФСТЭК |
| [akt-klassifikacii.md](akt-klassifikacii.md) | Акт классификации ИСПДн / определение УЗ | ПП РФ №1119 |
| [model-ugroz.md](model-ugroz.md) | Модель угроз и нарушителя | Приказ ФСТЭК №21 |
| [perechen-sobytiy.md](perechen-sobytiy.md) | Перечень регистрируемых событий | РСБ.1 |
| [reglament-incidenty.md](reglament-incidenty.md) | Регламент реагирования на инциденты | ИНЦ, 152-ФЗ |
| [instrukciya-operatora.md](instrukciya-operatora.md) | Инструкция пользователя/оператора | УПД.13, РСБ.7 |
> Перечень не исчерпывающий. Дополнительно обычно требуются: приказ о назначении
> ответственного за защиту ПДн, согласие субъектов ПДн, журнал учёта носителей,
> регламент резервного копирования, матрица доступа.

View File

@@ -0,0 +1,32 @@
# Акт определения уровня защищённости ИСПДн
**Оператор:** {{ организация }} · **Комиссия:** {{ состав }} · **Дата:** {{ ... }}
## 1. Сведения об ИСПДн
- Наименование ИСПДн: {{ ... }}
- Тип: {{ информационная система обработки ПДн }}
- Категория ПДн: {{ специальные / биометрические / иные / общедоступные }}
- Объём (число субъектов): {{ менее/более 100 000 }}
- Субъекты: {{ сотрудники оператора / иные лица }}
## 2. Тип актуальных угроз (ПП РФ №1119)
- {{ Угрозы 1-го типа — связаны с НДВ в системном ПО }}
- {{ Угрозы 2-го типа — НДВ в прикладном ПО }}
- {{ Угрозы 3-го типа — не связаны с НДВ }}
## 3. Определение уровня защищённости
На основании категории ПДн, объёма и типа актуальных угроз установлен
**уровень защищённости УЗ-{{ 1 }}**.
| Параметр | Значение |
|---|---|
| Категория ПДн | {{ специальные }} |
| Тип угроз | {{ 1-й тип }} |
| Число субъектов | {{ > 100 000 / < 100 000 }} |
| **Итоговый УЗ** | **{{ УЗ-1 }}** |
## 4. Вывод
Для ИСПДн применяется базовый набор мер защиты для УЗ-{{ 1 }} по приказу ФСТЭК
№21. Перечень и реализация мер — docs/security/compliance.md.
Подписи членов комиссии: {{ ... }}

View File

@@ -0,0 +1,31 @@
# Инструкция пользователя (оператора) ИСПДн
**Оператор:** {{ организация }} · **Утверждено:** {{ дата }}
## 1. Доступ
- Доступ предоставляется по заявке и приказу, по принципу наименьших привилегий.
- Роль определяет права: **operator** работает с ПДн в рамках задач, **auditor**
только просматривает журналы, **admin** управляет пользователями.
## 2. Аутентификация (ИАФ)
- Вход только по индивидуальной учётной записи и паролю (≥ 12 символов).
- Обязательна двухфакторная аутентификация (TOTP). Резервные коды хранить в
защищённом месте, не передавать третьим лицам.
- Пароль меняется не реже 1 раза в 90 дней; запрещён повтор последних 5 паролей.
- Передавать учётные данные другим лицам запрещено.
## 3. Работа с ПДн
- Обрабатывать только ПДн, необходимые для выполнения задач (need-to-know).
- Запрещены выгрузка/копирование ПДн на неучтённые носители и пересылка по
незащищённым каналам.
- Экран блокировать при отходе от рабочего места (сессия истекает через 30 мин).
## 4. Реагирование
- О подозрении на инцидент (НСД, утечка, фишинг) немедленно сообщать
ответственному за безопасность ПДн: {{ контакты }}.
## 5. Ответственность
Нарушение правил влечёт ответственность согласно законодательству РФ и
локальным актам оператора. Все действия с ПДн регистрируются в журнале аудита.
С инструкцией ознакомлен: {{ ФИО, подпись, дата }}

33
docs/org/model-ugroz.md Normal file
View File

@@ -0,0 +1,33 @@
# Модель угроз и нарушителя безопасности ПДн (шаблон)
**Оператор:** {{ организация }} · **ИСПДн:** {{ ... }} · **УЗ:** {{ 1 }} · **Дата:** {{ ... }}
> Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз
> ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021).
## 1. Описание ИСПДн
Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел
архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита.
## 2. Модель нарушителя
| Тип | Возможности | Актуальность |
|---|---|---|
| Внешний нарушитель (интернет) | сетевые атаки, перебор, эксплойты | {{ да }} |
| Внутренний пользователь | злоупотребление правами, утечка | {{ да }} |
| Привилегированный администратор | полный доступ | {{ да/нет }} |
Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}.
## 3. Актуальные угрозы (выборка из БДУ ФСТЭК)
| ID БДУ | Угроза | Актуальность | Нейтрализующая мера |
|---|---|---|---|
| УБИ.* | НСД к ПДн через веб | актуальна | ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ) |
| УБИ.* | Перебор паролей | актуальна | ИАФ.3, ИАФ.6 (lockout), fail2ban |
| УБИ.* | Перехват при передаче | актуальна | ЗИС.9 (TLS), HSTS |
| УБИ.* | Подделка/удаление журналов | актуальна | РСБ.3 (HMAC, отдельная БД) |
| УБИ.* | Внедрение SQL/XSS | актуальна | Eloquent, Blade-экранирование, CSP |
| УБИ.* | Утечка через резервные копии | {{ ... }} | шифрование бэкапов |
## 4. Вывод
Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные
угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.

16
docs/org/perechen-pdn.md Normal file
View File

@@ -0,0 +1,16 @@
# Перечень обрабатываемых персональных данных
**Оператор:** {{ организация }} · **ИСПДн:** {{ наименование }} · **Утверждено:** {{ дата }}
| Категория субъектов | Состав ПДн | Спец. категория | Цель | Правовое основание | Срок хранения |
|---|---|---|---|---|---|
| {{ Клиенты }} | ФИО, паспорт, СНИЛС, телефон, email | нет | {{ оказание услуг }} | {{ согласие/договор }} | {{ N лет }} |
| {{ Работники }} | ФИО, паспорт, СНИЛС, ИНН, сведения о здоровье | да (здоровье) | {{ кадровый учёт }} | {{ ТК РФ }} | {{ 50/75 лет }} |
> Поля ПДн в коде шифруются (см. `App\Models\PersonalData`, трейт
> `HasPdnEncryption`). Список зашифрованных полей — свойство `$encrypted` модели.
## Места хранения и потоки
- БД приложения (PostgreSQL, поля зашифрованы): {{ сервер/сегмент }}
- Журнал аудита (без ПДн, только идентификаторы): отдельная БД
- Резервные копии: {{ где, шифрование }}

View File

@@ -0,0 +1,25 @@
# Перечень регистрируемых событий безопасности (РСБ.1)
Перечень синхронизирован с `config/audit.php` (ключ `events`). Каждое событие
фиксируется в журнале аудита с атрибутами: время, идентификатор пользователя,
IP, идентификатор сессии, объект, действие, результат, контрольная подпись.
| Тип события (event_type) | Описание | Источник |
|---|---|---|
| `auth.login.success` | Успешный вход | `AuthEventSubscriber` |
| `auth.login.failed` | Неудачная попытка входа | `AuthEventSubscriber` |
| `auth.logout` | Выход пользователя | `AuthEventSubscriber` |
| `auth.locked` | Блокировка после неудачных попыток | `LoginRequest` |
| `auth.mfa.enabled` | Включение MFA | `TwoFactorController` |
| `auth.mfa.disabled` | Отключение MFA | `TwoFactorController` |
| `auth.mfa.failed` | Неудачная проверка 2-го фактора | `TwoFactorController` |
| `auth.password.changed` | Смена пароля | `PasswordController` |
| `user.created/updated/deleted` | Управление учётными записями | контроллеры/Observer |
| `role.assigned/revoked` | Изменение прав доступа | контроллеры |
| `pdn.viewed` | Просмотр ПДн | `PersonalDataPolicy` |
| `pdn.created/updated/deleted` | Изменение ПДн | Observer/контроллеры |
| `pdn.exported` | Выгрузка/экспорт ПДн | контроллер экспорта |
| `security.incident` | Событие безопасности/инцидент | произвольно |
**Важно:** в журнал записываются только идентификаторы объектов, **не сами ПДн**
(раздел 7.3 гайда). Срок хранения — не менее 3 лет (`AUDIT_RETENTION_DAYS`).

View File

@@ -0,0 +1,46 @@
# Политика обработки персональных данных
**Оператор:** {{ наименование организации }}
**ИНН/ОГРН:** {{ ... }}
**Утверждено:** приказ № {{ ... }} от {{ дата }}
> Шаблон по 152-ФЗ ст. 18.1. Документ публикуется в открытом доступе.
## 1. Общие положения
Политика определяет порядок обработки и защиты персональных данных (ПДн) в
{{ организация }} в соответствии с 152-ФЗ, ПП РФ №1119, приказом ФСТЭК №21,
приказом ФСБ №378.
## 2. Цели обработки
{{ перечислить цели: оказание услуг, исполнение договора, кадровый учёт и т.п. }}
## 3. Категории субъектов и ПДн
- Категории субъектов: {{ клиенты, работники, ... }}
- Категории ПДн: {{ ФИО, паспорт, СНИЛС, контакты, специальные категории... }}
- Специальные категории ПДн (здоровье, биометрия): {{ да/нет }}
## 4. Правовые основания
{{ согласие субъекта (ст. 9), договор, требование закона ... }}
## 5. Принципы обработки
Законность, ограничение целями, минимизация, точность, ограничение срока
хранения, конфиденциальность и безопасность.
## 6. Меры защиты
Технические и организационные меры реализованы в соответствии с уровнем
защищённости **УЗ-{{ 1 }}** (см. акт классификации). Перечень мер — приложение
«Сопоставление мер ФСТЭК» (docs/security/compliance.md).
## 7. Права субъектов ПДн
Право на доступ, уточнение, удаление, отзыв согласия. Запросы обрабатываются в
срок {{ 10 }} рабочих дней.
## 8. Сроки хранения и уничтожение
{{ срок хранения по каждой цели; порядок уничтожения }}
## 9. Трансграничная передача
{{ осуществляется/не осуществляется }}
## 10. Ответственность
Ответственный за организацию обработки ПДн: {{ должность, ФИО }}.
Ответственный за обеспечение безопасности ПДн: {{ ... }}.

View File

@@ -0,0 +1,37 @@
# Регламент реагирования на инциденты безопасности ПДн
**Оператор:** {{ организация }} · **Утверждено:** {{ дата }} · **Ответственный:** {{ ... }}
## 1. Определения
Инцидент — событие, повлёкшее или способное повлечь нарушение
конфиденциальности, целостности или доступности ПДн (НСД, утечка, подмена
журналов, компрометация ключей и т.п.).
## 2. Обнаружение (ИНЦ.1)
Источники: журнал аудита, алерты SIEM, команда `audit:verify` (контроль
целостности журнала), мониторинг диска, обращения пользователей.
## 3. Классификация и эскалация
| Уровень | Пример | Срок реакции |
|---|---|---|
| Критический | Утечка ПДн, компрометация ключей | немедленно |
| Высокий | Множественный НСД, нарушение целостности журнала | {{ 1 ч }} |
| Средний | Подбор паролей, аномалии | {{ 4 ч }} |
## 4. Реагирование
1. Локализация (блокировка учётных записей/IP, изоляция сегмента).
2. Сбор доказательств (выгрузка журнала аудита, образ системы).
3. Устранение причины.
4. Восстановление из доверенной резервной копии.
## 5. Уведомление Роскомнадзора (ИНЦ.3)
При утечке ПДн — уведомление в течение **24 часов** о факте и в течение
**72 часов** о результатах внутреннего расследования (152-ФЗ ст. 21 ч. 3.1).
Контакты и форма: {{ ... }}.
## 6. Взаимодействие с ГосСОПКА / НКЦКИ
{{ при отнесении к субъектам КИИ — порядок и сроки уведомления }}
## 7. Анализ и предупреждение (ИНЦ.5)
Post-mortem, корректирующие меры, обновление модели угроз. Журнал инцидентов
ведётся ответственным за безопасность ПДн.