first commit
This commit is contained in:
33
docs/org/model-ugroz.md
Normal file
33
docs/org/model-ugroz.md
Normal file
@@ -0,0 +1,33 @@
|
||||
# Модель угроз и нарушителя безопасности ПДн (шаблон)
|
||||
|
||||
**Оператор:** {{ организация }} · **ИСПДн:** {{ ... }} · **УЗ:** {{ 1 }} · **Дата:** {{ ... }}
|
||||
|
||||
> Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз
|
||||
> ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021).
|
||||
|
||||
## 1. Описание ИСПДн
|
||||
Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел
|
||||
архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита.
|
||||
|
||||
## 2. Модель нарушителя
|
||||
| Тип | Возможности | Актуальность |
|
||||
|---|---|---|
|
||||
| Внешний нарушитель (интернет) | сетевые атаки, перебор, эксплойты | {{ да }} |
|
||||
| Внутренний пользователь | злоупотребление правами, утечка | {{ да }} |
|
||||
| Привилегированный администратор | полный доступ | {{ да/нет }} |
|
||||
|
||||
Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}.
|
||||
|
||||
## 3. Актуальные угрозы (выборка из БДУ ФСТЭК)
|
||||
| ID БДУ | Угроза | Актуальность | Нейтрализующая мера |
|
||||
|---|---|---|---|
|
||||
| УБИ.* | НСД к ПДн через веб | актуальна | ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ) |
|
||||
| УБИ.* | Перебор паролей | актуальна | ИАФ.3, ИАФ.6 (lockout), fail2ban |
|
||||
| УБИ.* | Перехват при передаче | актуальна | ЗИС.9 (TLS), HSTS |
|
||||
| УБИ.* | Подделка/удаление журналов | актуальна | РСБ.3 (HMAC, отдельная БД) |
|
||||
| УБИ.* | Внедрение SQL/XSS | актуальна | Eloquent, Blade-экранирование, CSP |
|
||||
| УБИ.* | Утечка через резервные копии | {{ ... }} | шифрование бэкапов |
|
||||
|
||||
## 4. Вывод
|
||||
Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные
|
||||
угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.
|
||||
Reference in New Issue
Block a user