first commit

This commit is contained in:
brusnitsyn
2026-06-24 17:20:43 +09:00
commit 43499acf1c
165 changed files with 25929 additions and 0 deletions

33
docs/org/model-ugroz.md Normal file
View File

@@ -0,0 +1,33 @@
# Модель угроз и нарушителя безопасности ПДн (шаблон)
**Оператор:** {{ организация }} · **ИСПДн:** {{ ... }} · **УЗ:** {{ 1 }} · **Дата:** {{ ... }}
> Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз
> ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021).
## 1. Описание ИСПДн
Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел
архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита.
## 2. Модель нарушителя
| Тип | Возможности | Актуальность |
|---|---|---|
| Внешний нарушитель (интернет) | сетевые атаки, перебор, эксплойты | {{ да }} |
| Внутренний пользователь | злоупотребление правами, утечка | {{ да }} |
| Привилегированный администратор | полный доступ | {{ да/нет }} |
Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}.
## 3. Актуальные угрозы (выборка из БДУ ФСТЭК)
| ID БДУ | Угроза | Актуальность | Нейтрализующая мера |
|---|---|---|---|
| УБИ.* | НСД к ПДн через веб | актуальна | ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ) |
| УБИ.* | Перебор паролей | актуальна | ИАФ.3, ИАФ.6 (lockout), fail2ban |
| УБИ.* | Перехват при передаче | актуальна | ЗИС.9 (TLS), HSTS |
| УБИ.* | Подделка/удаление журналов | актуальна | РСБ.3 (HMAC, отдельная БД) |
| УБИ.* | Внедрение SQL/XSS | актуальна | Eloquent, Blade-экранирование, CSP |
| УБИ.* | Утечка через резервные копии | {{ ... }} | шифрование бэкапов |
## 4. Вывод
Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные
угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.