first commit

This commit is contained in:
brusnitsyn
2026-06-24 17:20:43 +09:00
commit 43499acf1c
165 changed files with 25929 additions and 0 deletions

View File

@@ -0,0 +1,74 @@
# Сопоставление мер ФСТЭК №21 с реализацией
Таблица связывает меры защиты приказа ФСТЭК России №21 (УЗ-1 / К1) с конкретными
артефактами шаблона. Статусы: ✅ реализовано в коде · 🔧 требует настройки при
развёртывании · 🏛 инфраструктурная/организационная мера (вне кода).
## ИАФ — Идентификация и аутентификация
| Мера | Где реализовано | Статус |
|---|---|---|
| ИАФ.1 Идентификация/аутентификация | `AuthenticatedSessionController`, `LoginRequest` | ✅ |
| ИАФ.2 Управление идентификаторами | уникальный `users.email`, `SoftDeletes`, `is_blocked` | ✅ |
| ИАФ.3 Парольная политика | `config/security.php`, `PasswordPolicy`, `PasswordNotReused`, `PasswordManager`, `EnsurePasswordIsNotExpired` | ✅ |
| ИАФ.4 Многофакторная аутентификация | `TwoFactorService`, `TwoFactorController`, `EnsureMfaIsVerified` | ✅ |
| ИАФ.5 Защита аутентификации при передаче | `ForceHttps`, HSTS, secure-cookie | ✅ / 🔧 |
| ИАФ.6 Блокировка после неудачных попыток | `LoginRequest` (lockout + событие `auth.locked`) | ✅ |
## УПД — Управление доступом
| Мера | Где реализовано | Статус |
|---|---|---|
| УПД.1 Управление учётными записями | `is_blocked`, `user:create-admin`, soft delete | ✅ |
| УПД.2 Доступ к объектам (ПДн) | `PersonalDataPolicy` | ✅ |
| УПД.4 Разделение ролей | `RolesAndPermissionsSeeder` (admin/operator/auditor/user) | ✅ |
| УПД.5 Наименьшие привилегии | права по ролям, явный `$fillable` | ✅ |
| УПД.6 Ограничение попыток | lockout, `RateLimiter` | ✅ |
| УПД.13 Контроль функций управления | права `users.manage`/`roles.manage`, `IpWhitelist` | ✅ / 🔧 |
## ЗНИ / ОЦЛ — Защита носителей и контроль целостности
| Мера | Где реализовано | Статус |
|---|---|---|
| ЗНИ Шифрование ПДн | `HasPdnEncryption`, `PdnCipher` (AES/ГОСТ) | ✅ |
| ЗНИ.1 Шифрование носителей | полнодисковое шифрование сервера (LUKS) | 🏛 |
| ОЦЛ.1 Контроль целостности ПО | `composer.lock`, `composer validate`, CI | ✅ / 🔧 |
| ОЦЛ.2 Контроль целостности данных | `checksum` в `PersonalData`, `integrityValid()` | ✅ |
| ОЦЛ.6 Ограничение запуска ПО | AppArmor/SELinux профиль для PHP-FPM | 🏛 |
## РСБ — Регистрация событий безопасности
| Мера | Где реализовано | Статус |
|---|---|---|
| РСБ.1 Перечень событий | `config/audit.php` (`events`) | ✅ |
| РСБ.2 Регистрация событий | `AuditService`, `AuthEventSubscriber`, `AuditLog` middleware, Policy | ✅ |
| РСБ.3 Защита журналов | отдельное соединение `audit`, HMAC + хеш-цепочка, `audit_grants.sql` | ✅ / 🔧 |
| РСБ.4 Защита от переполнения | `audit:purge`, мониторинг диска | ✅ / 🔧 |
| РСБ.7 Мониторинг в реальном времени | канал SIEM (`AUDIT_SIEM_ENABLED`) | 🔧 |
| РСБ.8 Срок хранения ≥ 3 лет | `AUDIT_RETENTION_DAYS=1095` | 🔧 |
## ЗИС — Защита информационной системы
| Мера | Где реализовано | Статус |
|---|---|---|
| ЗИС.1 Сегментация | `deploy/docker-compose.yml` (internal-сеть), DMZ | 🔧 / 🏛 |
| ЗИС.2 Защита периметра | Nginx, firewall, `IpWhitelist`, fail2ban | 🔧 |
| ЗИС.9 Защита при передаче (TLS) | `ForceHttps`, `deploy/nginx/app.conf` (TLS 1.2/1.3) | ✅ / 🔧 |
| ЗИС.16 Сертифицированные СКЗИ | драйвер ГОСТ (`GostCipher`), КриптоПро | 🔧 |
| Заголовки безопасности, CSP, XSS, CSRF | `SecurityHeaders`, Blade-экранирование, VerifyCsrfToken | ✅ |
## ОДТ / УКФ — Обеспечение доступности, конфигурация
| Мера | Где реализовано | Статус |
|---|---|---|
| ОДТ.3 Контроль средств отладки | `APP_DEBUG=false` в prod | 🔧 |
| УКФ.1 Базовая конфигурация (hardening) | `deploy/Dockerfile` (php ini), CIS Benchmark | 🔧 / 🏛 |
| УКФ.2 Контроль изменений конфигурации | Git + CI, запрет ручных изменений | 🔧 |
| УКФ.4 Анализ уязвимостей | `security:audit-deps`, `.github/workflows/security.yml` | ✅ |
## Меры вне кода (инфраструктура/организация)
ЗАВ (антивирус, ClamAV), СОВ (Suricata/Snort), ЗИС.1 (физическая сегментация),
ЗСВ (защита виртуализации), ИНЦ (реагирование на инциденты), УКФ.1 (hardening ОС)
— реализуются на уровне инфраструктуры и регламентов. Шаблоны организационных
документов: [../org/](../org/).