# Модель угроз и нарушителя безопасности ПДн (шаблон) **Оператор:** {{ организация }} · **ИСПДн:** {{ ... }} · **УЗ:** {{ 1 }} · **Дата:** {{ ... }} > Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз > ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021). ## 1. Описание ИСПДн Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита. ## 2. Модель нарушителя | Тип | Возможности | Актуальность | |---|---|---| | Внешний нарушитель (интернет) | сетевые атаки, перебор, эксплойты | {{ да }} | | Внутренний пользователь | злоупотребление правами, утечка | {{ да }} | | Привилегированный администратор | полный доступ | {{ да/нет }} | Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}. ## 3. Актуальные угрозы (выборка из БДУ ФСТЭК) | ID БДУ | Угроза | Актуальность | Нейтрализующая мера | |---|---|---|---| | УБИ.* | НСД к ПДн через веб | актуальна | ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ) | | УБИ.* | Перебор паролей | актуальна | ИАФ.3, ИАФ.6 (lockout), fail2ban | | УБИ.* | Перехват при передаче | актуальна | ЗИС.9 (TLS), HSTS | | УБИ.* | Подделка/удаление журналов | актуальна | РСБ.3 (HMAC, отдельная БД) | | УБИ.* | Внедрение SQL/XSS | актуальна | Eloquent, Blade-экранирование, CSP | | УБИ.* | Утечка через резервные копии | {{ ... }} | шифрование бэкапов | ## 4. Вывод Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.