# Чек-лист соответствия ФСТЭК №21 — УЗ-1 (К1) Статусы: ✅ реализовано в коде · 🔧 требует настройки при развёртывании · 🏛 инфраструктурная/организационная мера · ☐ не реализовано ## 1. Идентификация и аутентификация (ИАФ) - ✅ ИАФ.1 Идентификация и аутентификация пользователей - ✅ ИАФ.2 Управление идентификаторами (уникальность, soft delete, блокировка) - ✅ ИАФ.3 Пароль ≥ 12 символов, сложность - ✅ ИАФ.3 Запрет повтора последних 5 паролей - ✅ ИАФ.3 Смена пароля каждые 90 дней - ✅ ИАФ.4 Многофакторная аутентификация (TOTP) - ✅🔧 ИАФ.5 Защита аутентификации при передаче (HTTPS + HSTS) - ✅ ИАФ.6 Блокировка после 5 неудачных попыток ## 2. Управление доступом (УПД) - ✅ УПД.1 Управление учётными записями - ✅ УПД.2 Управление доступом к объектам (Policies для ПДн) - ✅ УПД.4 Разделение ролей (admin / operator / auditor / user) - ✅ УПД.5 Принцип наименьших привилегий - ✅ УПД.6 Ограничение неудачных попыток - ✅🔧 УПД.13 Контроль доступа к функциям управления ## 3. Ограничение программной среды (ОПС) - 🔧 ОПС.1 Управление установкой ПО (зафиксированный `composer.lock`) - 🔧 ОПС.2 Запрет неавторизованных изменений (CI/CD контроль целостности) - 🔧 ОДТ.3 Контроль средств отладки (`APP_DEBUG=false`) ## 4. Защита машинных носителей (ЗНИ) - ✅ ЗНИ Шифрование полей ПДн на уровне приложения - 🏛 ЗНИ.1 Полнодисковое шифрование (LUKS/VeraCrypt) - 🏛 ЗНИ.3 Уничтожение данных при выводе из эксплуатации ## 5. Регистрация событий безопасности (РСБ) - ✅ РСБ.1 Перечень регистрируемых событий определён - ✅ РСБ.2 Регистрация входа/выхода - ✅ РСБ.2 Регистрация действий с ПДн (CRUD) - ✅ РСБ.2 Журнал содержит: время, пользователя, IP, объект, результат - ✅🔧 РСБ.3 Журналы недоступны для изменения (отдельная БД, права INSERT) - ✅ РСБ.3 Целостность журналов (HMAC-подпись + хеш-цепочка) - ✅🔧 РСБ.4 Защита от переполнения (ротация `audit:purge` + мониторинг) - 🔧 РСБ.7 Мониторинг событий в реальном времени (SIEM) - 🔧 РСБ.8 Хранение журналов ≥ 3 лет ## 6. Антивирусная защита (ЗАВ) - 🏛 ЗАВ.1 Антивирус на сервере (ClamAV/сертифицированное СЗИ) - 🏛 ЗАВ.2 Проверка загружаемых файлов ## 7. Обнаружение вторжений (СОВ) - 🏛 СОВ.1 Система обнаружения вторжений (Suricata/Snort/NGFW) - 🏛 СОВ.2 Обновление баз СОВ ## 8. Обеспечение целостности (ОЦЛ) - 🔧 ОЦЛ.1 Контроль целостности ПО (хеши/CI) - ✅ ОЦЛ.2 Контроль целостности данных (`checksum` в таблицах ПДн) - 🏛 ОЦЛ.6 Ограничение запуска программ (AppArmor/SELinux) ## 9. Защита среды виртуализации (ЗСВ) — при наличии - 🏛 ЗСВ.1 Идентификация ВМ - 🔧 ЗСВ.3 Изоляция БД (отдельные БД приложения и журнала) ## 10. Защита информационной системы (ЗИС) - 🔧🏛 ЗИС.1 Сегментация (DMZ для веб, внутренний сегмент для БД) - 🔧 ЗИС.2 Защита периметра (Nginx + firewall + fail2ban) - 🔧 ЗИС.3 Исключение несанкционированного подключения (SSH по ключам) - ✅🔧 ЗИС.9 Защита от НСД при передаче (TLS 1.2+) - 🔧 ЗИС.16 Сертифицированные СКЗИ (КриптоПро для ГИС) ## 11. Реагирование на инциденты (ИНЦ) - 🔧 ИНЦ.1 Обнаружение и регистрация инцидентов (алерты/SIEM) - 🏛 ИНЦ.2 Регламент реагирования (документ) - 🏛 ИНЦ.3 Уведомление Роскомнадзора в течение 24 ч - 🏛 ИНЦ.5 Анализ инцидентов, устранение причин ## 12. Управление конфигурацией (УКФ) - 🔧🏛 УКФ.1 Базовая конфигурация (hardening Linux/PHP, CIS) - 🔧 УКФ.2 Контроль изменений конфигурации (Git + CI) - ✅ УКФ.4 Анализ уязвимостей (`composer audit`, CI) ## Приоритеты внедрения **Очередь 1 (критично):** `APP_DEBUG=false`, TLS+HSTS, MFA, шифрование ПДн, базовое журналирование — **реализовано в шаблоне**. **Очередь 2 (высокий):** RBAC, парольная политика, блокировка, HMAC-подпись журнала — **реализовано в шаблоне**. **Очередь 3 (инфраструктура):** антивирус, сегментация сети, SIEM, регламенты — настраивается при развёртывании (см. [compliance.md](compliance.md), [../org/](../org/)).