# Сопоставление мер ФСТЭК №21 с реализацией Таблица связывает меры защиты приказа ФСТЭК России №21 (УЗ-1 / К1) с конкретными артефактами шаблона. Статусы: ✅ реализовано в коде · 🔧 требует настройки при развёртывании · 🏛 инфраструктурная/организационная мера (вне кода). ## ИАФ — Идентификация и аутентификация | Мера | Где реализовано | Статус | |---|---|---| | ИАФ.1 Идентификация/аутентификация | `AuthenticatedSessionController`, `LoginRequest` | ✅ | | ИАФ.2 Управление идентификаторами | уникальный `users.email`, `SoftDeletes`, `is_blocked` | ✅ | | ИАФ.3 Парольная политика | `config/security.php`, `PasswordPolicy`, `PasswordNotReused`, `PasswordManager`, `EnsurePasswordIsNotExpired` | ✅ | | ИАФ.4 Многофакторная аутентификация | `TwoFactorService`, `TwoFactorController`, `EnsureMfaIsVerified` | ✅ | | ИАФ.5 Защита аутентификации при передаче | `ForceHttps`, HSTS, secure-cookie | ✅ / 🔧 | | ИАФ.6 Блокировка после неудачных попыток | `LoginRequest` (lockout + событие `auth.locked`) | ✅ | ## УПД — Управление доступом | Мера | Где реализовано | Статус | |---|---|---| | УПД.1 Управление учётными записями | `is_blocked`, `user:create-admin`, soft delete | ✅ | | УПД.2 Доступ к объектам (ПДн) | `PersonalDataPolicy` | ✅ | | УПД.4 Разделение ролей | `RolesAndPermissionsSeeder` (admin/operator/auditor/user) | ✅ | | УПД.5 Наименьшие привилегии | права по ролям, явный `$fillable` | ✅ | | УПД.6 Ограничение попыток | lockout, `RateLimiter` | ✅ | | УПД.13 Контроль функций управления | права `users.manage`/`roles.manage`, `IpWhitelist` | ✅ / 🔧 | ## ЗНИ / ОЦЛ — Защита носителей и контроль целостности | Мера | Где реализовано | Статус | |---|---|---| | ЗНИ Шифрование ПДн | `HasPdnEncryption`, `PdnCipher` (AES/ГОСТ) | ✅ | | ЗНИ.1 Шифрование носителей | полнодисковое шифрование сервера (LUKS) | 🏛 | | ОЦЛ.1 Контроль целостности ПО | `composer.lock`, `composer validate`, CI | ✅ / 🔧 | | ОЦЛ.2 Контроль целостности данных | `checksum` в `PersonalData`, `integrityValid()` | ✅ | | ОЦЛ.6 Ограничение запуска ПО | AppArmor/SELinux профиль для PHP-FPM | 🏛 | ## РСБ — Регистрация событий безопасности | Мера | Где реализовано | Статус | |---|---|---| | РСБ.1 Перечень событий | `config/audit.php` (`events`) | ✅ | | РСБ.2 Регистрация событий | `AuditService`, `AuthEventSubscriber`, `AuditLog` middleware, Policy | ✅ | | РСБ.3 Защита журналов | отдельное соединение `audit`, HMAC + хеш-цепочка, `audit_grants.sql` | ✅ / 🔧 | | РСБ.4 Защита от переполнения | `audit:purge`, мониторинг диска | ✅ / 🔧 | | РСБ.7 Мониторинг в реальном времени | канал SIEM (`AUDIT_SIEM_ENABLED`) | 🔧 | | РСБ.8 Срок хранения ≥ 3 лет | `AUDIT_RETENTION_DAYS=1095` | 🔧 | ## ЗИС — Защита информационной системы | Мера | Где реализовано | Статус | |---|---|---| | ЗИС.1 Сегментация | `deploy/docker-compose.yml` (internal-сеть), DMZ | 🔧 / 🏛 | | ЗИС.2 Защита периметра | Nginx, firewall, `IpWhitelist`, fail2ban | 🔧 | | ЗИС.9 Защита при передаче (TLS) | `ForceHttps`, `deploy/nginx/app.conf` (TLS 1.2/1.3) | ✅ / 🔧 | | ЗИС.16 Сертифицированные СКЗИ | драйвер ГОСТ (`GostCipher`), КриптоПро | 🔧 | | Заголовки безопасности, CSP, XSS, CSRF | `SecurityHeaders`, Blade-экранирование, VerifyCsrfToken | ✅ | ## ОДТ / УКФ — Обеспечение доступности, конфигурация | Мера | Где реализовано | Статус | |---|---|---| | ОДТ.3 Контроль средств отладки | `APP_DEBUG=false` в prod | 🔧 | | УКФ.1 Базовая конфигурация (hardening) | `deploy/Dockerfile` (php ini), CIS Benchmark | 🔧 / 🏛 | | УКФ.2 Контроль изменений конфигурации | Git + CI, запрет ручных изменений | 🔧 | | УКФ.4 Анализ уязвимостей | `security:audit-deps`, `.github/workflows/security.yml` | ✅ | ## Меры вне кода (инфраструктура/организация) ЗАВ (антивирус, ClamAV), СОВ (Suricata/Snort), ЗИС.1 (физическая сегментация), ЗСВ (защита виртуализации), ИНЦ (реагирование на инциденты), УКФ.1 (hardening ОС) — реализуются на уровне инфраструктуры и регламентов. Шаблоны организационных документов: [../org/](../org/).