2.4 KiB
2.4 KiB
Модель угроз и нарушителя безопасности ПДн (шаблон)
Оператор: {{ организация }} · ИСПДн: {{ ... }} · УЗ: {{ 1 }} · Дата: {{ ... }}
Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021).
1. Описание ИСПДн
Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита.
2. Модель нарушителя
| Тип | Возможности | Актуальность |
|---|---|---|
| Внешний нарушитель (интернет) | сетевые атаки, перебор, эксплойты | {{ да }} |
| Внутренний пользователь | злоупотребление правами, утечка | {{ да }} |
| Привилегированный администратор | полный доступ | {{ да/нет }} |
Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}.
3. Актуальные угрозы (выборка из БДУ ФСТЭК)
| ID БДУ | Угроза | Актуальность | Нейтрализующая мера |
|---|---|---|---|
| УБИ.* | НСД к ПДн через веб | актуальна | ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ) |
| УБИ.* | Перебор паролей | актуальна | ИАФ.3, ИАФ.6 (lockout), fail2ban |
| УБИ.* | Перехват при передаче | актуальна | ЗИС.9 (TLS), HSTS |
| УБИ.* | Подделка/удаление журналов | актуальна | РСБ.3 (HMAC, отдельная БД) |
| УБИ.* | Внедрение SQL/XSS | актуальна | Eloquent, Blade-экранирование, CSP |
| УБИ.* | Утечка через резервные копии | {{ ... }} | шифрование бэкапов |
4. Вывод
Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.