Files
laravel-gost-template/docs/org/model-ugroz.md
2026-06-24 17:20:43 +09:00

2.4 KiB
Raw Permalink Blame History

Модель угроз и нарушителя безопасности ПДн (шаблон)

Оператор: {{ организация }} · ИСПДн: {{ ... }} · УЗ: {{ 1 }} · Дата: {{ ... }}

Разрабатывается по приказу ФСТЭК №21 с использованием банка данных угроз ФСТЭК (bdu.fstec.ru) и методики оценки угроз безопасности информации (2021).

1. Описание ИСПДн

Архитектура, границы, потоки ПДн, перечень компонентов (см. README, раздел архитектуры). Веб-приложение Laravel, PostgreSQL, Redis, журнал аудита.

2. Модель нарушителя

Тип Возможности Актуальность
Внешний нарушитель (интернет) сетевые атаки, перебор, эксплойты {{ да }}
Внутренний пользователь злоупотребление правами, утечка {{ да }}
Привилегированный администратор полный доступ {{ да/нет }}

Предполагаемый потенциал нарушителя: {{ базовый / повышенный / высокий }}.

3. Актуальные угрозы (выборка из БДУ ФСТЭК)

ID БДУ Угроза Актуальность Нейтрализующая мера
УБИ.* НСД к ПДн через веб актуальна ИАФ.1, ИАФ.4, УПД.2, шифрование (ЗНИ)
УБИ.* Перебор паролей актуальна ИАФ.3, ИАФ.6 (lockout), fail2ban
УБИ.* Перехват при передаче актуальна ЗИС.9 (TLS), HSTS
УБИ.* Подделка/удаление журналов актуальна РСБ.3 (HMAC, отдельная БД)
УБИ.* Внедрение SQL/XSS актуальна Eloquent, Blade-экранирование, CSP
УБИ.* Утечка через резервные копии {{ ... }} шифрование бэкапов

4. Вывод

Реализованный набор мер (docs/security/compliance.md) нейтрализует актуальные угрозы для УЗ-{{ 1 }}. Остаточные риски: {{ ... }}.