Files
2026-06-24 17:20:43 +09:00

6.2 KiB
Raw Permalink Blame History

Чек-лист соответствия ФСТЭК №21 — УЗ-1 (К1)

Статусы: реализовано в коде · 🔧 требует настройки при развёртывании · 🏛 инфраструктурная/организационная мера · ☐ не реализовано

1. Идентификация и аутентификация (ИАФ)

  • ИАФ.1 Идентификация и аутентификация пользователей
  • ИАФ.2 Управление идентификаторами (уникальность, soft delete, блокировка)
  • ИАФ.3 Пароль ≥ 12 символов, сложность
  • ИАФ.3 Запрет повтора последних 5 паролей
  • ИАФ.3 Смена пароля каждые 90 дней
  • ИАФ.4 Многофакторная аутентификация (TOTP)
  • 🔧 ИАФ.5 Защита аутентификации при передаче (HTTPS + HSTS)
  • ИАФ.6 Блокировка после 5 неудачных попыток

2. Управление доступом (УПД)

  • УПД.1 Управление учётными записями
  • УПД.2 Управление доступом к объектам (Policies для ПДн)
  • УПД.4 Разделение ролей (admin / operator / auditor / user)
  • УПД.5 Принцип наименьших привилегий
  • УПД.6 Ограничение неудачных попыток
  • 🔧 УПД.13 Контроль доступа к функциям управления

3. Ограничение программной среды (ОПС)

  • 🔧 ОПС.1 Управление установкой ПО (зафиксированный composer.lock)
  • 🔧 ОПС.2 Запрет неавторизованных изменений (CI/CD контроль целостности)
  • 🔧 ОДТ.3 Контроль средств отладки (APP_DEBUG=false)

4. Защита машинных носителей (ЗНИ)

  • ЗНИ Шифрование полей ПДн на уровне приложения
  • 🏛 ЗНИ.1 Полнодисковое шифрование (LUKS/VeraCrypt)
  • 🏛 ЗНИ.3 Уничтожение данных при выводе из эксплуатации

5. Регистрация событий безопасности (РСБ)

  • РСБ.1 Перечень регистрируемых событий определён
  • РСБ.2 Регистрация входа/выхода
  • РСБ.2 Регистрация действий с ПДн (CRUD)
  • РСБ.2 Журнал содержит: время, пользователя, IP, объект, результат
  • 🔧 РСБ.3 Журналы недоступны для изменения (отдельная БД, права INSERT)
  • РСБ.3 Целостность журналов (HMAC-подпись + хеш-цепочка)
  • 🔧 РСБ.4 Защита от переполнения (ротация audit:purge + мониторинг)
  • 🔧 РСБ.7 Мониторинг событий в реальном времени (SIEM)
  • 🔧 РСБ.8 Хранение журналов ≥ 3 лет

6. Антивирусная защита (ЗАВ)

  • 🏛 ЗАВ.1 Антивирус на сервере (ClamAV/сертифицированное СЗИ)
  • 🏛 ЗАВ.2 Проверка загружаемых файлов

7. Обнаружение вторжений (СОВ)

  • 🏛 СОВ.1 Система обнаружения вторжений (Suricata/Snort/NGFW)
  • 🏛 СОВ.2 Обновление баз СОВ

8. Обеспечение целостности (ОЦЛ)

  • 🔧 ОЦЛ.1 Контроль целостности ПО (хеши/CI)
  • ОЦЛ.2 Контроль целостности данных (checksum в таблицах ПДн)
  • 🏛 ОЦЛ.6 Ограничение запуска программ (AppArmor/SELinux)

9. Защита среды виртуализации (ЗСВ) — при наличии

  • 🏛 ЗСВ.1 Идентификация ВМ
  • 🔧 ЗСВ.3 Изоляция БД (отдельные БД приложения и журнала)

10. Защита информационной системы (ЗИС)

  • 🔧🏛 ЗИС.1 Сегментация (DMZ для веб, внутренний сегмент для БД)
  • 🔧 ЗИС.2 Защита периметра (Nginx + firewall + fail2ban)
  • 🔧 ЗИС.3 Исключение несанкционированного подключения (SSH по ключам)
  • 🔧 ЗИС.9 Защита от НСД при передаче (TLS 1.2+)
  • 🔧 ЗИС.16 Сертифицированные СКЗИ (КриптоПро для ГИС)

11. Реагирование на инциденты (ИНЦ)

  • 🔧 ИНЦ.1 Обнаружение и регистрация инцидентов (алерты/SIEM)
  • 🏛 ИНЦ.2 Регламент реагирования (документ)
  • 🏛 ИНЦ.3 Уведомление Роскомнадзора в течение 24 ч
  • 🏛 ИНЦ.5 Анализ инцидентов, устранение причин

12. Управление конфигурацией (УКФ)

  • 🔧🏛 УКФ.1 Базовая конфигурация (hardening Linux/PHP, CIS)
  • 🔧 УКФ.2 Контроль изменений конфигурации (Git + CI)
  • УКФ.4 Анализ уязвимостей (composer audit, CI)

Приоритеты внедрения

Очередь 1 (критично): APP_DEBUG=false, TLS+HSTS, MFA, шифрование ПДн, базовое журналирование — реализовано в шаблоне.

Очередь 2 (высокий): RBAC, парольная политика, блокировка, HMAC-подпись журнала — реализовано в шаблоне.

Очередь 3 (инфраструктура): антивирус, сегментация сети, SIEM, регламенты — настраивается при развёртывании (см. compliance.md, ../org/).